Bizonyítékgyűjtési és forenzikai szabályzat – SME

A P31S Bizonyítékgyűjtési és forenzikai szabályzat részletezi, hogy egy KKV hogyan kezelheti a biztonsági incidensekhez, bejelentésköteles incidensekhez vagy belső vizsgálatokhoz kapcsolódó digitális bizonyítékok megszerzését, kezelését és tárolását. Célja egy jogilag megalapozott, auditkész keretrendszer biztosítása, amely megfelel az ISO/IEC 27001, a GDPR és egyéb megfelelési követelmények elvárásainak, miközben hozzáférhető marad olyan szervezetek számára is, amelyek nem rendelkeznek dedikált IT- és információbiztonsági csapatokkal. A szabályzat kifejezetten kisebb vállalkozásokra szabott (amit az SME megjelölés és az olyan szerepkörökre való hivatkozás jelez, mint az „ügyvezető”, a SOC vagy a CISO helyett). Egyértelmű felelősségi köröket rögzít: az ügyvezető az elsődleges döntéshozó, aki felülvizsgálja, jóváhagyja és dokumentálja a formális vizsgálatokat és a bizonyítékkezelési eljárásokat. Az IT-szolgáltatók vagy külső tanácsadók biztonságos, jól meghatározott folyamatok szerint gyűjtik és megőrzik a bizonyítékokat, miközben az ellenőrzési lánc dokumentációja biztosítja, hogy a hitelesség és a sértetlenség soha ne sérüljön. A hatókör széles: valamennyi munkatársra, rendszerekre (beleértve a laptopokat, mobileszközöket, SaaS-t és felhőmeghajtókat), valamint minden olyan eseményre kiterjed, amely fegyelmi, jogi, szabályozási, ügyfél- vagy biztosítási intézkedésekhez bizonyítékot igényel. Az eljárások előírják, hogy a bizonyítékgyűjtést engedélyezni kell, dokumentálni kell, és szigorú hozzáférés-ellenőrzés alá kell vonni (csak az ügyvezető és az IT-szolgáltató férhet hozzá). A forenzikus felkészültség támogatására a szabályzat kriptográfiai hash használatát javasolja validálás céljából, és megköveteli minden hozzáférés vagy művelet naplózását az elszámoltathatóság biztosításához. Kockázatkezelési útmutatást ad a kitettség vagy a jogi kockázat minimalizálására, megkövetelve az adattakarékosságot, a kitakarást és szükség esetén a formális jogi felülvizsgálatot. Olyan helyzetekben, amikor a forenzikailag megalapozott bizonyítékgyűjtés nem lehetséges (pl. rendszerösszeomlás), kivételek és alternatív kezelési módszerek kerülnek meghatározásra, amelyeket az ügyvezetőnek jóvá kell hagynia. A szabályzatsértések, a bizonyítékok módosítása, a jogosulatlan hozzáférés vagy megosztás következményei fegyelmi intézkedésektől a jogi és szabályozási eszkalációig terjedhetnek. A szabályzat éves felülvizsgálata az ügyvezető által biztosítja a folyamatos relevanciát és megfelelést a hivatkozott keretrendszereknek és kontrolloknak. A korábbi felülvizsgálat kiváltó okai közé tartoznak a jelentős incidensek vagy a jogi/szabályozási elvárások változásai. A szabályzat moduláris felépítése emellett biztosítja a kapcsolódást az irányítás, a hozzáférés-ellenőrzés, a naplózás, az incidenskezelés és az adatvédelem területéhez kapcsolódó szabályzatokhoz, így egy ellenálló és megfelelőségi rendszert épít, amely KKV-környezetben is bevezethető működési zavar vagy speciális létszámigény nélkül.