Kategória I

Zaznamenávanie úspešných a neúspešných autentifikačných udalostí.

Kategória II

a)
Zaznamenávanie, uchovávanie a pravidelné kontrolovanie všetkých významných udalostí informačných technológií verejnej správy.

b)
Pre každý prvok informačných technológií verejnej správy sa vyšpecifikujú a zadokumentujú udalosti, ktoré musia byť zaznamenávané, a jednotlivé prvky informačných technológií verejnej správy musia byť podľa tejto špecifikácie nakonfigurované.

c)
Podľa typu systému alebo zariadenia sa zaznamenávajú do log súborov najmenej tieto udalosti:
1.
úspešné a neúspešné autorizačné udalosti,
2.
úspešné a neúspešné privilegované operácie (vykonávané pod privilegovanými účtami),
3.
úspešné a neúspešné prístupy k log súborom,
4.
úspešné a neúspešné prístupy k systémovým zdrojom,
5.
vytváranie, úprava a mazanie používateľských účtov, skupinových účtov a objektov vrátane súborov, adresárov a používateľských účtov,
6.
zmeny v prístupových oprávneniach,
7.
aktivácia a deaktivácia bezpečnostných mechanizmov,
8.
spustenie a zastavenie procesov,
9.
konfiguračné zmeny systému špecificky zmeny bezpečnostných nastavení a politík,
10.
spustenie, vypnutie, reštartovanie systému alebo aplikácie, chyby a výnimky,
11.
významné aktivity v sieťovej komunikácii,
12.
požiadavka na autentizačné služby vrátane označenia požadujúcej entity,
13.
IP adresy pridelené prostredníctvom služby DHCP.

d)
Jednotlivé záznamy v log súboroch obsahujú najmenej tieto informácie o každej zaznamenanej udalosti, ak sú k dispozícii:
1.
čas a dátum udalosti,
2.
identifikácia používateľa,
3.
identifikácia zariadenia,
4.
informácia týkajúca sa udalosti,
5.
indikácia úspešnosti, alebo zlyhania operácie,
6.
pri sieťových službách zdrojová IP adresa, cieľová IP adresa, protokol, zdrojový port, cieľový port.

e)
Záznamy udalostí sa uchovávajú najmenej šesť mesiacov a adekvátne sa chránia pred zničením alebo modifikáciou.

f)
Kontrolu zaznamenaných udalostí, ako aj výstrahy generované ostatnými bezpečnostnými technológiami sú povinní vykonávať správcovia jednotlivých prvkov informačných technológií verejnej správy, ak to nie je možné, použitím automatizovaných nástrojov najmenej na dennej báze.

g)
Bezpečnostne relevantné udalosti sa analyzujú bezodkladne s cieľom určiť, či ide o kybernetický bezpečnostný incident.

h)
Na zachovanie správnosti, presnosti a možnosti spätného dohľadania je čas na všetkých relevantných prvkoch informačných technológií verejnej správy synchronizovaný prostredníctvom presného časového zdroja.

Kategória III

a)
Správca vypracuje a zavedie do praxe interný riadiaci akt na zaznamenávanie udalostí a monitorovanie bezpečnosti informačných technológií verejnej správy.

b)
Záznamy udalostí sa uchovávajú aj mimo konkrétneho prvku informačných technológií verejnej správy, ktoré ich vytvára tak, že sa vylúči ich odstránenie alebo modifikácia.

c)
Kontrola a vyhodnocovanie zaznamenaných udalostí sa vykonáva automatizovaným spôsobom prostredníctvom nástrojov, ktoré umožňujú generovať okamžité výstrahy a oznámenia pri bezpečnostne významných udalostiach.

d)
Výstrahy z monitorovacích nástrojov, ako aj výstrahy generované ostatnými bezpečnostnými technológiami sa preverujú bezodkladne, kritické výstrahy okamžite po ich doručení.

e)
Bezpečnostný dohľad podľa písmen c) a d) sa vykonáva v režime 24 hodín denne sedem dní v týždni.

f)
Systémy určené na vytváranie záznamov o udalostiach, ako aj samotné tieto súbory sa zabezpečujú pred neoprávnenými zásahmi a neautorizovaným prístupom, najmä pred zmenami a zničením.

g)
Kapacita systémov uchovávajúcich záznamy musí byť adekvátna tak, že nedochádza k nežiaducemu prepisovaniu týchto záznamov alebo znefunkčneniu systému logovania.