Pravna obustava brisanja podataka pri kibernetičkom incidentu za GDPR, NIS2 i DORA
U 4:17 Maria, CISO pružatelja fintech SaaS usluga, primila je poziv za koji se priprema svaki voditelj sigurnosti, ali se nada da ga nikada neće dobiti. Kritični produkcijski poslužitelji nisu odgovarali. Datoteke su bile šifrirane. Poruka za otkupninu bila je otvorena na zaslonu mlađeg administratora.
U 4:28 tim za odgovor na incidente želio je izolirati pogođene sustave i ponovno uspostaviti čistu infrastrukturu. U 4:41 inženjering je pitao smije li rotirati vjerodajnice, očistiti privremene datoteke i ponovno izgraditi spremnike. U 5:03 službenik za zaštitu podataka (DPO) upozorio je da kompromitirano okruženje sadržava identifikatore klijenata i metapodatke transakcija. U 5:16 pravni savjetnik uključio se u krizni poziv s jednom uputom: „Ne uništavajte potencijalne dokaze. Možda ćemo morati aktivirati pravnu obustavu brisanja podataka.” U 5:30 COO je pitao jesu li pokrenute obveze izvješćivanja prema DORA. U 6:00 Maria se sjetila roka prema NIS2: rano upozorenje može biti potrebno u roku od 24 sata, potpunija obavijest u roku od 72 sata, a završno izvješće u roku od mjesec dana.
Zatim je došlo pitanje koje odlučuje hoće li kibernetički incident biti dokaziv ili kaotičan:
„Imamo li još uvijek dnevničke zapise?”
To je problem upravljanja nakon incidenta koji mnogi planovi odgovora na incidente nedovoljno obrađuju. Nije dovoljno otkriti incident, ograničiti ga i oporaviti se. U 2026. organizacije moraju i dokazati što se dogodilo, očuvati relevantne dokaze, izbjeći narušavanje forenzičkih artefakata, poštovati minimizaciju podataka prema GDPR-u, poduprijeti nadzor prema NIS2 i održavati zapise o IKT rizicima prema DORA koji mogu izdržati reviziju, sudski spor i regulatorni pregled.
Pravna obustava brisanja podataka i čuvanje dokaza pri kibernetičkom incidentu nalaze se na sjecištu sigurnosnih operacija, privatnosti, pravnih poslova, usklađenosti, inženjeringa u oblaku, upravljanja dobavljačima i revizije. Ako se postupak improvizira tijekom povrede, organizacija može izgubiti dokaze potrebne za analizu temeljnog uzroka, izvješćivanje regulatora, odštetne zahtjeve prema osiguranju, obranu u sudskom sporu, stegovne mjere prema zaposlenicima i dokazivanje sigurnosti prema klijentima. Ako se provede preširoko, organizacija može zadržati prekomjerne osobne podatke i stvoriti novi problem usklađenosti.
Clarysecov pristup jest pretvoriti pravnu obustavu brisanja podataka u kontrolirani ISMS proces, a ne u paničnu reakciju. Model povezuje upravljanje prema ISO/IEC 27001:2022, kontrole dokaza i zapisivanja događaja prema ISO/IEC 27002:2022, odgovornost prema GDPR-u, izvješćivanje o incidentima prema NIS2 i dokaze o IKT rizicima prema DORA u jedinstven operativni sustav. Taj sustav timovima određuje što treba očuvati, tko može odobriti očuvanje, koliko dugo dokazi ostaju pod obustavom brisanja, tko im smije pristupiti i kada se brisanje može nastaviti.
Prva 24 sata odlučuju hoće li dokazi preživjeti
U mnogim stvarnim incidentima dokaze ne uništavaju napadači. Uništavaju ih redovne operacije.
Istječe razdoblje zadržavanja dnevničkih zapisa u oblaku. Spremnik se ponovno uvodi. Slika sustava krajnjeg uređaja ponovno se instalira prije prikupljanja memorije. SaaS administrator izvozi CSV za istragu, a zatim uređuje datoteku. Inženjer s dobrim namjerama briše zlonamjerne skripte prije izrade forenzičke kopije. Posao zadržavanja podataka u podatkovnom skladištu uklanja zapise potrebne za utvrđivanje pogođenih klijenata.
Organizacija se i dalje može operativno oporaviti, ali gubi dokaz. Ta razlika je važna.
Prema GDPR-u, voditelj obrade mora moći dokazati usklađenost s načelima zaštite podataka, uključujući cjelovitost i povjerljivost, ograničenje svrhe, minimizaciju podataka i ograničenje pohrane. Ako je vjerojatno da će povreda osobnih podataka dovesti do rizika za pojedince, Article 33 može zahtijevati obavješćivanje nadzornog tijela bez nepotrebnog odgađanja i, kada je izvedivo, u roku od 72 sata od saznanja. Ako je vjerojatno da će povreda dovesti do visokog rizika za pojedince, Article 34 može zahtijevati obavješćivanje pogođenih ispitanika.
Prema NIS2, ključni i važni subjekti moraju upravljati značajnim incidentima kroz fazno izvješćivanje i nadzor. Prema DORA, financijski subjekti moraju evidentirati incidente povezane s IKT-om, klasificirati veće incidente, prijaviti ih, provesti analizu temeljnog uzroka i očuvati dokaze u IKT imovini, poslovnim funkcijama i ovisnostima o trećim stranama.
ISO/IEC 27001:2022 za to daje strukturu sustava upravljanja. Točka 4.2 zahtijeva da organizacija utvrdi potrebe i očekivanja zainteresiranih strana, uključujući pravne, regulatorne i ugovorne zahtjeve relevantne za informacijsku sigurnost. Točka 4.3 zahtijeva da opseg ISMS-a uzme u obzir sučelja i ovisnosti, što je ključno kada se dokazi nalaze kod pružatelja usluga u oblaku, pružatelja upravljanih sigurnosnih usluga, platne platforme ili vanjski ugovorene korisničke podrške. Točka 6.1 povezuje te obveze s rizicima informacijske sigurnosti i obradom rizika. Točka 7.5 zahtijeva kontrolirane dokumentirane informacije. Točka 8 zahtijeva operativno planiranje i kontrolu.
Clarysecov Zenith Blueprint: revizorov plan u 30 koraka objašnjava zašto se to mora projektirati prije incidenta, a ne tijekom njega. U fazi Kontrole u praksi, korak 23, smjernica za kontrolu ISO/IEC 27002:2022 5.28 navodi:
„Kada se dogodi incident informacijske sigurnosti, jedan od najkritičnijih, a često zanemarenih elemenata odgovora jesu dokazi. Ne dnevnički zapisi, ne snimke zaslona, ne nepovezani opisi, nego pravilno očuvani dokazi koji poštuju lanac čuvanja dokaza i otporni su na neovlaštene izmjene.”
Isti korak 23 dodaje da je „ono što možete dokazati jednako važno kao i ono što se stvarno dogodilo.” Ta rečenica razlikuje odgovor na incidente od dokazivog odgovora na incidente. Regulator, revizor klijenta, sud, osiguratelj ili nadzorno tijelo neće prihvatiti usmenu rekonstrukciju ako organizacija ne može pokazati očuvane dnevničke zapise, pouzdane vremenske oznake, kontrolirane zapise i dokumentirani lanac čuvanja dokaza.
Pravna obustava brisanja podataka nije „zadržati sve zauvijek”
Pravna obustava brisanja podataka pri kibernetičkom incidentu formalna je obustava redovnog brisanja ili zbrinjavanja za definirane zapise, dnevničke zapise, sigurnosne kopije, slike, komunikacije i druge dokaze koji mogu biti relevantni za istragu, sudski spor, regulatorni upit, reviziju ili ugovorni spor.
Najčešća pogreška jest tretirati pravnu obustavu brisanja podataka kao opću uputu: „Ne brišite ništa.” To stvara rizik za privatnost, troškove i operativni rizik. GDPR ne prestaje važiti tijekom kibernetičkog incidenta. Osobni podaci i dalje se moraju obrađivati zakonito, pošteno i transparentno, u određene svrhe, ograničeno na ono što je nužno i zadržano samo onoliko dugo koliko je potrebno. Article 5(2) dodaje odgovornost, što znači da organizacija mora moći dokazati te odluke.
Tu Clarysecova biblioteka politika postaje praktična. Politika zadržavanja podataka i sigurnog zbrinjavanja za mala i srednja poduzeća navodi:
„Pravna obustava brisanja podataka i obustava brisanja imaju prednost pred standardnim zahtjevima zadržavanja i sprječavaju brisanje podataka.”
Za veće organizacije, Enterprise Politika zadržavanja i zbrinjavanja podataka, točka 6.4.1, navodi:
„Ako se izda pravna obustava brisanja podataka i obustava brisanja (npr. zbog sudskog spora, istrage ili revizije), podaci koji bi inače bili predmet uništenja moraju se očuvati nakon isteka redovnog razdoblja zadržavanja.”
Ista Enterprise politika zahtijeva da obustava bude:
„Dokumentirana i odobrena od strane pravnog savjetnika i službenika za zaštitu podataka (DPO)”
Taj model odobravanja nije birokracija. To je mehanizam uravnoteženja između očuvanja dokaza i ograničenja privatnosti. Pravni savjetnik potvrđuje osnovu povezanu sa sudskim sporom, istragom ili regulatornim postupkom. DPO potvrđuje da opseg, svrha, kategorije osobnih podataka, kontrole pristupa i produljenje zadržavanja ostaju razmjerni.
Za mala i srednja poduzeća bez punog pravnog odjela ili funkcije DPO-a, ista logika odlučivanja može se provesti putem vCISO-a, vlasnika privatnosti, glavnog direktora i vanjskog pravnog savjetnika, pod uvjetom da je odobrenje dokumentirano, vremenski ograničeno i predmet preispitivanja.
Napetost usklađenosti koju svaki CISO mora riješiti
Nakon ozbiljnog incidenta različiti dionici traže različite dokaze. Pravni poslovi žele očuvanje. Privatnost želi minimizaciju. Regulatori žele činjenice. Operacije žele obnovu. Klijenti žele potvrdu. Revizori žele objektivne dokaze.
| Regulativa ili potreba | Ključni zahtjev za dokaze | Posljedica za zadržavanje |
|---|---|---|
| NIS2 | Dokazati utjecaj, ozbiljnost i sumnjivi uzrok za fazno izvješćivanje o incidentu | Očuvati upozorenja, pokazatelje kompromitacije, podatke o utjecaju na usluge, zapise o operativnom prekidu i dnevnike odluka |
| DORA | Poduprijeti klasifikaciju incidenta, izvješćivanje, analizu utjecaja na klijente i pregled temeljnog uzroka | Zadržati tehničke artefakte, dokaze o IKT imovini, izvješćivanja upravi, komunikaciju s dobavljačima i zapise o korektivnim radnjama |
| GDPR | Dokazati ograničenje svrhe, minimizaciju podataka, ograničenje pohrane i sigurnost obrade | Opravdati zadržavanje osobnih podataka, ograničiti pristup i izbrisati ili anonimizirati dokaze nakon ukidanja obustave |
| Sudski spor | Predočiti dokazive, neizmijenjene dokaze s jasnim lancem čuvanja dokaza | Zamrznuti relevantne podatke pod formalnom obustavom brisanja i održavati zapise o prikupljanju, pristupu i prijenosu |
| Ugovori s klijentima | Dokazati obveze obavješćivanja, utjecaja na uslugu, otklanjanja posljedica i suradnje | Očuvati komunikaciju s klijentima, SLA analizu, izvješća o incidentu i ugovorne zapise o odgovoru |
Pokušaj upravljanja tim zahtjevima kroz odvojene tijekove rada privatnosti, pravnih poslova, SOC-a i revizije recept je za proturječnosti. Ujedinjeni ISMS prema ISO/IEC 27001:2022 čini ih dijelom jednog procesa rizika, kontrola i dokaza.
Sloj kontrola za dokazivo čuvanje dokaza
Pravna obustava brisanja podataka pri kibernetičkom incidentu nije jedna kontrola ISO/IEC 27002:2022. To je odnos među kontrolama.
Clarysecov Zenith Controls: vodič za usklađenost među okvirima mapira kontrolu ISO/IEC 27002:2022 5.28, prikupljanje dokaza, kao korektivnu kontrolu koja podupire povjerljivost, cjelovitost i dostupnost. Ona se nalazi unutar koncepata kibernetičke sigurnosti Otkrivanje i Odgovor te operativne sposobnosti upravljanja događajima informacijske sigurnosti.
Isti vodič Zenith Controls povezuje 5.28 s odgovorom na incidente informacijske sigurnosti, zapisivanjem događaja i praćenjem, zaštitom zapisa i prijavljivanjem događaja. Logika je praktična: osobe zadužene za odgovor na incidente trebaju dnevničke zapise i artefakte prije nego što otklanjanje posljedica promijeni stanje, osobe zadužene za regulatorno izvješćivanje trebaju pouzdane činjenice, a istražitelji trebaju dokaze koji nisu izmijenjeni.
Kontrola ISO/IEC 27002:2022 5.33, zaštita zapisa, jednako je važna. Ona podupire pravne zahtjeve i zahtjeve usklađenosti, upravljanje imovinom i zaštitu informacija. Povezuje zaštitu zapisa s klasifikacijom, sigurnosnim kopijama, sigurnim zbrinjavanjem, pravnim i ugovornim zahtjevima, kontrolom pristupa i odgovorom na incidente. U praksi, pravna obustava brisanja podataka ne smije samo prikupiti dokaze. Mora zaštititi cjelovitost, povjerljivost i dostupnost samog dokaznog zapisa.
Za zapisivanje događaja temelj je kontrola ISO/IEC 27002:2022 8.15, zapisivanje događaja. Ona se povezuje s 8.16, aktivnosti praćenja, i 8.17, sinkronizacija vremena. Ako su dnevnički zapisi nepotpuni, ako ih administratori mogu uređivati, ako nisu vremenski sinkronizirani ili se zadržavaju prekratko, dokazni postupak može propasti prije početka istrage.
| Potreba za dokazima | Odnos kontrola ISO/IEC 27002:2022 | Zašto je važno nakon povrede |
|---|---|---|
| Očuvati artefakte prije otklanjanja posljedica | 5.28 Prikupljanje dokaza povezano s 5.26 Odgovor na incidente informacijske sigurnosti | Sprječava da osobe zadužene za odgovor unište dokaz tijekom ograničavanja incidenta |
| Zaštititi zapise istrage | 5.33 Zaštita zapisa povezana s 5.31 Zakonski, regulatorni i ugovorni zahtjevi te 5.15 Kontrola pristupa | Osigurava da datoteke dokaza, izvješća i odobrenja ostanu cjeloviti i ograničeni |
| Održavati pouzdane dnevničke zapise | 8.15 Zapisivanje događaja povezano s 8.16 Aktivnosti praćenja i 8.17 Sinkronizacija vremena | Podupire vremenske slijedove događaja, atribuciju, analizu utjecaja i regulatorno izvješćivanje |
| Uravnotežiti privatnost | 5.34 Privatnost i zaštita osobnih podataka (PII) povezana sa zapisivanjem događaja i zaštitom zapisa | Sprječava prekomjerno zadržavanje ili nekontrolirano otkrivanje osobnih podataka |
| Obnoviti dostupnost dokaza | 8.13 Sigurnosno kopiranje informacija povezano sa zaštitom zapisa | Pomaže obnoviti zapise i dnevničke zapise ako su sustavi oštećeni, šifrirani ili izbrisani |
| Poboljšati nakon incidenta | 5.27 Učenje iz incidenata informacijske sigurnosti povezano s korektivnom radnjom | Pretvara naučene lekcije u obradu rizika, poboljšanje kontrola i revizijske dokaze |
Zenith Blueprint, faza Kontrole u praksi, korak 19, dodatno potvrđuje ovo praktičnim jezikom o zapisivanju događaja:
„Dnevnički zapisi koji bilježe aktivnosti, iznimke, greške i druge relevantne događaje moraju se stvarati, pohranjivati, štititi i analizirati.”
Također upozorava da zaštita dnevničkih zapisa uključuje ograničenje pristupa i uporabu mehanizama poput kriptografskog sažetka ili pohrane s jednokratnim upisom radi sprječavanja neovlaštenih izmjena. Korak 19 povezuje sinkronizaciju vremena s forenzičkom koherentnošću i objašnjava da sinkronizirani satovi omogućuju usklađivanje dnevničkih zapisa iz različitih sustava za potrebe istrage.
Odgovornost prema GDPR-u: očuvajte što trebate, opravdajte što zadržavate
GDPR stvara najvidljiviju napetost u čuvanju dokaza o incidentu. Sigurnosni timovi često žele više podataka. Timovi za privatnost žele manje. Dokaziva pravna obustava brisanja podataka usklađuje oba zahtjeva.
Dnevnički zapisi i artefakti mogu sadržavati IP adrese, korisničke ID-ove, adrese e-pošte, identifikatore uređaja, autentifikacijske zapise, tekst prijava podršci, snimke zaslona, izvoze podataka klijenata ili posebne kategorije podataka. Očuvanje dokaza stoga je obrada. Obavijest o pravnoj obustavi brisanja podataka treba dokumentirati pravnu osnovu, svrhu, opseg, ograničenja pristupa, datum preispitivanja obustave i okidač za zbrinjavanje.
Clarysecova Politika zaštite podataka i privatnosti za mala i srednja poduzeća navodi:
„Smiju se prikupljati i zadržavati samo minimalni osobni podaci koji su nužni”
Enterprise Politika prikupljanja dokaza i forenzike izričito veže postupanje s forenzičkim dokazima uz:
„GDPR Article 5, uključujući ograničenje svrhe i minimizaciju podataka”
To je operativno načelo. Nemojte očuvati cijelu produkcijsku bazu podataka ako su relevantni dokazi uski revizijski trag, evidencija pristupa, zapis upita i popis pogođenih korisnika. Nemojte svakom članu tima za odgovor dati pristup sirovim dokazima ako su dovoljni pseudonimizirani izvadci ili pristup temeljen na ulogama. Nemojte neograničeno zadržavati artefakte incidenta nakon što su pravna, regulatorna i revizijska potreba istekle.
Dobar zapis o pravnoj obustavi brisanja podataka usklađen s GDPR-om odgovara na sedam pitanja:
- Koji je incident ili istraga pokrenula obustavu?
- Koje kategorije osobnih podataka mogu biti uključene?
- Zašto je svaka kategorija dokaza nužna?
- Tko je odobrio obustavu i kada?
- Tko može pristupiti dokazima?
- Kada će se obustava preispitati?
- Koji se postupak brisanja ili sigurnog zbrinjavanja nastavlja nakon ukidanja obustave?
Tako se čuvanje dokaza ne pretvara u prekomjerno zadržavanje podataka iz perspektive privatnosti.
NIS2: pravna obustava brisanja podataka za fazno izvješćivanje o incidentima
Za organizacije u opsegu, NIS2 mijenja očekivanje od dokaza iz „korisno interno” u „potrebno za nadzor”.
NIS2 se primjenjuje na mnoge ključne i važne subjekte u EU, uključujući pružatelje digitalne infrastrukture, pružatelje usluga računalstva u oblaku, pružatelje usluga podatkovnih centara, mreže za isporuku sadržaja, pružatelje usluga povjerenja, pružatelje elektroničkih komunikacija, pružatelje upravljanih usluga, pružatelje upravljanih sigurnosnih usluga i određene digitalne pružatelje kao što su internetska tržišta, internetske tražilice i platforme društvenih mreža.
Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući analizu rizika, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, siguran razvoj, procjenu učinkovitosti, osposobljavanje, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom i autentifikaciju. Article 20 čini upravljačka tijela odgovornima za odobravanje i nadzor tih mjera.
Za pravnu obustavu brisanja podataka ključno pitanje prema NIS2 jest Article 23. Značajni incidenti zahtijevaju fazno izvješćivanje: rano upozorenje u roku od 24 sata od saznanja, obavijest o incidentu u roku od 72 sata, međuizvješća na zahtjev i završno izvješće najkasnije mjesec dana nakon obavijesti u roku od 72 sata. Završno izvješće treba sadržavati opis, ozbiljnost, utjecaj, vjerojatnu vrstu prijetnje ili temeljni uzrok, mjere ublažavanja i prekogranični utjecaj, ako je primjenjivo.
| Faza izvješćivanja prema NIS2 | Potrebni dokazi | Radnja pravne obustave brisanja podataka |
|---|---|---|
| Rano upozorenje u roku od 24 sata | Početno vrijeme otkrivanja, sumnjiva zlonamjerna aktivnost, pogođena usluga i mogući prekogranični utjecaj | Zamrznuti SOC upozorenja, prijavu incidenta, dnevničke zapise identiteta i revizijske tragove u oblaku |
| Obavijest u roku od 72 sata | Ozbiljnost, utjecaj, pokazatelji kompromitacije, operativni prekid i pokazatelji financijskog gubitka | Očuvati forenzičke izvoze, popis pogođene imovine, IOC-ove, bilješke o utjecaju na poslovanje i komunikacijske zapise |
| Međuizvješća | Trenutačni status, napredak ograničavanja i pitanja nadležnog tijela | Održavati verzionirani zapis istrage i dnevnik odluka o odgovoru |
| Završno izvješće | Temeljni uzrok, opis incidenta, ozbiljnost, utjecaj, ublažavanje i prekogranični učinak | Očuvati dokaze o temeljnom uzroku, dokaze o korektivnim radnjama, naučene lekcije i revizijski trag odobrenja |
Ako incident utječe na osobne podatke, nadležna tijela prema NIS2 mogu surađivati s nadzornim tijelima prema GDPR-u. To povećava potrebu za jedinstvenom dokaznom naracijom koja podupire i nadzor kibernetičke sigurnosti i odgovornost u području privatnosti.
DORA: dokazi o IKT riziku nadilaze sigurnosne dnevničke zapise
Za financijske subjekte DORA je sektorski režim operativne otpornosti. Primjenjuje se od 17. siječnja 2025. i obuhvaća upravljanje IKT rizicima, izvješćivanje o većim IKT incidentima, testiranje otpornosti, razmjenu informacija i upravljanje IKT rizicima trećih strana. Za financijske subjekte koji su ujedno ključni ili važni prema NIS2, DORA općenito djeluje kao sektorski pravni akt Unije za IKT rizik i izvješćivanje o incidentima.
DORA je po svojoj naravi zahtjevna u pogledu dokaza. Article 17 zahtijeva proces upravljanja incidentima povezanima s IKT-om. Article 18 obrađuje klasifikaciju incidenata povezanih s IKT-om i kibernetičkih prijetnji. Article 19 obuhvaća izvješćivanje o većim incidentima povezanima s IKT-om. Financijski subjekti također moraju održavati aranžmane upravljanja i kontrola, identificirati kritične ili važne funkcije, dokumentirati IKT imovinu i ovisnosti te provoditi analizu temeljnog uzroka.
To znači da pravna obustava brisanja podataka prema DORA mora obuhvatiti dokaze o operativnoj otpornosti, a ne samo sigurnosne artefakte. Nakon kompromitacije identiteta u oblaku koja utječe na platne operacije, obustava može uključivati dnevničke zapise pružatelja identiteta, povijest privilegiranog pristupa, revizijske zapise u oblaku, SIEM upozorenja, slike krajnjih uređaja, analizu utjecaja na transakcije klijenata, zapise o aktivaciji neprekidnosti poslovanja, dokaze sigurnosnog kopiranja i oporavka, komunikaciju s dobavljačima, izvješćivanja upravljačkom tijelu, analizu temeljnog uzroka i provjeru korektivnih radnji.
DORA također čini IKT dokaze trećih strana neizbježnima. Articles 28 to 30 zahtijevaju upravljanje IKT rizicima trećih strana, registre ugovornih aranžmana, dubinsku analizu dobavljača, procjenu rizika koncentracije i pisane ugovore s pravima i obvezama. Za kritične ili važne funkcije ugovori trebaju podupirati obveze obavješćivanja i izvješćivanja pružatelja, pomoć u incidentima, suradnju s nadležnim tijelima, prava pristupa, inspekcije i revizije te izlazne strategije.
Ako relevantne dnevničke zapise drži vaš pružatelj usluga u oblaku, pružatelj upravljanih usluga, pružatelj upravljanih sigurnosnih usluga, procesor plaćanja ili SaaS ovisnost, vaš postupak pravne obustave brisanja podataka mora već biti ugrađen u ugovore s dobavljačima. U suprotnom tijekom većeg incidenta možete otkriti da je standardni rok zadržavanja vašeg pružatelja kraći od vašeg regulatornog ciklusa izvješćivanja.
Kako Clarysec operacionalizira pravnu obustavu brisanja podataka tijekom SaaS povrede
Uzmimo Marijino fintech SaaS okruženje. Incident može uključivati neovlašteni pristup identifikatorima klijenata, metapodacima transakcija, administratorskim sustavima i vanjski ugovorenim SOC zapisima. Društvo pruža usluge financijskim institucijama u EU, oslanja se na infrastrukturu u oblaku i može imati ugovorne obveze prema GDPR-u i DORA te dužnosti prema NIS2.
Prva radnja nije očuvati sve. Prva radnja je pokrenuti kontroliranu odluku.
Voditelj incidenta šalje zahtjev za pravnu obustavu brisanja podataka pravnom savjetniku, DPO-u ili voditelju privatnosti, CISO-u i vlasniku poslovnog procesa. Zahtjev uključuje ID incidenta, datum i vrijeme, pogođene sustave, sumnjive kategorije podataka, početne regulatorne putove, predložene kategorije dokaza i neposredne rizike brisanja.
Primjenom Enterprise Politike zadržavanja i zbrinjavanja podataka, obustava se dokumentira i odobravaju je pravni savjetnik i DPO. Za mala i srednja poduzeća, Politika zadržavanja podataka i sigurnog zbrinjavanja za mala i srednja poduzeća pruža pravilo obustave brisanja. Odobrenje uključuje datum preispitivanja usklađen s etapama istrage, rokovima regulatornog izvješćivanja i očekivanim rizikom sudskog ili ugovornog spora. Ne navodi „zauvijek”. Navodi „do ukidanja ovlaštenom odlukom nakon preispitivanja”.
Zatim tim zamrzava relevantne dnevničke zapise i artefakte. Politika zapisivanja događaja i praćenja za mala i srednja poduzeća navodi:
„Dnevnički zapisi moraju se staviti pod pravnu obustavu brisanja podataka i obustavu brisanja te zaštititi od izmjene ili brisanja”
Tim obustavlja brisanje za SIEM predmete, dnevničke zapise identiteta, revizijske zapise u oblaku, dnevničke zapise aplikacija, zapise upita baze podataka, WAF događaje i metapodatke SOC upozorenja. Izvezeni dnevnički zapisi pohranjuju se u ograničenu pohranu dokaza uz kriptografske sažetke, upravljanje verzijama i dozvole samo za čitanje gdje je primjereno.
Pravilo prikupljanja je jednostavno: očuvati dokaze bez uređivanja izvornika. Politika prikupljanja dokaza i forenzike za mala i srednja poduzeća navodi:
„Uvijek se mora izraditi forenzička kopija ili izvoz; izvorni dokaz nikada se ne smije izravno uređivati.”
Inženjeri mogu otklanjati posljedice, ali tek nakon što se izrade potrebne snimke, izvozi ili forenzičke kopije, osim ako je trenutačno ograničavanje nužno za sprječavanje daljnje štete. Ako se hitno otklanjanje posljedica provede prvo, razlog se dokumentira.
Ista politika za mala i srednja poduzeća navodi:
„Za svaki incident mora se održavati jednostavan dnevnik lanca čuvanja dokaza (npr. Excel datoteka ili predložak dokumenta).”
Za enterprise okruženja, Politika prikupljanja dokaza i forenzike, točka 5.6, zahtijeva:
„Dnevnik lanca čuvanja dokaza mora pratiti sve fizičke ili digitalne dokaze od trenutka prikupljanja do arhiviranja ili prijenosa te mora dokumentirati:”
U praksi dnevnik lanca čuvanja dokaza bilježi ID dokaza, opis, izvorni sustav, osobu koja je prikupila dokaz, metodu prikupljanja, vrijednost kriptografskog sažetka gdje je primjenjivo, izvor vremena, lokaciju pohrane, događaje pristupa, prijenose, kopije za analizu i konačno postupanje.
Naposljetku, sam zapis istrage mora biti zaštićen. Enterprise Politika praćenja revizije i usklađenosti navodi:
„Svi revizijski zapisi, nalazi i izvješća o korektivnim radnjama moraju se zadržati, šifrirati i zaštititi od neovlaštenih izmjena.”
Taj se zahtjev primjenjuje na vremenski slijed incidenta, dnevnik odluka, obavijest o pravnoj obustavi brisanja podataka, komunikaciju s regulatorima, komunikaciju s klijentima, analizu temeljnog uzroka i dokaze o korektivnim radnjama.
Dokumentirane informacije koje će revizori pregledati
ISO/IEC 27001:2022 točka 7.5 zahtijeva kontrolu dokumentiranih informacija potrebnih za ISMS i onih koje zahtijeva standard. Zenith Blueprint, faza Temelji i vodstvo ISMS-a, korak 6, prevodi to u praktične zahtjeve: dokumenti trebaju imati identifikaciju, format, pregled, odobrenje, upravljanje verzijama, kontrolirani pristup, zaštitu cjelovitosti, kontrolu promjena, zadržavanje i postupanje nakon isteka.
Korak 6 također napominje da zapisi poput dnevničkih zapisa praćenja, revizijskih izvješća i datoteka istrage incidenta mogu biti povjerljivi te se trebaju dijeliti prema načelu nužnog poznavanja, uz prava uređivanja ograničena na ovlaštene korisnike.
Dokaziv dokazni paket treba uključivati:
- Obavijest i odobrenje pravne obustave brisanja podataka.
- Klasifikaciju incidenta i odluku o ozbiljnosti.
- Popis dokaza.
- Dnevnik lanca čuvanja dokaza.
- Potvrdu očuvanja dnevničkih zapisa.
- Zapise o forenzičkoj slici ili izvozu.
- Vrijednosti kriptografskog sažetka ili provjere cjelovitosti gdje je primjenjivo.
- Popis pristupa pohrani dokaza.
- Dokaze o regulatornom izvješćivanju.
- Procjenu privatnosti i analizu utjecaja na osobne podatke.
- Zahtjeve dobavljačima za dokaze i njihove odgovore.
- Analizu temeljnog uzroka.
- Dokaze o korektivnim radnjama i provjeri.
- Preispitivanje zadržavanja i odluku o ukidanju.
Što je kontrola dokumentiranih informacija snažnija, revizija je jednostavnija.
Dokazi dobavljača i iz oblaka: točka neuspjeha koju mnogi timovi propuste
Najteži dokazi često nisu unutar vaše organizacije. Drži ih pružatelj usluga u oblaku, SaaS platforma, pružatelj upravljanih sigurnosnih usluga, pružatelj upravljanih usluga, procesor plaćanja, pružatelj identiteta ili vanjski razvojni tim.
NIS2 Article 21 uključuje sigurnost opskrbnog lanca i sigurnosne aspekte odnosa s izravnim dobavljačima ili pružateljima usluga. DORA ide dalje za financijske subjekte i zahtijeva registre IKT trećih strana, dubinsku analizu dobavljača, analizu rizika koncentracije i ugovore s pomoći u incidentima, izvješćivanjem pružatelja, suradnjom s nadležnim tijelima, pravima na reviziju i izlaznim odredbama za kritične ili važne funkcije.
NIST Cybersecurity Framework 2.0 također tretira rizik opskrbnog lanca kao disciplinu životnog ciklusa. Njegova funkcija Upravljanje uključuje ishode upravljanja rizicima dobavljača za strategiju, uloge, ugovore, dubinsku analizu dobavljača, praćenje, sudjelovanje u incidentima i izlazne odredbe. CSF profili mogu izraziti ciljne zahtjeve kibernetičke sigurnosti prema dobavljačima, što je korisno pri prevođenju potreba za dokazima iz pravne obustave brisanja podataka u ugovorne odredbe.
Ugovori s dobavljačima trebaju obraditi:
- Vrste sigurnosnih dnevničkih zapisa dostupnih klijentu.
- Zadane rokove zadržavanja i opcije produljenog zadržavanja.
- Postupak hitnog zahtjeva za očuvanje.
- Vrijeme potrebno za očuvanje dokaza nakon zahtjeva klijenta.
- Formate forenzičkog izvoza.
- Podršku za lanac čuvanja dokaza.
- Suradnju s regulatorom.
- Obveze podizvršitelja obrade ili podizvođača u vezi s dokazima.
- Ograničenja lokacije podataka i prijenosa.
- Sigurno brisanje nakon ukidanja obustave.
Zenith Blueprint, faza Kontrole u praksi, korak 18, daje sličnu disciplinu za prijenos fizičkih medija, zahtijevajući šifriranje, ambalažu s detekcijom neovlaštene izmjene, praćenje, zapise o prijevozu, popis medija i reviziju registra. Ista se logika primjenjuje na prijenose dokaza iz oblaka: očuvati cjelovitost, pratiti skrbništvo, ograničiti pristup i potvrditi primitak.
Kako će revizori i regulatori testirati vaš postupak pravne obustave brisanja podataka
Postupak pravne obustave brisanja podataka izgleda različito ovisno o mandatu pregledavatelja. Clarysec koristi Zenith Controls kao kompas usklađenosti među okvirima kako bi isti dokazni paket mogao zadovoljiti više perspektiva bez dupliciranja rada.
| Perspektiva revizora | Što će revizor pitati | Dokazi koje Clarysec priprema |
|---|---|---|
| Revizor ISO/IEC 27001:2022 | Je li pravna obustava brisanja podataka dio ISMS-a, obrade rizika, dokumentiranih informacija i procesa odgovora na incidente? | Opseg ISMS-a, zahtjevi zainteresiranih strana, Izjava o primjenjivosti, postupak za incidente, politika dokaza, politika zadržavanja i kontrolirani zapisi |
| Pregledavatelj kontrola ISO/IEC 27002:2022 | Jesu li 5.28 prikupljanje dokaza, 5.33 zaštita zapisa i 8.15 zapisivanje događaja provedeni i povezani? | Popis dokaza, dnevnik lanca čuvanja dokaza, zaštita od neovlaštenih izmjena, postavke zadržavanja dnevničkih zapisa, dokaz sinkronizacije vremena i kontrole pristupa |
| GDPR revizor ili DPO pregledavatelj | Jesu li osobni podaci zadržani samo gdje je nužno i na temelju dokumentirane svrhe i pravne osnove? | Procjena privatnosti, obrazloženje minimizacije podataka, ograničenja pristupa, preispitivanje zadržavanja i dokaz brisanja ili sigurnog zbrinjavanja |
| NIS2 nadzorni pregledavatelj | Može li subjekt poduprijeti izvješćivanje u roku od 24 sata, 72 sata i završno izvješćivanje pouzdanim činjenicama? | Vremenski slijed incidenta, procjena ozbiljnosti, IOC-ovi, dokazi o utjecaju, prekogranična analiza, odobrenja uprave i komunikacije |
| Pregledavatelj IKT rizika prema DORA | Jesu li incidenti evidentirani, klasificirani, eskalirani, prijavljeni, analizirani do temeljnog uzroka i vraćeni u upravljanje IKT rizicima? | Registar incidenata, kriteriji klasifikacije, izvješćivanje upravljačkom tijelu, analiza temeljnog uzroka, provjera korektivnih radnji i dokazi dobavljača |
| Procjenitelj NIST CSF 2.0 | Jesu li ishodi upravljanja, rizika, dobavljača, otkrivanja, odgovora i oporavka integrirani u jedan profil? | Trenutačni i ciljni profili, plan zatvaranja nedostataka, zahtjevi prema dobavljačima, dokazi praćenja i naučene lekcije iz incidenta |
| COBIT 2019 ili ISACA revizor | Jesu li ciljevi upravljanja, odgovornost, kvaliteta informacija, praćenje kontrola i dokazi osiguranja pouzdani? | RACI, vlasništvo nad kontrolama, preispitivanje od strane uprave, revizijski trag, praćenje otvorenih pitanja, zatvaranje korektivnih radnji i metrike učinkovitosti |
ISO revizor usredotočit će se na sukladnost i objektivne dokaze. GDPR pregledavatelja zanimat će nužnost, ograničenje svrhe i dokaziva odgovornost. NIS2 pregledavatelja zanimat će činjenice za izvješćivanje o značajnim incidentima i odgovornost uprave. DORA pregledavatelja zanimat će upravljanje IKT rizicima, postupanje s većim incidentima, ovisnosti o trećim stranama i naučene lekcije. COBIT 2019 ili ISACA revizora zanimat će upravljanje, dizajn kontrola, rad kontrola i osiguranje kvalitete informacija.
Jedan dokazni paket može služiti svima njima, ako je tako dizajniran.
Praktičan kontrolni popis za pravnu obustavu brisanja podataka pri kibernetičkom incidentu u 2026.
Upotrijebite ovaj kontrolni popis prije sljedećeg ozbiljnog incidenta, a ne tijekom njega.
| Kontrolno pitanje | Očekivani odgovor |
|---|---|
| Tko može izdati pravnu obustavu brisanja podataka pri kibernetičkom incidentu? | Odobravaju pravni savjetnik i DPO ili vlasnik privatnosti, a pokreću CISO i voditelj incidenta |
| Što pokreće obustavu? | Sumnja na ozbiljan sigurnosni incident, povreda osobnih podataka, mogućnost regulatornog izvješćivanja, rizik sudskog spora, zahtjev tijela kaznenog progona, revizija klijenta ili ugovorni spor |
| Koji su dokazi u opsegu? | Dnevnički zapisi, upozorenja, forenzičke slike, snimke, tiketi, komunikacije, analiza utjecaja, zapisi dobavljača, odluke uprave i dokazi o korektivnim radnjama |
| Kako se dokazi štite? | Ograničen pristup, šifriranje, zaštita od neovlaštenih izmjena, kriptografski sažeci gdje je primjereno, nepromjenjiva pohrana ili pohrana samo za čitanje i praćeni pristup |
| Kako se održava lanac čuvanja dokaza? | Registar dokaza bilježi prikupljanje, prikupljatelja, vrijeme, metodu, pohranu, prijenos, pristup i konačno postupanje |
| Kako se upravlja minimizacijom prema GDPR-u? | Opseg je ograničen na nužne dokaze, pristup osobnim podacima je ograničen, datumi preispitivanja su određeni i brisanje se nastavlja nakon ukidanja obustave |
| Kako su dobavljači uključeni? | Ugovori zahtijevaju očuvanje dokaza, pomoć u incidentima, suradnju u reviziji i produljenje zadržavanja na zahtjev |
| Kako se provodi ukidanje? | Ovlašteno preispitivanje utvrđuje treba li obustavu nastaviti, suziti ili ukinuti te nastaviti sigurno zbrinjavanje |
Ovaj kontrolni popis postaje snažniji kada se ugradi u plan obrade rizika ISMS-a, zahtjeve sigurnosti dobavljača, operativne upute za odgovor na incidente, arhitekturu zapisivanja događaja i upravljanje privatnošću.
Od panike nakon povrede do otpornosti spremne za reviziju
Poziv u 4 ujutro uvijek će biti stresan. Ne mora postati kaos.
Zreo postupak pravne obustave brisanja podataka pri kibernetičkom incidentu svakom dioniku daje kontrolirani put. Pravni poslovi dobivaju dokazivo očuvanje. Privatnost dobiva minimizaciju i preispitivanje. CISO dobiva cjelovitost dokaza. DPO dobiva odgovornost. Odbor dobiva pouzdane činjenice. Pregledavatelji NIS2, DORA i GDPR dobivaju objektivne dokaze umjesto improviziranih objašnjenja.
Clarysecova metodologija od 30 koraka ne tretira pravnu obustavu brisanja podataka kao samostalni pravni memorandum. Tretira je kao operativnu sposobnost ISMS-a.
U Zenith Blueprint, korak 6 gradi biblioteku dokumentiranih informacija, uključujući pravila zadržavanja i zbrinjavanja. Korak 19 jača zapisivanje događaja i sinkronizaciju vremena kako bi istrage mogle rekonstruirati vremenske slijedove. Korak 23 provodi prikupljanje dokaza i lanac čuvanja dokaza. Korak 18 dodaje disciplinu postupanja s medijima kada se dokazi fizički premještaju ili prenose između strana.
U Zenith Controls, Clarysec povezuje temeljne kontrole ISO/IEC 27002:2022 kako bi klijenti mogli vidjeti kako prikupljanje dokaza ovisi o zapisivanju događaja, praćenju, odgovoru na incidente, zaštiti zapisa, kontroli pristupa, sigurnosnim kopijama, privatnosti i pravnim zahtjevima.
U Clarysecovoj biblioteci politika praktična uporišta tijeka rada već su definirana: Politika zadržavanja i zbrinjavanja podataka, Politika zadržavanja podataka i sigurnog zbrinjavanja za mala i srednja poduzeća, Politika prikupljanja dokaza i forenzike, Politika prikupljanja dokaza i forenzike za mala i srednja poduzeća, Politika zapisivanja događaja i praćenja za mala i srednja poduzeća, Politika zaštite podataka i privatnosti za mala i srednja poduzeća i Politika praćenja revizije i usklađenosti.
Ako vaš plan odgovora na incidente kaže „očuvati dokaze”, ali ne definira ovlast za pravnu obustavu brisanja podataka, opseg dokaza, obustavu brisanja, lanac čuvanja dokaza, očuvanje dokaza kod dobavljača, minimizaciju prema GDPR-u i kriterije ukidanja, još nije spreman za reviziju.
Izgradite postupak prije povrede. Clarysec vam može pomoći uspostaviti dokazivu sposobnost pravne obustave brisanja podataka i čuvanja dokaza pri kibernetičkom incidentu koristeći Zenith Blueprint: revizorov plan u 30 koraka, Zenith Controls: vodič za usklađenost među okvirima i Clarysec predloške politika, uključujući Politiku zadržavanja i zbrinjavanja podataka, Politiku prikupljanja dokaza i forenzike, Politiku praćenja revizije i usklađenosti, Politiku zapisivanja događaja i praćenja za mala i srednja poduzeća, Politiku zaštite podataka i privatnosti za mala i srednja poduzeća i Politiku prikupljanja dokaza i forenzike za mala i srednja poduzeća.
Preuzmite alate, zatražite Clarysec pregled politika ili rezervirajte procjenu spremnosti za čuvanje dokaza prije sljedeće revizije, nadzornog zahtjeva ili većeg sigurnosnog pregleda klijenta.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
