§ 22 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Zaznamenávání událostí

§ 22 Zaznamenávání událostí (1) Povinná osoba na základě hodnocení aktiv a svých bezpečnostních potřeb a) určí technická aktiva, u kterých je zaznamenávání bezpečnostních a relevantních provozních událostí prováděno, a b) aktualizuje rozsah technických aktiv podle odstavce 1 písm. a) v pravidelných intervalech a při významných změnách. (2) Povinná osoba zaznamenává bezpečnostní a relevantní provozní události a) detekované podle § 21, b) v rámci komunikační sítě, c) na síťovém perimetru a d) technických aktiv určených podle odstavce 1 písm. a). (3) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává a) přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů, b) provedení a neúspěšné pokusy o provedení privilegované činnosti, c) manipulace a neúspěšné pokusy o manipulaci s účty, oprávněními a právy, d) neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění, e) zahájení a ukončení činností technických aktiv, f) kritická a chybová hlášení technických aktiv, g) přístupy a neúspěšné pokusy o přístupy k záznamům událostí, h) manipulace a neúspěšné pokusy o manipulaci se záznamy událostí, i) změny a neúspěšné pokusy o změny nastavení nástrojů pro zaznamenávání událostí a j) další činnosti uživatelů, které mohou mít vliv na bezpečnost regulované služby. (4) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává následující informace o události: a) datum a čas včetně specifikace časového pásma, b) typ činnosti, c) jednoznačnou identifikaci technického aktiva, které činnost zaznamenalo, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace, d) jednoznačnou identifikaci účtu, pod kterým byla činnost provedena, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace, e) jednoznačnou identifikaci zařízení původce, a to i v případě, kdy v komunikační síti dochází ke změně této síťové identifikace, a f) úspěšnost nebo neúspěšnost činnosti. (5) Povinná osoba dále s ohledem na události zaznamenané podle odstavce 2 a) zajistí důvěrnost a integritu získaných informací, včetně ochrany před neoprávněným čtením a jakoukoliv změnou, b) používá s ohledem na vazby mezi aktivy centralizovaný nástroj pro sběr a uchovávání záznamů těchto událostí a c) uchovává záznamy těchto událostí alespoň po dobu 18 měsíců. (6) Povinná osoba zajišťuje nepřetržitou synchronizaci jednotného času technických aktiv.