§ 21 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 21 · IT právo a ochrana dat
Stručně: Paragraf 21 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro zaznamenávání činností v kritické informační infrastruktuře a významných informačních systémech, který sbírá a chrání informace o provozních a bezpečnostních událostech a zaznamenává specifické činnosti uživatelů a systémů.
§ 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro zaznamenávání činností informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, který zajistí
a) sběr informací o provozních a bezpečnostních činnostech, zejména typ činnosti, datum a čas, identifikaci technického aktiva, které činnost zaznamenalo, identifikaci původce a místa činnosti a úspěšnost nebo neúspěšnost činnosti a
b) ochranu získaných informací před neoprávněným čtením nebo změnou.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále pomocí nástroje pro zaznamenávání činnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému zaznamenává
a) přihlášení a odhlášení uživatelů a administrátorů,
b) činnosti provedené administrátory,
c) činnosti vedoucí ke změně přístupových oprávnění,
d) neprovedení činností v důsledku nedostatku přístupových oprávnění a další neúspěšné činnosti uživatelů,
e) zahájení a ukončení činností technických aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému,
f) automatická varovná nebo chybová hlášení technických aktiv,
g) přístupy k záznamům o činnostech, pokusy o manipulaci se záznamy o činnostech a změny nastavení nástroje pro zaznamenávání činností a
h) použití mechanismů identifikace a autentizace včetně změny údajů, které slouží k přihlášení.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona záznamy činností zaznamenané podle odstavce 2 uchovává nejméně po dobu 3 měsíců.
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajišťuje nejméně jednou za 24 hodin synchronizaci jednotného systémového času technických aktiv patřících do informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému.
Paragraf 21 vyhlášky o kybernetické bezpečnosti stanovuje povinnost používat nástroj pro zaznamenávání činností v kritické informační infrastruktuře a významných informačních systémech, který sbírá a chrání informace o provozních a bezpečnostních událostech a zaznamenává specifické činnosti uživatelů a systémů.
Co to znamená v praxi
Subjekty, na které se vyhláška vztahuje (orgány a osoby uvedené v § 3 písm. c) až e) zákona), musí mít systém, který automaticky zaznamenává různé události v jejich klíčových IT systémech.
Zaznamenávané informace musí obsahovat detaily jako typ činnosti, datum a čas, identifikaci zařízení, původce činnosti a její výsledek (úspěch/neúspěch).
Záznamy musí být chráněny proti neoprávněnému čtení nebo změně, aby byla zajištěna jejich integrita a důvěryhodnost.
Konkrétně se zaznamenávají například přihlášení/odhlášení, činnosti administrátorů, změny oprávnění, neúspěšné pokusy o činnosti, spuštění/ukončení technických aktiv, chybová hlášení a přístupy k samotným záznamům.
Pro některé subjekty (orgány a osoby uvedené v § 3 písm. c) a d) zákona) platí povinnost uchovávat tyto záznamy minimálně po dobu 3 měsíců.
Všechny dotčené subjekty musí zajistit synchronizaci systémového času technických aktiv v kritické informační infrastruktuře a významných informačních systémech minimálně jednou za 24 hodin.
Na co si dát pozor
Je třeba zajistit, aby nástroj pro zaznamenávání činností sbíral všechny požadované typy informací, jak jsou uvedeny v odstavci 1 písm. a) a odstavci 2.
Klíčová je ochrana zaznamenaných informací před neoprávněným přístupem nebo manipulací, aby záznamy mohly sloužit jako důkazní materiál.
Subjekty uvedené v § 3 písm. c) a d) zákona musí dodržet minimální dobu uchovávání záznamů (3 měsíce).
Pravidelná synchronizace času je nezbytná pro správnou chronologii událostí a jejich efektivní analýzu.
Související témata
§ 5 Účinnost Vyhláška Ministerstva financí o rozpočto
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.