Įrodymų rinkimo ir kriminalistinių tyrimų politika

Įrodymų rinkimo ir kriminalistinių tyrimų politika (P31) nustato struktūrizuotą, teisiškai pagrįstą sistemą skaitmeninių įrodymų identifikavimui, rinkimui, išsaugojimui, analizei ir šalinimui faktinių ar įtariamų saugumo incidentų atvejais. Pagrindinis tikslas – užtikrinti kriminalistinį pasirengimą, kartu išlaikant įrodymų vientisumą ir priimtinumą vidaus tyrimams, teisiniams procesams ar atitikties reglamentavimo reikalavimams užtikrinimui. Politikos taikymo sritis apima visą personalą, rangovus, tiekėjus ir trečiųjų šalių paslaugų teikėjus, dalyvaujančius sistemų administravime ar tyrimo veiklose, ir reglamentuoja galinius įrenginius, serverius, tinklus, debesijos platformas bei bet kurį incidentą, kuriam reikalingas įrodymų tvarkymas, įskaitant vidines grėsmes, netinkamą naudojimą, operacinių technologijų (OT) incidentus ir fizinių‑skaitmeninių turto pažeidimus. Pagrindiniai tikslai pabrėžia greitą ir saugų įrodymų gavimą, griežtą įrodymų vientisumo išsaugojimą ir griežtą dokumentaciją, įskaitant perdavimo grandinę, kad būtų įvykdyti tiek teisiniai, tiek reglamentavimo įpareigojimai. Kriminalistinės veiklos glaudžiai susietos su po incidento peržiūra ir kontrolės priemonių tobulinimu, sklandžiai integruojant į bendrą informacijos saugumo valdymo sistemą (ISVS). Apibrėžiamos Vyriausiojo informacijos saugumo pareigūno (CISO), kriminalistinių analitikų, IT administratorių, teisės ir atitikties pareigūnų, žmogiškųjų išteklių ir audito funkcijų atsakomybės, siekiant užtikrinti teisinį pagrįstumą ir skaidrumą kiekviename incidento etape. Politika nustato kelis valdysenos reikalavimus, įskaitant formalios kriminalistinio pasirengimo programos palaikymą. Ši programa apibrėžia paleidimo kriterijus įrodymų rinkimui, eskalavimo kelius, kriminalistiniam naudojimui patvirtintus įrankių rinkinius ir pabrėžia dokumentavimo bei ataskaitų teikimo standartus, kurie nukreipia visas veiklas. Visa įrodymų tvarkymo veikla turi atitikti tarptautiniu mastu priimtus kriminalistinius standartus, tokius kaip ISO/IEC 27035 incidentų tvarkymui, NIST SP 800-86 kriminalistiniam planavimui ir NIST SP 800-101 Rev.1 laikmenų kriminalistikai. Politika reikalauja kriminalistinių įrankių rinkinio registro ir nustato, kad įrodymai būtų saugiai surenkami, paženklinami, saugomi su vientisumo patikromis, o visi judėjimai būtų registruojami pasirašytame perdavimo grandinės žurnale. Politikos įgyvendinimo reikalavimai nustato detalias procedūras įrodymų gavimui (naudojant rašymo blokatorius ir validuotus įrankius), sistemų izoliavimui, žurnalų ir metaduomenų rinkimui (užtikrinant laiko sinchronizavimą laiko juostos nuoseklumui) ir saugioms, izoliuotoms aplinkoms kriminalistinei analizei. Duomenų apsaugos priemonės reikalauja griežto suderinamumo su GDPR, kai įrodymai apima asmens duomenis, įskaitant prieigos kontrolę, šifravimą ir aiškią rinkimo pagrindimo dokumentaciją. Įrodymų saugojimą reglamentuoja teisiniai ar sutartiniai reikalavimai, o saugus šalinimas turi atitikti Duomenų saugojimo politiką (P14). Taip pat aprašomi rizikos tvarkymo ir išimčių procesai, su konkrečiais reikalavimais išimčių dokumentavimui, pateikimui ir patvirtinimui, ypač kai įrodymų negalima tvarkyti pagal standartines procedūras. Atitikties stebėsena, periodiniai auditai, politikos integracija su reagavimu į incidentus (P30), taip pat vykdymo užtikrinimas taikant drausmines ar teisines priemones, sudaro politikos veiksmingumo pagrindą. Peržiūros procesas formalizuojamas kasmet ir po kritinių incidentų. Politika suderinta su tarptautinėmis sistemomis, įskaitant ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 ir 800-101, COBIT 2019, ES GDPR, NIS2 ir DORA.