Politika zberu dôkazov a forenznej analýzy

Politika zberu dôkazov a forenznej analýzy (P31) stanovuje štruktúrovaný, právne obhájiteľný rámec na riadenie identifikácie, zberu, uchovania, analýzy a likvidácie digitálnych dôkazov v prípadoch skutočných alebo podozrivých bezpečnostných incidentov. Jej hlavným cieľom je zabezpečiť forenznú pripravenosť pri zachovaní integrity a prípustnosti dôkazov pre interné vyšetrovania, právne konania alebo regulačný súlad. Komplexný rozsah politiky sa vzťahuje na všetok personál, dodávateľov, dodávateľov tretích strán a poskytovateľov služieb zapojených do správy systémov alebo vyšetrovacích činností a upravuje koncové body, servery, siete, cloudové platformy a akýkoľvek incident vyžadujúci nakladanie s dôkazmi, vrátane vnútorných hrozieb, zneužitia, incidentov systémov prevádzkových technológií (OT) a porušení fyzicko-digitálnych aktív. Kľúčové ciele zdôrazňujú rýchle a bezpečné získanie dôkazov, dôsledné zachovanie integrity dôkazov a prísnu dokumentáciu vrátane reťazca držby, aby sa splnili právne aj regulačné povinnosti. Forenzné činnosti sú úzko prepojené s poincidentnou revíziou a zlepšeniami kontrol, pričom sa bezproblémovo integrujú do zastrešujúceho systému manažérstva informačnej bezpečnosti (ISMS). Zodpovednosti pre riaditeľa informačnej bezpečnosti (CISO), forenzných analytikov, IT administrátorov, právnych a compliance officerov, ľudské zdroje (HR) a auditné funkcie sú vymedzené tak, aby sa chránila právna obhájiteľnosť a transparentnosť v každej fáze incidentu. Politika nariaďuje viaceré požiadavky správy a riadenia vrátane udržiavania formálneho programu forenznej pripravenosti. Tento program definuje spúšťacie kritériá pre zber dôkazov, eskalačné postupy, súbory nástrojov schválené na forenzné použitie a zdôrazňuje štandardy dokumentácie a vykazovania na usmernenie všetkých činností. Všetky činnosti nakladania s dôkazmi musia dodržiavať medzinárodne akceptované forenzné normy, ako sú ISO/IEC 27035 pre riešenie incidentov, NIST SP 800-86 pre forenzné plánovanie a NIST SP 800-101 Rev. 1 pre forenznú analýzu médií. Politika vyžaduje register forenzných nástrojov a požaduje, aby boli dôkazy bezpečne získané, označené, uložené s kontrolami integrity a aby boli všetky presuny zaznamenané v podpísanom zázname reťazca držby. Požiadavky na implementáciu politiky predpisujú podrobné postupy pre získavanie dôkazov (s použitím write-blockerov a validovaných nástrojov), izoláciu systémov, zber logov a metadát (so zabezpečením časovo synchronizovaných záznamov pre konzistentnosť časovej osi) a bezpečné, izolované prostredia pre forenznú analýzu. Opatrenia ochrany údajov vyžadujú prísne zosúladenie s GDPR, keď dôkazy zahŕňajú osobné údaje, vrátane riadenia prístupu, šifrovania a jasnej dokumentácie odôvodnenia zberu. Uchovávanie dôkazov sa riadi zákonnými alebo zmluvnými požiadavkami a bezpečná likvidácia musí byť v súlade s Politikou uchovávania údajov (P14). Opísané sú aj procesy ošetrenia rizík a výnimiek, so špecifickými požiadavkami na dokumentovanie, predkladanie a schvaľovanie výnimiek, najmä tam, kde dôkazy nemožno spracovať podľa štandardných postupov. Nepretržité monitorovanie súladu, pravidelné audity, integrácia politiky s Politikou reakcie na incidenty (P30), ako aj vynucovanie prostredníctvom disciplinárnych alebo právnych opatrení, podporujú účinnosť politiky. Proces preskúmania je formalizovaný ročne a po kritických incidentoch. Politika je zosúladená s medzinárodnými rámcami vrátane ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 a 800-101, COBIT 2019, EU GDPR, NIS2 a DORA.