§ 22
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů
(1) Povinná osoba
a) zaznamenává bezpečnostní a potřebné provozní události důležitých aktiv informačního a komunikačního systému a
b) na základě hodnocení důležitosti aktiv aktualizuje rozsah aktiv, u kterých je zaznamenávání bezpečnostních a provozních událostí prováděno.
(2) Povinná osoba pro zaznamenávání bezpečnostních a provozních událostí podle odstavce 1 zajišťuje
a) jednoznačnou síťovou identifikaci zařízení původce, je-li v komunikační síti použit nástroj, který mění jeho síťovou identifikaci,
b) sběr informací o bezpečnostních a provozních událostech; zejména zaznamenává
1. datum a čas včetně specifikace časového pásma,
2. typ činnosti,
3. identifikaci technického aktiva, které činnost zaznamenalo,
4. jednoznačnou identifikaci účtu, pod kterým byla činnost provedena,
5. jednoznačnou síťovou identifikaci zařízení původce a
6. úspěšnost nebo neúspěšnost činnosti,
c) ochranu informací získaných podle písmen a) a b) před neoprávněným čtením a jakoukoli změnou,
d) zaznamenávání
1. přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,
2. činností provedených administrátory,
3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy,
4. neprovedení činností v důsledku nedostatku přístupových práv a oprávnění,
5. činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému,
6. zahájení a ukončení činností technických aktiv,
7. kritických i chybových hlášení technických aktiv a
8. přístupů k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změny nastavení nástrojů pro zaznamenávání událostí a
e) synchronizaci jednotného času technických aktiv nejméně jednou za 24 hodin.
(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 18 měsíců.
(4) Povinná osoba uvedená v § 3 písm. e) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 12 měsíců.