policy Enterprise

Todisteiden keräämisen ja digitaalisen forensiikan politiikka

Varmista forensinen valmius ja todistusaineiston eheys kattavilla digitaalisen todistusaineiston käsittelyprosesseilla, jotka tukevat turvallisia tutkintoja ja vaatimustenmukaisuutta.

Yleiskatsaus

Todisteiden keräämisen ja digitaalisen forensiikan politiikka (P31) tarjoaa yksityiskohtaisen, organisaationlaajuisen viitekehyksen digitaalisen todistusaineiston hallintaan tietoturvapoikkeamien aikana. Se varmistaa forensisen valmiuden, todistusaineiston eheyden, sääntelyvaatimusten noudattamisen sekä oikeudellisesti puolustettavat tutkinnat, ja se on linjassa johtavien kansainvälisten standardien kanssa.

Forensinen valmius

Määrittelee jäsennellyt protokollat nopeaan ja turvalliseen todistusaineiston keräämiseen tietoturvapoikkeamien aikana.

Todistusaineiston eheys

Edellyttää tiukkaa chain of custody -ketjua, turvallista säilytystä ja eheyden tarkistuksia hyväksyttävyyden varmistamiseksi.

Määritellyt roolit ja eskalointi

Selkeät vastuut tietoturvajohtajalle (CISO), forensiikkatiimeille, IT:lle sekä laki- ja vaatimustenmukaisuustoiminnoille tutkintojen ja laki- ja sääntelyasioiden eskaloinnin aikana.

Sääntely-yhdenmukaisuus

Prosessit noudattavat standardeja, kuten ISO 27001, NIST SP 800-53, GDPR ja DORA.

Lue koko yleiskatsaus
Todisteiden keräämisen ja digitaalisen forensiikan politiikka (P31) määrittää jäsennellyn, oikeudellisesti puolustettavan viitekehyksen digitaalisen todistusaineiston tunnistamiseen, keräämiseen, säilyttämiseen, analysointiin ja hävittämiseen todellisten tai epäiltyjen tietoturvapoikkeamien yhteydessä. Sen keskeinen tavoite on varmistaa forensinen valmius sekä säilyttää todistusaineiston eheys ja hyväksyttävyys sisäisiä tutkintoja, oikeudenkäyntejä tai sääntelyvaatimusten noudattamista varten. Politiikan kattava soveltamisala koskee koko henkilöstöä, urakoitsijoita, toimittajia ja kolmannen osapuolen palveluntarjoajatoimijoita, jotka osallistuvat järjestelmänhallintaan tai tutkintatoimintaan, ja se kattaa päätelaitteet, palvelimet, verkot, pilvialustat sekä kaikki poikkeamat, joissa todistusaineiston käsittelyä tarvitaan, mukaan lukien sisäpiiriuhat, väärinkäyttö, operatiivisen teknologian (OT) järjestelmäpoikkeamat sekä fyysisten ja digitaalisten omaisuuserien rikkomukset. Keskeiset tavoitteet korostavat todistusaineiston nopeaa ja turvallista hankintaa, todistusaineiston eheyden tiukkaa säilyttämistä sekä tiukkaa dokumentointia, mukaan lukien chain of custody, jotta sekä lakisääteiset velvoitteet että sääntelyvelvoitteet täyttyvät. Forensiikkatoiminnot kytkeytyvät tiiviisti poikkeaman jälkiarviointiin ja kontrollien parantamiseen, ja ne integroituvat saumattomasti tietoturvallisuuden hallintajärjestelmäkokonaisuuteen. Vastuut tietoturvajohtajalle (CISO), forensikkoanalyytikoille, IT-järjestelmänvalvojille, laki- ja vaatimustenmukaisuusvastaaville, henkilöstöhallintotoiminnolle sekä sisäisen tarkastuksen toiminnolle on määritelty, jotta oikeudellinen puolustettavuus ja läpinäkyvyys varmistetaan poikkeaman kaikissa vaiheissa. Politiikka edellyttää useita hallintotapavaatimuksia, mukaan lukien muodollisen Forensic Readiness Program -ohjelman ylläpito. Ohjelma määrittää herätekriteerit todistusaineiston keräämiselle, eskalointipolut, forensiikkakäyttöön hyväksytyt työkalut sekä korostaa dokumentointi- ja raportointistandardeja kaikkien toimintojen ohjaamiseksi. Kaikkien todistusaineiston käsittelytoimien on noudatettava kansainvälisesti hyväksyttyjä forensiikkastandardeja, kuten ISO/IEC 27035 poikkeamien käsittelyyn, NIST SP 800-86 forensiikkasuunnitteluun ja NIST SP 800-101 Rev.1 mediaforensiikkaan. Politiikka edellyttää Forensic Toolkit Register -rekisteriä ja vaatii, että todistusaineisto hankitaan turvallisesti, merkitään, säilytetään eheyden tarkistuksin ja että kaikki siirrot kirjataan allekirjoitettuun chain-of-custody -lokiin. Politiikan toimeenpanovaatimukset määrittävät yksityiskohtaiset menettelyt todistusaineiston hankintaan (käyttäen write-blocker -laitteita ja validoituja työkaluja), järjestelmien eristämiseen, lokien ja metatietojen keräämiseen (varmistaen aikasynkronoidut lokit aikajanan johdonmukaisuuden tueksi) sekä turvallisiin, eristettyihin ympäristöihin forensiikka-analyysiä varten. Tietosuojatoimet edellyttävät tiukkaa GDPR-yhdenmukaisuutta, kun todistusaineisto sisältää henkilötietoja, mukaan lukien pääsynhallinta, salaus ja selkeä dokumentointi keruun perusteista. Todistusaineiston säilytystä ohjaavat lakisääteiset tai sopimukseen perustuvat vaatimukset, ja turvallisen hävittämisen on noudatettava tietojen säilytyspolitiikkaa (P14). Myös riskien käsittely ja poikkeusprosessit kuvataan, ja niihin sisältyy erityisvaatimuksia poikkeusten dokumentointiin, jättämiseen ja hyväksymiseen, erityisesti tilanteissa, joissa todistusaineistoa ei voida käsitellä vakiomenettelyjen mukaisesti. Vaatimustenmukaisuuden jatkuva seuranta, säännölliset auditoinnit, politiikan integrointi tietoturvapoikkeamiin reagointitoimintoon (P30) sekä täytäntöönpano kurinpitotoimenpiteiden tai oikeudellisten toimien kautta tukevat politiikan vaikuttavuutta. Katselmointiprosessi on muodollistettu vuosittain ja kriittisten poikkeamien yhteydessä. Politiikka on linjassa kansainvälisten viitekehysten kanssa, mukaan lukien ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 ja 800-101, COBIT 2019, EU:n GDPR, NIS2 ja DORA.

Käytäntökaavio

Todisteiden keräämisen ja digitaalisen forensiikan politiikka -kaavio, joka havainnollistaa tunnistamisen, hankinnan, merkinnän, turvallisen säilytyksen, chain of custody -ketjun, analyysin, säilytyksen ja hävittämisen vaiheet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja säännöt todistusaineiston keräämiselle

Forensic Readiness Program -ohjelman vaatimukset

Chain of custody ja dokumentaatio

Työkaluston ja analyysiympäristön hallintakeinot

Sääntely- ja tietosuojavaatimusten noudattaminen

Poikkeukset, täytäntöönpano ja katselmointiprosessi

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.255.265.278.27
ISO/IEC 27035:2016
Part 1Part 3
NIST SP 800-53 Rev.5
IR-1IR-2IR-3IR-4IR-5IR-6IR-7IR-8IR-9AU-6PL-2
NIST SP 800-101 Rev.1
Mobile-Media Forensics
NIST SP 800-86
Forensic Integration
EU GDPR
Article 5Article 33Article 34
EU NIS2
Article 23(1)Article 23(2)Article 23(3)Article 23(4)
EU DORA
Article 17(1)Article 17(2)Article 17(3)
COBIT 2019
DSS01.07DSS05.04

Liittyvät käytännöt

Auditointi- ja vaatimustenmukaisuuden seurannan politiikka

Varmistaa forensiikkaprotokollien ja chain of custody -vaatimusten noudattamisen säännöllisten auditointien avulla.

P01 Tietoturvapolitiikka

Määrittää perustason vaatimukset tutkinnalle, todistusaineiston hallinnalle ja sovellettavien lakien noudattamiselle.

P05 Muutoksenhallintapolitiikka

Varmistaa, ettei tutkinnan kohteena olevia järjestelmiä muuteta aktiivisten forensiikkaprosessien aikana.

Tietojen säilytys- ja hävittämispolitiikka (P14)

Ohjaa todistusaineiston ja tapauskohtaisten tietojen turvallista hävittämistä ja säilytysaikatauluja.

Kryptografisten hallintakeinojen politiikka

Määrittää salausvaatimukset arkaluonteisen tai todistusaineistona käytettävän datan säilytykselle ja siirrolle.

Lokitus- ja valvontapolitiikka

Varmistaa tapahtumalokien ja telemetriatiedot-aineiston saatavuuden todistusaineiston keräämistä ja forensiikkakorrelointia varten.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Määrittää triage- ja eskalointipolut, joissa forensiikkamenettelyt käynnistyvät.

Tietoa Clarysecin käytännöistä - Todisteiden keräämisen ja digitaalisen forensiikan politiikka

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä kirjauksia; se vaatii selkeyttä, vastuuvelvollisuutta ja rakennetta, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu toimimaan tietoturvaohjelmasi operatiivisena selkärankana. Osoitamme vastuut nykyaikaisessa organisaatiossa esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat ohjausryhmät, varmistaen selkeän vastuunjaon. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon toimeenpanna, auditoida tiettyjä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Työkalurekisteri ja validointi

Ylläpitää validoitua rekisteriä forensiikkatyökalustoista, tukien levy-, muisti-, loki- ja aikajana-analyysiä oikeudellisesti puolustettavia tutkintoja varten.

Muuttumaton todistusaineisto ja tarkastusjäljet

Edellyttää yksilöllistä merkintää, eheyden varmentamista ja peukaloinnin paljastavat lokit jokaiselle digitaalisen todistusaineiston osalle hankinnasta arkistointiin.

Poikkeus- ja riskityönkulku

Tarjoaa jäsennellyt hyväksyntä-, dokumentointi- ja lieventämismenettelyt todistusaineiston käsittelyn poikkeuksille ja riskiskenaarioille.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

tietoturva vaatimustenmukaisuus laki- ja vaatimustenmukaisuus

🏷️ Aiheen kattavuus

poikkeamien hallinta vaatimustenmukaisuuden hallinta forensiikka
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Evidence Collection and Forensics Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 10