Tietoturvapoikkeaman oikeudellinen säilytysvelvoite GDPR:n, NIS2:n ja DORA:n näkökulmasta
Kello 4.17 Maria, fintech-SaaS-palveluntarjoajan tietoturvajohtaja, sai puhelun, johon jokainen tietoturvajohtaja varautuu mutta jonka jokainen toivoo jäävän tulematta. Kriittiset tuotantopalvelimet eivät vastanneet. Tiedostot oli salattu. Nuoremman järjestelmänvalvojan näytöllä oli avoinna lunnasvaatimus.
Kello 4.28 tietoturvapoikkeamiin reagoinnin tiimi halusi eristää vaikutuksen kohteena olevat järjestelmät ja ottaa käyttöön puhtaan infrastruktuurin. Kello 4.41 kehitystiimi kysyi, voisiko se kierrättää tunnistetiedot, poistaa väliaikaiset tiedostot ja rakentaa kontit uudelleen. Kello 5.03 tietosuojavastaava varoitti, että vaarantunut ympäristö sisälsi asiakkaiden tunnisteita ja tapahtumien metatietoja. Kello 5.16 juridinen neuvonantaja liittyi kriisipuheluun yhdellä ohjeella: ”Älkää tuhotko mahdollista todistusaineistoa. Saatamme tarvita oikeudellisen säilytysvelvoitteen.” Kello 5.30 operatiivinen johtaja kysyi, olivatko DORA-raportointivelvoitteet käynnistyneet. Kello 6.00 Maria muisti NIS2:n aikarajat: varhaisvaroitus voidaan joutua antamaan 24 tunnin kuluessa, kattavampi ilmoitus 72 tunnin kuluessa ja loppuraportti kuukauden kuluessa.
Sitten tuli kysymys, joka ratkaisee, muuttuuko tietoturvapoikkeama puolustettavissa olevaksi vai kaoottiseksi:
”Onko meillä lokit vielä tallessa?”
Tämä on poikkeaman jälkeinen hallinnointiongelma, jota monet reagointisuunnitelmat aliarvioivat. Ei riitä, että poikkeama havaitaan, rajataan ja siitä palaudutaan. Vuonna 2026 organisaatioiden on myös pystyttävä osoittamaan, mitä tapahtui, säilyttämään relevantti todistusaineisto, estämään forensisten artefaktien turmeltuminen, noudattamaan GDPR:n tietojen minimointia, tukemaan NIS2-valvontaa ja ylläpitämään DORA:n mukaisia ICT-riskitallenteita, jotka kestävät auditoinnin, oikeudenkäynnin ja sääntelytarkastelun.
Tietoturvapoikkeaman oikeudellinen säilytysvelvoite ja todistusaineiston säilyttäminen sijoittuvat tietoturvaoperaatioiden, tietosuojan, lakiasioiden, vaatimustenmukaisuuden, pilvi-infrastruktuurin, toimittajahallinnan ja auditoinnin leikkauspisteeseen. Jos prosessi improvisoidaan tietoturvaloukkauksen aikana, organisaatio voi menettää todistusaineiston, jota tarvitaan juurisyyanalyysiin, viranomaisraportointiin, vakuutuskorvausvaatimuksiin, oikeudelliseen puolustukseen, työntekijöihin kohdistuviin kurinpitotoimiin ja asiakkaille annettavaan varmuuteen. Jos säilyttämistä tehdään liikaa, organisaatio voi säilyttää tarpeettoman paljon henkilötietoja ja synnyttää toisen vaatimustenmukaisuusongelman.
Clarysecin lähestymistapa on tehdä oikeudellisesta säilytysvelvoitteesta hallittu ISMS-prosessi, ei paniikkireaktio. Malli yhdistää ISO/IEC 27001:2022 -hallinnoinnin, ISO/IEC 27002:2022 -standardin todistusaineistoa ja lokitusta koskevat hallintakeinot, GDPR:n osoitusvelvollisuuden, NIS2-poikkeamaraportoinnin ja DORA:n ICT-riskinäytön yhdeksi toimintamalliksi. Tämä toimintamalli kertoo tiimeille, mitä on säilytettävä, kuka voi valtuuttaa säilyttämisen, kuinka kauan todistusaineisto pysyy säilytysvelvoitteen piirissä, kuka saa käyttää sitä ja milloin poistaminen voi jatkua.
Ensimmäiset 24 tuntia ratkaisevat, säilyykö todistusaineisto
Monissa todellisissa poikkeamissa todistusaineistoa eivät tuhoa hyökkääjät. Sen tuhoaa normaali toiminta.
Pilvilokien säilytysaika päättyy. Kontti otetaan uudelleen käyttöön. Päätelaite asennetaan uudelleen ennen muistivedoksen ottamista. SaaS-ylläpitäjä vie tutkintaa varten CSV-tiedoston ja muokkaa sitä sen jälkeen. Hyvää tarkoittava asiantuntija poistaa haitalliset skriptit ennen forensisen kopion ottamista. Tietovaraston säilytysajo poistaa tallenteet, joita tarvitaan vaikutuksen kohteena olevien asiakkaiden määrittämiseen.
Organisaatio voi silti palautua operatiivisesti, mutta se menettää näytön. Tällä erolla on merkitystä.
GDPR:n mukaan rekisterinpitäjän on pystyttävä osoittamaan tietosuojaperiaatteiden noudattaminen, mukaan lukien eheys ja luottamuksellisuus, käyttötarkoitussidonnaisuus, tietojen minimointi ja säilytyksen rajoittaminen. Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille, Article 33 voi edellyttää ilmoitusta valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on tullut tietoon. Jos loukkaus todennäköisesti aiheuttaa korkean riskin henkilöille, Article 34 voi edellyttää ilmoittamista vaikutuksen kohteena oleville rekisteröidyille.
NIS2:n mukaan keskeisten ja tärkeiden toimijoiden on hallittava merkittäviä poikkeamia vaiheistetun raportoinnin ja valvonnan kautta. DORA:n mukaan finanssialan toimijoiden on kirjattava ICT:hen liittyvät poikkeamat, luokiteltava merkittävät poikkeamat, raportoitava niistä, tehtävä juurisyyanalyysi ja säilytettävä todistusaineisto ICT-omaisuuserien, liiketoimintatoimintojen ja kolmansien osapuolten riippuvuuksien osalta.
ISO/IEC 27001:2022 antaa tälle hallintajärjestelmän rakenteen. Kohta 4.2 edellyttää, että organisaatio määrittää sidosryhmien tarpeet ja odotukset, mukaan lukien tietoturvallisuuden kannalta relevantit lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset vaatimukset. Kohta 4.3 edellyttää, että ISMS:n soveltamisalassa huomioidaan rajapinnat ja riippuvuudet, mikä on kriittistä, kun todistusaineisto sijaitsee pilvipalveluntarjoajalla, hallinnoidulla tietoturvapalveluntarjoajalla, maksualustalla tai ulkoistetussa tukipalvelussa. Kohta 6.1 liittää nämä velvoitteet tietoturvariskeihin ja riskien käsittelyyn. Kohta 7.5 edellyttää hallittua dokumentoitua tietoa. Kohta 8 edellyttää operatiivista suunnittelua ja ohjausta.
Clarysecin Zenith Blueprint: auditoijan 30-vaiheinen tiekartta selittää, miksi tämä on suunniteltava ennen poikkeamaa, ei sen aikana. Controls in Action -vaiheen vaiheessa 23 ISO/IEC 27002:2022 -hallintakeinoa 5.28 koskeva ohje toteaa:
”Kun tietoturvapoikkeama tapahtuu, yksi reagoinnin kriittisimmistä mutta usein sivuutetuista osa-alueista on todistusaineisto. Ei lokit, ei kuvakaappaukset, ei irralliset kertomukset, vaan asianmukaisesti säilytetty, hallussapitoketjua noudattava ja peukaloinnin kestävä todistusaineisto.”
Sama vaihe 23 lisää, että ”se, mitä voit näyttää toteen, on yhtä tärkeää kuin se, mitä todella tapahtui.” Tämä lause erottaa tietoturvapoikkeamiin reagoinnin puolustettavissa olevasta tietoturvapoikkeamiin reagoinnista. Viranomainen, asiakkaan auditoija, tuomioistuin, vakuutusyhtiö tai valvontaviranomainen ei hyväksy suullista rekonstruktiota, jos organisaatio ei pysty esittämään säilytettyjä lokeja, luotettavia aikaleimoja, hallittuja tallenteita ja dokumentoitua hallussapitoketjua.
Oikeudellinen säilytysvelvoite ei tarkoita ”säilytä kaikki ikuisesti”
Tietoturvapoikkeaman oikeudellinen säilytysvelvoite on muodollinen normaalin poistamisen tai hävittämisen keskeytys määritetyille tallenteille, lokeille, varmuuskopioille, levykuville, viestinnälle ja muulle todistusaineistolle, joka voi olla relevanttia tutkinnan, oikeudenkäynnin, viranomaiskyselyn, auditoinnin tai sopimusriidan kannalta.
Yleisin virhe on käsitellä oikeudellista säilytysvelvoitetta yleisenä ohjeena: ”Älkää poistako mitään.” Tämä luo tietosuoja-, kustannus- ja operatiivisia riskejä. GDPR ei katoa tietoturvapoikkeaman aikana. Henkilötietoja on edelleen käsiteltävä lainmukaisesti, kohtuullisesti ja läpinäkyvästi, määriteltyihin tarkoituksiin, vain tarpeellisessa laajuudessa ja vain niin kauan kuin on tarpeen. Article 5(2) lisää osoitusvelvollisuuden, mikä tarkoittaa, että organisaation on pystyttävä osoittamaan nämä päätökset.
Tässä Clarysecin politiikkakirjasto muuttuu käytännölliseksi. Pk-yrityksille tarkoitettu Tietojen säilytys- ja turvallisen hävittämisen politiikka pk-yrityksille toteaa:
”Oikeudellinen säilytys ja poistamisen keskeyttäminen ohittaa tavanomaiset säilytysvaatimukset ja estää tietojen poistamisen.”
Suuremmille organisaatioille tarkoitettu Tietojen säilytys- ja hävityspolitiikka, kohta 6.4.1, sanoo:
”Jos oikeudellinen säilytys ja poistamisen keskeyttäminen määrätään (esim. vireillä olevan oikeudenkäynnin, tutkinnan tai auditoinnin vuoksi), muutoin hävitettävät tiedot on säilytettävä normaalin säilytysajan yli.”
Sama politiikka edellyttää, että säilytysvelvoite on:
”Dokumentoitu ja hyväksytty juridisen neuvonantajan ja tietosuojavastaavan toimesta”
Tämä hyväksyntämalli ei ole byrokratiaa. Se on tasapainottava mekanismi todistusaineiston säilyttämisen ja tietosuojan rajaamisen välillä. Juridinen neuvonantaja vahvistaa oikeudenkäynti-, tutkinta- tai sääntelyperusteen. Tietosuojavastaava vahvistaa, että soveltamisala, tarkoitus, henkilötietoryhmät, pääsynhallinta ja säilytysajan jatkaminen pysyvät oikeasuhteisina.
Pk-yrityksissä, joissa ei ole täysimittaista lakiosastoa tai tietosuojavastaavan toimintoa, sama päätöslogiikka voidaan toteuttaa vCISO:n, tietosuojasta vastaavan henkilön, toimitusjohtajan ja ulkoisen juridisen neuvonantajan toimesta, kunhan valtuutus dokumentoidaan, rajataan ajallisesti ja katselmoidaan.
Vaatimustenmukaisuuden jännite, joka jokaisen tietoturvajohtajan on ratkaistava
Vakavan poikkeaman jälkeen eri sidosryhmät pyytävät erilaista todistusaineistoa. Lakiasiat-yksikkö haluaa säilyttämistä. Tietosuoja haluaa minimointia. Viranomaiset haluavat tosiasiat. Operatiivinen toiminta haluaa palautuksen. Asiakkaat haluavat varmuutta. Auditoijat haluavat objektiivista näyttöä.
| Sääntely tai tarve | Keskeinen vaatimus todistusaineistolle | Vaikutus säilyttämiseen |
|---|---|---|
| NIS2 | Osoita vaikutus, vakavuus ja epäilty syy vaiheistettua poikkeamaraportointia varten | Säilytä hälytykset, vaarantumisen indikaattorit (IOC), palveluvaikutustiedot, operatiivisen häiriön tallenteet ja päätöslokit |
| DORA | Tue poikkeaman luokittelua, raportointia, asiakasvaikutusten analyysiä ja juurisyyn tarkastelua | Säilytä tekniset artefaktit, ICT-omaisuuteen liittyvä näyttö, johdon tilannekuvat, toimittajaviestintä ja korjaavien toimenpiteiden tallenteet |
| GDPR | Osoita käyttötarkoitussidonnaisuus, tietojen minimointi, säilytyksen rajoittaminen ja käsittelyn turvallisuus | Perustele henkilötietojen säilyttäminen, rajoita pääsyä ja poista tai anonymisoi todistusaineisto, kun säilytysvelvoite vapautetaan |
| Oikeudenkäynti | Esitä puolustettavissa oleva, muuttumaton todistusaineisto selkeällä hallussapitoketjulla | Jäädytä relevantit tiedot muodollisen säilytysvelvoitteen piiriin ja ylläpidä hankinta-, pääsy- ja siirtotallenteita |
| Asiakassopimukset | Osoita ilmoitus-, palveluvaikutus-, korjaus- ja yhteistyövelvoitteiden noudattaminen | Säilytä asiakasviestintä, SLA-analyysit, poikkeamaraportit ja sopimusperusteiset reagointitallenteet |
Näiden vaatimusten hallinta erillisillä tietosuoja-, laki-, SOC- ja auditointityönkuluilla johtaa helposti ristiriitoihin. Yhtenäinen ISO/IEC 27001:2022 -pohjainen ISMS tekee niistä osan yhtä riski-, hallintakeino- ja näyttöprosessia.
Hallintakeinokokonaisuus puolustettavissa olevaan todistusaineiston säilyttämiseen
Tietoturvapoikkeaman oikeudellinen säilytysvelvoite ei ole yksi ISO/IEC 27002:2022 -hallintakeino. Se on hallintakeinojen välinen suhde.
Clarysecin Zenith Controls: vaatimustenmukaisuuksien välinen opas kartoittaa ISO/IEC 27002:2022 -hallintakeinon 5.28, todistusaineiston keräämisen, korjaavaksi hallintakeinoksi, joka tukee luottamuksellisuutta, eheyttä ja saatavuutta. Se sijoittuu kyberturvallisuuskäsitteisiin Detect ja Respond sekä tietoturvatapahtumien hallinnan operatiiviseen kyvykkyyteen.
Sama Zenith Controls -opas yhdistää 5.28:n tietoturvapoikkeamiin reagointiin, lokitukseen ja valvontaan, tallenteiden suojaamiseen ja tapahtumien raportointiin. Logiikka on käytännöllinen: poikkeamiin reagoijat tarvitsevat lokit ja artefaktit ennen kuin korjaavat toimenpiteet muuttavat tapahtumapaikkaa, sääntelyraportoijat tarvitsevat luotettavat faktat ja tutkijat tarvitsevat todistusaineistoa, jota ei ole muutettu.
ISO/IEC 27002:2022 -hallintakeino 5.33, tallenteiden suojaaminen, on yhtä tärkeä. Se tukee lakisääteisiä ja vaatimustenmukaisuusvaatimuksia, omaisuudenhallintaa ja tietojen suojaamista. Se kytkee tallenteiden suojaamisen luokitteluun, varmuuskopioihin, turvalliseen hävittämiseen, lakisääteisiin ja sopimusperusteisiin vaatimuksiin, pääsynhallintaan ja tietoturvapoikkeamiin reagointiin. Käytännössä oikeudellisen säilytysvelvoitteen on paitsi kerättävä todistusaineisto myös suojattava itse todistusaineistotallenteen eheys, luottamuksellisuus ja saatavuus.
Lokituksen osalta ISO/IEC 27002:2022 -hallintakeino 8.15, lokitus, on perusta. Se kytkeytyy hallintakeinoon 8.16, valvontatoiminnot, ja hallintakeinoon 8.17, kellojen synkronointi. Jos lokit ovat puutteellisia, järjestelmänvalvojien muokattavissa, eivät ole aikasynkronoituja tai niitä säilytetään liian lyhyen ajan, todistusaineistoprosessi voi epäonnistua ennen kuin tutkinta alkaa.
| Todistusaineiston tarve | ISO/IEC 27002:2022 -hallintakeinojen suhde | Miksi sillä on merkitystä tietoturvaloukkauksen jälkeen |
|---|---|---|
| Säilytä artefaktit ennen korjaavia toimenpiteitä | 5.28 Todistusaineiston kerääminen kytkettynä hallintakeinoon 5.26 Tietoturvapoikkeamiin reagointi | Estää reagoijia tuhoamasta näyttöä samalla, kun poikkeamaa rajataan |
| Suojaa tutkintatallenteet | 5.33 Tallenteiden suojaaminen kytkettynä hallintakeinoon 5.31 Lakisääteiset, sääntelyyn perustuvat ja sopimusperusteiset vaatimukset sekä hallintakeinoon 5.15 Pääsynhallinta | Varmistaa, että todistusaineistotiedostot, raportit ja hyväksynnät pysyvät eheänä ja rajattuina |
| Ylläpidä luotettavia lokeja | 8.15 Lokitus kytkettynä hallintakeinoon 8.16 Valvontatoiminnot ja hallintakeinoon 8.17 Kellojen synkronointi | Tukee tapahtumien aikajanoja, attribuutiota, vaikutusanalyysiä ja viranomaisraportointia |
| Tasapainota tietosuoja | 5.34 Yksityisyydensuoja ja henkilötietojen suojaaminen kytkettynä lokitukseen ja tallenteiden suojaamiseen | Estää henkilötietojen liiallisen säilyttämisen tai hallitsemattoman luovuttamisen |
| Palauta todistusaineiston saatavuus | 8.13 Tietojen varmuuskopiointi kytkettynä tallenteiden suojaamiseen | Auttaa palauttamaan tallenteet ja lokit, jos järjestelmät korruptoituvat, salataan tai poistetaan |
| Paranna poikkeaman jälkeen | 5.27 Tietoturvapoikkeamista oppiminen kytkettynä korjaaviin toimenpiteisiin | Muuntaa opit riskien käsittelyksi, hallintakeinojen parantamiseksi ja auditointinäytöksi |
Zenith Blueprint, Controls in Action -vaiheen vaihe 19, vahvistaa tätä käytännön lokituskielellä:
”Lokit, jotka tallentavat toimintoja, poikkeuksia, vikoja ja muita relevantteja tapahtumia, tulee tuottaa, säilyttää, suojata ja analysoida.”
Se varoittaa myös, että lokien suojaaminen sisältää pääsyn rajoittamisen ja mekanismien, kuten tiivistealgoritmien tai write-once-tallennuksen, käyttämisen peukaloinnin estämiseksi. Vaihe 19 yhdistää kellojen synkronoinnin forensiseen johdonmukaisuuteen ja selittää, että synkronoidut kellot mahdollistavat eri järjestelmien lokien kohdistamisen tutkintaa varten.
GDPR:n osoitusvelvollisuus: säilytä se, mitä tarvitset, ja perustele se, mitä pidät
GDPR luo näkyvimmän jännitteen poikkeaman todistusaineiston säilyttämisessä. Tietoturvatiimit haluavat usein enemmän dataa. Tietosuojatiimit haluavat vähemmän. Puolustettavissa oleva oikeudellinen säilytysvelvoite sovittaa molemmat yhteen.
Lokit ja artefaktit voivat sisältää IP-osoitteita, käyttäjätunnuksia, sähköpostiosoitteita, laitetunnisteita, todentamistallenteita, tukipyyntöjen tekstiä, kuvakaappauksia, asiakasvientejä tai erityisiin henkilötietoryhmiin kuuluvia tietoja. Todistusaineiston säilyttäminen on siksi käsittelyä. Oikeudellista säilytysvelvoitetta koskevassa ilmoituksessa tulee dokumentoida oikeusperuste, tarkoitus, soveltamisala, pääsyn rajoitukset, säilytyksen katselmointipäivä ja hävittämisen laukaiseva ehto.
Clarysecin pk-yrityksille tarkoitettu Tietosuoja- ja yksityisyydensuojapolitiikka pk-yrityksille toteaa:
”Vain välttämättömät henkilötiedot saa kerätä ja säilyttää”
Todisteiden keräämisen ja forensiikan politiikka ankkuroi forensisen todistusaineiston käsittelyn nimenomaisesti seuraavaan:
”GDPR Article 5, mukaan lukien käyttötarkoitussidonnaisuus ja tietojen minimointi”
Tämä on toimintaperiaate. Älä säilytä kokonaista tuotantotietokantaa, jos relevantti todistusaineisto on rajattu auditointijälki, käyttöloki, kyselytallenne ja vaikutuksen kohteena olevien käyttäjien luettelo. Älä anna jokaiselle reagoijalle pääsyä raakadataan, jos pseudonymisoidut otteet tai roolipohjainen pääsy riittävät. Älä säilytä poikkeama-artefakteja määräämättömästi sen jälkeen, kun oikeudellinen, sääntelyyn perustuva ja auditointiin liittyvä tarve on päättynyt.
Hyvä GDPR-tietoinen oikeudellisen säilytysvelvoitteen tallenne vastaa seitsemään kysymykseen:
- Mikä poikkeama tai tutkinta käynnisti säilytysvelvoitteen?
- Mitä henkilötietoryhmiä siihen voi sisältyä?
- Miksi kukin todistusaineiston luokka on tarpeellinen?
- Kuka hyväksyi säilytysvelvoitteen ja milloin?
- Kuka saa käyttää todistusaineistoa?
- Milloin säilytysvelvoite katselmoidaan?
- Mikä poistamis- tai turvallisen hävittämisen prosessi jatkuu, kun säilytysvelvoite vapautetaan?
Näin todistusaineiston säilyttäminen ei muutu tietosuojan vastaiseksi ylisäilyttämiseksi.
NIS2: oikeudellinen säilytysvelvoite vaiheistettua poikkeamaraportointia varten
Soveltamisalaan kuuluville organisaatioille NIS2 muuttaa todistusaineistoa koskevan odotuksen tasolta ”hyödyllinen sisäisesti” tasolle ”tarvitaan valvontaa varten”.
NIS2 koskee monia EU:n keskeisiä ja tärkeitä toimijoita, mukaan lukien digitaalisen infrastruktuurin tarjoajat, pilvipalvelujen tarjoajat, datakeskuspalvelujen tarjoajat, sisällönjakeluverkot, luottamuspalvelujen tarjoajat, sähköisten viestintäpalvelujen tarjoajat, hallinnoidut palveluntarjoajat, hallinnoidut tietoturvapalveluntarjoajat sekä tietyt digitaaliset palveluntarjoajat, kuten verkossa toimivat markkinapaikat, hakukoneet ja sosiaalisen verkostoitumisen alustat.
Article 21 edellyttää asianmukaisia ja oikeasuhteisia teknisiä, operatiivisia ja organisatorisia toimenpiteitä, mukaan lukien riskianalyysi, poikkeamien käsittely, liiketoiminnan jatkuvuus, toimitusketjun turvallisuus, turvallinen kehittäminen, tehokkuuden arviointi, koulutus, kryptografia, henkilöstöturvallisuus, pääsynhallinta, omaisuudenhallinta ja todennus. Article 20 asettaa johtoelimille vastuun näiden toimenpiteiden hyväksymisestä ja valvonnasta.
Oikeudellisen säilytysvelvoitteen kannalta NIS2:n keskeinen kysymys on Article 23. Merkittävät poikkeamat edellyttävät vaiheistettua raportointia: varhaisvaroitus 24 tunnin kuluessa tiedonsaannista, poikkeamailmoitus 72 tunnin kuluessa, väliraportit pyynnöstä ja loppuraportti viimeistään kuukauden kuluttua 72 tunnin ilmoituksesta. Loppuraportti tarvitsee kuvauksen, vakavuuden, vaikutuksen, todennäköisen uhkatyypin tai juurisyyn, lieventämistoimenpiteet sekä rajat ylittävän vaikutuksen, jos se on sovellettavissa.
| NIS2-raportointivaihe | Tarvittava todistusaineisto | Oikeudellisen säilytysvelvoitteen toimi |
|---|---|---|
| 24 tunnin varhaisvaroitus | Alkuperäinen havaitsemisajankohta, epäilty haitallinen toiminta, vaikutuksen kohteena oleva palvelu ja mahdollinen rajat ylittävä vaikutus | Jäädytä SOC-hälytykset, poikkeamatiketti, identiteettilokit ja pilven auditointijäljet |
| 72 tunnin ilmoitus | Vakavuus, vaikutus, vaarantumisen indikaattorit (IOC), operatiivinen häiriö ja taloudellisen menetyksen indikaattorit | Säilytä forensiset viennit, vaikutuksen kohteena olevien omaisuuserien luettelo, IOC:t, liiketoimintavaikutuksia koskevat muistiinpanot ja viestintätallenteet |
| Väliraportit | Nykytila, rajaamisen edistyminen ja viranomaisen kysymykset | Ylläpidä versioitua tutkintatallennetta ja reagointipäätösten lokia |
| Loppuraportti | Juurisyy, poikkeaman kuvaus, vakavuus, vaikutus, lieventäminen ja rajat ylittävä vaikutus | Säilytä juurisyynäyttö, korjaavien toimenpiteiden näyttö, opit ja hyväksyntäjälki |
Jos poikkeama vaikuttaa henkilötietoihin, NIS2:n toimivaltaiset viranomaiset voivat tehdä yhteistyötä GDPR:n valvontaviranomaisten kanssa. Tämä lisää tarvetta yhdelle näyttöön perustuvalle tapahtumakuvaukselle, joka tukee sekä kyberturvallisuusvalvontaa että tietosuojan osoitusvelvollisuutta.
DORA: ICT-riskinäyttö ulottuu tietoturvalokien ulkopuolelle
Finanssialan toimijoille DORA on toimialakohtainen operatiivisen häiriönsietokyvyn sääntelykehys. Sitä sovelletaan 17. tammikuuta 2025 alkaen, ja se kattaa ICT-riskien hallinnan, merkittävien ICT-poikkeamien raportoinnin, häiriönsietokyvyn testauksen, tiedonjaon ja ICT:n kolmannen osapuolen riskienhallinnan. Finanssialan toimijoille, jotka ovat myös NIS2:n mukaisia keskeisiä tai tärkeitä toimijoita, DORA toimii yleensä ICT-riskejä ja poikkeamaraportointia koskevana toimialakohtaisena unionin säädöksenä.
DORA on rakenteeltaan näyttöpainotteinen. Article 17 edellyttää ICT:hen liittyvien poikkeamien hallintaprosessia. Article 18 käsittelee ICT:hen liittyvien poikkeamien ja kyberuhkien luokittelua. Article 19 kattaa merkittävien ICT:hen liittyvien poikkeamien raportoinnin. Finanssialan toimijoiden on myös ylläpidettävä hallinto- ja valvontajärjestelyjä, tunnistettava kriittiset tai tärkeät toiminnot, dokumentoitava ICT-omaisuuserät ja riippuvuudet sekä tehtävä juurisyyanalyysi.
Tämä tarkoittaa, että DORA:n mukaisen oikeudellisen säilytysvelvoitteen on katettava operatiivisen häiriönsietokyvyn näyttö, ei vain tietoturva-artefakteja. Pilvi-identiteetin vaarantumisen jälkeen, jos vaikutus kohdistuu maksutoimintoihin, säilytysvelvoite voi sisältää identiteetintarjoajan lokit, etuoikeutetun pääsyn historian, pilven auditointilokit, SIEM-hälytykset, päätelaitekuvat, asiakastapahtumien vaikutusanalyysin, liiketoiminnan jatkuvuuden aktivointitallenteet, varmuuskopiointi- ja palautusnäytön, toimittajaviestinnän, johtoelimen tilannekatsaukset, juurisyyanalyysin ja korjaavien toimenpiteiden validoinnin.
DORA tekee myös ICT-palveluntarjoajien hallussa olevasta todistusaineistosta väistämätöntä. Articles 28 to 30 edellyttävät ICT:n kolmansien osapuolten riskienhallintaa, sopimusjärjestelyjen rekistereitä, asianmukaista huolellisuutta, keskittymäriskin arviointia sekä kirjallisia sopimuksia, joissa määritetään oikeudet ja velvollisuudet. Kriittisten tai tärkeiden toimintojen osalta sopimusten tulisi tukea palveluntarjoajan ilmoitus- ja raportointivelvoitteita, apua poikkeamissa, yhteistyötä viranomaisten kanssa, pääsy-, tarkastus- ja auditointioikeuksia sekä exit-strategioita.
Jos pilvipalveluntarjoajasi, MSP, MSSP, maksunkäsittelijäsi tai SaaS-riippuvuutesi hallussa ovat relevantit lokit, oikeudellisen säilytysvelvoitteen prosessin on oltava jo sisällytetty toimittajasopimuksiin. Muussa tapauksessa voit merkittävän poikkeaman aikana huomata, että palveluntarjoajan oletusarvoinen säilytysikkuna on lyhyempi kuin sääntelyraportoinnin elinkaari.
Miten Clarysec toteuttaa oikeudellisen säilytysvelvoitteen SaaS-tietoturvaloukkauksessa
Tarkastellaan Marian fintech-SaaS-ympäristöä. Poikkeama voi koskea luvatonta pääsyä asiakkaiden tunnisteisiin, tapahtumien metatietoihin, järjestelmänvalvojien järjestelmiin ja ulkoistetun SOC:n tallenteisiin. Yritys palvelee EU:n finanssilaitoksia, tukeutuu pilvi-infrastruktuuriin ja voi kohdata GDPR:n, DORA:n sopimusperusteisia velvoitteita ja NIS2-velvoitteita.
Ensimmäinen toimi ei ole kaiken säilyttäminen. Ensimmäinen toimi on hallitun päätöksen käynnistäminen.
Poikkeamapäällikkö lähettää oikeudellista säilytysvelvoitetta koskevan pyynnön juridiselle neuvonantajalle, tietosuojavastaavalle tai tietosuojasta vastaavalle henkilölle, CISO:lle ja liiketoimintavastaavalle. Pyyntö sisältää poikkeaman tunnisteen, päivämäärän ja kellonajan, vaikutuksen kohteena olevat järjestelmät, epäillyt tietoryhmät, alustavat sääntelypolut, ehdotetut todistusaineiston luokat ja välittömät poistamisriskit.
Tietojen säilytys- ja hävityspolitiikan mukaisesti säilytysvelvoite dokumentoidaan ja hyväksytään juridisen neuvonantajan ja tietosuojavastaavan toimesta. Pk-yrityksille Tietojen säilytys- ja turvallisen hävittämisen politiikka pk-yrityksille antaa poistamisen keskeyttämistä koskevan säännön. Valtuutus sisältää katselmointipäivän, joka on linjassa tutkinnan virstanpylväiden, sääntelyraportoinnin määräaikojen sekä odotetun oikeudenkäynti- tai sopimusriitariskin kanssa. Siinä ei sanota ”ikuisesti”. Siinä sanotaan ”kunnes valtuutettu päätös vapauttaa velvoitteen katselmoinnin jälkeen”.
Seuraavaksi tiimi jäädyttää relevantit lokit ja artefaktit. Pk-yrityksille tarkoitettu Lokitus- ja valvontapolitiikka pk-yrityksille toteaa:
”Lokit on asetettava oikeudellisen säilytysvelvoitteen ja poistamisen keskeyttämisen piiriin ja suojattava muuttamiselta tai poistamiselta”
Tiimi keskeyttää poistamisen SIEM-tapauksille, identiteettilokeille, pilven auditointilokeille, sovelluslokeille, tietokantakyselylokeille, WAF-tapahtumille ja SOC-hälytysten metatiedoille. Viedyt lokit tallennetaan rajattuun todistusaineiston säilytyspaikkaan, jossa käytetään tarvittaessa tiivisteitä, versionhallintaa ja vain luku -käyttöoikeuksia.
Keräyssääntö on yksinkertainen: säilytä todistusaineisto muokkaamatta alkuperäisiä. Pk-yrityksille tarkoitettu Todisteiden keräämisen ja forensiikan politiikka pk-yrityksille toteaa:
”Forensinen kopio tai vienti on aina luotava; alkuperäistä todistusaineistoa ei saa koskaan muokata suoraan.”
Asiantuntijat voivat tehdä korjaavia toimenpiteitä, mutta vasta sen jälkeen, kun vaaditut tilannevedokset, viennit tai forensiset kopiot on tehty, ellei välitön rajaaminen ole tarpeen jatkuvan haitan estämiseksi. Jos hätäkorjaus tehdään ensin, syy dokumentoidaan.
Sama pk-yrityspolitiikka sanoo:
”Jokaisesta poikkeamasta on ylläpidettävä yksinkertaista hallussapitoketjulokia (esim. Excel-tiedosto tai asiakirjapohja).”
Enterprise-ympäristöissä Todisteiden keräämisen ja forensiikan politiikka, kohta 5.6, edellyttää:
”Hallussapitoketjulokin tulee seurata kaikkea fyysistä tai digitaalista todistusaineistoa hankintahetkestä arkistointiin tai siirtoon asti ja sen tulee dokumentoida:”
Käytännössä hallussapitoketjuloki kirjaa todistusaineiston tunnisteen, kuvauksen, lähdejärjestelmän, kerääjän, hankintamenetelmän, tiivistearvon tarvittaessa, aikalähteen, säilytyspaikan, käyttötapahtumat, siirrot, analyysikopiot ja lopullisen käsittelyn.
Lopuksi itse tutkintatallenne on suojattava. Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka toteaa:
”Kaikki auditointilokit, havainnot ja korjaavien toimenpiteiden raportit on säilytettävä, salattava ja suojattava peukaloinnilta.”
Tämä vaatimus koskee poikkeaman aikajanaa, päätöslokia, oikeudellisen säilytysvelvoitteen ilmoitusta, viranomaisviestintää, asiakasviestintää, juurisyyanalyysiä ja korjaavien toimenpiteiden näyttöä.
Dokumentoitu tieto, jota auditoijat tarkastavat
ISO/IEC 27001:2022 kohta 7.5 edellyttää, että ISMS:n tarvitsema ja standardin edellyttämä dokumentoitu tieto on hallittua. Zenith Blueprint, ISMS:n perusta ja johtajuus -vaiheen vaihe 6, muuntaa tämän käytännön vaatimuksiksi: asiakirjoilla tulisi olla tunniste, muoto, katselmointi, hyväksyntä, versionhallinta, hallittu pääsy, eheydensuojaus, muutostenhallinta, säilytys ja hävittäminen.
Vaihe 6 huomauttaa myös, että tallenteet, kuten valvontalokit, auditointiraportit ja poikkeaman tutkintatiedostot, voivat olla luottamuksellisia ja ne tulisi jakaa tarpeellisuusperiaatteella siten, että muokkausoikeudet rajataan valtuutetuille käyttäjille.
Puolustettavissa olevan todistusaineistopaketin tulisi sisältää:
- Oikeudellisen säilytysvelvoitteen ilmoitus ja hyväksyntä.
- Poikkeaman luokittelu ja vakavuuspäätös.
- Todistusaineiston luettelo.
- Hallussapitoketjuloki.
- Vahvistus lokien säilyttämisestä.
- Forensisen levykuvan tai viennin tallenteet.
- Tiivistearvot tai eheystarkastukset tarvittaessa.
- Pääsylista todistusaineiston säilytyspaikkaan.
- Viranomaisraportoinnin näyttö.
- Tietosuoja-arviointi ja henkilötietovaikutusten analyysi.
- Toimittajille lähetetyt todistusaineistopyynnöt ja vastaukset.
- Juurisyyanalyysi.
- Korjaavien toimenpiteiden ja validoinnin näyttö.
- Säilytysvelvoitteen katselmointi- ja vapautuspäätös.
Mitä vahvempi dokumentoidun tiedon hallinta on, sitä helpompi auditointi on.
Toimittaja- ja pilvinäyttö: epäonnistumiskohta, jonka moni tiimi ohittaa
Vaikein todistusaineisto ei usein ole organisaation sisällä. Se on pilvipalveluntarjoajan, SaaS-alustan, MSSP:n, MSP:n, maksunkäsittelijän, identiteetintarjoajan tai ulkoistetun kehitystiimin hallussa.
NIS2 Article 21 sisältää toimitusketjun turvallisuuden sekä suorien toimittajien tai palveluntarjoajien suhteiden tietoturvanäkökohdat. DORA menee finanssialan toimijoille pidemmälle ja edellyttää ICT:n kolmannen osapuolen rekistereitä, asianmukaista huolellisuutta, keskittymäriskin analyysiä sekä sopimuksia, joissa on poikkeama-apua, palveluntarjoajan raportointia, yhteistyötä viranomaisten kanssa, auditointioikeuksia ja exit-ehtoja kriittisille tai tärkeille toiminnoille.
NIST Cybersecurity Framework 2.0 käsittelee myös toimitusketjuriskiä elinkaaren kattavana kurinalaisuutena. Sen Govern-toiminto sisältää toimittajariskien hallinnan tuloksia strategian, roolien, sopimusten, asianmukaisen huolellisuuden, seurannan, poikkeamiin osallistumisen ja exit-ehtojen osalta. CSF-profiilit voivat ilmaista toimittajille asetettavia kyberturvallisuuden tavoitevaatimuksia, mikä on hyödyllistä, kun oikeudellisen säilytysvelvoitteen todistusaineistoa koskevat tarpeet muunnetaan sopimusehdoiksi.
Toimittajasopimuksissa tulisi käsitellä:
- Asiakkaan saatavilla olevat tietoturvalokityypit.
- Oletusarvoiset säilytysajat ja pidennetyn säilytyksen vaihtoehdot.
- Hätätilanteen säilytyspyynnön prosessi.
- Aika todistusaineiston säilyttämiseen asiakkaan pyynnön jälkeen.
- Forensiset vientiformaatit.
- Hallussapitoketjun tuki.
- Viranomaisyhteistyö.
- Alikäsittelijöiden tai alihankkijoiden todistusaineistoa koskevat velvoitteet.
- Tietojen sijainti- ja siirtorajoitukset.
- Turvallinen poistaminen säilytysvelvoitteen vapauttamisen jälkeen.
Zenith Blueprint, Controls in Action -vaiheen vaihe 18, antaa vastaavaa kurinalaisuutta fyysisten tietovälineiden siirtoon edellyttämällä salausta, peukaloinnin paljastavaa pakkausta, seurantaa, kuljetuslokeja, tietovälineinventaaria ja rekisterin auditointia. Sama logiikka koskee pilven todistusaineiston siirtoja: säilytä eheys, seuraa hallussapitoa, rajoita pääsyä ja vahvista vastaanotto.
Miten auditoijat ja viranomaiset testaavat oikeudellisen säilytysvelvoitteen prosessisi
Oikeudellisen säilytysvelvoitteen prosessi näyttää erilaiselta arvioijan mandaatista riippuen. Clarysec käyttää Zenith Controls -opasta vaatimustenmukaisuuksien välisenä kompassina, jotta sama todistusaineistopaketti voi täyttää useita näkökulmia ilman työn päällekkäisyyttä.
| Auditoijan näkökulma | Mitä auditoija kysyy | Clarysecin valmistelema näyttö |
|---|---|---|
| ISO/IEC 27001:2022 -auditoija | Onko oikeudellinen säilytysvelvoite osa ISMS:ää, riskien käsittelyä, dokumentoitua tietoa ja tietoturvapoikkeamiin reagoinnin prosessia? | ISMS:n soveltamisala, sidosryhmävaatimukset, soveltuvuuslausunto, poikkeamamenettely, todistusaineistopolitiikka, säilytyspolitiikka ja hallitut tallenteet |
| ISO/IEC 27002:2022 -hallintakeinojen arvioija | Onko 5.28 todistusaineiston kerääminen, 5.33 tallenteiden suojaaminen ja 8.15 lokitus toteutettu ja yhdistetty? | Todistusaineiston luettelo, hallussapitoketjuloki, peukaloinnin suojaus, lokien säilytysasetukset, näyttö kellojen synkronoinnista ja pääsynhallinta |
| GDPR-auditoija tai tietosuojavastaavan arviointi | Säilytettiinkö henkilötietoja vain tarpeellisessa laajuudessa ja dokumentoidun tarkoituksen sekä oikeusperusteen perusteella? | Tietosuoja-arviointi, tietojen minimoinnin perustelu, pääsyn rajoitukset, säilytyksen katselmointi ja poistamisen tai turvallisen hävittämisen näyttö |
| NIS2-valvonnan arvioija | Voiko toimija tukea 24 tunnin, 72 tunnin ja loppuraportointia luotettavilla faktoilla? | Poikkeaman aikajana, vakavuusarviointi, IOC:t, vaikutusnäyttö, rajat ylittävä analyysi, johdon hyväksynnät ja viestintä |
| DORA ICT -riskien arvioija | Onko poikkeamat kirjattu, luokiteltu, eskaloitu, raportoitu, juurisyy selvitetty ja palautettu ICT-riskien hallintaan? | Poikkeamarekisteri, luokittelukriteerit, johtoelimen raportointi, juurisyyanalyysi, korjaavien toimenpiteiden validointi ja toimittajan todistusaineisto |
| NIST CSF 2.0 -arvioija | Onko hallinnointi-, riski-, toimittaja-, havaitsemis-, reagointi- ja palautumistulokset integroitu yhdeksi profiiliksi? | Nykyiset ja tavoiteprofiilit, puutesuunnitelma, toimittajavaatimukset, seurantaan liittyvä näyttö ja poikkeamasta saadut opit |
| COBIT 2019- tai ISACA-auditoija | Ovatko hallinnointitavoitteet, osoitusvelvollisuus, tiedon laatu, hallintakeinojen seuranta ja varmennusnäyttö luotettavia? | RACI, hallintakeinojen omistajuus, johdon katselmointi, auditointijälki, ongelmien seuranta, korjaavien toimenpiteiden sulkeminen ja suorituskykymittarit |
ISO-auditoijaa kiinnostavat vaatimustenmukaisuus ja objektiivinen näyttö. GDPR-arvioijaa kiinnostavat tarpeellisuus, käyttötarkoitussidonnaisuus ja osoitettavissa oleva osoitusvelvollisuus. NIS2-arvioijaa kiinnostavat merkittävien poikkeamien raportoinnin faktat ja johdon vastuu. DORA-arvioijaa kiinnostavat ICT-riskien hallinnointi, merkittävien poikkeamien käsittely, kolmansien osapuolten riippuvuudet ja opit. COBIT 2019- tai ISACA-tyylinen auditoija kiinnittää huomiota hallinnointiin, hallintakeinojen suunnitteluun, hallintakeinojen toimintaan ja tiedon laatuun liittyvään varmuuteen.
Yksi todistusaineistopaketti voi palvella niitä kaikkia, jos se suunnitellaan sitä varten.
Käytännön tarkistuslista tietoturvapoikkeaman oikeudelliseen säilytysvelvoitteeseen vuodelle 2026
Käytä tätä tarkistuslistaa ennen seuraavaa vakavaa poikkeamaa, älä sen aikana.
| Kontrollikysymys | Odotettu vastaus |
|---|---|
| Kuka voi antaa tietoturvapoikkeaman oikeudellisen säilytysvelvoitteen? | Juridinen neuvonantaja ja tietosuojavastaava tai tietosuojasta vastaava henkilö hyväksyvät; CISO ja poikkeamapäällikkö käynnistävät |
| Mikä laukaisee säilytysvelvoitteen? | Epäilty vakava tietoturvapoikkeama, henkilötietojen tietoturvaloukkaus, mahdollinen viranomaisraportointi, oikeudenkäyntiriski, lainvalvontaviranomaisen pyyntö, asiakasauditointi tai sopimusriita |
| Mikä todistusaineisto kuuluu soveltamisalaan? | Lokit, hälytykset, forensiset levykuvat, tilannevedokset, tiketit, viestintä, vaikutusanalyysi, toimittajatallenteet, johdon päätökset ja korjaavien toimenpiteiden näyttö |
| Miten todistusaineisto suojataan? | Rajoitettu pääsy, salaus, peukaloinnin suojaus, tiivisteet tarvittaessa, muuttumaton tai vain luku -tallennus ja valvottu pääsy |
| Miten hallussapitoketjua ylläpidetään? | Todistusaineiston rekisteri kirjaa hankinnan, kerääjän, ajan, menetelmän, säilytyksen, siirron, pääsyn ja lopullisen käsittelyn |
| Miten GDPR:n minimointi käsitellään? | Soveltamisala rajataan tarpeelliseen todistusaineistoon, pääsy henkilötietoihin rajoitetaan, katselmointipäivät asetetaan ja poistaminen jatkuu vapauttamisen jälkeen |
| Miten toimittajat sisällytetään? | Sopimukset edellyttävät todistusaineiston säilyttämistä, apua poikkeamissa, auditointiyhteistyötä ja säilytysajan jatkamista pyynnöstä |
| Miten vapauttaminen käsitellään? | Valtuutettu katselmointi määrittää, jatketaanko, rajataanko vai vapautetaanko säilytysvelvoite ja jatketaanko turvallista hävittämistä |
Tästä tarkistuslistasta tulee tehokkaampi, kun se sisällytetään ISMS:n riskienkäsittelysuunnitelmaan, toimittajaturvallisuusvaatimuksiin, tietoturvapoikkeamiin reagoinnin palautusohjeisiin, lokitusarkkitehtuuriin ja tietosuojan hallinnointiin.
Tietoturvaloukkauksen jälkeisestä paniikista auditointia kestävään häiriönsietokykyyn
Kello neljän puhelu on aina stressaava. Sen ei tarvitse muuttua kaaokseksi.
Kypsä tietoturvapoikkeaman oikeudellisen säilytysvelvoitteen prosessi antaa jokaiselle sidosryhmälle hallitun polun. Lakiasiat saa puolustettavissa olevan säilyttämisen. Tietosuoja saa minimoinnin ja katselmoinnin. CISO saa todistusaineiston eheyden. Tietosuojavastaava saa osoitusvelvollisuuden. Hallitus saa luotettavat faktat. NIS2-, DORA- ja GDPR-arvioijat saavat objektiivista näyttöä improvisoitujen selitysten sijaan.
Clarysecin 30-vaiheinen menetelmä ei käsittele oikeudellista säilytysvelvoitetta erillisenä juridisena muistiona. Se käsittelee sitä ISMS:n operatiivisena kyvykkyytenä.
Zenith Blueprint -menetelmässä vaihe 6 rakentaa dokumentoidun tiedon kirjaston, mukaan lukien säilytys- ja hävityssäännöt. Vaihe 19 vahvistaa lokitusta ja kellojen synkronointia, jotta tutkinnat voivat rekonstruoida aikajanat. Vaihe 23 toteuttaa todistusaineiston keräämisen ja hallussapitoketjun käytännössä. Vaihe 18 lisää tietovälineiden käsittelyn kurinalaisuuden tilanteisiin, joissa todistusaineisto siirtyy fyysisesti tai osapuolten välillä.
Zenith Controls -oppaassa Clarysec yhdistää taustalla olevat ISO/IEC 27002:2022 -hallintakeinot, jotta asiakkaat näkevät, miten todistusaineiston kerääminen riippuu lokituksesta, valvonnasta, tietoturvapoikkeamiin reagoinnista, tallenteiden suojaamisesta, pääsynhallinnasta, varmuuskopioista, tietosuojasta ja lakisääteisistä vaatimuksista.
Clarysecin politiikkakirjastossa käytännön työnkulun ankkurit on jo määritelty: Tietojen säilytys- ja hävityspolitiikka, Tietojen säilytys- ja turvallisen hävittämisen politiikka pk-yrityksille, Todisteiden keräämisen ja forensiikan politiikka, Todisteiden keräämisen ja forensiikan politiikka pk-yrityksille, Lokitus- ja valvontapolitiikka pk-yrityksille, Tietosuoja- ja yksityisyydensuojapolitiikka pk-yrityksille ja Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka.
Jos tietoturvapoikkeamiin reagointisuunnitelmasi sanoo ”säilytä todistusaineisto”, mutta ei määritä oikeudellisen säilytysvelvoitteen toimivaltaa, todistusaineiston soveltamisalaa, säilytyksen keskeyttämistä, hallussapitoketjua, toimittajien säilytysvelvoitetta, GDPR:n minimointia ja vapautuskriteerejä, se ei ole vielä valmis auditointia varten.
Rakenna prosessi ennen tietoturvaloukkausta. Clarysec voi auttaa luomaan puolustettavissa olevan tietoturvapoikkeaman oikeudellisen säilytysvelvoitteen ja todistusaineiston säilyttämisen kyvykkyyden käyttämällä Zenith Blueprint: auditoijan 30-vaiheinen tiekartta -menetelmää, Zenith Controls: vaatimustenmukaisuuksien välinen opas -opasta ja Clarysecin politiikkamalleja, mukaan lukien Tietojen säilytys- ja hävityspolitiikka, Todisteiden keräämisen ja forensiikan politiikka, Auditointi- ja vaatimustenmukaisuuden seurantapolitiikka, Lokitus- ja valvontapolitiikka pk-yrityksille, Tietosuoja- ja yksityisyydensuojapolitiikka pk-yrityksille ja Todisteiden keräämisen ja forensiikan politiikka pk-yrityksille.
Lataa työkalupaketit, pyydä Clarysecin politiikkakatselmointi tai varaa todistusaineiston säilyttämisen valmiusarviointi ennen seuraavaa auditointia, valvontaviranomaisen pyyntöä tai merkittävää asiakkaan tietoturvakatselmointia.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
