Pierādījumu vākšanas un kriminālistikas politika – MVU

P31S Pierādījumu vākšanas un kriminālistikas politika detalizē, kā MVU var pārvaldīt digitālo pierādījumu iegūšanu, apstrādi un glabāšanu saistībā ar drošības incidentiem, pārkāpumiem vai iekšējām izmeklēšanām. Tās mērķis ir nodrošināt juridiski pamatotu, auditam gatavu ietvaru, kas atbilst ISO/IEC 27001, GDPR un citām atbilstības prasībām, vienlaikus saglabājot pieejamību organizācijām bez specializētām IT drošības komandām. Politika ir īpaši pielāgota mazākiem uzņēmumiem (ko norāda MVU apzīmējums un atsauces uz “ģenerāldirektoru” tādu lomu vietā kā SOC vai CISO). Tā nosaka skaidrus pienākumus: ģenerāldirektors darbojas kā galvenais lēmumu pieņēmējs, pārskatot, apstiprinot un dokumentējot formālas izmeklēšanas un pierādījumu procedūras. IT pakalpojumu sniedzēji vai ārējie konsultanti vāc un saglabā pierādījumus, izmantojot drošus, skaidri definētus procesus, savukārt pierādījumu glabāšanas ķēdes dokumentācija nodrošina, ka autentiskums un integritāte nekad netiek apdraudēti. Darbības joma ir plaša: tā attiecas uz visu personālu, sistēmām (tostarp klēpjdatoriem, mobilajām ierīcēm, SaaS un mākoņdisku risinājumiem) un jebkuru notikumu, kurā nepieciešami pierādījumi disciplinārām, juridiskām, regulatīvām, klientu vai apdrošināšanas darbībām. Procedūras nosaka, ka pierādījumu vākšanai jābūt autorizētai, dokumentētai un pakļautai stingrai piekļuves kontrolei (pieejama tikai ģenerāldirektoram un IT pakalpojumu sniedzējam). Atbalstot kriminālistikas gatavību, politika iesaka izmantot hešvērtības pārbaudi validācijai un uzstāj uz katras piekļuves vai darbības reģistrēšanu žurnālos, lai nodrošinātu pārskatatbildību. Tiek sniegtas riska apstrādes vadlīnijas, lai mazinātu pakļautību vai juridisko risku, pieprasot datu minimizēšanu, rediģēšanu un formālu juridisko pārskatīšanu, ja tas nepieciešams. Situācijās, kad kriminālistiski korekta pierādījumu vākšana nav iespējama (piem., sistēmas avārija), ir definēti izņēmumi un alternatīvas apstrādes metodes, un tās jāapstiprina ģenerāldirektoram. Sekas par politikas pārkāpumiem, pierādījumu mainīšanu, nesankcionētu piekļuvi vai kopīgošanu var būt no disciplināriem pasākumiem līdz juridiskajai/regulatīvajai eskalācijai. Ģenerāldirektora ikgadējie politikas pārskati nodrošina nepārtrauktu atbilstību un aktualitāti attiecībā uz atsauces ietvariem un kontroles pasākumiem. Agrākas pārskatīšanas trigeri ietver būtiskus incidentus vai izmaiņas juridiskajās/regulatīvajās gaidās. Politikas modulārā struktūra arī nodrošina vienmērīgu sasaisti ar saistītajām politikām pārvaldībā, piekļuves kontrolē, žurnālfiksēšanā un uzraudzībā, reaģēšanā uz incidentiem un datu privātumā, veidojot noturīgu un atbilstošu režīmu, kas piemērots MVU ieviešanai bez operatīviem traucējumiem vai specializēta personāla.