Politika zbiranja dokazov in forenzike - SME

Politika P31S zbiranja dokazov in forenzike podrobno opisuje, kako lahko SME upravlja pridobivanje, ravnanje in hrambo digitalnih dokazov, povezanih z varnostnimi incidenti, kršitvami ali internimi preiskavami. Njen namen je zagotoviti pravno utemeljen okvir, pripravljen na revizijo, ki izpolnjuje zahteve ISO/IEC 27001, GDPR in druge obveznosti skladnosti, hkrati pa ostaja dostopen organizacijam brez namenskih ekip za informacijsko varnost. Politika je posebej prilagojena manjšim podjetjem (kar je razvidno iz oznake SME in sklicev na »generalnega direktorja« namesto vlog, kot sta center za varnostne operacije (SOC) ali vodja informacijske varnosti (CISO)). Določa jasne odgovornosti: generalni direktor deluje kot primarni odločevalec, pregleduje, odobri in dokumentira formalne preiskave ter postopke za dokaze. Ponudniki IT ali zunanji svetovalci zbirajo in ohranjajo dokaze z uporabo varnih, dobro opredeljenih procesov, medtem ko dokumentacija verige skrbništva zagotavlja, da avtentičnost in celovitost nikoli nista ogroženi. Obseg je širok: velja za vse osebje, sisteme (vključno s prenosniki, mobilnimi napravami, SaaS in pogoni v oblaku) ter vsak dogodek, ki zahteva dokaze za disciplinske, pravne, regulativne, strankine ali zavarovalniške ukrepe. Postopki določajo, da mora biti zbiranje dokazov odobreno, dokumentirano in podvrženo strogemu nadzoru dostopa (dostopno le generalnemu direktorju in ponudniku IT). Za podporo forenzični pripravljenosti politika priporoča uporabo kriptografskega zgoščevanja za validacijo in zahteva revizijsko beleženje vsakega dostopa ali dejanja za vzpostavitev odgovornosti. Podane so smernice za obravnavo tveganja, da se zmanjša izpostavljenost ali pravno tveganje, vključno z minimizacijo podatkov, redakcijo in formalnim pravnim pregledom, kadar je to potrebno. V scenarijih, kjer forenzično ustrezno zbiranje dokazov ni mogoče (npr. zrušitev sistema), so opredeljene izjeme in alternativne metode ravnanja, ki jih mora odobriti generalni direktor. Posledice kršitev politike, spreminjanja dokazov, nepooblaščenega dostopa ali deljenja segajo od disciplinskih ukrepov do pravne/regulatorne eskalacije. Letni pregledi politike, ki jih izvaja generalni direktor, zagotavljajo stalno relevantnost in skladnost z referenčnimi okviri in kontrolami. Sprožilci za zgodnejši pregled vključujejo pomembne incidente ali spremembe v pravnih/regulativnih pričakovanjih. Modularna struktura politike omogoča tudi gladko povezovanje s povezanimi politikami na področjih upravljanja, nadzora dostopa, revizijskega beleženja, odziva na incidente in zasebnosti, s čimer se vzpostavi odporen in skladen režim, primeren za uvedbo v SME brez operativnih motenj ali specialističnega kadra.