Küberintsidendi õiguslik säilitamiskohustus GDPR, NIS2 ja DORA kontekstis
Kell 4.17 sai Maria, ühe fintech SaaS-teenusepakkuja infoturbejuht, kõne, milleks iga infoturbejuht valmistub, kuid mida ta loodab mitte kunagi saada. Kriitilised tootmiskeskkonna serverid ei vastanud. Failid olid krüpteeritud. Noorema administraatori ekraanil oli avatud lunarahateade.
Kell 4.28 soovis intsidentidele reageerimise meeskond mõjutatud süsteemid isoleerida ja puhta taristu uuesti kasutusele võtta. Kell 4.41 küsis arendusmeeskond, kas nad võivad autentimisandmed roteerida, ajutised failid puhastada ja konteinerid uuesti üles ehitada. Kell 5.03 hoiatas andmekaitseametnik, et kompromiteeritud keskkond sisaldas klientide identifikaatoreid ja tehingute metaandmeid. Kell 5.16 liitus õigusnõustaja kriisikoosolekuga ühe juhisega: „Ärge hävitage võimalikku tõendusmaterjali. Meil võib olla vaja kehtestada õiguslik säilitamiskohustus.“ Kell 5.30 küsis COO, kas DORA teavitamiskohustused on käivitunud. Kell 6.00 meenus Mariale NIS2 ajaraam: varajane hoiatus võib olla nõutav 24 tunni jooksul, täpsem teavitus 72 tunni jooksul ja lõpparuanne ühe kuu jooksul.
Seejärel kõlas küsimus, mis määrab, kas küberintsident muutub õiguslikult kaitstavaks või kaootiliseks:
„Kas meil on logid endiselt alles?“
See on intsidentijärgse juhtimise probleem, mida paljud reageerimisplaanid alahindavad. Tuvastamisest, ohjeldamisest ja taastamisest ei piisa. 2026. aastal peavad organisatsioonid suutma ka tõendada, mis juhtus, säilitada asjakohast tõendusmaterjali, vältida kohtuekspertiisi artefaktide rikkumist, järgida GDPR-i andmete minimaalsuse põhimõtet, toetada NIS2 järelevalvet ning hoida DORA IKT-riski kirjeid viisil, mis peab vastu auditile, kohtuvaidlusele ja regulatiivsele läbivaatamisele.
Küberintsidendi õiguslik säilitamiskohustus ja tõendusmaterjali säilitamine asuvad turbeoperatsioonide, andmekaitse, õiguse, vastavuse, pilvearenduse, tarnijahaldus ja auditi kokkupuutepunktis. Kui protsess improviseeritakse rikkumise ajal, võib organisatsioon kaotada tõendusmaterjali, mida on vaja algpõhjuse analüüsiks, regulaatorile teavitamiseks, kindlustusnõueteks, kohtuvaidluses kaitseks, töötaja suhtes distsiplinaarmeetmete rakendamiseks ja kliendile kindlustunde andmiseks. Kui säilitamist tehakse ülemääraselt, võib organisatsioon hoida alles liiga palju isikuandmeid ja tekitada uue vastavusprobleemi.
Clarysec’i lähenemine käsitleb õiguslikku säilitamiskohustust kontrollitud ISMS-protsessina, mitte paanikareaktsioonina. Mudel seob ISO/IEC 27001:2022 juhtimise, ISO/IEC 27002:2022 tõendusmaterjali ja logimise kontrollimeetmed, GDPR-i vastutuse, NIS2 intsidentidest teavitamise ning DORA IKT-riski tõendusmaterjali üheks toimivaks süsteemiks. See süsteem määrab meeskondadele, mida säilitada, kes võib säilitamise heaks kiita, kui kaua tõendusmaterjal säilitamiskohustuse all on, kellel võib sellele juurdepääs olla ja millal võib kustutamine jätkuda.
Esimesed 24 tundi otsustavad, kas tõendusmaterjal säilib
Paljudes tegelikes intsidentides ei hävita tõendusmaterjali ründajad. Selle hävitavad tavapärased toimingud.
Pilvelogi säilitamisperiood lõpeb. Konteiner juurutatakse uuesti. Lõppseade paigaldatakse kujutisest uuesti enne mälutõmmise kogumist. SaaS-i administraator ekspordib uurimiseks CSV-faili ja muudab seejärel faili. Heatahtlik insener kustutab pahatahtlikud skriptid enne kohtuekspertiisilise koopia tegemist. Andmelao säilitustöö eemaldab kirjed, mida on vaja mõjutatud klientide tuvastamiseks.
Organisatsioon võib tegevuslikult siiski taastuda, kuid kaotab tõendusjõu. See erinevus on oluline.
GDPR-i kohaselt peab vastutav töötleja suutma tõendada vastavust andmekaitse põhimõtetele, sealhulgas terviklusele ja konfidentsiaalsusele, eesmärgi piirangule, andmete minimaalsusele ning säilitamise piirangule. Kui isikuandmete rikkumine põhjustab tõenäoliselt riski füüsilistele isikutele, võib Article 33 nõuda järelevalveasutuse teavitamist põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast rikkumisest teadasaamist. Kui rikkumine põhjustab tõenäoliselt suure riski füüsilistele isikutele, võib Article 34 nõuda mõjutatud andmesubjektide teavitamist.
NIS2 kohaselt peavad olulised ja tähtsad üksused olulisi intsidente haldama etapilise teavitamise ja järelevalve kaudu. DORA kohaselt peavad finantssektori üksused IKT-ga seotud intsidendid registreerima, suuremad intsidendid klassifitseerima, neist teavitama, tegema algpõhjuse analüüsi ning säilitama tõendusmaterjali IKT-varade, ärifunktsioonide ja kolmandate osapoolte sõltuvuste lõikes.
ISO/IEC 27001:2022 annab selleks juhtimissüsteemi struktuuri. Punkt 4.2 nõuab, et organisatsioon määraks kindlaks huvitatud osapoolte vajadused ja ootused, sealhulgas infoturbega seotud õiguslikud, regulatiivsed ja lepingulised nõuded. Punkt 4.3 nõuab, et ISMS-i kohaldamisala arvestaks liideseid ja sõltuvusi, mis on kriitiline siis, kui tõendusmaterjal asub pilveteenuse pakkuja, hallatud turvateenuse osutaja, makseplatvormi või sisseostetud kasutajatoe juures. Punkt 6.1 seob need kohustused infoturberiskide ja nende käsitlemisega. Punkt 7.5 nõuab kontrollitud dokumenteeritud teavet. Punkt 8 nõuab tegevuse planeerimist ja ohjet.
Clarysec’i Zenith Blueprint: auditeerija 30-sammuline teekaart selgitab, miks see tuleb kavandada enne intsidenti, mitte selle ajal. Etapis „Kontrollimeetmed praktikas“, samm 23, ütleb ISO/IEC 27002:2022 kontrollimeetme 5.28 juhis:
„Infoturbeintsidendi korral on reageerimise üks kriitilisemaid, kuid sageli tähelepanuta jäetud elemente tõendusmaterjal. Mitte logid, mitte ekraanitõmmised, mitte lahtised kirjeldused, vaid nõuetekohaselt säilitatud, tõendite valduse ahelat austav ja manipuleerimiskindel tõendusmaterjal.“
Sama samm 23 lisab, et „see, mida suudate tõendada, on sama oluline kui see, mis tegelikult juhtus“. See lause eristab intsidentidele reageerimist õiguslikult kaitstavast intsidentidele reageerimisest. Regulaator, kliendi audiitor, kohus, kindlustusandja või järelevalveasutus ei aktsepteeri suulist rekonstruktsiooni, kui organisatsioon ei suuda näidata säilitatud logisid, usaldusväärseid ajatempleid, kontrollitud kirjeid ja dokumenteeritud tõendite valduse ahelat.
Õiguslik säilitamiskohustus ei tähenda „hoia kõike igavesti alles“
Küberintsidendi õiguslik säilitamiskohustus on määratletud kirjete, logide, varukoopiate, kujutiste, kommunikatsiooni ja muu tõendusmaterjali tavapärase kustutamise või hävitamise ametlik peatamine, kui see võib olla asjakohane uurimise, kohtuvaidluse, regulatiivse päringu, auditi või lepingulise vaidluse jaoks.
Kõige tavalisem viga on käsitleda õiguslikku säilitamiskohustust üldise korraldusena: „Ärge kustutage midagi.“ See tekitab andmekaitse-, kulu- ja tegevusriski. GDPR ei kao küberintsidendi ajal. Isikuandmeid tuleb endiselt töödelda seaduslikult, õiglaselt ja läbipaistvalt, kindlaksmääratud eesmärkidel, piiratuna vajalikuga ning säilitades neid ainult nii kaua, kui vajalik. Article 5(2) lisab vastutuse põhimõtte, mis tähendab, et organisatsioon peab suutma neid otsuseid tõendada.
Siin muutub Clarysec’i poliitikateek praktiliseks. VKE-dele mõeldud andmete säilitamise poliitika ja turvalise hävitamise poliitika-sme sätestab:
„Õiguslik säilitamiskohustus ja kustutamise peatamine on ülimuslikud standardsete säilitamisnõuete suhtes ning takistavad andmete kustutamist.“
Suuremate organisatsioonide jaoks ütleb Enterprise Andmete säilitamise ja hävitamise poliitika punkt 6.4.1:
„Kui väljastatakse õiguslik säilitamiskohustus ja kustutamise peatamine (nt poolelioleva kohtuvaidluse, uurimise või auditi tõttu), tuleb andmed, mis muidu kuuluksid hävitamisele, säilitada kauem kui nende tavapärane säilitamisperiood.“
Sama Enterprise-poliitika nõuab, et säilitamiskohustus oleks:
„Dokumenteeritud ning heaks kiidetud õigusnõustaja ja andmekaitseametniku (DPO) poolt“
See heakskiidumudel ei ole bürokraatia. See on tasakaalumehhanism tõendusmaterjali säilitamise ja andmekaitselise piiramise vahel. Õigusnõustaja kinnitab kohtuvaidluse, uurimise või regulatiivse aluse. DPO kinnitab, et ulatus, eesmärk, isikuandmete kategooriad, juurdepääsukontrollid ja säilitamisaja pikendamine on jätkuvalt proportsionaalsed.
VKE-des, kus puudub täielik õigusosakond või DPO-funktsioon, võivad sama otsustusloogikat rakendada vCISO, andmekaitse eest vastutav isik, tegevjuht ja väline õigusnõustaja, tingimusel et volitus on dokumenteeritud, ajaliselt piiratud ja läbi vaadatud.
Vastavuspinge, mille iga infoturbejuht peab lahendama
Pärast tõsist intsidenti küsivad eri sidusrühmad erinevat tõendusmaterjali. Õigusfunktsioon soovib säilitamist. Andmekaitse soovib minimaalsust. Regulaatorid soovivad fakte. Operatsioonid soovivad taastamist. Kliendid soovivad kindlustunnet. Audiitorid soovivad objektiivset tõendusmaterjali.
| Regulatsioon või vajadus | Peamine nõue tõendusmaterjalile | Säilitamise mõju |
|---|---|---|
| NIS2 | Tõendada mõju, tõsidust ja kahtlustatavat põhjust etapiliseks intsidentidest teavitamiseks | Säilitada teavitused, kompromiteerimise indikaatorid, teenuse mõju andmed, tegevushäire kirjed ja otsustuslogid |
| DORA | Toetada intsidendi klassifitseerimist, teavitamist, kliendimõju analüüsi ja algpõhjuse ülevaatust | Säilitada tehnilised artefaktid, IKT-varade tõendusmaterjal, juhtkonna briifingud, tarnijatega suhtlus ja parandusmeetmete kirjed |
| GDPR | Tõendada eesmärgi piirangut, andmete minimaalsust, säilitamise piirangut ja töötlemise turvalisust | Põhjendada isikuandmete säilitamist, piirata juurdepääsu ning kustutada või anonüümida tõendusmaterjal pärast säilitamiskohustuse lõpetamist |
| Kohtuvaidlus | Esitada õiguslikult kaitstav, muutmata tõendusmaterjal selge tõendite valduse ahelaga | Külmutada asjakohased andmed ametliku säilitamiskohustuse alusel ning säilitada kogumise, juurdepääsu ja edastamise kirjed |
| Kliendilepingud | Tõendada teavitamise, teenuse mõju, parandusmeetmete ja koostöökohustuste täitmist | Säilitada kliendisuhtlus, SLA analüüs, intsidendiaruanded ja lepingulise reageerimise kirjed |
Nende nõuete haldamine eraldi andmekaitse-, õigus-, SOC- ja audititöövoogudes loob vastuolusid. Ühtne ISO/IEC 27001:2022 ISMS muudab need ühe riski-, kontrolli- ja tõendusmaterjali protsessi osaks.
Kontrollimeetmete kogum õiguslikult kaitstavaks tõendusmaterjali säilitamiseks
Küberintsidendi õiguslik säilitamiskohustus ei ole üks ISO/IEC 27002:2022 kontrollimeede. See on kontrollimeetmete vaheline seos.
Clarysec’i Zenith Controls: ristvastavuse juhend kaardistab ISO/IEC 27002:2022 kontrollimeetme 5.28, tõendite kogumine, korrigeeriva kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust. See paikneb küberturbe kontseptsioonides Detect ja Respond ning infoturbe sündmuste halduse tegevusvõimekuses.
Sama Zenith Controls juhend seob 5.28 infoturbeintsidentidele reageerimise, logimise ja seire, kirjete kaitse ning sündmustest teavitamisega. Loogika on praktiline: intsidentidele reageerijad vajavad logisid ja artefakte enne, kui parandusmeetmed sündmuspaika muudavad; regulatiivsed teavitajad vajavad usaldusväärseid fakte; uurijad vajavad tõendusmaterjali, mida ei ole muudetud.
ISO/IEC 27002:2022 kontrollimeede 5.33, kirjete kaitse, on sama oluline. See toetab õiguslikke ja vastavusnõudeid, varahaldust ja teabekaitset. See seob kirjete kaitse klassifitseerimise, varukoopiate, turvalise hävitamise, õiguslike ja lepinguliste nõuete, juurdepääsukontrolli ja intsidentidele reageerimisega. Praktikas ei pea õiguslik säilitamiskohustus tõendusmaterjali ainult koguma. See peab kaitsma ka tõendusmaterjali kirje enda terviklust, konfidentsiaalsust ja käideldavust.
Logimise puhul on aluseks ISO/IEC 27002:2022 kontrollimeede 8.15, logimine. See seostub kontrollimeetmega 8.16, seiretegevused, ja 8.17, kella sünkroniseerimine. Kui logid on puudulikud, administraatorite poolt muudetavad, ajaliselt sünkroniseerimata või neid säilitatakse liiga lühikest aega, võib tõendusmaterjali protsess ebaõnnestuda enne uurimise algust.
| Tõendusmaterjali vajadus | ISO/IEC 27002:2022 kontrollimeetmete seos | Miks see pärast rikkumist oluline on |
|---|---|---|
| Säilitada artefaktid enne parandusmeetmeid | 5.28 tõendite kogumine seotuna 5.26 infoturbeintsidentidele reageerimisega | Takistab reageerijatel intsidenti ohjeldades tõendusjõu hävitamist |
| Kaitsta uurimiskirjeid | 5.33 kirjete kaitse seotuna 5.31 õiguslike, seadusest tulenevate, regulatiivsete ja lepinguliste nõuetega ning 5.15 juurdepääsukontrolliga | Tagab, et tõendusmaterjali failid, aruanded ja kinnitused jäävad terviklikuks ja piiratud juurdepääsuga |
| Säilitada usaldusväärsed logid | 8.15 logimine seotuna 8.16 seiretegevuste ja 8.17 kella sünkroniseerimisega | Toetab sündmuste ajajooni, omistamist, mõjuhindamist ja regulatiivset teavitamist |
| Tasakaalustada andmekaitset | 5.34 privaatsus ja PII kaitse seotuna logimise ja kirjete kaitsega | Väldib isikuandmete ülemäärast säilitamist või kontrollimatut avalikustamist |
| Taastada tõendusmaterjali käideldavus | 8.13 teabe varundamine seotuna kirjete kaitsega | Aitab taastada kirjed ja logid, kui süsteemid on rikutud, krüpteeritud või kustutatud |
| Parandada pärast intsidenti | 5.27 infoturbeintsidentidest õppimine seotuna parandusmeetmetega | Muudab õppetunnid riskikäsitluseks, kontrollimeetmete täiustamiseks ja audititõendusmaterjaliks |
Zenith Blueprint, etapis „Kontrollimeetmed praktikas“, samm 19, tugevdab seda logimise praktilise sõnastusega:
„Logid, mis registreerivad tegevusi, erandeid, tõrkeid ja muid asjakohaseid sündmusi, tuleb luua, salvestada, kaitsta ja analüüsida.“
Samuti hoiatab see, et logide kaitse hõlmab juurdepääsu piiramist ning selliste mehhanismide kasutamist nagu räsimine või üks kord kirjutatav (WORM) salvestus, et vältida manipuleerimist. Samm 19 seob kella sünkroniseerimise kohtuekspertiisilise koherentsusega, selgitades, et sünkroniseeritud kellad võimaldavad eri süsteemide logisid uurimise jaoks joondada.
GDPR-i vastutus: säilita vajalik, põhjenda säilitatut
GDPR tekitab intsidendi tõendusmaterjali säilitamisel kõige nähtavama pinge. Turbemeeskonnad soovivad sageli rohkem andmeid. Andmekaitsemeeskonnad soovivad vähem. Õiguslikult kaitstav õiguslik säilitamiskohustus viib mõlemad kooskõlla.
Logid ja artefaktid võivad sisaldada IP-aadresse, kasutaja ID-sid, e-posti aadresse, seadme identifikaatoreid, autentimiskirjeid, kasutajatoe piletite teksti, ekraanitõmmiseid, kliendieksporte või eriliiki isikuandmeid. Tõendusmaterjali säilitamine on seega töötlemine. Õigusliku säilitamiskohustuse teates tuleb dokumenteerida õiguslik alus, eesmärk, ulatus, juurdepääsupiirangud, säilitamise läbivaatamise kuupäev ja hävitamise käivitaja.
Clarysec’i VKE Andmekaitse ja privaatsuspoliitika-sme sätestab:
„Koguda ja säilitada tohib ainult minimaalselt vajalikke isikuandmeid“
Enterprise Tõendite kogumise ja kohtuekspertiisi poliitika seob kohtuekspertiisi tõendusmaterjali käsitlemise selgelt järgmisega:
„GDPR Article 5, sealhulgas eesmärgi piirang ja andmete minimaalsus“
See on tegevuspõhimõte. Ärge säilitage tervet tootmiskeskkonna andmebaasi, kui asjakohane tõendusmaterjal on kitsas auditijälg, juurdepääsulogi, päringukirje ja mõjutatud kasutajate loend. Ärge andke igale reageerijale juurdepääsu toorandmetele, kui piisavad pseudonüümitud väljavõtted või rollipõhine juurdepääs. Ärge hoidke intsidendi artefakte määramata aja jooksul pärast seda, kui õiguslik, regulatiivne ja auditivajadus on lõppenud.
Hea GDPR-teadlik õigusliku säilitamiskohustuse kirje vastab seitsmele küsimusele:
- Milline intsident või uurimine käivitas säilitamiskohustuse?
- Millised isikuandmete kategooriad võivad olla hõlmatud?
- Miks on iga tõendusmaterjali kategooria vajalik?
- Kes ja millal säilitamiskohustuse heaks kiitis?
- Kellel on tõendusmaterjalile juurdepääs?
- Millal säilitamiskohustus läbi vaadatakse?
- Milline kustutamise või turvalise hävitamise protsess jätkub pärast säilitamiskohustuse lõpetamist?
Nii väldib tõendusmaterjali säilitamine andmekaitselist ülemäärast säilitamist.
NIS2: õiguslik säilitamiskohustus etapiliseks intsidentidest teavitamiseks
Kohaldamisalasse kuuluvate organisatsioonide jaoks muudab NIS2 tõendusmaterjali ootuse „sisemiselt kasulikust“ „järelevalveks vajalikuks“.
NIS2 kohaldub paljudele EL-i olulistele ja tähtsatele üksustele, sealhulgas digitaalse taristu teenuseosutajatele, pilveteenuse pakkujatele, andmekeskuse teenuseosutajatele, sisuedastusvõrkudele, usaldusteenuse osutajatele, elektroonilise side teenuseosutajatele, hallatud teenusepakkujatele, hallatud turvateenuse pakkujatele ning teatud digiteenuse osutajatele, nagu veebipõhised kauplemiskohad, interneti otsingumootorid ja sotsiaalvõrgustiku platvormid.
Article 21 nõuab asjakohaseid ja proportsionaalseid tehnilisi, tegevuslikke ja organisatsioonilisi meetmeid, sealhulgas riskianalüüsi, intsidentide käsitlemist, talitluspidevust, tarneahela turvalisust, turvalist arendust, tõhususe hindamist, koolitust, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ja autentimist. Article 20 teeb juhtorganid nende meetmete heakskiitmise ja järelevalve eest vastutavaks.
Õigusliku säilitamiskohustuse seisukohast on NIS2 keskne küsimus Article 23. Olulised intsidendid nõuavad etapilist teavitamist: varajane hoiatus 24 tunni jooksul pärast teadasaamist, intsidenditeavitus 72 tunni jooksul, vahearuanded taotluse korral ja lõpparuanne hiljemalt ühe kuu jooksul pärast 72-tunnist teavitust. Lõpparuanne vajab kirjeldust, tõsidust, mõju, tõenäolist ohutüüpi või algpõhjust, leevendusmeetmeid ja vajaduse korral piiriülest mõju.
| NIS2 teavitusetapp | Vajalik tõendusmaterjal | Õigusliku säilitamiskohustuse tegevus |
|---|---|---|
| 24 tunni varajane hoiatus | Esmane tuvastamisaeg, kahtlustatav pahatahtlik tegevus, mõjutatud teenus ja võimalik piiriülene mõju | Külmutada SOC-i teavitused, intsidendipilet, identiteedilogid ja pilvekeskkonna auditijäljed |
| 72 tunni teavitus | Tõsidus, mõju, kompromiteerimise indikaatorid, tegevushäire ja finantskahju indikaatorid | Säilitada kohtuekspertiisi eksportfailid, mõjutatud varade register, IOC-d, ärimõju märkmed ja kommunikatsioonikirjed |
| Vahearuanded | Hetkeseis, ohjeldamise edenemine ja ametiasutuse küsimused | Hoida versioonitud uurimiskirjet ja reageerimisotsuste logi |
| Lõpparuanne | Algpõhjus, intsidendi kirjeldus, tõsidus, mõju, leevendus ja piiriülene mõju | Säilitada algpõhjuse tõendusmaterjal, parandusmeetmete tõendusmaterjal, õppetunnid ja kinnituste auditijälg |
Kui intsident mõjutab isikuandmeid, võivad NIS2 pädevad asutused teha koostööd GDPR-i järelevalveasutustega. See suurendab vajadust ühe tõendusnarratiivi järele, mis toetab nii küberturbe järelevalvet kui ka andmekaitsealast vastutust.
DORA: IKT-riski tõendusmaterjal ulatub turbelogidest kaugemale
Finantssektori üksuste jaoks on DORA sektorispetsiifiline operatsioonilise toimepidevuse kord. Seda kohaldatakse alates 17. jaanuarist 2025 ning see hõlmab IKT-riski juhtimist, olulistest IKT-intsidentidest teavitamist, toimepidevuse testimist, teabejagamist ja IKT kolmandate osapoolte riskijuhtimist. Finantssektori üksuste puhul, kes on NIS2 alusel samuti olulised või tähtsad, toimib DORA üldjuhul IKT-riski ja intsidentidest teavitamise valdkonna sektorispetsiifilise liidu õigusaktina.
DORA on tõendusmaterjalimahukas juba ülesehituselt. Article 17 nõuab IKT-ga seotud intsidendihalduse protsessi. Article 18 käsitleb IKT-ga seotud intsidentide ja küberohtude klassifitseerimist. Article 19 käsitleb olulistest IKT-ga seotud intsidentidest teavitamist. Finantssektori üksused peavad samuti hoidma juhtimis- ja kontrollikorraldust, tuvastama kriitilised või olulised funktsioonid, dokumenteerima IKT-varad ja sõltuvused ning tegema algpõhjuse analüüsi.
See tähendab, et DORA õiguslik säilitamiskohustus peab hõlmama operatsioonilise toimepidevuse tõendusmaterjali, mitte ainult turbeartefakte. Pärast maksetoiminguid mõjutavat pilveidentiteedi kompromiteerimist võib säilitamiskohustus hõlmata identiteedipakkuja logisid, privilegeeritud juurdepääsu ajalugu, pilvekeskkonna auditilogisid, SIEM-i teavitusi, lõppseadmete kujutisi, klienditehingute mõjuanalüüsi, talitluspidevuse aktiveerimise kirjeid, varunduse ja taaste tõendusmaterjali, tarnijasuhtlust, juhtorgani briifinguid, algpõhjuse analüüsi ja parandusmeetmete valideerimist.
DORA muudab vältimatuks ka IKT kolmandate osapoolte tõendusmaterjali. Articles 28 kuni 30 nõuavad IKT kolmandate osapoolte riskijuhtimist, lepinguliste kokkulepete registreid, taustakontrolli, kontsentratsiooniriski hindamist ning kirjalikke lepinguid õiguste ja kohustustega. Kriitiliste või oluliste funktsioonide puhul peavad lepingud toetama teenuseosutaja teavitamis- ja aruandluskohustusi, intsidendiabi, koostööd ametiasutustega, juurdepääsu-, kontrolli- ja auditeerimisõigusi ning väljumisstrateegiaid.
Kui asjakohaseid logisid hoiab teie pilveteenuse pakkuja, MSP, MSSP, maksetöötleja või SaaS-sõltuvus, peab teie õigusliku säilitamiskohustuse protsess olema juba tarnijalepingutesse sisse ehitatud. Vastasel juhul võite olulise intsidendi ajal avastada, et teenuseosutaja standardne säilitamisaken on lühem kui teie regulatiivse teavitamise elutsükkel.
Kuidas Clarysec rakendab õiguslikku säilitamiskohustust SaaS-rikkumise ajal
Võtame Maria fintech SaaS-keskkonna. Intsident võib hõlmata loata juurdepääsu klientide identifikaatoritele, tehingute metaandmetele, administraatorisüsteemidele ja sisseostetud SOC-i kirjetele. Ettevõte teenindab EL-i finantsasutusi, tugineb pilvetaristule ning võib seista silmitsi GDPR-i, DORA lepinguliste kohustuste ja NIS2 kohustustega.
Esimene tegevus ei ole kõike säilitada. Esimene tegevus on käivitada kontrollitud otsus.
Intsidenti juhtiv isik saadab õigusliku säilitamiskohustuse taotluse õigusnõustajale, DPO-le või andmekaitsejuhile, infoturbejuhile ja ettevõtte omanikule. Taotlus sisaldab intsidendi ID-d, kuupäeva ja kellaaega, mõjutatud süsteeme, kahtlustatavaid andmekategooriaid, esialgseid regulatiivseid teid, kavandatud tõendusmaterjali kategooriaid ning vahetuid kustutamisriske.
Enterprise Andmete säilitamise ja hävitamise poliitika alusel dokumenteeritakse säilitamiskohustus ning selle kiidavad heaks õigusnõustaja ja DPO. VKE-de puhul annab andmete säilitamise poliitika ja turvalise hävitamise poliitika-sme kustutamise peatamise reegli. Volitus sisaldab läbivaatamise kuupäeva, mis on kooskõlas uurimise verstapostide, regulatiivse teavitamise tähtaegade ning eeldatava kohtuvaidluse või lepingulise vaidluse riskiga. See ei ütle „igavesti“. See ütleb „kuni volitatud otsusega pärast läbivaatamist lõpetamiseni“.
Seejärel külmutab meeskond asjakohased logid ja artefaktid. VKE logimis- ja seirepoliitika-sme sätestab:
„Logid tuleb panna õigusliku säilitamiskohustuse ja kustutamise peatamise alla ning kaitsta muutmise või kustutamise eest“
Meeskond peatab kustutamise SIEM-i juhtumite, identiteedilogide, pilvekeskkonna auditilogide, rakenduslogide, andmebaasi päringulogide, WAF-i sündmuste ja SOC-i teavituste metaandmete puhul. Eksporditud logid salvestatakse piiratud juurdepääsuga tõendusmaterjali hoidlasse, kasutades vajaduse korral räsimist, versioonihaldust ja kirjutuskaitstud õigusi.
Kogumisreegel on lihtne: säilita tõendusmaterjal ilma originaale muutmata. VKE Tõendite kogumise ja kohtuekspertiisi poliitika-sme sätestab:
„Alati tuleb luua kohtuekspertiisiline koopia või eksport; originaaltõendusmaterjali ei tohi kunagi otse muuta.“
Insenerid võivad parandusmeetmeid rakendada, kuid alles pärast nõutud tõmmiste, eksportide või kohtuekspertiisiliste koopiate tegemist, välja arvatud juhul, kui vahetu ohjeldamine on vajalik jätkuva kahju vältimiseks. Kui erakorralised parandusmeetmed toimuvad enne kogumist, dokumenteeritakse põhjus.
Sama VKE-poliitika ütleb:
„Iga intsidendi kohta tuleb pidada lihtsat tõendite valduse ahela logi (nt Exceli fail või mallidokument).“
Enterprise-keskkondade puhul nõuab Tõendite kogumise ja kohtuekspertiisi poliitika punkt 5.6:
„Tõendite valduse ahela logi peab kaasas käima kogu füüsilise või digitaalse tõendusmaterjaliga alates kogumise hetkest kuni arhiveerimise või üleandmiseni ning peab dokumenteerima:“
Praktikas salvestab tõendite valduse ahela logi tõendusmaterjali ID, kirjelduse, allikasüsteemi, koguja, kogumismeetodi, vajaduse korral räsiväärtuse, ajaallika, salvestuskoha, juurdepääsusündmused, üleandmised, analüüsikoopiad ja lõpliku hävitamise.
Lõpuks tuleb kaitsta ka uurimiskirjet ennast. Enterprise Auditi ja vastavusseire poliitika sätestab:
„Kõik auditilogid, leiud ja parandusmeetmete aruanded tuleb säilitada, krüpteerida ning kaitsta manipuleerimise eest.“
See nõue kehtib intsidendi ajajoone, otsustuslogi, õigusliku säilitamiskohustuse teate, regulaatoritega suhtluse, kliendisuhtluse, algpõhjuse analüüsi ja parandusmeetmete tõendusmaterjali kohta.
Dokumenteeritud teave, mida audiitorid kontrollivad
ISO/IEC 27001:2022 punkt 7.5 nõuab, et ISMS-i jaoks vajalik ja standardi nõutav dokumenteeritud teave oleks kontrollitud. Zenith Blueprint, etapis „ISMS-i alus ja juhtimine“, samm 6, tõlgib selle praktilisteks nõueteks: dokumentidel peab olema identifitseerimine, vorming, läbivaatamine, heakskiit, versioonihaldus, kontrollitud juurdepääs, tervikluse kaitse, muudatuste ohje, säilitamine ja hävitamine.
Samm 6 märgib samuti, et sellised kirjed nagu seirelogid, auditiaruanded ja intsidendi uurimisfailid võivad olla konfidentsiaalsed ning neid tuleb jagada teadmisvajaduse alusel, piirates muutmisõigused volitatud kasutajatega.
Õiguslikult kaitstav tõendusmaterjali pakett peaks sisaldama järgmist:
- Õigusliku säilitamiskohustuse teade ja heakskiit.
- Intsidendi klassifikatsioon ja tõsiduse otsus.
- Tõendusmaterjali register.
- Tõendite valduse ahela logi.
- Logide säilitamise kinnitus.
- Kohtuekspertiisilise kujutise või ekspordi kirjed.
- Vajaduse korral räsiväärtused või tervikluskontrollid.
- Tõendusmaterjali hoiukoha juurdepääsuloend.
- Regulatiivse teavitamise tõendusmaterjal.
- Andmekaitse hinnang ja isikuandmete mõjuanalüüs.
- Tarnijale esitatud tõendusmaterjali taotlused ja vastused.
- Algpõhjuse analüüs.
- Parandusmeetmete ja valideerimise tõendusmaterjal.
- Säilitamiskohustuse läbivaatamise ja lõpetamise otsus.
Mida tugevam on dokumenteeritud teabe kontroll, seda lihtsam on audit.
Tarnija- ja pilvetõendusmaterjal: rike, mida paljud meeskonnad ei märka
Kõige keerulisem tõendusmaterjal ei asu sageli teie organisatsiooni sees. Seda hoiab pilveteenuse pakkuja, SaaS-platvorm, MSSP, MSP, maksetöötleja, identiteedipakkuja või sisseostetud arendusmeeskond.
NIS2 Article 21 hõlmab tarneahela turvalisust ning otseste tarnijate või teenuseosutajatega suhete turbeaspekte. DORA läheb finantssektori üksuste puhul kaugemale, nõudes IKT kolmandate osapoolte registreid, taustakontrolli, kontsentratsiooniriski analüüsi ning lepinguid intsidendiabi, teenuseosutaja teavitamise, ametiasutustega koostöö, auditeerimisõiguste ja kriitiliste või oluliste funktsioonide väljumissätetega.
NIST Cybersecurity Framework 2.0 käsitleb tarneahela riski samuti elutsükli distsipliinina. Selle Govern Function sisaldab tarnijariskide juhtimise tulemusi strateegia, rollide, lepingute, taustakontrolli, seire, intsidendis osalemise ja väljumissätete kohta. CSF Profiles võimaldab väljendada tarnijatele sihtküberturbe nõudeid, mis on kasulik õigusliku säilitamiskohustuse tõendusmaterjali vajaduste tõlkimisel lepingutingimusteks.
Tarnijalepingud peavad käsitlema järgmist:
- Kliendile kättesaadavad turbelogide tüübid.
- Vaikimisi säilitamisperioodid ja pikendatud säilitamise võimalused.
- Erakorralise säilitamistaotluse protsess.
- Aeg tõendusmaterjali säilitamiseks pärast kliendi taotlust.
- Kohtuekspertiisi ekspordivormingud.
- Tõendite valduse ahela tugi.
- Koostöö regulaatoriga.
- Alltöötleja või alltöövõtja tõendusmaterjali kohustused.
- Andmete asukoha ja edastamise piirangud.
- Turvaline kustutamine pärast säilitamiskohustuse lõpetamist.
Zenith Blueprint, etapis „Kontrollimeetmed praktikas“, samm 18, annab sarnase distsipliini füüsiliste andmekandjate üleandmiseks, nõudes krüptimist, võltsimiskindlat pakendamist, jälgimist, transpordilogisid, andmekandjate registrit ja registri auditit. Sama loogika kehtib pilvetõendusmaterjali üleandmisel: säilita terviklus, jälgi valdust, piira juurdepääsu ja kinnita kättesaamine.
Kuidas audiitorid ja regulaatorid teie õigusliku säilitamiskohustuse protsessi testivad
Õigusliku säilitamiskohustuse protsess näeb eri ülevaatajate mandaadi korral erinev välja. Clarysec kasutab Zenith Controls juhendit ristvastavuse kompassina, et sama tõendusmaterjali pakett saaks rahuldada mitut vaatenurka ilma tööd dubleerimata.
| Audiitori vaatenurk | Mida audiitor küsib | Tõendusmaterjal, mille Clarysec ette valmistab |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | Kas õiguslik säilitamiskohustus on osa ISMS-ist, riskikäsitlusest, dokumenteeritud teabest ja intsidentidele reageerimise protsessist? | ISMS-i kohaldamisala, huvitatud osapoolte nõuded, kohaldatavusdeklaratsioon, intsidendiprotseduur, tõendusmaterjali poliitika, säilitamispoliitika ja kontrollitud kirjed |
| ISO/IEC 27002:2022 kontrollimeetmete ülevaataja | Kas 5.28 tõendite kogumine, 5.33 kirjete kaitse ja 8.15 logimine on rakendatud ja omavahel seotud? | Tõendusmaterjali register, tõendite valduse ahela logi, manipuleerimiskaitse, logide säilitamise seaded, kella sünkroniseerimise tõendus ja juurdepääsukontrollid |
| GDPR-i audiitor või DPO ülevaataja | Kas isikuandmeid säilitati ainult vajalikus ulatuses ning dokumenteeritud eesmärgi ja õigusliku aluse alusel? | Andmekaitse hinnang, andmete minimaalsuse põhjendus, juurdepääsupiirangud, säilitamise läbivaatamine ning kustutamise või turvalise hävitamise tõendus |
| NIS2 järelevalve ülevaataja | Kas üksus suudab toetada 24 tunni, 72 tunni ja lõpparuandlust usaldusväärsete faktidega? | Intsidendi ajajoon, tõsiduse hindamine, IOC-d, mõju tõendusmaterjal, piiriülene analüüs, juhtkonna kinnitused ja kommunikatsioon |
| DORA IKT-riski ülevaataja | Kas intsidendid registreeritakse, klassifitseeritakse, eskaleeritakse, neist teavitatakse, neile tehakse algpõhjuse analüüs ja need viiakse tagasi IKT-riski juhtimisse? | Intsidentide register, klassifitseerimiskriteeriumid, juhtorgani aruandlus, algpõhjuse analüüs, parandusmeetmete valideerimine ja tarnija tõendusmaterjal |
| NIST CSF 2.0 hindaja | Kas juhtimise, riski, tarnija, tuvastamise, reageerimise ja taastamise tulemused on integreeritud ühte profiili? | Praegused ja sihtprofiilid, puudujääkide plaan, tarnijanõuded, seire tõendusmaterjal ja intsidendi õppetunnid |
| COBIT 2019 või ISACA audiitor | Kas juhtimiseesmärgid, vastutus, teabe kvaliteet, kontrollimeetmete seire ja kindlust andev tõendusmaterjal on usaldusväärsed? | RACI, kontrollimeetmete omamine, juhtkonna läbivaatamine, auditijälg, probleemide jälgimine, parandusmeetmete sulgemine ja tulemusmõõdikud |
ISO audiitor keskendub vastavusele ja objektiivsele tõendusmaterjalile. GDPR-i ülevaataja keskendub vajalikkusele, eesmärgi piirangule ja tõendatavale vastutusele. NIS2 ülevaataja keskendub olulise intsidendi teavitamise faktidele ja juhtkonna vastutusele. DORA ülevaataja keskendub IKT-riski juhtimisele, oluliste intsidentide käsitlemisele, kolmandate osapoolte sõltuvustele ja õppetundidele. COBIT 2019 või ISACA-stiilis audiitor keskendub juhtimisele, kontrollide disainile, kontrollide toimimisele ja teabe kvaliteedi tagamisele.
Üks tõendusmaterjali pakett saab neid kõiki teenida, kui see on nii kavandatud.
Praktiline küberintsidendi õigusliku säilitamiskohustuse kontrollnimekiri 2026. aastaks
Kasutage seda kontrollnimekirja enne järgmist tõsist intsidenti, mitte selle ajal.
| Kontrollküsimus | Oodatav vastus |
|---|---|
| Kes võib kehtestada küberintsidendi õigusliku säilitamiskohustuse? | Heaks kiidavad õigusnõustaja ja DPO või andmekaitse eest vastutav isik; algatavad infoturbejuht ja intsidenti juhtiv isik |
| Mis käivitab säilitamiskohustuse? | Kahtlustatav tõsine turbeintsident, isikuandmete rikkumine, võimalik regulatiivne teavitamine, kohtuvaidluse risk, õiguskaitseasutuse päring, kliendiaudit või lepinguline vaidlus |
| Milline tõendusmaterjal kuulub kohaldamisalasse? | Logid, teavitused, kohtuekspertiisilised kujutised, tõmmised, piletid, kommunikatsioon, mõjuanalüüs, tarnijakirjed, juhtkonna otsused ja parandusmeetmete tõendusmaterjal |
| Kuidas tõendusmaterjali kaitstakse? | Piiratud juurdepääs, krüptimine, manipuleerimiskaitse, vajaduse korral räsimine, muutmatu või kirjutuskaitstud salvestus ning jälgitav juurdepääs |
| Kuidas tõendite valduse ahelat hoitakse? | Tõendusmaterjali register dokumenteerib kogumise, koguja, aja, meetodi, salvestuskoha, üleandmise, juurdepääsu ja hävitamise |
| Kuidas käsitletakse GDPR-i andmete minimaalsust? | Ulatus piiratakse vajaliku tõendusmaterjaliga, juurdepääs isikuandmetele on piiratud, läbivaatamise kuupäevad määratakse ja kustutamine jätkub pärast lõpetamist |
| Kuidas tarnijad kaasatakse? | Lepingud nõuavad tõendusmaterjali säilitamist, intsidendiabi, auditikoostööd ja säilitamisaja pikendamist taotluse korral |
| Kuidas lõpetamine toimub? | Volitatud läbivaatamine otsustab, kas säilitamiskohustust jätkata, kitsendada või lõpetada ning jätkata turvalise hävitamisega |
See kontrollnimekiri muutub tugevamaks, kui see on integreeritud ISMS-i riskikäsitluse plaani, tarnijate turbenõuetesse, intsidentidele reageerimise tööjuhistesse, logimisarhitektuuri ja andmekaitse juhtimisse.
Rikkumisjärgsest paanikast auditivalmis vastupidavuseni
Kell 4 hommikul saabuv kõne on alati stressirohke. See ei pea muutuma kaoseks.
Küps küberintsidendi õigusliku säilitamiskohustuse protsess annab igale sidusrühmale kontrollitud tee. Õigusfunktsioon saab õiguslikult kaitstava säilitamise. Andmekaitse saab minimaalsuse ja läbivaatamise. Infoturbejuht saab tõendusmaterjali tervikluse. DPO saab vastutuse tõendamise. Juhatus saab usaldusväärsed faktid. NIS2, DORA ja GDPR ülevaatajad saavad improviseeritud selgituste asemel objektiivse tõendusmaterjali.
Clarysec’i 30-sammuline metoodika ei käsitle õiguslikku säilitamiskohustust eraldiseisva õigusmemorandumina. See käsitleb seda ISMS-i tegevusvõimekusena.
Zenith Blueprint samm 6 loob dokumenteeritud teabe kogu, sealhulgas säilitamise ja hävitamise reeglid. Samm 19 tugevdab logimist ja kella sünkroniseerimist, et uurimised saaksid ajajooni rekonstrueerida. Samm 23 muudab tõendite kogumise ja tõendite valduse ahela tegevuslikuks. Samm 18 lisab andmekandjate käitlemise distsipliini olukordades, kus tõendusmaterjal liigub füüsiliselt või osapoolte vahel.
Zenith Controls juhendis seob Clarysec aluseks olevad ISO/IEC 27002:2022 kontrollimeetmed, et kliendid näeksid, kuidas tõendite kogumine sõltub logimisest, seirest, intsidentidele reageerimisest, kirjete kaitsest, juurdepääsukontrollist, varukoopiatest, andmekaitsest ja õiguslikest nõuetest.
Clarysec’i poliitikateegis on praktilised töövoo ankrud juba määratletud: Andmete säilitamise ja hävitamise poliitika, andmete säilitamise poliitika ja turvalise hävitamise poliitika-sme, Tõendite kogumise ja kohtuekspertiisi poliitika, Tõendite kogumise ja kohtuekspertiisi poliitika-sme, logimis- ja seirepoliitika-sme, Andmekaitse ja privaatsuspoliitika-sme ning Auditi ja vastavusseire poliitika.
Kui teie intsidentidele reageerimise plaan ütleb „säilita tõendusmaterjal“, kuid ei määratle õigusliku säilitamiskohustuse volitust, tõendusmaterjali ulatust, säilitamise peatamist, tõendite valduse ahelat, tarnija säilitamiskohustust, GDPR-i andmete minimaalsust ja lõpetamiskriteeriume, ei ole see veel auditivalmis.
Loo protsess enne rikkumist. Clarysec saab aidata teil luua õiguslikult kaitstava küberintsidendi õigusliku säilitamiskohustuse ja tõendusmaterjali säilitamise võimekuse, kasutades Zenith Blueprint: auditeerija 30-sammuline teekaart, Zenith Controls: ristvastavuse juhend ning Clarysec’i poliitikamalle, sealhulgas Andmete säilitamise ja hävitamise poliitika, Tõendite kogumise ja kohtuekspertiisi poliitika, Auditi ja vastavusseire poliitika, logimis- ja seirepoliitika-sme - VKE, Andmekaitse ja privaatsuspoliitika-sme - VKE ning Tõendite kogumise ja kohtuekspertiisi poliitika-sme - VKE.
Laadige tööriistakomplektid alla, taotlege Clarysec’i poliitikaülevaatust või broneerige tõendusmaterjali säilitamise valmisoleku hindamine enne järgmist auditit, järelevalvepäringut või suure kliendi turbeülevaatust.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
