§ 22 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 22 · IT právo a ochrana dat
Stručně: Paragraf 22 vyhlášky o kybernetické bezpečnosti stanovuje povinnost zaznamenávat bezpečnostní a provozní události v informačních a komunikačních systémech, specifikuje, jaké informace se mají zaznamenávat a jak dlouho se mají tyto záznamy uchovávat.
§ 22 Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů
(1) Povinná osoba
a) zaznamenává bezpečnostní a potřebné provozní události důležitých aktiv informačního a komunikačního systému a
b) na základě hodnocení důležitosti aktiv aktualizuje rozsah aktiv, u kterých je zaznamenávání bezpečnostních a provozních událostí prováděno.
(2) Povinná osoba pro zaznamenávání bezpečnostních a provozních událostí podle odstavce 1 zajišťuje
a) jednoznačnou síťovou identifikaci zařízení původce, je-li v komunikační síti použit nástroj, který mění jeho síťovou identifikaci,
b) sběr informací o bezpečnostních a provozních událostech; zejména zaznamenává
1. datum a čas včetně specifikace časového pásma,
2. typ činnosti,
3. identifikaci technického aktiva, které činnost zaznamenalo,
4. jednoznačnou identifikaci účtu, pod kterým byla činnost provedena,
5. jednoznačnou síťovou identifikaci zařízení původce a
6. úspěšnost nebo neúspěšnost činnosti,
c) ochranu informací získaných podle písmen a) a b) před neoprávněným čtením a jakoukoli změnou,
d) zaznamenávání
1. přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,
2. činností provedených administrátory,
3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy,
4. neprovedení činností v důsledku nedostatku přístupových práv a oprávnění,
5. činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému,
6. zahájení a ukončení činností technických aktiv,
7. kritických i chybových hlášení technických aktiv a
8. přístupů k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změny nastavení nástrojů pro zaznamenávání událostí a
e) synchronizaci jednotného času technických aktiv nejméně jednou za 24 hodin.
(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 18 měsíců.
(4) Povinná osoba uvedená v § 3 písm. e) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 12 měsíců.
Paragraf 22 vyhlášky o kybernetické bezpečnosti stanovuje povinnost zaznamenávat bezpečnostní a provozní události v informačních a komunikačních systémech, specifikuje, jaké informace se mají zaznamenávat a jak dlouho se mají tyto záznamy uchovávat.
Co to znamená v praxi
Povinné osoby musí aktivně sledovat a zaznamenávat události v klíčových částech svých informačních systémů, přičemž rozsah sledovaných aktiv se má pravidelně aktualizovat.
Záznamy musí obsahovat detailní informace, jako je datum a čas, typ činnosti, identifikace zařízení a účtu, pod kterým byla činnost provedena, síťová identifikace původce a výsledek činnosti.
Záznamy musí být chráněny před neoprávněným přístupem a změnami a musí se zaznamenávat specifické typy událostí, například přihlašování, činnosti administrátorů nebo manipulace s účty.
Pro některé povinné osoby platí povinnost uchovávat tyto záznamy po dobu 18 měsíců, pro jiné po dobu 12 měsíců.
Na co si dát pozor
Je nutné zajistit jednoznačnou síťovou identifikaci zařízení, i když je použit nástroj, který ji mění.
Všechna technická aktiva musí mít synchronizovaný čas, a to nejméně jednou za 24 hodin.
Záznamy o událostech, pokusy o manipulaci s nimi a změny nastavení nástrojů pro zaznamenávání událostí musí být rovněž zaznamenávány.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.