Политика за събиране на одиторски доказателства и форензика

Политиката за събиране на одиторски доказателства и форензика (P31) установява структурирана, правно защитима рамка за управление на идентифицирането, събирането, съхраняването, анализа и унищожаването на цифрови доказателства при случаи на действителни или предполагаеми инциденти по сигурността. Основната ѝ цел е да осигури форензична готовност, като същевременно поддържа цялостността и допустимостта на доказателствата за вътрешни разследвания, съдебно производство или регулаторно съответствие. Всеобхватният обхват на политиката се прилага за целия персонал, изпълнители, доставчици и доставчици на услуги на трети страни, участващи в администриране на системи или разследващи дейности, и обхваща крайни точки, сървъри, мрежи, облачни платформи и всеки инцидент, който налага боравене с доказателства, включително вътрешни заплахи, злоупотреба, инциденти в системи за оперативни технологии (OT) и нарушения, свързани с физически и цифрови активи. Ключовите цели подчертават бързото и сигурно придобиване на доказателства, строгото запазване на цялостността на доказателствата и стриктната документация, включително верига на съхранение, за да се изпълнят както правни, така и регулаторни задължения. Форензичните дейности са тясно свързани с анализа след инцидент и подобренията на контролите, като се интегрират безпроблемно в общата Система за управление на информационната сигурност (СУИС). Отговорностите на директора по информационна сигурност (CISO), форензични анализатори, ИТ администратори, служители по правни въпроси и съответствие, Човешки ресурси (ЧР) и одитни функции са разграничени, за да се гарантира правна защитимост и прозрачност на всеки етап от инцидента. Политиката налага няколко изисквания за управление, включително поддържането на формална Програма за форензична готовност. Тази програма дефинира критерии за задействане на събирането на доказателства, ескалационни пътища, набори от инструменти, одобрени за форензична употреба, и подчертава стандартите за документация и докладване, които да насочват всички дейности. Всички дейности по боравене с доказателства трябва да се придържат към международно приети форензични стандарти, като ISO/IEC 27035 за обработване на инциденти, NIST SP 800-86 за форензично планиране и NIST SP 800-101 Rev.1 за форензика на носители. Политиката изисква Регистър на форензичния инструментариум и налага доказателствата да се придобиват сигурно, да се етикетират, да се съхраняват с проверки за цялостност и всички премествания да се регистрират в подписан журнал за верига на съхранение. Изискванията за внедряване на политиката предписват подробни процедури за придобиване на доказателства (с използване на write-blockers и валидирани инструменти), изолиране на системи, събиране на логове и метаданни (като се гарантира синхронизация на времето за последователност на времевата линия) и сигурни, изолирани среди за форензичен анализ. Мерките за защита на данните изискват стриктно съгласуване с GDPR, когато доказателствата включват лични данни, включително контрол на достъпа, шифроване и ясна документация на обосновката за събиране. Съхранението на доказателства се управлява от правни или договорни изисквания, а сигурното унищожаване трябва да се придържа към Политика за съхранение на данни (P14). Описани са и процесите за третиране на риска и изключения, със специфични изисквания за документиране, подаване и одобряване на изключения, особено когато доказателствата не могат да бъдат обработени съгласно стандартните процедури. Непрекъснат мониторинг на съответствието, периодични одити, интеграция на политиката с реагиране при инциденти (P30), както и прилагане чрез дисциплинарни мерки или правни действия, подкрепят ефективността на политиката. Процесът на преглед е формализиран ежегодно и при критични инциденти. Политиката е съгласувана с международни рамки, включително ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 и 800-101, COBIT 2019, EU GDPR, NIS2 и DORA.