Правно разпореждане за запазване на доказателства при киберинцидент за GDPR, NIS2 и DORA

В 4:17 сутринта Мария, CISO на доставчик на SaaS услуги за финтех сектора, получи обаждането, за което всеки ръководител по сигурността се подготвя, но се надява никога да не получи. Критичните продукционни сървъри не отговаряха. Файловете бяха криптирани. Бележка за откуп беше отворена на екрана на младши администратор.

Към 4:28 екипът за реагиране при инциденти искаше да изолира засегнатите системи и да разгърне отново чиста инфраструктура. Към 4:41 инженерният екип попита дали може да ротира удостоверителните данни, да изчисти временните файлове и да изгради контейнерите наново. Към 5:03 длъжностното лице по защита на данните (DPO) предупреди, че компрометираната среда съдържа клиентски идентификатори и метаданни за транзакции. Към 5:16 правният консултант се включи в кризисната връзка с една инструкция: „Не унищожавайте потенциални доказателства. Може да е необходимо правно разпореждане за запазването им.“ Към 5:30 оперативният директор попита дали са задействани задълженията за докладване по DORA. Към 6:00 Мария си припомни часовника на NIS2: ранно предупреждение може да се дължи в рамките на 24 часа, по-пълно уведомление — в рамките на 72 часа, а окончателен доклад — в рамките на един месец.

След това дойде въпросът, който определя дали киберинцидентът ще бъде защитим или хаотичен:

„Все още ли разполагаме с журналите?“

Това е аспектът на управлението след инцидент, който много планове за реагиране подценяват. Не е достатъчно инцидентът да бъде открит, ограничен и средата да бъде възстановена. През 2026 г. организациите трябва също да докажат какво се е случило, да запазят релевантните доказателства, да избегнат увреждане на форензични артефакти, да спазят минимизирането на данните по GDPR, да подпомогнат надзора по NIS2 и да поддържат записи за ИКТ риск по DORA, които издържат на одит, съдебно производство и регулаторен преглед.

Правното разпореждане за запазване на доказателства при киберинцидент и съхранението на доказателства са в пресечната точка на операциите по сигурността, защитата на личните данни, правната функция, съответствието, облачното инженерство, управлението на доставчици и одита. Ако процесът се импровизира по време на нарушение, организацията може да загуби доказателствата, необходими за анализ на първопричините, докладване към регулатор, застрахователни претенции, правна защита, дисциплинарни мерки спрямо служители и потвърждение към клиенти. Ако бъде приложен прекомерно, организацията може да съхрани прекалено много лични данни и да създаде втори проблем със съответствието.

Подходът на Clarysec е правното разпореждане за запазване да бъде контролиран процес в системата за управление на сигурността на информацията (ISMS), а не паническа реакция. Моделът свързва управлението по ISO/IEC 27001:2022, контролите за доказателства и регистриране по ISO/IEC 27002:2022, отчетността по GDPR, докладването на инциденти по NIS2 и доказателствата за ИКТ риск по DORA в една оперативна система. Тази система указва на екипите какво да запазят, кой може да разреши запазването, колко дълго доказателствата остават задържани, кой може да има достъп до тях и кога изтриването може да бъде възобновено.

Първите 24 часа решават дали доказателствата ще оцелеят

При много реални инциденти доказателствата не се унищожават от атакуващите. Унищожават се от нормалните операции.

Изтича срокът за съхранение на облачни журнали. Контейнер се разгръща повторно. Крайна точка се преинсталира, преди да бъде придобито съдържанието на паметта. SaaS администратор експортира CSV файл за разследване и след това го редактира. Добронамерен инженер изтрива злонамерени скриптове, преди да направи форензично копие. Задача за прилагане на срокове за съхранение в хранилище за данни премахва записите, необходими за определяне кои клиенти са били засегнати.

Организацията може все пак да се възстанови оперативно, но да загуби доказателствата. Това разграничение е съществено.

Съгласно GDPR администраторът трябва да може да докаже съответствие с принципите за защита на данните, включително цялостност и поверителност, ограничаване на целите, минимизиране на данните и ограничение на съхранението. Ако има вероятност нарушение на сигурността на личните данни да доведе до риск за физическите лица, Article 33 може да изисква уведомяване на надзорния орган без неоправдано забавяне и, когато е възможно, в рамките на 72 часа от узнаването. Ако има вероятност нарушението да доведе до висок риск за физическите лица, Article 34 може да изисква съобщаване на засегнатите субекти на данни.

Съгласно NIS2 съществените и важните субекти трябва да управляват значимите инциденти чрез поетапно докладване и надзор. Съгласно DORA финансовите субекти трябва да регистрират инциденти, свързани с ИКТ, да класифицират съществени инциденти, да ги докладват, да извършват анализ на първопричините и да запазват доказателства за ИКТ активи, бизнес функции и зависимости от трети страни.

ISO/IEC 27001:2022 предоставя структурата на системата за управление за това. Клауза 4.2 изисква организацията да определи нуждите и очакванията на заинтересованите страни, включително правни, регулаторни и договорни изисквания, релевантни за сигурността на информацията. Клауза 4.3 изисква обхватът на ISMS да отчита интерфейси и зависимости, което е критично, когато доказателствата се намират при доставчик на облачни услуги, доставчик на управлявани услуги за сигурност, платежна платформа или външно възложен център за обслужване. Клауза 6.1 свързва тези задължения с рисковете за сигурността на информацията и тяхното третиране. Клауза 7.5 изисква контролирана документирана информация. Клауза 8 изисква оперативно планиране и контрол.

Zenith Blueprint: 30-стъпкова пътна карта за одитори на Clarysec обяснява защо това трябва да бъде проектирано преди инцидента, а не по време на него. Във фазата „Контроли в действие“, стъпка 23, указанията за ISO/IEC 27002:2022 контрол 5.28 посочват:

„Когато възникне инцидент по сигурността на информацията, един от най-критичните, но често пренебрегвани елементи на реагирането са доказателствата. Не журнали, не екранни снимки, не свободни разкази, а надлежно запазени, съобразени с веригата на съхранение и устойчиви на подправяне доказателства.“

Същата стъпка 23 добавя, че „това, което можете да докажете, е също толкова важно, колкото и това, което действително се е случило.“ Това изречение е разликата между реагиране при инциденти и защитимо реагиране при инциденти. Регулатор, клиентски одитор, съд, застраховател или надзорен орган няма да приеме устна реконструкция, ако организацията не може да покаже запазени журнали, надеждни времеви маркери, контролирани записи и документирана верига на съхранение.

Правното разпореждане за запазване не означава „пазете всичко завинаги“

Правното разпореждане за запазване на доказателства при киберинцидент е формално спиране на обичайното изтриване или унищожаване на определени записи, журнали, резервни копия, образи, комуникации и други доказателства, които може да са релевантни за разследване, съдебно производство, регулаторно запитване, одит или договорен спор.

Най-честият пропуск е правното разпореждане за запазване да се третира като обща инструкция: „Не изтривайте нищо.“ Това създава риск за поверителността, разходите и операциите. GDPR не престава да се прилага по време на киберинцидент. Личните данни все още трябва да се обработват законосъобразно, добросъвестно и прозрачно, за конкретни цели, ограничени до необходимото и съхранявани само толкова дълго, колкото е необходимо. Article 5(2) добавя отчетност, което означава, че организацията трябва да може да докаже тези решения.

Тук библиотеката с политики на Clarysec става практически приложима. SME Политика за съхранение на данни и сигурно унищожаване — SME посочва:

„Правното задържане и спирането на изтриването имат предимство пред стандартните изисквания за срок за съхранение и предотвратяват изтриването на данни.“

За по-големи организации Enterprise Политика за съхранение на данни и унищожаване, клауза 6.4.1, гласи:

„Ако бъде издадено правно задържане и спиране на изтриването (напр. във връзка с предстоящо съдебно производство, разследване или одит), данни, които иначе подлежат на унищожаване, трябва да бъдат запазени след нормалния им срок за съхранение.“

Същата Enterprise политика изисква задържането да бъде:

„Документирано и одобрено от правен консултант и длъжностното лице по защита на данните (DPO)“

Този модел на одобрение не е бюрокрация. Той е механизмът за балансиране между запазването на доказателства и ограничаването от гледна точка на поверителността. Правният консултант потвърждава основанието, свързано със съдебно производство, разследване или регулаторно изискване. DPO потвърждава, че обхватът, целта, категориите лични данни, контролите за достъп и удължаването на срока за съхранение остават пропорционални.

За SME без пълноценен правен отдел или функция DPO същата логика за вземане на решения може да се изпълнява от vCISO, отговорник по поверителността, управител и външен правен консултант, стига разрешението да е документирано, ограничено във времето и подлежащо на преглед.

Напрежението в съответствието, което всеки CISO трябва да разреши

След сериозен инцидент различните заинтересовани страни искат различни доказателства. Правната функция иска запазване. Поверителността иска минимизиране. Регулаторите искат факти. Операциите искат възстановяване. Клиентите искат уверение. Одиторите искат обективни доказателства.

Опитът тези изисквания да се управляват чрез отделни работни потоци за поверителност, правни въпроси, SOC и одит води до противоречия. Единна ISO/IEC 27001:2022 ISMS ги превръща в част от един процес за риск, контрол и доказателства.

Контролният стек за защитимо съхранение на доказателства

Правното разпореждане за запазване на доказателства при киберинцидент не е един-единствен контрол по ISO/IEC 27002:2022. То е връзка между контроли.

Zenith Controls: ръководство за кръстосано съответствие на Clarysec съпоставя ISO/IEC 27002:2022 контрол 5.28, събиране на доказателства, като коригиращ контрол, подпомагащ поверителност, цялостност и наличност. Той се намира в концепциите за киберсигурност Detect и Respond и в оперативната способност за управление на събития по сигурността на информацията.

Същото ръководство Zenith Controls свързва 5.28 с реагиране при инциденти по сигурността на информацията, регистриране и мониторинг, защита на записи и докладване на събития. Логиката е практична: екипите за реагиране при инциденти се нуждаят от журнали и артефакти, преди ремедиацията да промени средата; регулаторното докладване се нуждае от надеждни факти; а разследващите се нуждаят от доказателства, които не са променяни.

ISO/IEC 27002:2022 контрол 5.33, защита на записи, е също толкова важен. Той подпомага правните изисквания и изискванията за съответствие, управлението на активите и защитата на информацията. Той свързва защитата на записите с класификация, резервни копия, сигурно унищожаване, правни и договорни изисквания, контрол на достъпа и реагиране при инциденти. На практика правното задържане не трябва само да събира доказателства. То трябва да защитава цялостността, поверителността и наличността на самия доказателствен запис.

За регистрирането ISO/IEC 27002:2022 контрол 8.15, регистриране, е основата. Той се свързва с 8.16, дейности по мониторинг, и 8.17, синхронизация на системния часовник. Ако журналите са непълни, могат да се редактират от администратори, не са синхронизирани по време или се съхраняват твърде кратко, процесът за доказателства може да се провали още преди началото на разследването.

Zenith Blueprint, във фазата „Контроли в действие“, стъпка 19, подсилва това с практичен език относно регистрирането:

„Журналите, които записват дейности, изключения, откази и други релевантни събития, следва да се генерират, съхраняват, защитават и анализират.“

Той също предупреждава, че защитата на журналите включва ограничаване на достъпа и използване на механизми като хеширане или съхранение с еднократен запис за предотвратяване на подправяне. Стъпка 19 свързва синхронизацията на системния часовник с форензичната съгласуваност, като обяснява, че синхронизираните часовници позволяват журналите от различни системи да бъдат подравнени за целите на разследването.

Отчетност по GDPR: запазете необходимото, обосновете съхраненото

GDPR създава най-видимото напрежение при съхранението на доказателства от инциденти. Екипите по сигурност често искат повече данни. Екипите по поверителност искат по-малко. Защитимото правно задържане съвместява и двете.

Журналите и артефактите може да съдържат IP адреси, потребителски идентификатори, имейл адреси, идентификатори на устройства, записи за автентикация, текст от заявки за поддръжка, екранни снимки, клиентски експорти или специални категории данни. Следователно запазването на доказателства е обработване. Уведомлението за правно задържане трябва да документира правното основание, целта, обхвата, ограниченията на достъпа, датата за преглед на съхранението и тригера за унищожаване.

SME Политика за защита на данните и поверителност — SME на Clarysec посочва:

„Трябва да се събират и съхраняват само минимално необходимите лични данни“

Enterprise Политика за събиране на доказателства и форензика изрично обвързва обработването на форензични доказателства с:

„GDPR Article 5, включително ограничаване на целите и минимизиране на данните“

Това е оперативният принцип. Не запазвайте цяла продукционна база данни, ако релевантното доказателство е тясна одитна следа, журнал за достъп, запис на заявка и списък на засегнатите потребители. Не предоставяйте на всеки участник в реагирането достъп до сурови доказателства, ако псевдонимизирани извадки или ролево базиран достъп са достатъчни. Не съхранявайте артефакти от инцидента безсрочно, след като правната, регулаторната и одитната необходимост е отпаднала.

Добър запис за правно задържане, съобразен с GDPR, отговаря на седем въпроса:

1. Какъв инцидент или разследване е задействало задържането?
2. Какви категории лични данни може да бъдат включени?
3. Защо всяка категория доказателства е необходима?
4. Кой е одобрил задържането и кога?
5. Кой може да има достъп до доказателствата?
6. Кога задържането ще бъде прегледано?
7. Какъв процес за изтриване или сигурно унищожаване се възобновява при освобождаване на задържането?

Така съхранението на доказателства избягва да се превърне в прекомерно съхранение от гледна точка на поверителността.

NIS2: правно задържане за поетапно докладване на инциденти

За организациите в обхват NIS2 променя очакването към доказателствата от „полезни вътрешно“ към „необходими за надзор“.

NIS2 се прилага за много съществени и важни субекти в ЕС, включително доставчици на цифрова инфраструктура, доставчици на услуги за облачни изчисления, доставчици на услуги на центрове за данни, мрежи за доставка на съдържание, доставчици на удостоверителни услуги, доставчици на електронни съобщителни услуги, доставчици на управлявани услуги, доставчици на управлявани услуги за сигурност и определени цифрови доставчици като онлайн пазари, онлайн търсачки и платформи за социални мрежи.

Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително анализ на риска, обработване на инциденти, непрекъсваемост на дейността, сигурност на веригата на доставки, сигурна разработка, оценка на ефективността, обучение, криптография, сигурност на човешките ресурси, контрол на достъпа, управление на активите и автентикация. Article 20 възлага на управителните органи отговорността да одобряват и надзирават тези мерки.

За правното задържане ключовият въпрос по NIS2 е Article 23. Значимите инциденти изискват поетапно докладване: ранно предупреждение в рамките на 24 часа от узнаването, уведомление за инцидент в рамките на 72 часа, междинни доклади при поискване и окончателен доклад не по-късно от един месец след 72-часовото уведомление. Окончателният доклад се нуждае от описание, степен на сериозност, въздействие, вероятен тип заплаха или първопричина, мерки за смекчаване и трансгранично въздействие, когато е приложимо.

Ако инцидентът засяга лични данни, компетентните органи по NIS2 може да си сътрудничат с надзорните органи по GDPR. Това увеличава необходимостта от единна доказателствена линия, която подкрепя както надзора по киберсигурност, така и отчетността по поверителност.

DORA: доказателствата за ИКТ риск надхвърлят журналите за сигурност

За финансовите субекти DORA е секторният режим за оперативна устойчивост. Той се прилага от 17 януари 2025 г. и обхваща управление на ИКТ риска, докладване на съществени ИКТ инциденти, тестване на устойчивостта, споделяне на информация и управление на риска от ИКТ трети страни. За финансови субекти, които са и съществени или важни по NIS2, DORA обичайно функционира като секторен правен акт на Съюза за ИКТ риск и докладване на инциденти.

DORA е силно ориентирана към доказателства по замисъл. Article 17 изисква процес за управление на инциденти, свързани с ИКТ. Article 18 разглежда класификацията на инциденти и киберзаплахи, свързани с ИКТ. Article 19 обхваща докладването на съществени инциденти, свързани с ИКТ. Финансовите субекти трябва също да поддържат управленски и контролни механизми, да идентифицират критични или важни функции, да документират ИКТ активи и зависимости и да извършват анализ на първопричините.

Това означава, че правното задържане по DORA трябва да обхваща доказателства за оперативна устойчивост, а не само артефакти по сигурността. След компрометиране на облачна идентичност, засягащо платежни операции, задържането може да включва журнали на доставчика на идентичност, история на привилегирован достъп, облачни одитни журнали, SIEM предупреждения, образи на крайни точки, анализ на въздействието върху клиентски транзакции, записи за активиране на непрекъсваемост на дейността, доказателства за резервни копия и възстановяване, комуникации с доставчици, брифинги към управителния орган, анализ на първопричините и валидиране на ремедиацията.

DORA също прави неизбежни доказателствата от ИКТ трети страни. Articles 28 to 30 изискват управление на риска от ИКТ трети страни, регистри на договорните механизми, надлежна проверка, оценка на риска от концентрация и писмени договори с права и задължения. За критични или важни функции договорите следва да подпомагат задълженията на доставчика за уведомяване и докладване, съдействие при инциденти, сътрудничество с органи, права на достъп, проверка и одит, както и стратегии за изход.

Ако вашият доставчик на облачни услуги, MSP, MSSP, платежен процесор или SaaS зависимост държи релевантните журнали, процесът ви за правно задържане трябва вече да е вграден в договорите с доставчици. В противен случай при съществен инцидент може да установите, че стандартният прозорец за съхранение на вашия доставчик е по-кратък от жизнения цикъл на регулаторното ви докладване.

Как Clarysec операционализира правното задържане при SaaS нарушение

Да разгледаме fintech SaaS средата на Мария. Инцидентът може да включва неоторизиран достъп до клиентски идентификатори, метаданни за транзакции, администраторски системи и записи на външно възложен SOC. Компанията обслужва финансови институции от ЕС, разчита на облачна инфраструктура и може да бъде изправена пред GDPR, договорни задължения по DORA и задължения по NIS2.

Първото действие не е да се запази всичко. Първото действие е да се задейства контролирано решение.

Ръководителят на инцидента изпраща искане за правно задържане до правния консултант, DPO или ръководителя по поверителност, CISO и собственика на бизнеса. Искането включва идентификатор на инцидента, дата и час, засегнати системи, предполагаеми категории данни, първоначални регулаторни пътища, предложени категории доказателства и непосредствени рискове от изтриване.

С използване на Enterprise Политика за съхранение на данни и унищожаване задържането се документира и одобрява от правния консултант и DPO. За SME Политика за съхранение на данни и сигурно унищожаване — SME предоставя правилото за спиране на изтриването. Разрешението включва дата за преглед, съгласувана с ключовите етапи на разследването, сроковете за регулаторно докладване и очаквания риск от съдебно производство или договорен спор. То не казва „завинаги“. То казва „до освобождаване с упълномощено решение след преглед“.

След това екипът замразява релевантните журнали и артефакти. SME Политика за регистриране и мониторинг — SME посочва:

„Журналите трябва да бъдат поставени под правно задържане и спиране на изтриването и да бъдат защитени срещу промяна или изтриване“

Екипът спира изтриването за SIEM случаи, журнали за идентичност, облачни одитни журнали, журнали на приложения, журнали на заявки към бази данни, WAF събития и метаданни за SOC предупреждения. Експортираните журнали се съхраняват в ограничено хранилище за доказателства с хеширане, управление на версиите и права само за четене, когато е приложимо.

Правилото за събиране е просто: запазвайте доказателствата, без да редактирате оригиналите. SME Политика за събиране на доказателства и форензика — SME посочва:

„Винаги трябва да се създава форензично копие или експорт; оригиналното доказателство никога не трябва да се редактира директно.“

Инженерите могат да извършват ремедиация, но само след като са направени необходимите снимки на състоянието, експорти или форензични копия, освен ако незабавно ограничаване е необходимо за предотвратяване на текуща вреда. Ако аварийната ремедиация се извърши първо, причината се документира.

Същата SME политика казва:

„За всеки инцидент трябва да се поддържа прост журнал на веригата на съхранение (напр. Excel файл или шаблонен документ).“

За Enterprise среди Политика за събиране на доказателства и форензика, клауза 5.6, изисква:

„Журнал на веригата на съхранение трябва да съпътства всички физически или цифрови доказателства от момента на придобиването им до архивиране или трансфер и трябва да документира:“

На практика журналът на веригата на съхранение записва идентификатор на доказателството, описание, изходна система, събиращо лице, метод на придобиване, хеш стойност, когато е приложимо, източник на време, местоположение за съхранение, събития на достъп, трансфери, аналитични копия и окончателно разпореждане.

Накрая самият разследващ запис трябва да бъде защитен. Enterprise Политика за одит и мониторинг на съответствието посочва:

„Всички одитни журнали, констатации и доклади за ремедиация трябва да се съхраняват, криптират и защитават срещу подправяне.“

Това изискване се прилага за хронологията на инцидента, журнала на решенията, уведомлението за правно задържане, комуникациите с регулаторите, комуникациите с клиентите, анализа на първопричините и доказателствата за ремедиация.

Документираната информация, която одиторите ще проверят

ISO/IEC 27001:2022 клауза 7.5 изисква документираната информация, необходима за ISMS и изисквана от стандарта, да бъде контролирана. Zenith Blueprint, във фазата „Основа и лидерство на ISMS“, стъпка 6, превежда това в практически изисквания: документите следва да имат идентификация, формат, преглед, одобрение, управление на версиите, контролиран достъп, защита на цялостността, контрол на промените, срок за съхранение и разпореждане.

Стъпка 6 също отбелязва, че записи като журнали от мониторинг, одитни доклади и файлове от разследване на инциденти може да са поверителни и следва да се споделят на принципа „необходимост да се знае“, като правата за редактиране са ограничени до упълномощени потребители.

Защитимият пакет от доказателства следва да включва:

• Уведомление и одобрение за правно задържане.
• Класификация на инцидента и решение за степен на сериозност.
• Инвентар на доказателствата.
• Журнал на веригата на съхранение.
• Потвърждение за запазване на журнали.
• Записи за форензичен образ или експорт.
• Хеш стойности или проверки на целостта, когато е приложимо.
• Списък за достъп до хранилището за доказателства.
• Доказателства за регулаторно докладване.
• Оценка на поверителността и анализ на въздействието върху личните данни.
• Искания към доставчици за доказателства и техните отговори.
• Анализ на първопричините.
• Доказателства за ремедиация и валидиране.
• Преглед на задържането и решение за освобождаване.

Колкото по-силен е контролът върху документираната информация, толкова по-лесен е одитът.

Доказателства от доставчици и облак: точката на отказ, която много екипи пропускат

Най-трудните доказателства често не са във вашата организация. Те се държат от доставчик на облачни услуги, SaaS платформа, MSSP, MSP, платежен процесор, доставчик на идентичност или екип за външна разработка.

NIS2 Article 21 включва сигурност на веригата на доставки и аспекти на сигурността във взаимоотношенията с преки доставчици или доставчици на услуги. DORA отива по-далеч за финансовите субекти, като изисква регистри на ИКТ трети страни, надлежна проверка, анализ на риска от концентрация и договори със съдействие при инциденти, докладване от доставчика, сътрудничество с органите, права на одит и разпоредби за изход за критични или важни функции.

NIST Cybersecurity Framework 2.0 също разглежда риска във веригата на доставки като дисциплина през целия жизнен цикъл. Неговата функция Govern включва резултати от управлението на риска, свързан с доставчици, относно стратегия, роли, договори, надлежна проверка, мониторинг, участие при инциденти и разпоредби за изход. CSF профилите могат да изразяват целеви изисквания за киберсигурност към доставчиците, което е полезно при превръщане на нуждите от доказателства за правно задържане в договорни условия.

Договорите с доставчици следва да уреждат:

• Видовете журнали за сигурност, достъпни за клиента.
• Сроковете за съхранение по подразбиране и опциите за удължено съхранение.
• Процеса за аварийно искане за запазване.
• Времето за запазване на доказателства след клиентско искане.
• Форматите за форензичен експорт.
• Поддръжката за верига на съхранение.
• Сътрудничеството с регулатори.
• Задълженията за доказателства на подизпълнители по обработване или подизпълнители.
• Ограниченията за местонахождение и трансфер на данни.
• Сигурното изтриване след освобождаване на задържането.

Zenith Blueprint, във фазата „Контроли в действие“, стъпка 18, дава сходна дисциплина за трансфер на физически носители, като изисква шифроване, опаковка с откриваемо подправяне, проследяване, транспортни журнали, инвентар на носителите и одит на регистъра. Същата логика се прилага и за трансфери на облачни доказателства: запазване на цялостността, проследяване на попечителството, ограничаване на достъпа и потвърждаване на получаването.

Как одиторите и регулаторите ще тестват процеса ви за правно задържане

Процесът за правно задържане изглежда различно според мандата на проверяващия. Clarysec използва Zenith Controls като компас за кръстосано съответствие, така че един и същ пакет от доказателства да може да покрива множество перспективи без дублиране на работа.

Одиторът по ISO ще се интересува от съответствие и обективни доказателства. Проверяващият по GDPR ще се интересува от необходимост, ограничаване на целите и доказуема отчетност. Проверяващият по NIS2 ще се интересува от фактите за докладване на значим инцидент и отговорността на ръководството. Проверяващият по DORA ще се интересува от управлението на ИКТ риска, обработването на съществени инциденти, зависимостите от трети страни и научените уроци. Одиторът по COBIT 2019 или в стил ISACA ще се интересува от управление, дизайн на контролите, функциониране на контролите и уверение относно качеството на информацията.

Един пакет от доказателства може да обслужва всички тях, ако е проектиран по този начин.

Практически контролен списък за правно задържане при киберинциденти през 2026 г.

Използвайте този контролен списък преди следващия сериозен инцидент, а не по време на него.

Този контролен списък става по-силен, когато е вграден в плана за третиране на риска на ISMS, изискванията за сигурност на доставчиците, наръчниците за реагиране при инциденти, архитектурата за регистриране и управлението на поверителността.

От паника след нарушение към устойчивост, готова за одит

Обаждането в 4 сутринта винаги ще бъде стресиращо. Не е нужно да се превръща в хаос.

Зрял процес за правно задържане при киберинциденти дава на всяка заинтересована страна контролиран път. Правната функция получава защитимо запазване. Поверителността получава минимизиране и преглед. CISO получава цялостност на доказателствата. DPO получава отчетност. Съветът получава надеждни факти. Проверяващите по NIS2, DORA и GDPR получават обективни доказателства вместо импровизирани обяснения.

30-стъпковата методология на Clarysec не третира правното задържане като самостоятелен правен меморандум. Тя го третира като оперативна способност на ISMS.

В Zenith Blueprint стъпка 6 изгражда библиотеката с документирана информация, включително правила за срокове за съхранение и разпореждане. Стъпка 19 укрепва регистрирането и синхронизацията на системния часовник, така че разследванията да могат да реконструират хронологии. Стъпка 23 операционализира събирането на доказателства и веригата на съхранение. Стъпка 18 добавя дисциплина за обработване на носители, когато доказателствата се преместват физически или между страни.

В Zenith Controls Clarysec свързва базовите контроли по ISO/IEC 27002:2022, така че клиентите да видят как събирането на доказателства зависи от регистриране, мониторинг, реагиране при инциденти, защита на записи, контрол на достъпа, резервни копия, поверителност и правни изисквания.

В библиотеката с политики на Clarysec практическите опори на работния поток вече са дефинирани: Политика за съхранение на данни и унищожаване, Политика за съхранение на данни и сигурно унищожаване — SME, Политика за събиране на доказателства и форензика, Политика за събиране на доказателства и форензика — SME, Политика за регистриране и мониторинг — SME, Политика за защита на данните и поверителност — SME и Политика за одит и мониторинг на съответствието.

Ако вашият план за реагиране при инциденти казва „запазете доказателства“, но не дефинира правомощия за правно задържане, обхват на доказателствата, спиране на изтриването, верига на съхранение, запазване при доставчици, минимизиране по GDPR и критерии за освобождаване, той все още не е готов за одит.

Изградете процеса преди нарушението. Clarysec може да ви помогне да създадете защитима способност за правно задържане при киберинциденти и съхранение на доказателства чрез Zenith Blueprint: 30-стъпкова пътна карта за одитори, Zenith Controls: ръководство за кръстосано съответствие и шаблони за политики на Clarysec, включително Политика за съхранение на данни и унищожаване, Политика за събиране на доказателства и форензика, Политика за одит и мониторинг на съответствието, Политика за регистриране и мониторинг — SME, Политика за защита на данните и поверителност — SME и Политика за събиране на доказателства и форензика — SME.

Изтеглете инструментариумите, поискайте преглед на политика от Clarysec или резервирайте оценка на готовността за съхранение на доказателства преди следващия ви одит, надзорно искане или съществен клиентски преглед на сигурността.