Řízení identit a jejich oprávnění

Smyslem tohoto ustanovení vyhlášky je stanovení minimální úrovně pro správu a ověření identit, kterou by poskytovatel regulované služby měl v organizaci prosazovat.

Nástroj pro řízení identit, přístupových práv a oprávnění

Musí umožnit:

  • Řízení počtu možných neúspěšných pokusů o přihlášení. Toto bezpečnostní opatření je obzvlášť důležité u přístupů dostupných z veřejného internetu, protože zde hrozí zvýšené riziko zneužití ze strany potenciálního útočníka, ať už formou pokusu o průnik do systému, nebo zablokováním jeho dostupnosti.
  • Opětovné ověření identity po stanovené době nečinnosti. Zavedením tohoto bezpečnostního opatření může poskytovatel regulované služby předejít například kompromitaci koncové stanice v době, kdy u ní uživatel není fyzicky přítomen a omylem ji ponechá odemčenou.
  • Řízení přístupových práv, oprávnění pro čtení a zápis informací a dat a změnu oprávnění v souladu s pracovní náplní, tak aby bylo dodrženo need-to-know.
  • Odolnost uložených a přenášených autentizačních údajů. Při přenášení či ukládání autentizačních údajů využitím neaktuální kryptografie (např. zastaralých šifrovacích či hašovacích funkcí) či neužití žádné kryptografie (údaje jsou v čitelné podobě) může dojít k jejich odposlechu, následnému odcizení a zneužití.

Autentizační mechanismus

V rámci nastavení správy a ověření identit lze ve vyhlášce najít tři úrovně jeho nastavení. Jedná se o:

  • Vícefaktorovou autentizaci s nejméně dvěma různými typy faktorů.
  • Autentizaci pomocí kryptografických klíčů a certifikátů. V případě, kdy nelze naplnit požadavek na zavedení vícefaktorové autentizace s nejméně dvěma různými typy faktorů, je třeba, aby nástroj pro ověřování identit uživatelů, administrátorů a technických aktiv využíval alespoň autentizaci pomocí kryptografických klíčů a certifikátů. Může se jednat například o autentizaci pomocí SSH klíčů.
  • Autentizaci pouze pomocí identifikátorů účtu a hesla. V případě, kdy poskytovatel regulované služby nemůže nasazení vícefaktorové autentizace s nejméně dvěma různými typy faktorů ani autentizace pomocí kryptografických klíčů a certifikátů, musí při využívání autentizace pomocí identifikátorů účtu a hesla technicky zajistit vynucení následujících pravidel:
    • Minimální délka hesla:
      • 12 znaků pro účty uživatelů,
      • 17 znaků pro účty administrátorů a
      • 22 znaků pro účty technických aktiv.

    • Skladba hesla:
      • Umožnit uživateli použít nejenom malá a velká písmena a číslice, ale i speciální znaky.
      • Nesmí být používána jednoduchá a často používaná hesla.
      • Hesla nesmí být vytvářena z opakujících se znaků ani z údajů, jako je přihlašovací jméno, e‑mailová adresa, název systému či podobné informace.
      • Nesmí docházet k opětovnému použití dříve použitých hesel, přičemž paměť bude uchovávat alespoň 12 předchozích hesel.

    • Životnost hesla:
      • Změna hesla musí být prováděna v pravidelných intervalech, nejpozději po 18 měsících.

Příklady plnění:

  • Mezi tyto typy autentizačních faktorů patří například informace, kterou uživatel zná (heslo, PIN kód), jeho biometrické údaje nebo předmět, který vlastní (autentizační karta, USB token apod.). Z pohledu kybernetické bezpečnosti se způsob autentizace využívající více druhů faktorů v současné době jeví jako nejvhodnější.
  • Lze také využít kontinuální autentizaci vycházející z principu tzv. „zero-trust“, kdy je identita uživatele ověřována průběžně (například pomocí biometrických či behaviorálních charakteristik). Tento přístup může dále snížit riziko kompromitace systému v případě, že by byl překonán počáteční autentizační mechanismus.

Důvěrnost

Při vytváření výchozích autentizačních údajů a při obnově přístupu je nutné zajistit jejich důvěrnost a technicky vyžadovat změnu výchozího nebo obnovovacího hesla při jeho prvním použití. Jedná se zejména o:

  • zneplatnění hesla nebo identifikátoru pro obnovu přístupu nejpozději do 24 hodin od jeho vytvoření,
  • bezodkladnou změnu přístupového hesla v případě důvodného podezření na jeho kompromitaci a
  • zabezpečení administrátorských účtů technických aktiv určených zejména pro případ obnovy po kybernetickém bezpečnostním incidentu a jejich využití pouze v nezbytných případech.

Příklady plnění:

  • Organizace využívá vícefaktorovou autentizaci.
  • Vícefaktorová autentizace není nasazena na všech autentizačních mechanismech. U autentizačních mechanismů na bázi jméno X heslo je dodržována politika hesel v souladu s požadavky vyhlášky.

Vhodná pravidla pro tvorbu hesel

  • nepovolovat slabá a běžně známá hesla (například „admin“ a „123456“),
  • zakázat hesla založená na opakování znaků nebo odvozená z jmen, e-mailu či názvu systému a
  • zajistit, aby uživatel nemohl znovu použít alespoň 12 předchozích hesel.