Polityka gromadzenia dowodów i informatyki śledczej

Polityka gromadzenia dowodów i informatyki śledczej (P31) ustanawia ustrukturyzowane, możliwe do obrony prawnej ramy zarządzania identyfikacją, gromadzeniem, zabezpieczaniem, analizą oraz utylizacją dowodów cyfrowych w przypadkach rzeczywistych lub podejrzewanych incydentów bezpieczeństwa. Jej głównym celem jest zapewnienie gotowości do informatyki śledczej przy jednoczesnym utrzymaniu integralności i dopuszczalności dowodów na potrzeby dochodzeń wewnętrznych, postępowań prawnych lub zgodności regulacyjnej. Kompleksowy zakres polityki obejmuje cały personel, wykonawców, zewnętrznych dostawców oraz dostawców usług stron trzecich zaangażowanych w administrację systemami lub działania dochodzeniowe i dotyczy punktów końcowych, serwerów, sieci, platform chmurowych oraz każdego incydentu wymagającego postępowania z dowodami, w tym zagrożeń wewnętrznych, nadużyć, incydentów w systemach technologii operacyjnej (OT) oraz naruszeń dotyczących aktywów fizyczno-cyfrowych. Kluczowe cele podkreślają szybkie i bezpieczne pozyskiwanie dowodów, rygorystyczne utrzymanie integralności dowodowej oraz ścisłą dokumentację, w tym łańcuch dowodowy, aby spełnić zarówno obowiązki prawne, jak i obowiązki regulacyjne. Działania informatyki śledczej są ściśle powiązane z analizą po incydencie oraz usprawnieniami środków kontrolnych, integrując się bezpośrednio z nadrzędnym Systemem Zarządzania Bezpieczeństwem Informacji (SZBI). Odpowiedzialności Dyrektora ds. bezpieczeństwa informacji (CISO), analityków informatyki śledczej, administratorów IT, oficerów ds. prawnych i zgodności, zasobów ludzkich (HR) oraz funkcji audytu są określone w celu zapewnienia możliwości obrony prawnej i przejrzystości na każdym etapie incydentu. Polityka wymaga spełnienia szeregu wymagań w zakresie zarządzania, w tym utrzymywania formalnego Programu gotowości do informatyki śledczej. Program ten definiuje kryteria wyzwalaczy gromadzenia dowodów, ścieżki eskalacji, zestawy narzędzi zatwierdzone do zastosowań informatyki śledczej oraz podkreśla standardy dokumentowania i raportowania, które mają kierować wszystkimi działaniami. Wszystkie czynności związane z postępowaniem z dowodami muszą być zgodne z międzynarodowo akceptowanymi standardami informatyki śledczej, takimi jak ISO/IEC 27035 dla obsługi incydentów, NIST SP 800-86 dla planowania informatyki śledczej oraz NIST SP 800-101 Rev.1 dla informatyki śledczej nośników. Polityka wymaga rejestru zestawów narzędzi informatyki śledczej i nakazuje, aby dowody były bezpiecznie pozyskiwane, oznakowane, przechowywane z kontrolami integralności oraz aby wszystkie przemieszczenia były rejestrowane w podpisanym rejestrze łańcucha dowodowego. Wymagania wdrożeniowe polityki określają szczegółowe procedury pozyskiwania dowodów (z użyciem blokad zapisu i zwalidowanych narzędzi), izolacji systemów, gromadzenia rejestrów zdarzeń i metadanych (zapewniając synchronizację czasu dla spójności osi czasu) oraz bezpiecznych, odizolowanych środowisk do analizy informatyki śledczej. Środki ochrony danych wymagają ścisłego dostosowania do GDPR, gdy dowody obejmują dane osobowe, w tym kontroli dostępu, szyfrowania oraz jasnej dokumentacji uzasadnienia gromadzenia. Retencja dowodów jest regulowana wymogami prawnymi lub umownymi, a bezpieczna utylizacja musi być zgodna z Polityką retencji danych (P14). Opisano również postępowanie z ryzykiem i procesy odstępstw, wraz ze szczegółowymi wymaganiami dotyczącymi dokumentowania, składania i zatwierdzania odstępstw, zwłaszcza gdy dowody nie mogą być obsługiwane zgodnie ze standardowymi procedurami. Ciągłe monitorowanie zgodności, okresowe audyty, integracja polityki z Reagowaniem na incydenty (P30), a także egzekwowanie poprzez środki dyscyplinarne lub działania prawne stanowią podstawę skuteczności polityki. Proces przeglądu jest sformalizowany corocznie oraz po incydentach krytycznych. Polityka jest zgodna z międzynarodowymi ramami, w tym ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 i 800-101, COBIT 2019, unijnym GDPR, NIS2 oraz DORA.