Politika prikupljanja dokaza i forenzike

Politika prikupljanja dokaza i forenzike (P31) uspostavlja strukturiran, pravno održiv okvir za upravljanje identifikacijom, prikupljanjem, očuvanjem, analizom i zbrinjavanjem digitalnih dokaza u slučajevima stvarnih ili sumnjivih sigurnosnih incidenata. Njezin je središnji cilj osigurati forenzičku spremnost uz održavanje cjelovitosti i prihvatljivosti dokaza za interne istrage, sudske postupke ili usklađenost s propisima. Sveobuhvatan opseg politike primjenjuje se na svo osoblje, izvođače, dobavljače i pružatelje usluga uključene u administraciju sustava ili istražne aktivnosti te obuhvaća krajnje točke, poslužitelje, mreže, platforme u oblaku i svaki incident koji zahtijeva postupanje s dokazima, uključujući insajderske prijetnje, zlouporabu, incidente sustava operativne tehnologije (OT) i povrede fizičko-digitalne imovine. Ključni ciljevi naglašavaju brzo i sigurno pribavljanje dokaza, rigorozno očuvanje cjelovitosti dokaza i strogu dokumentaciju, uključujući lanac skrbništva, kako bi se ispunile i pravne i regulatorne obveze. Forenzičke aktivnosti usko su povezane s naknadnim pregledom incidenta i poboljšanjima kontrola te se neprimjetno integriraju u sustav upravljanja informacijskom sigurnošću (ISMS). Odgovornosti za glavnog službenika za informacijsku sigurnost (CISO), forenzičke analitičare, IT administratore, službenike za pravne poslove i usklađenost, ljudske resurse (HR) i funkcije revizije razgraničene su radi zaštite pravne održivosti i transparentnosti u svakoj fazi incidenta. Politika propisuje nekoliko zahtjeva upravljanja, uključujući održavanje formalnog Programa forenzičke spremnosti. Ovaj program definira kriterije okidača za prikupljanje dokaza, putove eskalacije, skupove alata odobrene za forenzičku uporabu te naglašava standarde dokumentiranja i izvješćivanja koji usmjeravaju sve aktivnosti. Sve aktivnosti postupanja s dokazima moraju se pridržavati međunarodno prihvaćenih forenzičkih standarda, kao što su ISO/IEC 27035 za postupanje s incidentima, NIST SP 800-86 za forenzičko planiranje i NIST SP 800-101 Rev. 1 za forenziku medija. Politika zahtijeva Registar forenzičkih alata i propisuje da se dokazi sigurno pribavljaju, označavaju, pohranjuju uz provjere cjelovitosti te da se sva kretanja bilježe u potpisanom zapisniku lanca skrbništva. Zahtjevi implementacije politike propisuju detaljne postupke za pribavljanje dokaza (uz korištenje write-blockera i validiranih alata), izolaciju sustava, prikupljanje log-zapisa i metapodataka (uz osiguranje vremenski usklađenih dnevničkih zapisa radi dosljednosti vremenske crte) te sigurna, izolirana okruženja za forenzičku analizu. Mjere zaštite podataka zahtijevaju strogu usklađenost s GDPR-om kada dokazi uključuju osobne podatke, uključujući kontrolu pristupa, šifriranje i jasnu dokumentaciju obrazloženja prikupljanja. Zadržavanje dokaza uređeno je pravnim ili ugovornim zahtjevima, a sigurno zbrinjavanje mora biti u skladu s Politikom zadržavanja podataka (P14). Također su opisani procesi obrade rizika i iznimki, sa specifičnim zahtjevima za dokumentiranje, podnošenje i odobravanje iznimaka, osobito kada se dokazima ne može postupati prema standardnim postupcima. Kontinuirano praćenje usklađenosti, periodične revizije, integracija politike s Politikom odgovora na incidente (P30), kao i provedba kroz disciplinske mjere ili pravne radnje, podupiru djelotvornost politike. Postupak preispitivanja formaliziran je godišnje i nakon kritičnih incidenata. Politika je usklađena s međunarodnim okvirima uključujući ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 i 800-101, COBIT 2019, EU GDPR, NIS2 i DORA.