§ 22 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů

§ 22 Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů (1) Povinná osoba a) zaznamenává bezpečnostní a potřebné provozní události důležitých aktiv informačního a komunikačního systému a b) na základě hodnocení důležitosti aktiv aktualizuje rozsah aktiv, u kterých je zaznamenávání bezpečnostních a provozních událostí prováděno. (2) Povinná osoba pro zaznamenávání bezpečnostních a provozních událostí podle odstavce 1 zajišťuje a) jednoznačnou síťovou identifikaci zařízení původce, je-li v komunikační síti použit nástroj, který mění jeho síťovou identifikaci, b) sběr informací o bezpečnostních a provozních událostech; zejména zaznamenává 1. datum a čas včetně specifikace časového pásma, 2. typ činnosti, 3. identifikaci technického aktiva, které činnost zaznamenalo, 4. jednoznačnou identifikaci účtu, pod kterým byla činnost provedena, 5. jednoznačnou síťovou identifikaci zařízení původce a 6. úspěšnost nebo neúspěšnost činnosti, c) ochranu informací získaných podle písmen a) a b) před neoprávněným čtením a jakoukoli změnou, d) zaznamenávání 1. přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů, 2. činností provedených administrátory, 3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy, 4. neprovedení činností v důsledku nedostatku přístupových práv a oprávnění, 5. činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému, 6. zahájení a ukončení činností technických aktiv, 7. kritických i chybových hlášení technických aktiv a 8. přístupů k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změny nastavení nástrojů pro zaznamenávání událostí a e) synchronizaci jednotného času technických aktiv nejméně jednou za 24 hodin. (3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 18 měsíců. (4) Povinná osoba uvedená v § 3 písm. e) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 12 měsíců.