Politik for indsamling af bevismateriale og forensik

Politik for indsamling af bevismateriale og forensik (P31) etablerer et struktureret, juridisk forsvarligt rammeværk til at styre identifikation, indsamling, bevaring, analyse og bortskaffelse af digitalt bevismateriale i tilfælde af faktiske eller formodede informationssikkerhedshændelser. Dens centrale formål er at sikre forensisk parathed, samtidig med at integritet og antagelighed af bevismateriale opretholdes til interne undersøgelser, retssager eller overholdelse af lovgivningen. Politikkens omfattende omfang gælder for alt personale, kontrahenter, tredjepartstjenesteudbydere og tredjepartsleverandører, der er involveret i systemadministration eller undersøgelsesaktiviteter, og den omfatter endepunkter, servere, netværk, cloud-platforme og enhver hændelse, der nødvendiggør håndtering af bevismateriale, herunder insidertrusler, misbrug, OT-systemhændelser og overtrædelser vedrørende fysiske og digitale aktiver. Nøglemål understreger hurtig og sikker indsamling af bevismateriale, stringent bevaring af integriteten af bevismateriale og streng dokumentation, herunder chain of custody, for at opfylde både retlige forpligtelser og reguleringsmæssige forpligtelser. Forensiske aktiviteter er tæt knyttet til efterhændelsesgennemgang og kontrolforbedringer og integreres problemfrit i det overordnede ledelsessystem for informationssikkerhed (ISMS). Ansvarsområder for informationssikkerhedschef (CISO), forensiske analytikere, IT-administratorer, Juridisk og compliance, HR og revisionsfunktioner er afgrænset for at beskytte juridisk forsvarlighed og gennemsigtighed i alle faser af en hændelse. Politikken pålægger flere styringskrav, herunder vedligeholdelse af et formelt program for forensisk parathed. Programmet definerer udløsningskriterier for indsamling af bevismateriale, eskalationsveje, værktøjssæt godkendt til forensisk brug og fremhæver dokumentations- og rapporteringsstandarder, der skal styre alle aktiviteter. Alle aktiviteter for håndtering af bevismateriale skal følge internationalt accepterede forensiske standarder, såsom ISO/IEC 27035 for håndtering af hændelser, NIST SP 800-86 for forensisk planlægning og NIST SP 800-101 Rev.1 for medieforensik. Politikken kræver et register over forensiske værktøjssæt og kræver, at bevismateriale indsamles sikkert, mærkes, opbevares med integritetskontroller, og at alle bevægelser logges i en underskrevet chain-of-custody-log. Krav til implementering af politikken foreskriver detaljerede procedurer for indsamling af bevismateriale (ved brug af write-blockers og validerede værktøjer), systemisolering, indsamling af logfiler og metadata (med sikring af tidssynkroniserede logfiler for konsistens i tidslinjer) samt sikre, isolerede miljøer til forensisk analyse. Databeskyttelsesforanstaltninger kræver streng GDPR-harmonisering, når bevismateriale omfatter personoplysninger, herunder adgangskontrol, kryptering og klar dokumentation af begrundelsen for indsamling. Opbevaring af bevismateriale styres af retlige eller kontraktlige krav, og sikker bortskaffelse skal følge dataopbevaringspolitik (P14). Risikobehandling og undtagelsesprocesser er også beskrevet med specifikke krav til dokumentation, indsendelse og godkendelse af undtagelser, især hvor bevismateriale ikke kan håndteres i henhold til standardprocedurer. Løbende overvågning af overholdelse, periodiske audits, politikintegration med Politik for hændelseshåndtering (P30) samt håndhævelse gennem disciplinære foranstaltninger eller retlige skridt understøtter politikkens effektivitet. Gennemgangsprocessen er formaliseret årligt og ved kritiske hændelser. Politikken er i overensstemmelse med internationale rammeværk, herunder ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 og 800-101, COBIT 2019, EU GDPR, NIS2 og DORA.