Politika sběru důkazů a forenzní analýzy

Politika sběru důkazů a forenzní analýzy (P31) stanovuje strukturovaný, právně obhajitelný rámec pro řízení identifikace, sběru, uchování, analýzy a likvidace digitálních důkazů v případech skutečných nebo podezřelých bezpečnostních incidentů. Jejím hlavním cílem je zajistit forenzní připravenost při zachování integrity a přípustnosti důkazů pro interní vyšetřování, soudní řízení nebo soulad s právními předpisy. Komplexní rozsah politiky se vztahuje na veškerý personál, dodavatele, dodavatele třetích stran a poskytovatele služeb třetích stran zapojené do správy systémů nebo vyšetřovacích činností a upravuje koncové body, servery, sítě, cloudové platformy a jakýkoli incident vyžadující nakládání s důkazy, včetně vnitřních hrozeb, zneužití, incidentů systémů provozních technologií (OT) a porušení fyzicko-digitálních aktiv. Klíčové cíle zdůrazňují rychlé a bezpečné získání důkazů, důsledné zachování integrity důkazů a přísnou dokumentaci, včetně řetězce předání, aby byly splněny právní i regulační povinnosti. Forenzní činnosti jsou úzce provázány s přezkumem po incidentu a zlepšováním kontrol a plynule se integrují do zastřešujícího Systému řízení bezpečnosti informací (ISMS). Odpovědnosti ředitele informační bezpečnosti (CISO), forenzních analytiků, správců IT, právních a compliance officerů, lidských zdrojů (HR) a funkcí interního auditu jsou vymezeny tak, aby byla v každé fázi incidentu chráněna právní obhajitelnost a transparentnost. Politika nařizuje několik požadavků správy a řízení, včetně udržování formálního Programu forenzní připravenosti. Tento program definuje spouštěcí kritéria pro sběr důkazů, eskalační cesty, sady nástrojů schválené pro forenzní použití a zdůrazňuje standardy dokumentace a vykazování, které řídí všechny činnosti. Veškeré činnosti nakládání s důkazy musí dodržovat mezinárodně přijímané forenzní standardy, jako jsou ISO/IEC 27035 pro zvládání incidentů, NIST SP 800-86 pro forenzní plánování a NIST SP 800-101 Rev. 1 pro forenzní analýzu médií. Politika vyžaduje Registr forenzních nástrojů a stanoví, že důkazy jsou bezpečně získávány, označovány, ukládány s kontrolami integrity a že veškeré přesuny jsou zaznamenávány v podepsaném záznamu řetězce předání. Požadavky na implementaci politiky předepisují podrobné postupy pro získávání důkazů (s použitím write-blockerů a validovaných nástrojů), izolaci systému, sběr logů a metadat (zajištění časově synchronizovaných logů pro konzistenci časové osy) a bezpečná, izolovaná prostředí pro forenzní analýzu. Opatření ochrany údajů vyžadují přísné sladění s GDPR, pokud důkazy zahrnují osobní údaje, včetně řízení přístupu, šifrování a jasné dokumentace odůvodnění sběru. Uchovávání důkazů se řídí právními nebo smluvními požadavky a bezpečná likvidace musí být v souladu s Politikou uchovávání údajů (P14). Jsou popsány také procesy ošetření rizik a výjimek se specifickými požadavky na dokumentování, podávání a schvalování výjimek, zejména tam, kde nelze s důkazy nakládat podle standardních postupů. Průběžné monitorování souladu, pravidelné audity, integrace politiky s reakcí na incidenty (P30) a vynucování prostřednictvím disciplinárních opatření nebo právních kroků podporují účinnost politiky. Proces přezkumu je formalizován každoročně a po kritických incidentech. Politika je v souladu s mezinárodními rámci včetně ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 a 800-101, COBIT 2019, EU GDPR, NIS2 a DORA.