Politica de colectare a dovezilor și criminalistică digitală

Politica de colectare a dovezilor și criminalistică digitală (P31) stabilește un cadru structurat, defensabil din punct de vedere juridic, pentru gestionarea identificării, colectării, păstrării, analizei și eliminării dovezilor digitale în cazuri de incidente de securitate reale sau suspectate. Scopul central este asigurarea pregătirii criminalistice, menținând în același timp integritatea și admisibilitatea dovezilor pentru investigații interne, proceduri legale sau conformitate cu reglementările. Domeniul de aplicare cuprinzător al politicii se aplică întregului personal, contractanților, furnizorilor și furnizorilor terți de servicii implicați în administrarea sistemelor sau în activități de investigație și guvernează puncte terminale, servere, rețele, platforme cloud și orice incident care necesită gestionarea dovezilor, inclusiv amenințări interne, utilizare abuzivă, incidente de tehnologie operațională și încălcări ale activelor fizice-digitale. Obiectivele-cheie subliniază achiziția rapidă și securizată a dovezilor, păstrarea riguroasă a integrității probatorii și documentarea strictă, inclusiv lanțul de custodie, pentru a îndeplini atât obligații legale, cât și obligații de reglementare. Activitățile criminalistice sunt strâns legate de revizuirea post-incident și de îmbunătățirile controalelor, integrându-se fără întreruperi în Sistemul de management al securității informației (SMSI). Responsabilitățile pentru Ofițerul-șef pentru securitatea informațiilor (CISO), analiști criminaliști, administratori IT, ofițeri juridici și de conformitate, resurse umane și funcțiile de audit sunt delimitate pentru a proteja defensabilitatea juridică și transparența în fiecare etapă a unui incident. Politica impune mai multe cerințe de guvernanță, inclusiv menținerea unui program formal de pregătire criminalistică. Acest program definește criterii de declanșare pentru colectarea dovezilor, căi de escaladare, seturi de instrumente aprobate pentru utilizare criminalistică și pune accent pe standardele de documentare și raportare pentru a ghida toate activitățile. Toate activitățile de gestionare a dovezilor trebuie să respecte standarde criminalistice acceptate la nivel internațional, precum ISO/IEC 27035 pentru gestionarea incidentelor, NIST SP 800-86 pentru planificarea criminalistică și NIST SP 800-101 Rev. 1 pentru criminalistica mediilor de stocare. Politica solicită un registru al trusei de instrumente criminalistice și impune ca dovezile să fie achiziționate securizat, etichetate, stocate cu verificări de integritate și ca toate mișcările să fie înregistrate într-un jurnal al lanțului de custodie semnat. Cerințele de implementare ale politicii prescriu proceduri detaliate pentru achiziția dovezilor (folosind write-blockers și instrumente validate), izolarea sistemelor, colectarea jurnalelor și a metadatelor (asigurând sincronizarea timpului pentru consistența cronologiei) și medii securizate, izolate, pentru analiza criminalistică. Măsurile de protecție a datelor necesită aliniere strictă la GDPR atunci când dovezile implică date cu caracter personal, inclusiv controlul accesului, criptare și documentarea clară a rațiunii colectării. Păstrarea dovezilor este guvernată de cerințe legale sau contractuale, iar eliminarea securizată trebuie să respecte Politica de păstrare a datelor (P14). Sunt descrise și procesele de tratament al riscurilor și de excepții, cu cerințe specifice pentru documentarea, depunerea și aprobarea excepțiilor, în special acolo unde dovezile nu pot fi gestionate conform procedurilor standard. Monitorizarea conformității, audituri periodice, integrarea politicii cu răspunsul la incidente (P30), precum și aplicarea prin măsuri disciplinare sau acțiuni legale susțin eficacitatea politicii. Procesul de revizuire este formalizat anual și în urma incidentelor critice. Politica este aliniată cu cadre internaționale, inclusiv ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 și 800-101, COBIT 2019, GDPR, NIS2 și DORA.