Νομική δέσμευση διατήρησης για κυβερνοπεριστατικά στο πλαίσιο GDPR, NIS2 και DORA

Στις 4:17 π.μ., η Μαρία, υπεύθυνη ασφάλειας πληροφοριών σε έναν πάροχο fintech SaaS, έλαβε την κλήση για την οποία κάθε ηγέτης ασφάλειας προετοιμάζεται και ελπίζει να μη λάβει ποτέ. Κρίσιμοι διακομιστές παραγωγής δεν αποκρίνονταν. Τα αρχεία είχαν κρυπτογραφηθεί. Ένα σημείωμα λύτρων ήταν ανοιχτό στην οθόνη ενός νεότερου διαχειριστή.

Στις 4:28, η ομάδα αντιμετώπισης περιστατικών ήθελε να απομονώσει τα επηρεαζόμενα συστήματα και να αναπτύξει εκ νέου καθαρή υποδομή. Στις 4:41, η ομάδα μηχανικής ρώτησε αν μπορούσε να προχωρήσει σε εναλλαγή διαπιστευτηρίων, εκκαθάριση προσωρινών αρχείων και επαναδημιουργία κοντέινερ. Στις 5:03, ο Υπεύθυνος Προστασίας Δεδομένων (DPO) προειδοποίησε ότι το παραβιασμένο περιβάλλον περιείχε αναγνωριστικά πελατών και μεταδεδομένα συναλλαγών. Στις 5:16, ο νομικός σύμβουλος συνδέθηκε στη γέφυρα κρίσης με μία οδηγία: «Μην καταστρέψετε πιθανά τεκμήρια. Ενδέχεται να χρειαστούμε νομική δέσμευση διατήρησης.» Στις 5:30, ο COO ρώτησε αν ενεργοποιήθηκαν οι υποχρεώσεις αναφοράς DORA. Στις 6:00, η Μαρία θυμήθηκε το χρονόμετρο της NIS2: μπορεί να απαιτείται αρχική προειδοποίηση εντός 24 ωρών, πληρέστερη κοινοποίηση εντός 72 ωρών και τελική αναφορά εντός ενός μήνα.

Τότε τέθηκε το ερώτημα που καθορίζει αν ένα κυβερνοπεριστατικό θα είναι τεκμηριώσιμο ή χαοτικό:

«Έχουμε ακόμη τα αρχεία καταγραφής;»

Αυτό είναι το πρόβλημα διακυβέρνησης μετά το περιστατικό που πολλά σχέδια απόκρισης υποτιμούν. Δεν αρκεί η ανίχνευση, ο περιορισμός και η ανάκαμψη. Το 2026, οι οργανισμοί πρέπει επίσης να αποδεικνύουν τι συνέβη, να διατηρούν σχετικά τεκμήρια, να αποφεύγουν την αλλοίωση ψηφιακών ευρημάτων, να τηρούν την ελαχιστοποίηση δεδομένων του GDPR, να υποστηρίζουν την εποπτεία NIS2 και να διατηρούν αρχεία κινδύνων ΤΠΕ DORA που αντέχουν σε έλεγχο, δικαστική διαδικασία και κανονιστική ανασκόπηση.

Η νομική δέσμευση διατήρησης και η διατήρηση τεκμηρίων για κυβερνοπεριστατικά βρίσκονται στο σημείο σύγκλισης των λειτουργιών ασφάλειας, της ιδιωτικότητας, του νομικού τμήματος, της συμμόρφωσης, της μηχανικής νέφους, της διαχείρισης προμηθευτών και του ελέγχου. Αν η διαδικασία αυτοσχεδιαστεί κατά τη διάρκεια μιας παραβίασης, ο οργανισμός μπορεί να χάσει τα τεκμήρια που απαιτούνται για ανάλυση ριζικής αιτίας, αναφορά σε ρυθμιστικές αρχές, ασφαλιστικές απαιτήσεις, νομική υπεράσπιση, πειθαρχικά μέτρα και διαβεβαίωση πελατών. Αν εφαρμοστεί υπερβολικά, ο οργανισμός μπορεί να διατηρήσει υπερβολικά δεδομένα προσωπικού χαρακτήρα και να δημιουργήσει δεύτερο πρόβλημα συμμόρφωσης.

Η προσέγγιση της Clarysec είναι να καταστήσει τη νομική δέσμευση διατήρησης ελεγχόμενη διαδικασία ISMS, όχι αντίδραση πανικού. Το μοντέλο συνδέει τη διακυβέρνηση ISO/IEC 27001:2022, τους ελέγχους τεκμηρίων και καταγραφής του ISO/IEC 27002:2022, την αρχή λογοδοσίας του GDPR, την αναφορά περιστατικών NIS2 και τα τεκμήρια κινδύνων ΤΠΕ DORA σε ένα ενιαίο λειτουργικό σύστημα. Αυτό το σύστημα καθορίζει τι πρέπει να διατηρείται, ποιος μπορεί να εγκρίνει τη διατήρηση, για πόσο διάστημα τα τεκμήρια παραμένουν υπό δέσμευση, ποιος μπορεί να έχει πρόσβαση σε αυτά και πότε μπορεί να συνεχιστεί η διαγραφή.

Οι πρώτες 24 ώρες κρίνουν αν τα τεκμήρια θα επιβιώσουν

Σε πολλά πραγματικά περιστατικά, τα τεκμήρια δεν καταστρέφονται από τους επιτιθέμενους. Καταστρέφονται από τις κανονικές λειτουργίες.

Λήγει μια περίοδος διατήρησης αρχείων καταγραφής σε περιβάλλον νέφους. Ένα κοντέινερ αναπτύσσεται εκ νέου. Ένα τερματικό σημείο επανεγκαθίσταται πριν συλλεχθεί η μνήμη. Ένας διαχειριστής SaaS εξάγει ένα CSV για διερεύνηση και στη συνέχεια επεξεργάζεται το αρχείο. Ένας καλοπροαίρετος μηχανικός διαγράφει κακόβουλα scripts πριν ληφθεί εγκληματολογικό αντίγραφο. Μια εργασία διατήρησης σε αποθήκη δεδομένων αφαιρεί τα αρχεία που απαιτούνται για να προσδιοριστεί ποιοι πελάτες επηρεάστηκαν.

Ο οργανισμός μπορεί ακόμη να ανακάμψει λειτουργικά, αλλά χάνει την απόδειξη. Αυτή η διάκριση έχει σημασία.

Σύμφωνα με το GDPR, ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδεικνύει συμμόρφωση με τις αρχές προστασίας δεδομένων, συμπεριλαμβανομένων της ακεραιότητας και εμπιστευτικότητας, του περιορισμού του σκοπού, της ελαχιστοποίησης δεδομένων και του περιορισμού της αποθήκευσης. Αν μια παραβίαση δεδομένων προσωπικού χαρακτήρα είναι πιθανό να προκαλέσει κίνδυνο για φυσικά πρόσωπα, το Article 33 μπορεί να απαιτεί κοινοποίηση στην εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση και, όπου είναι εφικτό, εντός 72 ωρών από τη γνώση του περιστατικού. Αν η παραβίαση είναι πιθανό να προκαλέσει υψηλό κίνδυνο για φυσικά πρόσωπα, το Article 34 μπορεί να απαιτεί ενημέρωση των επηρεαζόμενων υποκειμένων των δεδομένων.

Στο πλαίσιο της NIS2, οι βασικές και σημαντικές οντότητες πρέπει να διαχειρίζονται σημαντικά περιστατικά μέσω σταδιακής αναφοράς και εποπτείας. Στο πλαίσιο του DORA, οι χρηματοπιστωτικές οντότητες πρέπει να καταγράφουν περιστατικά που σχετίζονται με ΤΠΕ, να ταξινομούν μείζονα περιστατικά, να τα αναφέρουν, να εκτελούν ανάλυση ριζικής αιτίας και να διατηρούν τεκμήρια για περιουσιακά στοιχεία ΤΠΕ, επιχειρησιακές λειτουργίες και εξαρτήσεις από τρίτους.

Το ISO/IEC 27001:2022 παρέχει τη δομή του συστήματος διαχείρισης για αυτό. Η ρήτρα 4.2 απαιτεί από τον οργανισμό να προσδιορίζει τις ανάγκες και τις προσδοκίες των ενδιαφερόμενων μερών, συμπεριλαμβανομένων των νομικών, κανονιστικών και συμβατικών απαιτήσεων που σχετίζονται με την ασφάλεια πληροφοριών. Η ρήτρα 4.3 απαιτεί το πεδίο εφαρμογής του ISMS να λαμβάνει υπόψη διεπαφές και εξαρτήσεις, κάτι κρίσιμο όταν τα τεκμήρια βρίσκονται σε πάροχο νέφους, πάροχο διαχειριζόμενων υπηρεσιών ασφάλειας, πλατφόρμα πληρωμών ή υπηρεσία υποστήριξης εξωτερικής ανάθεσης. Η ρήτρα 6.1 συνδέει αυτές τις υποχρεώσεις με τους κινδύνους ασφάλειας πληροφοριών και την αντιμετώπισή τους. Η ρήτρα 7.5 απαιτεί ελεγχόμενες τεκμηριωμένες πληροφορίες. Η ρήτρα 8 απαιτεί επιχειρησιακό σχεδιασμό και έλεγχο.

Το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές της Clarysec εξηγεί γιατί αυτό πρέπει να σχεδιάζεται πριν από το περιστατικό, όχι κατά τη διάρκειά του. Στη φάση «Έλεγχοι στην πράξη», Βήμα 23, η καθοδήγηση για τον έλεγχο ISO/IEC 27002:2022 5.28 αναφέρει:

«Όταν συμβαίνει ένα περιστατικό ασφάλειας πληροφοριών, ένα από τα πιο κρίσιμα, αλλά συχνά παραγνωρισμένα, στοιχεία της απόκρισης είναι τα τεκμήρια. Όχι αρχεία καταγραφής, όχι στιγμιότυπα οθόνης, όχι πρόχειρες αφηγήσεις, αλλά τεκμήρια ορθά διατηρημένα, με σεβασμό στην αλυσίδα φύλαξης και ανθεκτικά σε αλλοίωση.»

Το ίδιο Βήμα 23 προσθέτει ότι «αυτό που μπορείτε να αποδείξετε έχει εξίσου μεγάλη σημασία με αυτό που πραγματικά συνέβη». Αυτή η πρόταση είναι η διαφορά μεταξύ απόκρισης σε περιστατικά και τεκμηριώσιμης απόκρισης σε περιστατικά. Μια ρυθμιστική αρχή, ένας ελεγκτής πελάτη, ένα δικαστήριο, ένας ασφαλιστής ή μια εποπτική αρχή δεν θα αποδεχθεί προφορική ανασύνθεση αν ο οργανισμός δεν μπορεί να παρουσιάσει διατηρημένα αρχεία καταγραφής, αξιόπιστες χρονοσημάνσεις, ελεγχόμενα αρχεία και τεκμηριωμένη αλυσίδα φύλαξης.

Η νομική δέσμευση διατήρησης δεν σημαίνει «κρατήστε τα πάντα για πάντα»

Η νομική δέσμευση διατήρησης για κυβερνοπεριστατικό είναι η επίσημη αναστολή της συνήθους διαγραφής ή διάθεσης για καθορισμένα αρχεία, αρχεία καταγραφής, αντίγραφα ασφαλείας, εικόνες, επικοινωνίες και άλλα τεκμήρια που μπορεί να σχετίζονται με διερεύνηση, δικαστική διαδικασία, κανονιστικό έλεγχο, έλεγχο ή συμβατική διαφορά.

Η πιο συχνή αστοχία είναι η αντιμετώπιση της νομικής δέσμευσης διατήρησης ως γενικής οδηγίας: «Μη διαγράψετε τίποτα.» Αυτό δημιουργεί κινδύνους ιδιωτικότητας, κόστους και λειτουργίας. Το GDPR δεν παύει να ισχύει κατά τη διάρκεια ενός κυβερνοπεριστατικού. Τα δεδομένα προσωπικού χαρακτήρα πρέπει ακόμη να υποβάλλονται σε επεξεργασία νόμιμα, θεμιτά και με διαφάνεια, για καθορισμένους σκοπούς, να περιορίζονται στα αναγκαία και να διατηρούνται μόνο για όσο απαιτείται. Το Article 5(2) προσθέτει την αρχή λογοδοσίας, δηλαδή ο οργανισμός πρέπει να μπορεί να αποδεικνύει αυτές τις αποφάσεις.

Εδώ η βιβλιοθήκη πολιτικών της Clarysec γίνεται πρακτική. Η SME Πολιτική Διατήρησης Δεδομένων και Πολιτική Ασφαλούς Διάθεσης-sme αναφέρει:

«Η νομική δέσμευση διατήρησης και η αναστολή διαγραφής υπερισχύουν των τυπικών απαιτήσεων διατήρησης και αποτρέπουν τη διαγραφή δεδομένων.»

Για μεγαλύτερους οργανισμούς, η Enterprise Πολιτική Διατήρησης και Διάθεσης Δεδομένων, ρήτρα 6.4.1, αναφέρει:

«Αν εκδοθεί νομική δέσμευση διατήρησης και αναστολή διαγραφής (π.χ. ενόψει εκκρεμούς δικαστικής διαδικασίας, διερεύνησης ή ελέγχου), τα δεδομένα που υπό άλλες συνθήκες θα υπόκειντο σε καταστροφή πρέπει να διατηρούνται πέραν της κανονικής περιόδου διατήρησής τους.»

Η ίδια Enterprise πολιτική απαιτεί η δέσμευση να είναι:

«Τεκμηριωμένη και εγκεκριμένη από τον νομικό σύμβουλο και τον Υπεύθυνο Προστασίας Δεδομένων (DPO)»

Αυτό το μοντέλο έγκρισης δεν είναι γραφειοκρατία. Είναι ο μηχανισμός εξισορρόπησης μεταξύ διατήρησης τεκμηρίων και περιορισμού για λόγους ιδιωτικότητας. Ο νομικός σύμβουλος επιβεβαιώνει τη βάση της δικαστικής διαδικασίας, της διερεύνησης ή της κανονιστικής απαίτησης. Ο DPO επιβεβαιώνει ότι το πεδίο εφαρμογής, ο σκοπός, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα, οι έλεγχοι πρόσβασης και η παράταση διατήρησης παραμένουν αναλογικά.

Για ΜΜΕ χωρίς πλήρες νομικό τμήμα ή λειτουργία DPO, η ίδια λογική απόφασης μπορεί να εφαρμοστεί από vCISO, υπεύθυνο ιδιωτικότητας, διευθύνοντα σύμβουλο και εξωτερικό νομικό σύμβουλο, εφόσον η εξουσιοδότηση είναι τεκμηριωμένη, χρονικά περιορισμένη και υπόκειται σε ανασκόπηση.

Η ένταση συμμόρφωσης που πρέπει να επιλύσει κάθε υπεύθυνος ασφάλειας πληροφοριών

Μετά από ένα σοβαρό περιστατικό, διαφορετικά ενδιαφερόμενα μέρη ζητούν διαφορετικά τεκμήρια. Το νομικό τμήμα ζητά διατήρηση. Η ιδιωτικότητα ζητά ελαχιστοποίηση. Οι ρυθμιστικές αρχές ζητούν γεγονότα. Οι λειτουργίες ζητούν αποκατάσταση. Οι πελάτες ζητούν διαβεβαίωση. Οι ελεγκτές ζητούν αντικειμενικά τεκμήρια.

Η προσπάθεια διαχείρισης αυτών των απαιτήσεων μέσω χωριστών ροών εργασίας ιδιωτικότητας, νομικού τμήματος, SOC και ελέγχου οδηγεί σε αντιφάσεις. Ένα ενοποιημένο ISO/IEC 27001:2022 ISMS τις εντάσσει σε μία ενιαία διαδικασία κινδύνου, ελέγχου και τεκμηρίων.

Η στοίβα ελέγχων για τεκμηριώσιμη διατήρηση τεκμηρίων

Η νομική δέσμευση διατήρησης για κυβερνοπεριστατικό δεν είναι ένας μόνο έλεγχος ISO/IEC 27002:2022. Είναι σχέση ελέγχων.

Το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης της Clarysec αντιστοιχίζει τον έλεγχο ISO/IEC 27002:2022 5.28, Συλλογή τεκμηρίων, ως διορθωτικό έλεγχο που υποστηρίζει την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα. Εντάσσεται στις έννοιες κυβερνοασφάλειας Detect και Respond και στην επιχειρησιακή ικανότητα διαχείρισης συμβάντων ασφάλειας πληροφοριών.

Ο ίδιος οδηγός Zenith Controls συνδέει το 5.28 με την απόκριση σε περιστατικά ασφάλειας πληροφοριών, την καταγραφή και παρακολούθηση, την προστασία αρχείων και την αναφορά συμβάντων. Η λογική είναι πρακτική: οι ομάδες απόκρισης χρειάζονται αρχεία καταγραφής και ψηφιακά ευρήματα πριν η αποκατάσταση αλλάξει τη σκηνή, οι υπεύθυνοι κανονιστικής αναφοράς χρειάζονται αξιόπιστα γεγονότα και οι ερευνητές χρειάζονται τεκμήρια που δεν έχουν αλλοιωθεί.

Ο έλεγχος ISO/IEC 27002:2022 5.33, Προστασία αρχείων, είναι εξίσου σημαντικός. Υποστηρίζει νομικές απαιτήσεις και απαιτήσεις συμμόρφωσης, διαχείριση περιουσιακών στοιχείων και προστασία πληροφοριών. Συνδέει την προστασία αρχείων με την ταξινόμηση, τα αντίγραφα ασφαλείας, την ασφαλή διάθεση, τις νομικές και συμβατικές απαιτήσεις, τον έλεγχο πρόσβασης και την απόκριση σε περιστατικά. Στην πράξη, μια νομική δέσμευση διατήρησης δεν πρέπει μόνο να συλλέγει τεκμήρια. Πρέπει να προστατεύει την ακεραιότητα, εμπιστευτικότητα και διαθεσιμότητα του ίδιου του αρχείου τεκμηρίων.

Για την καταγραφή, ο έλεγχος ISO/IEC 27002:2022 8.15, Καταγραφή, αποτελεί τη βάση. Συνδέεται με το 8.16, Δραστηριότητες παρακολούθησης, και το 8.17, Συγχρονισμός ρολογιών. Αν τα αρχεία καταγραφής είναι ελλιπή, επεξεργάσιμα από διαχειριστές, μη χρονικά συγχρονισμένα ή διατηρούνται για πολύ σύντομο διάστημα, η διαδικασία τεκμηρίων μπορεί να αποτύχει πριν ξεκινήσει η διερεύνηση.

Το Zenith Blueprint, στη φάση «Έλεγχοι στην πράξη», Βήμα 19, ενισχύει τα παραπάνω με πρακτική διατύπωση για την καταγραφή:

«Τα αρχεία καταγραφής που καταγράφουν δραστηριότητες, εξαιρέσεις, σφάλματα και άλλα σχετικά συμβάντα πρέπει να παράγονται, να αποθηκεύονται, να προστατεύονται και να αναλύονται.»

Προειδοποιεί επίσης ότι η προστασία των αρχείων καταγραφής περιλαμβάνει περιορισμό πρόσβασης και χρήση μηχανισμών όπως ο κατακερματισμός ή η αμετάβλητη αποθήκευση WORM για την αποτροπή παραποίησης. Το Βήμα 19 συνδέει τον συγχρονισμό ρολογιών με τη συνοχή της ψηφιακής διερεύνησης, εξηγώντας ότι τα συγχρονισμένα ρολόγια επιτρέπουν την ευθυγράμμιση αρχείων καταγραφής από διαφορετικά συστήματα για σκοπούς διερεύνησης.

Αρχή λογοδοσίας GDPR: διατηρήστε ό,τι χρειάζεστε, αιτιολογήστε ό,τι κρατάτε

Το GDPR δημιουργεί την πιο ορατή ένταση στη διατήρηση τεκμηρίων περιστατικού. Οι ομάδες ασφάλειας συχνά θέλουν περισσότερα δεδομένα. Οι ομάδες ιδιωτικότητας θέλουν λιγότερα. Μια τεκμηριώσιμη νομική δέσμευση διατήρησης συμφιλιώνει και τα δύο.

Τα αρχεία καταγραφής και τα ψηφιακά ευρήματα μπορεί να περιέχουν διευθύνσεις IP, αναγνωριστικά χρηστών, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αναγνωριστικά συσκευών, αρχεία αυθεντικοποίησης, κείμενο αιτημάτων υποστήριξης, στιγμιότυπα οθόνης, εξαγωγές πελατών ή ειδικές κατηγορίες δεδομένων. Η διατήρηση τεκμηρίων αποτελεί επομένως επεξεργασία. Η ειδοποίηση νομικής δέσμευσης διατήρησης πρέπει να τεκμηριώνει τη νομική βάση, τον σκοπό, το πεδίο εφαρμογής, τους περιορισμούς πρόσβασης, την ημερομηνία ανασκόπησης διατήρησης και το έναυσμα διάθεσης.

Η SME Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας-sme της Clarysec αναφέρει:

«Πρέπει να συλλέγονται και να διατηρούνται μόνο τα ελάχιστα αναγκαία δεδομένα προσωπικού χαρακτήρα»

Η Enterprise Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας συνδέει ρητά τον χειρισμό τεκμηρίων ψηφιακής διερεύνησης με:

«το GDPR Article 5, συμπεριλαμβανομένων του περιορισμού του σκοπού και της ελαχιστοποίησης δεδομένων»

Αυτή είναι η λειτουργική αρχή. Μη διατηρείτε ολόκληρη βάση δεδομένων παραγωγής αν τα σχετικά τεκμήρια είναι μια στενή διαδρομή ελέγχου, ένα αρχείο καταγραφής πρόσβασης, ένα αρχείο ερωτήματος και μια λίστα επηρεαζόμενων χρηστών. Μην παρέχετε σε κάθε μέλος απόκρισης πρόσβαση σε ακατέργαστα τεκμήρια όταν αρκούν ψευδωνυμοποιημένα αποσπάσματα ή πρόσβαση βάσει ρόλων. Μην κρατάτε τεκμήρια περιστατικού επ’ αόριστον αφού λήξει η νομική, κανονιστική και ελεγκτική ανάγκη.

Ένα καλό αρχείο νομικής δέσμευσης διατήρησης με επίγνωση GDPR απαντά σε επτά ερωτήματα:

1. Ποιο περιστατικό ή ποια διερεύνηση ενεργοποίησε τη δέσμευση;
2. Ποιες κατηγορίες δεδομένων προσωπικού χαρακτήρα μπορεί να περιλαμβάνονται;
3. Γιατί είναι αναγκαία κάθε κατηγορία τεκμηρίων;
4. Ποιος ενέκρινε τη δέσμευση και πότε;
5. Ποιος μπορεί να έχει πρόσβαση στα τεκμήρια;
6. Πότε θα ανασκοπηθεί η δέσμευση;
7. Ποια διαδικασία διαγραφής ή ασφαλούς διάθεσης συνεχίζεται όταν αρθεί η δέσμευση;

Έτσι η διατήρηση τεκμηρίων αποφεύγει να μετατραπεί σε υπερβολική διατήρηση για σκοπούς ιδιωτικότητας.

NIS2: νομική δέσμευση διατήρησης για σταδιακή αναφορά περιστατικών

Για οργανισμούς εντός πεδίου εφαρμογής, η NIS2 μεταβάλλει την προσδοκία για τα τεκμήρια από «χρήσιμα εσωτερικά» σε «αναγκαία για εποπτεία».

Η NIS2 εφαρμόζεται σε πολλές βασικές και σημαντικές οντότητες στην ΕΕ, συμπεριλαμβανομένων παρόχων ψηφιακής υποδομής, παρόχων υπηρεσιών υπολογιστικού νέφους, παρόχων υπηρεσιών κέντρων δεδομένων, δικτύων διανομής περιεχομένου, παρόχων υπηρεσιών εμπιστοσύνης, παρόχων ηλεκτρονικών επικοινωνιών, παρόχων διαχειριζόμενων υπηρεσιών, παρόχων διαχειριζόμενων υπηρεσιών ασφάλειας και ορισμένων ψηφιακών παρόχων όπως διαδικτυακές αγορές, διαδικτυακές μηχανές αναζήτησης και πλατφόρμες κοινωνικής δικτύωσης.

Το Article 21 απαιτεί κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, συμπεριλαμβανομένων ανάλυσης κινδύνου, χειρισμού περιστατικών, επιχειρησιακής συνέχειας, ασφάλειας εφοδιαστικής αλυσίδας, ασφαλούς ανάπτυξης, αξιολόγησης αποτελεσματικότητας, εκπαίδευσης, κρυπτογραφίας, ασφάλειας ανθρώπινου δυναμικού, ελέγχου πρόσβασης, διαχείρισης περιουσιακών στοιχείων και αυθεντικοποίησης. Το Article 20 καθιστά τα διοικητικά όργανα υπεύθυνα για την έγκριση και εποπτεία αυτών των μέτρων.

Για τη νομική δέσμευση διατήρησης, το βασικό ζήτημα της NIS2 είναι το Article 23. Τα σημαντικά περιστατικά απαιτούν σταδιακή αναφορά: αρχική προειδοποίηση εντός 24 ωρών από τη στιγμή που γίνονται γνωστά, κοινοποίηση περιστατικού εντός 72 ωρών, ενδιάμεσες αναφορές κατόπιν αιτήματος και τελική αναφορά το αργότερο εντός ενός μήνα από την κοινοποίηση των 72 ωρών. Η τελική αναφορά χρειάζεται περιγραφή, σοβαρότητα, αντίκτυπο, πιθανό τύπο απειλής ή ριζική αιτία, μέτρα μετριασμού και διασυνοριακό αντίκτυπο όπου εφαρμόζεται.

Αν το περιστατικό επηρεάζει δεδομένα προσωπικού χαρακτήρα, οι αρμόδιες αρχές NIS2 μπορεί να συνεργαστούν με τις εποπτικές αρχές GDPR. Αυτό αυξάνει την ανάγκη για μία ενιαία αφήγηση τεκμηρίων που υποστηρίζει τόσο την εποπτεία κυβερνοασφάλειας όσο και τη λογοδοσία ιδιωτικότητας.

DORA: τα τεκμήρια κινδύνων ΤΠΕ υπερβαίνουν τα αρχεία καταγραφής ασφάλειας

Για τις χρηματοπιστωτικές οντότητες, το DORA είναι το κλαδικό καθεστώς ψηφιακής επιχειρησιακής ανθεκτικότητας. Εφαρμόζεται από τις 17 Ιανουαρίου 2025 και καλύπτει τη διαχείριση κινδύνων ΤΠΕ, την αναφορά μείζονων περιστατικών ΤΠΕ, τις δοκιμές ανθεκτικότητας, την ανταλλαγή πληροφοριών και τη διαχείριση κινδύνων ΤΠΕ τρίτων μερών. Για χρηματοπιστωτικές οντότητες που είναι επίσης βασικές ή σημαντικές στο πλαίσιο της NIS2, το DORA λειτουργεί γενικά ως η κλαδική ενωσιακή νομική πράξη για τον κίνδυνο ΤΠΕ και την αναφορά περιστατικών.

Το DORA είναι εκ σχεδιασμού εντατικό σε τεκμήρια. Το Article 17 απαιτεί διαδικασία διαχείρισης περιστατικών που σχετίζονται με ΤΠΕ. Το Article 18 αφορά την ταξινόμηση περιστατικών που σχετίζονται με ΤΠΕ και κυβερνοαπειλών. Το Article 19 καλύπτει την αναφορά μείζονων περιστατικών που σχετίζονται με ΤΠΕ. Οι χρηματοπιστωτικές οντότητες πρέπει επίσης να διατηρούν ρυθμίσεις διακυβέρνησης και ελέγχου, να αναγνωρίζουν κρίσιμες ή σημαντικές λειτουργίες, να τεκμηριώνουν περιουσιακά στοιχεία και εξαρτήσεις ΤΠΕ και να εκτελούν ανάλυση ριζικής αιτίας.

Αυτό σημαίνει ότι η νομική δέσμευση διατήρησης DORA πρέπει να καλύπτει τεκμήρια λειτουργικής ανθεκτικότητας, όχι μόνο ψηφιακά ευρήματα ασφάλειας. Μετά από παραβίαση ταυτότητας σε περιβάλλον νέφους που επηρεάζει λειτουργίες πληρωμών, η δέσμευση μπορεί να περιλαμβάνει αρχεία καταγραφής παρόχου ταυτότητας, ιστορικό προνομιούχας πρόσβασης, αρχεία καταγραφής ελέγχου νέφους, ειδοποιήσεις SIEM, εικόνες τερματικών σημείων, ανάλυση αντικτύπου συναλλαγών πελατών, αρχεία ενεργοποίησης επιχειρησιακής συνέχειας, τεκμήρια αντιγράφων ασφαλείας και ανάκαμψης, επικοινωνίες προμηθευτών, ενημερώσεις διοικητικών οργάνων, ανάλυση ριζικής αιτίας και επικύρωση αποκατάστασης.

Το DORA καθιστά επίσης αναπόφευκτα τα τεκμήρια ΤΠΕ τρίτων μερών. Τα Articles 28 έως 30 απαιτούν διαχείριση κινδύνων ΤΠΕ τρίτων μερών, μητρώα συμβατικών ρυθμίσεων, δέουσα επιμέλεια, αξιολόγηση κινδύνου συγκέντρωσης και γραπτές συμβάσεις με δικαιώματα και υποχρεώσεις. Για κρίσιμες ή σημαντικές λειτουργίες, οι συμβάσεις πρέπει να υποστηρίζουν υποχρεώσεις ειδοποίησης και αναφοράς από τον πάροχο, υποστήριξη σε περιστατικά, συνεργασία με αρχές, δικαιώματα πρόσβασης, επιθεώρησης και ελέγχου, καθώς και στρατηγικές εξόδου.

Αν ο πάροχος νέφους, ο MSP, ο MSSP, ο επεξεργαστής πληρωμών ή η εξάρτηση SaaS κατέχει τα σχετικά αρχεία καταγραφής, η διαδικασία νομικής δέσμευσης διατήρησης πρέπει να είναι ήδη ενσωματωμένη στις συμβάσεις προμηθευτών. Διαφορετικά, μπορεί να διαπιστώσετε κατά τη διάρκεια μείζονος περιστατικού ότι το τυπικό παράθυρο διατήρησης του παρόχου είναι μικρότερο από τον κύκλο ζωής κανονιστικής αναφοράς σας.

Πώς η Clarysec εφαρμόζει στην πράξη τη νομική δέσμευση διατήρησης κατά τη διάρκεια παραβίασης SaaS

Ας εξετάσουμε το fintech SaaS περιβάλλον της Μαρίας. Το περιστατικό μπορεί να περιλαμβάνει μη εξουσιοδοτημένη πρόσβαση σε αναγνωριστικά πελατών, μεταδεδομένα συναλλαγών, συστήματα διαχειριστών και αρχεία SOC εξωτερικής ανάθεσης. Η εταιρεία εξυπηρετεί χρηματοπιστωτικά ιδρύματα της ΕΕ, βασίζεται σε υποδομή νέφους και μπορεί να αντιμετωπίζει GDPR, συμβατικές υποχρεώσεις DORA και καθήκοντα NIS2.

Η πρώτη ενέργεια δεν είναι η διατήρηση των πάντων. Η πρώτη ενέργεια είναι η ενεργοποίηση ελεγχόμενης απόφασης.

Ο υπεύθυνος διοίκησης περιστατικού αποστέλλει αίτημα νομικής δέσμευσης διατήρησης στον νομικό σύμβουλο, στον DPO ή επικεφαλής ιδιωτικότητας, στον υπεύθυνο ασφάλειας πληροφοριών και στον ιδιοκτήτη της επιχειρησιακής λειτουργίας. Το αίτημα περιλαμβάνει αναγνωριστικό περιστατικού, ημερομηνία και ώρα, επηρεαζόμενα συστήματα, πιθανολογούμενες κατηγορίες δεδομένων, αρχικές κανονιστικές διαδρομές, προτεινόμενες κατηγορίες τεκμηρίων και άμεσους κινδύνους διαγραφής.

Με χρήση της Enterprise Πολιτικής Διατήρησης και Διάθεσης Δεδομένων, η δέσμευση τεκμηριώνεται και εγκρίνεται από τον νομικό σύμβουλο και τον DPO. Για ΜΜΕ, η Πολιτική Διατήρησης Δεδομένων και Πολιτική Ασφαλούς Διάθεσης-sme παρέχει τον κανόνα αναστολής διαγραφής. Η εξουσιοδότηση περιλαμβάνει ημερομηνία ανασκόπησης ευθυγραμμισμένη με ορόσημα διερεύνησης, προθεσμίες κανονιστικής αναφοράς και αναμενόμενο κίνδυνο δικαστικής διαδικασίας ή συμβατικής διαφοράς. Δεν λέει «για πάντα». Λέει «μέχρι την άρση με εξουσιοδοτημένη απόφαση μετά από ανασκόπηση».

Στη συνέχεια, η ομάδα δεσμεύει σχετικά αρχεία καταγραφής και ψηφιακά ευρήματα. Η SME Πολιτική Καταγραφής και Παρακολούθησης-sme αναφέρει:

«Τα αρχεία καταγραφής πρέπει να τίθενται υπό νομική δέσμευση διατήρησης και αναστολή διαγραφής και να προστατεύονται από αλλοίωση ή διαγραφή»

Η ομάδα αναστέλλει τη διαγραφή για υποθέσεις SIEM, αρχεία καταγραφής ταυτότητας, αρχεία καταγραφής ελέγχου νέφους, αρχεία καταγραφής εφαρμογών, αρχεία καταγραφής ερωτημάτων βάσεων δεδομένων, συμβάντα WAF και μεταδεδομένα ειδοποιήσεων SOC. Τα εξαγόμενα αρχεία καταγραφής αποθηκεύονται σε περιορισμένο αποθηκευτικό χώρο τεκμηρίων με κατακερματισμό, έλεγχο εκδόσεων και δικαιώματα μόνο για ανάγνωση όπου ενδείκνυται.

Ο κανόνας συλλογής είναι απλός: διατηρήστε τα τεκμήρια χωρίς επεξεργασία των πρωτοτύπων. Η SME Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας-sme αναφέρει:

«Πρέπει πάντα να δημιουργείται εγκληματολογικό αντίγραφο ή εξαγωγή· το πρωτότυπο τεκμήριο δεν πρέπει ποτέ να επεξεργάζεται απευθείας.»

Οι μηχανικοί μπορούν να αποκαταστήσουν, αλλά μόνο αφού ληφθούν τα απαιτούμενα στιγμιότυπα, οι εξαγωγές ή τα εγκληματολογικά αντίγραφα, εκτός αν απαιτείται άμεσος περιορισμός για την αποτροπή συνεχιζόμενης βλάβης. Αν προηγηθεί επείγουσα αποκατάσταση, ο λόγος τεκμηριώνεται.

Η ίδια SME πολιτική αναφέρει:

«Πρέπει να τηρείται ένα απλό αρχείο καταγραφής αλυσίδας φύλαξης (π.χ. αρχείο Excel ή πρότυπο έγγραφο) για κάθε περιστατικό.»

Για περιβάλλοντα enterprise, η Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας, ρήτρα 5.6, απαιτεί:

«Ένα αρχείο καταγραφής αλυσίδας φύλαξης πρέπει να συνοδεύει όλα τα φυσικά ή ψηφιακά τεκμήρια από τη στιγμή της απόκτησης έως την αρχειοθέτηση ή μεταφορά και πρέπει να τεκμηριώνει:»

Στην πράξη, το αρχείο καταγραφής αλυσίδας φύλαξης καταγράφει αναγνωριστικό τεκμηρίου, περιγραφή, σύστημα προέλευσης, συλλέκτη, μέθοδο απόκτησης, τιμή κατακερματισμού όπου εφαρμόζεται, πηγή χρόνου, τοποθεσία αποθήκευσης, συμβάντα πρόσβασης, μεταφορές, αντίγραφα ανάλυσης και τελική διάθεση.

Τέλος, το ίδιο το αρχείο διερεύνησης πρέπει να προστατεύεται. Η Enterprise Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης αναφέρει:

«Όλα τα αρχεία καταγραφής ελέγχου, τα ευρήματα και οι αναφορές αποκατάστασης πρέπει να διατηρούνται, να κρυπτογραφούνται και να προστατεύονται από παραποίηση.»

Αυτή η απαίτηση ισχύει για τη χρονογραμμή του περιστατικού, το αρχείο αποφάσεων, την ειδοποίηση νομικής δέσμευσης διατήρησης, τις επικοινωνίες με ρυθμιστικές αρχές, τις επικοινωνίες με πελάτες, την ανάλυση ριζικής αιτίας και τα τεκμήρια αποκατάστασης.

Οι τεκμηριωμένες πληροφορίες που θα εξετάσουν οι ελεγκτές

Η ISO/IEC 27001:2022 ρήτρα 7.5 απαιτεί να ελέγχονται οι τεκμηριωμένες πληροφορίες που απαιτούνται από το ISMS και από το πρότυπο. Το Zenith Blueprint, στη φάση «Θεμελίωση και ηγεσία ISMS», Βήμα 6, το μεταφράζει σε πρακτικές απαιτήσεις: τα έγγραφα πρέπει να διαθέτουν αναγνωριστικό, μορφότυπο, ανασκόπηση, έγκριση, έλεγχο εκδόσεων, ελεγχόμενη πρόσβαση, προστασία ακεραιότητας, έλεγχο αλλαγών, διατήρηση και διάθεση.

Το Βήμα 6 σημειώνει επίσης ότι αρχεία όπως αρχεία καταγραφής παρακολούθησης, αναφορές ελέγχου και φάκελοι διερεύνησης περιστατικών μπορεί να είναι εμπιστευτικά και πρέπει να κοινοποιούνται βάσει της αρχής της ανάγκης γνώσης, με δικαιώματα επεξεργασίας περιορισμένα σε εξουσιοδοτημένους χρήστες.

Ένα τεκμηριώσιμο πακέτο τεκμηρίων πρέπει να περιλαμβάνει:

• Ειδοποίηση και έγκριση νομικής δέσμευσης διατήρησης.
• Απόφαση ταξινόμησης περιστατικού και σοβαρότητας.
• Αποθετήριο τεκμηρίων.
• Αρχείο καταγραφής αλυσίδας φύλαξης.
• Επιβεβαίωση διατήρησης αρχείων καταγραφής.
• Αρχεία εγκληματολογικής εικόνας ή εξαγωγής.
• Τιμές κατακερματισμού ή ελέγχους ακεραιότητας όπου εφαρμόζεται.
• Λίστα πρόσβασης στον αποθηκευτικό χώρο τεκμηρίων.
• Τεκμήρια κανονιστικής αναφοράς.
• Αξιολόγηση ιδιωτικότητας και ανάλυση αντικτύπου δεδομένων προσωπικού χαρακτήρα.
• Αιτήματα και απαντήσεις τεκμηρίων προμηθευτών.
• Ανάλυση ριζικής αιτίας.
• Τεκμήρια αποκατάστασης και επικύρωσης.
• Απόφαση ανασκόπησης και άρσης της δέσμευσης.

Όσο ισχυρότερος είναι ο έλεγχος των τεκμηριωμένων πληροφοριών, τόσο ευκολότερος είναι ο έλεγχος.

Τεκμήρια προμηθευτών και νέφους: το σημείο αστοχίας που παραβλέπουν πολλές ομάδες

Τα πιο δύσκολα τεκμήρια συχνά δεν βρίσκονται μέσα στον οργανισμό σας. Τα κατέχει πάροχος νέφους, πλατφόρμα SaaS, MSSP, MSP, επεξεργαστής πληρωμών, πάροχος ταυτότητας ή ομάδα ανάπτυξης εξωτερικής ανάθεσης.

Το NIS2 Article 21 περιλαμβάνει την ασφάλεια εφοδιαστικής αλυσίδας και τις πτυχές ασφάλειας των σχέσεων με άμεσους προμηθευτές ή παρόχους υπηρεσιών. Το DORA προχωρά περαιτέρω για τις χρηματοπιστωτικές οντότητες, απαιτώντας μητρώα τρίτων μερών ΤΠΕ, δέουσα επιμέλεια, ανάλυση κινδύνου συγκέντρωσης και συμβάσεις με υποστήριξη περιστατικών, αναφορά από τον πάροχο, συνεργασία με αρχές, δικαιώματα ελέγχου και προβλέψεις εξόδου για κρίσιμες ή σημαντικές λειτουργίες.

Το NIST Cybersecurity Framework 2.0 αντιμετωπίζει επίσης τον κίνδυνο εφοδιαστικής αλυσίδας ως πειθαρχία κύκλου ζωής. Η λειτουργία Govern περιλαμβάνει αποτελέσματα διαχείρισης κινδύνου προμηθευτών για στρατηγική, ρόλους, συμβάσεις, δέουσα επιμέλεια, παρακολούθηση, συμμετοχή σε περιστατικά και προβλέψεις εξόδου. Τα CSF Profiles μπορούν να εκφράζουν στοχευμένες απαιτήσεις κυβερνοασφάλειας προς προμηθευτές, κάτι χρήσιμο όταν οι ανάγκες τεκμηρίων νομικής δέσμευσης διατήρησης μεταφράζονται σε συμβατικούς όρους.

Οι συμβάσεις προμηθευτών πρέπει να καλύπτουν:

• Τύπους αρχείων καταγραφής ασφάλειας διαθέσιμους στον πελάτη.
• Προεπιλεγμένες περιόδους διατήρησης και επιλογές εκτεταμένης διατήρησης.
• Διαδικασία επείγοντος αιτήματος διατήρησης.
• Χρόνο διατήρησης τεκμηρίων μετά από αίτημα πελάτη.
• Μορφότυπους εξαγωγής ψηφιακής διερεύνησης.
• Υποστήριξη αλυσίδας φύλαξης.
• Συνεργασία με ρυθμιστικές αρχές.
• Υποχρεώσεις τεκμηρίων υπεργολάβων επεξεργασίας ή υπεργολάβων.
• Περιορισμούς εντοπιότητας και μεταφοράς δεδομένων.
• Ασφαλή διαγραφή μετά την άρση της δέσμευσης.

Το Zenith Blueprint, στη φάση «Έλεγχοι στην πράξη», Βήμα 18, παρέχει παρόμοια πειθαρχία για τη μεταφορά φυσικών μέσων, απαιτώντας κρυπτογράφηση, συσκευασία με ένδειξη παραβίασης, ιχνηλάτηση, αρχεία καταγραφής μεταφοράς, αποθετήριο μέσων και έλεγχο του μητρώου. Η ίδια λογική εφαρμόζεται στις μεταφορές τεκμηρίων νέφους: διατηρήστε την ακεραιότητα, παρακολουθήστε τη φύλαξη, περιορίστε την πρόσβαση και επιβεβαιώστε την παραλαβή.

Πώς οι ελεγκτές και οι ρυθμιστικές αρχές θα δοκιμάσουν τη διαδικασία νομικής δέσμευσης διατήρησης

Μια διαδικασία νομικής δέσμευσης διατήρησης φαίνεται διαφορετική ανάλογα με την εντολή του αξιολογητή. Η Clarysec χρησιμοποιεί το Zenith Controls ως πυξίδα διασταυρούμενης συμμόρφωσης, ώστε το ίδιο πακέτο τεκμηρίων να ικανοποιεί πολλαπτικές οπτικές χωρίς διπλή εργασία.

Ο ελεγκτής ISO θα ενδιαφερθεί για τη συμμόρφωση και τα αντικειμενικά τεκμήρια. Ο αξιολογητής GDPR θα ενδιαφερθεί για την αναγκαιότητα, τον περιορισμό του σκοπού και την αποδείξιμη λογοδοσία. Ο αξιολογητής NIS2 θα ενδιαφερθεί για τα γεγονότα αναφοράς σημαντικών περιστατικών και την ευθύνη της διοίκησης. Ο αξιολογητής DORA θα ενδιαφερθεί για τη διακυβέρνηση κινδύνων ΤΠΕ, τον χειρισμό μείζονων περιστατικών, τις εξαρτήσεις από τρίτους και τα διδάγματα που αντλήθηκαν. Ο ελεγκτής τύπου COBIT 2019 ή ISACA θα ενδιαφερθεί για τη διακυβέρνηση, τον σχεδιασμό ελέγχων, τη λειτουργία ελέγχων και τη διασφάλιση της ποιότητας πληροφοριών.

Ένα πακέτο τεκμηρίων μπορεί να εξυπηρετήσει όλους αυτούς, αν έχει σχεδιαστεί έτσι.

Πρακτική λίστα ελέγχου νομικής δέσμευσης διατήρησης για κυβερνοπεριστατικά το 2026

Χρησιμοποιήστε αυτή τη λίστα ελέγχου πριν από το επόμενο σοβαρό περιστατικό, όχι κατά τη διάρκειά του.

Αυτή η λίστα ελέγχου γίνεται πιο ισχυρή όταν ενσωματώνεται στο Σχέδιο Αντιμετώπισης Κινδύνων του ISMS, στις απαιτήσεις ασφάλειας προμηθευτών, στα εγχειρίδια ενεργειών απόκρισης σε περιστατικά, στην αρχιτεκτονική καταγραφής και στη διακυβέρνηση ιδιωτικότητας.

Από τον πανικό μετά την παραβίαση στην ανθεκτικότητα με ετοιμότητα για έλεγχο

Η κλήση στις 4 π.μ. θα είναι πάντα πιεστική. Δεν χρειάζεται όμως να εξελιχθεί σε χάος.

Μια ώριμη διαδικασία νομικής δέσμευσης διατήρησης για κυβερνοπεριστατικά παρέχει σε κάθε ενδιαφερόμενο μέρος ελεγχόμενη διαδρομή. Το νομικό τμήμα αποκτά τεκμηριώσιμη διατήρηση. Η ιδιωτικότητα αποκτά ελαχιστοποίηση και ανασκόπηση. Ο υπεύθυνος ασφάλειας πληροφοριών αποκτά ακεραιότητα τεκμηρίων. Ο DPO αποκτά λογοδοσία. Το Διοικητικό Συμβούλιο αποκτά αξιόπιστα γεγονότα. Οι αξιολογητές NIS2, DORA και GDPR αποκτούν αντικειμενικά τεκμήρια αντί για αυτοσχέδιες εξηγήσεις.

Η μεθοδολογία 30 βημάτων της Clarysec δεν αντιμετωπίζει τη νομική δέσμευση διατήρησης ως αυτοτελές νομικό υπόμνημα. Την αντιμετωπίζει ως λειτουργική ικανότητα ISMS.

Στο Zenith Blueprint, το Βήμα 6 δημιουργεί τη βιβλιοθήκη τεκμηριωμένων πληροφοριών, συμπεριλαμβανομένων κανόνων διατήρησης και διάθεσης. Το Βήμα 19 ενισχύει την καταγραφή και τον συγχρονισμό ρολογιών ώστε οι διερευνήσεις να μπορούν να ανασυνθέτουν χρονογραμμές. Το Βήμα 23 εφαρμόζει στην πράξη τη συλλογή τεκμηρίων και την αλυσίδα φύλαξης. Το Βήμα 18 προσθέτει πειθαρχία χειρισμού μέσων όταν τα τεκμήρια μετακινούνται φυσικά ή μεταξύ μερών.

Στο Zenith Controls, η Clarysec συνδέει τους υποκείμενους ελέγχους ISO/IEC 27002:2022, ώστε οι πελάτες να βλέπουν πώς η συλλογή τεκμηρίων εξαρτάται από την καταγραφή, την παρακολούθηση, την απόκριση σε περιστατικά, την προστασία αρχείων, τον έλεγχο πρόσβασης, τα αντίγραφα ασφαλείας, την ιδιωτικότητα και τις νομικές απαιτήσεις.

Στη βιβλιοθήκη πολιτικών της Clarysec, τα πρακτικά σημεία αναφοράς της ροής εργασίας είναι ήδη καθορισμένα: Πολιτική Διατήρησης και Διάθεσης Δεδομένων, Πολιτική Διατήρησης Δεδομένων και Πολιτική Ασφαλούς Διάθεσης-sme, Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας, Πολιτική Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας-sme, Πολιτική Καταγραφής και Παρακολούθησης-sme, Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας-sme και Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης.

Αν το σχέδιο απόκρισης σε περιστατικά σας λέει «διατηρήστε τεκμήρια» αλλά δεν καθορίζει αρμοδιότητα νομικής δέσμευσης διατήρησης, πεδίο εφαρμογής τεκμηρίων, αναστολή διατήρησης, αλυσίδα φύλαξης, διατήρηση από προμηθευτές, ελαχιστοποίηση GDPR και κριτήρια άρσης, δεν είναι ακόμη έτοιμο για έλεγχο.

Δημιουργήστε τη διαδικασία πριν από την παραβίαση. Η Clarysec μπορεί να σας βοηθήσει να δημιουργήσετε τεκμηριώσιμη ικανότητα νομικής δέσμευσης διατήρησης και διατήρησης τεκμηρίων για κυβερνοπεριστατικά χρησιμοποιώντας το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές, το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης και πρότυπα πολιτικών της Clarysec, συμπεριλαμβανομένων της Πολιτικής Διατήρησης και Διάθεσης Δεδομένων, της Πολιτικής Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας, της Πολιτικής Ελέγχου και Παρακολούθησης Συμμόρφωσης, της Πολιτικής Καταγραφής και Παρακολούθησης-sme - SME, της Πολιτικής Προστασίας Δεδομένων και Ιδιωτικότητας-sme - SME και της Πολιτικής Συλλογής Τεκμηρίων και Ψηφιακής Εγκληματολογίας-sme - SME.

Κατεβάστε τις εργαλειοθήκες, ζητήστε ανασκόπηση πολιτικών από την Clarysec ή κλείστε αξιολόγηση ετοιμότητας διατήρησης τεκμηρίων πριν από τον επόμενο έλεγχο, εποπτικό αίτημα ή μείζονα ανασκόπηση ασφάλειας από πελάτη.