Tõendite kogumise ja kohtuekspertiisi poliitika

Tõendite kogumise ja kohtuekspertiisi poliitika (P31) kehtestab struktureeritud, õiguslikult kaitstava raamistiku digitaaltõendite tuvastamise, kogumise, säilitamise, analüüsi ja kõrvaldamise haldamiseks tegelike või kahtlustatavate turbeintsidentide korral. Selle keskne eesmärk on tagada kohtuekspertiisi valmidus, säilitades samal ajal tõendite tervikluse ja vastuvõetavuse siseuurimiste, kohtumenetluste või õigusnormidele vastavuse jaoks. Poliitika ulatus hõlmab kogu personali, töövõtjaid, kolmanda osapoole tarnijaid ja kolmanda osapoole teenuseosutajaid, kes osalevad süsteemihalduses või uurimistegevustes, ning reguleerib lõppseadmeid, servereid, võrke, pilveplatvorme ja kõiki intsidente, mis nõuavad tõendite käitlemist, sh siseohud, väärkasutus, operatiivtehnoloogia (OT) intsidendid ning füüsiliste ja digitaalsete varade rikkumised. Peamised eesmärgid rõhutavad tõendite kiiret ja turvalist hankimist, tõendite tervikluse ranget säilitamist ning ranget dokumenteerimist, sh valdusahelat, et täita nii õiguslikud kui ka regulatiivsed kohustused. Kohtuekspertiisi tegevused on tihedalt seotud intsidendijärgse ülevaatuse ja kontrollimeetmete täiustamisega ning integreeruvad sujuvalt üldisesse infoturbe juhtimissüsteemi (ISMS). Infoturbejuhi, kohtuekspertiisi analüütikute, IT-administraatorite, õigus- ja vastavusametniku, personali (HR) ning auditifunktsioonide vastutused on määratletud, et tagada õiguslik kaitstus ja läbipaistvus intsidendi igas etapis. Poliitika nõuab mitmeid juhtimisnõudeid, sh ametliku kohtuekspertiisi valmiduse programmi säilitamist. See programm määratleb tõendite kogumise käivituskriteeriumid, eskalatsioonikanalid, kohtuekspertiisi kasutuseks heakskiidetud tööriistakomplektid ning rõhutab dokumenteerimise ja aruandluse standardeid kõigi tegevuste suunamiseks. Kõik tõendite käitlemise tegevused peavad järgima rahvusvaheliselt aktsepteeritud kohtuekspertiisi standardeid, nagu ISO/IEC 27035 intsidentide käsitlemiseks, NIST SP 800-86 kohtuekspertiisi planeerimiseks ning NIST SP 800-101 Rev.1 meedia kohtuekspertiisiks. Poliitika nõuab kohtuekspertiisi tööriistakomplekti registrit ning nõuab, et tõendid hangitakse turvaliselt, märgistatakse, säilitatakse tervikluse kontrollidega ning et kõik liikumised logitakse allkirjastatud valdusahela logis. Poliitika rakendamise nõuded kirjeldavad üksikasjalikke protseduure tõendite hankimiseks (kasutades kirjutusblokeerijaid ja valideeritud tööriistu), süsteemi isoleerimiseks, logide ja metaandmete kogumiseks (tagades ajasünkroniseeritud logid ajajoone järjepidevuse jaoks) ning turvaliste, isoleeritud keskkondade kasutamiseks kohtuekspertiisi analüüsiks. Andmekaitse meetmed nõuavad ranget GDPR-i ühtlustamist, kui tõendid hõlmavad isikuandmeid, sh juurdepääsukontrolli, krüpteerimist ja kogumise põhjenduse selget dokumenteerimist. Tõendite säilitamist reguleerivad õiguslikud või lepingulised nõuded ning turvaline kõrvaldamine peab järgima andmete säilitamise ja kõrvaldamise poliitikat (P14). Kirjeldatud on ka riski käsitlemise ja erandite protsessid, sh konkreetsed nõuded erandite dokumenteerimiseks, esitamiseks ja heakskiitmiseks, eriti olukordades, kus tõendeid ei saa käsitleda standardsete protseduuride kohaselt. Vastavuse pidev seire, perioodilised auditid, poliitika integreerimine intsidentidele reageerimisega (P30) ning jõustamine distsiplinaarmeetmete või õiguslike meetmete kaudu toetavad poliitika tõhusust. Läbivaatamise protsess on formaliseeritud iga-aastaselt ja kriitiliste intsidentide korral. Poliitika on kooskõlas rahvusvaheliste raamistikega, sh ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 ja 800-101, COBIT 2019, EL-i GDPR, NIS2 ja DORA.