Pierādījumu vākšanas un kriminālistikas politika

Pierādījumu vākšanas un kriminālistikas politika (P31) nosaka strukturētu, juridiski aizstāvamu ietvaru digitālo pierādījumu identificēšanai, vākšanai, saglabāšanai, analīzei un likvidēšanai faktisku vai iespējamu drošības incidentu gadījumos. Tās centrālais mērķis ir nodrošināt kriminālistisko gatavību, vienlaikus saglabājot pierādījumu integritāti un pieļaujamību iekšējām izmeklēšanām, tiesvedībai vai regulatīvajai atbilstībai. Politikas visaptverošā darbības joma attiecas uz visu personālu, līgumslēdzējiem, piegādātājiem un trešo pušu pakalpojumu sniedzējiem, kas iesaistīti sistēmu administrēšanā vai izmeklēšanas darbībās, un tā regulē galapunktus, serverus, tīklus, mākoņplatformas un jebkuru incidentu, kas prasa pierādījumu apstrādi, tostarp iekšējos draudus, ļaunprātīgu izmantošanu, operacionālo tehnoloģiju (OT) incidentus un fizisko-digitālo aktīvu pārkāpumus. Galvenie mērķi uzsver ātru un drošu pierādījumu iegūšanu, stingru pierādījumu integritātes saglabāšanu un striktu dokumentēšanu, tostarp pierādījumu aprites ķēdi, lai izpildītu gan juridiskos, gan regulatīvos pienākumus. Kriminālistikas darbības ir cieši saistītas ar pēcincidenta analīzi un kontroļu uzlabojumiem, integrējoties kopējā informācijas drošības pārvaldības sistēmā. Pienākumi CISO, kriminālistikas analītiķiem, IT administratoriem, juridiskajiem un atbilstības speciālistiem, HR un audita funkcijām ir skaidri noteikti, lai nodrošinātu juridisko aizstāvamību un pārredzamību katrā incidenta posmā. Politika nosaka vairākas pārvaldības prasības, tostarp formālas kriminālistiskās gatavības programmas uzturēšanu. Šī programma definē trigeru kritērijus pierādījumu vākšanai, eskalācijas ceļus, kriminālistikas lietošanai apstiprinātos rīku komplektus un uzsver dokumentēšanas un ziņošanas standartus visu darbību vadībai. Visām pierādījumu apstrādes darbībām jāatbilst starptautiski pieņemtiem kriminālistikas standartiem, piemēram, ISO/IEC 27035 incidentu apstrādei, NIST SP 800-86 kriminālistikas plānošanai un NIST SP 800-101 Rev.1 datu nesēju kriminālistikai. Politika prasa kriminālistikas rīku komplekta reģistru un nosaka, ka pierādījumi tiek droši iegūti, marķēti, glabāti ar integritātes pārbaudēm un ka visas pārvietošanas tiek reģistrētas parakstītā pierādījumu aprites ķēdes žurnālā. Politikas ieviešanas prasības nosaka detalizētas procedūras pierādījumu iegūšanai (izmantojot rakstīšanas bloķētājus un validētus rīkus), sistēmu izolēšanai, žurnālu un metadatu vākšanai (nodrošinot laika sinhronizāciju laika līnijas konsekvencei) un drošām, izolētām vidēm kriminālistikas analīzei. Datu aizsardzības pasākumi prasa stingru GDPR saskaņotību, ja pierādījumi ietver personas datus, tostarp piekļuves kontroli, šifrēšanu un skaidru vākšanas pamatojuma dokumentēšanu. Pierādījumu glabāšanu regulē juridiskās vai līgumiskās prasības, un drošai likvidēšanai jāatbilst Datu uzglabāšanas politikai (P14). Ir aprakstīti arī riska apstrādes un izņēmumu procesi, ar konkrētām prasībām izņēmumu dokumentēšanai, iesniegšanai un apstiprināšanai, īpaši gadījumos, kad pierādījumus nevar apstrādāt saskaņā ar standarta procedūrām. Atbilstības uzraudzība, periodiski auditi, politikas integrācija ar Incidentu reaģēšanas politiku (P30), kā arī izpilde ar disciplināriem vai juridiskiem pasākumiem nodrošina politikas efektivitāti. Pārskatīšanas process ir formalizēts ik gadu un pēc kritiskiem incidentiem. Politika ir saskaņota ar starptautiskajiem ietvariem, tostarp ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 un 800-101, COBIT 2019, ES GDPR, NIS2 un DORA.