Politika zbiranja dokazov in forenzike

Politika zbiranja dokazov in forenzike (P31) vzpostavlja strukturiran, pravno vzdržen okvir za upravljanje identifikacije, zbiranja, ohranjanja, analize in odstranitve digitalnih dokazov v primerih dejanskih ali domnevnih varnostnih incidentov. Njen osrednji cilj je zagotoviti forenzično pripravljenost ob hkratnem ohranjanju celovitosti in dopustnosti dokazov za interne preiskave, pravdne postopke ali skladnost s predpisi. Celovit obseg politike velja za vse osebje, pogodbene izvajalce, dobavitelje in ponudnike storitev tretjih oseb, ki sodelujejo pri administraciji sistemov ali preiskovalnih dejavnostih, ter ureja končne točke, strežnike, omrežja, oblačne platforme in vsak incident, ki zahteva ravnanje z dokazi, vključno z notranjimi grožnjami, zlorabo, incidenti operativne tehnologije in kršitvami fizično-digitalnih sredstev. Ključni cilji poudarjajo hitro in varno pridobivanje dokazov, strogo ohranjanje celovitosti dokazov ter strogo dokumentiranje, vključno z verigo skrbništva, za izpolnjevanje tako zakonskih kot regulativnih obveznosti. Forenzične dejavnosti so tesno povezane s pregledom po incidentu in izboljšavami kontrol ter se brezhibno vključujejo v krovni sistem upravljanja informacijske varnosti (ISMS). Odgovornosti za vodjo informacijske varnosti (CISO), forenzične analitike, IT-administratorje, pooblaščenca za pravne in skladnostne zadeve, kadrovsko službo in funkcije presoje so opredeljene za zaščito pravne vzdržnosti in transparentnosti v vsaki fazi incidenta. Politika zahteva več zahtev upravljanja, vključno z vzdrževanjem formalnega programa forenzične pripravljenosti. Ta program opredeljuje sprožilna merila za zbiranje dokazov, eskalacijske kanale, nabor orodij, odobrenih za forenzično uporabo, ter poudarja standarde dokumentiranja in poročanja za usmerjanje vseh dejavnosti. Vse dejavnosti ravnanja z dokazi morajo upoštevati mednarodno sprejete forenzične standarde, kot so ISO/IEC 27035 za obravnavanje incidentov, NIST SP 800-86 za forenzično načrtovanje in NIST SP 800-101 Rev. 1 za forenziko medijev. Politika zahteva register forenzičnega nabora orodij in zahteva, da so dokazi varno pridobljeni, označeni, shranjeni s preverjanji celovitosti ter da so vsi premiki zabeleženi v podpisanem dnevniku verige skrbništva. Zahteve za implementacijo politike predpisujejo podrobne postopke za pridobivanje dokazov (z uporabo blokatorjev pisanja in validiranih orodij), izolacijo sistema, zbiranje dnevnikov in metapodatkov (z zagotavljanjem časovno usklajenih dnevnikov za doslednost časovnice) ter varna, izolirana okolja za forenzično analizo. Ukrepi varstva podatkov zahtevajo strogo uskladitev z GDPR, kadar dokazi vključujejo osebne podatke, vključno z nadzorom dostopa, šifriranjem in jasno dokumentacijo utemeljitve zbiranja. Hramba dokazov je urejena z zakonskimi ali pogodbenimi zahtevami, varna odstranitev pa mora biti skladna s Politiko hrambe podatkov (P14). Opisani so tudi procesi obravnave tveganja in izjem, s posebnimi zahtevami za dokumentiranje, oddajo in odobritev izjem, zlasti kadar dokazov ni mogoče obravnavati v skladu s standardnimi postopki. Stalno spremljanje skladnosti, periodične presoje, integracija politike s Politiko odzivanja na incidente (P30) ter uveljavljanje z disciplinskimi ali pravnimi ukrepi podpirajo učinkovitost politike. Postopek pregleda je formaliziran letno in ob kritičnih incidentih. Politika je usklajena z mednarodnimi okviri, vključno z ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 in 800-101, COBIT 2019, EU GDPR, NIS2 in DORA.