Kiberincidenshez kapcsolódó jogi zárolás GDPR, NIS2 és DORA környezetben

Hajnali 4:17-kor Maria, egy fintech SaaS-szolgáltató információbiztonsági vezetője megkapta azt a hívást, amelyre minden biztonsági vezető készül, de reméli, hogy soha nem érkezik meg. A kritikus éles szerverek nem válaszoltak. A fájlok titkosítva voltak. Egy junior rendszergazda képernyőjén zsarolóüzenet volt megnyitva.

4:28-ra az incidensreagálási csapat el akarta különíteni az érintett rendszereket, és tiszta infrastruktúrát akart újratelepíteni. 4:41-kor a fejlesztőcsapat megkérdezte, rotálhatják-e a hitelesítő adatokat, törölhetik-e az ideiglenes fájlokat és újraépíthetik-e a konténereket. 5:03-kor a DPO figyelmeztetett, hogy a kompromittálódott környezet ügyfélazonosítókat és tranzakciós metaadatokat tartalmaz. 5:16-kor a jogi képviselő egyetlen utasítással csatlakozott a válsághídhoz: „Ne semmisítsenek meg potenciális bizonyítékokat. Jogi zárolásra lehet szükség.” 5:30-kor a COO megkérdezte, aktiválódtak-e a DORA szerinti jelentéstételi kötelezettségek. 6:00-kor Maria eszébe jutott a NIS2 időzítése: 24 órán belül korai figyelmeztetés, 72 órán belül részletesebb bejelentés, egy hónapon belül pedig végleges jelentés válhat esedékessé.

Ezután elhangzott a kérdés, amely eldönti, hogy egy kiberincidens igazolható vagy kaotikus lesz-e:

„Megvannak még a naplók?”

Ez az incidens utáni irányítási probléma az, amelyet sok reagálási terv nem kezel kellő mélységben. Nem elég észlelni, elszigetelni és helyreállítani. 2026-ban a szervezeteknek bizonyítaniuk is kell, mi történt, meg kell őrizniük a releváns bizonyítékokat, el kell kerülniük a forenzikus artefaktumok sérülését, tiszteletben kell tartaniuk a GDPR szerinti adattakarékosságot, támogatniuk kell a NIS2 szerinti felügyeleti elvárásokat, és olyan DORA IKT-kockázati nyilvántartásokat kell fenntartaniuk, amelyek audit, peres eljárás és szabályozói felülvizsgálat során is megállják a helyüket.

A kiberincidenshez kapcsolódó jogi zárolás és a bizonyítékok megőrzése a biztonsági üzemeltetés, az adatvédelem, a jogi terület, a megfelelés, a felhőmérnökség, a beszállítókezelés és az audit metszéspontjában helyezkedik el. Ha a folyamatot adatsértés közben improvizálják, a szervezet elveszítheti a gyökérok-elemzéshez, a hatósági jelentéstételhez, a biztosítási igényekhez, a peres védekezéshez, a munkavállalói fegyelmi eljárásokhoz és az ügyfelek megnyugtatásához szükséges bizonyítékokat. Ha túl szélesre szabják, a szervezet túlzott mennyiségű személyes adatot tarthat meg, és ezzel második megfelelési problémát hozhat létre.

A Clarysec megközelítése szerint a jogi zárolás nem pánikreakció, hanem kontrollált IBIR-folyamat. A modell az ISO/IEC 27001:2022 szerinti irányítást, az ISO/IEC 27002:2022 szerinti bizonyíték- és naplózási kontrollokat, a GDPR szerinti elszámoltathatóságot, a NIS2 szerinti incidensjelentést és a DORA szerinti IKT-kockázati bizonyítékokat egyetlen működési rendszerbe kapcsolja össze. Ez a rendszer meghatározza, mit kell megőrizni, ki jogosult a megőrzést engedélyezni, mennyi ideig maradnak a bizonyítékok zárolás alatt, ki férhet hozzájuk, és mikor folytatható a törlés.

Az első 24 óra dönti el, hogy a bizonyítékok megmaradnak-e

Sok valós incidensben a bizonyítékokat nem a támadók semmisítik meg. A normál üzemeltetés semmisíti meg őket.

Lejár egy felhőnapló megőrzési ideje. Újratelepítenek egy konténert. Újratelepítenek egy végpontot, mielőtt a memória mentése megtörténne. Egy SaaS-rendszergazda CSV-t exportál a vizsgálathoz, majd szerkeszti a fájlt. Egy jó szándékú mérnök forenzikus másolat készítése előtt törli a rosszindulatú szkripteket. Egy adattárház megőrzési feladata eltávolítja azokat a bejegyzéseket, amelyek alapján meg lehetne állapítani, mely ügyfelek érintettek.

A szervezet működési szempontból még helyreállhat, de elveszíti a bizonyítékot. Ez a különbség számít.

A GDPR alapján az adatkezelőnek képesnek kell lennie igazolni az adatvédelmi alapelveknek való megfelelést, ideértve a sértetlenséget és bizalmasságot, a célhoz kötöttséget, az adattakarékosságot és a tárolási korlátozást. Ha egy személyesadat-sértés valószínűsíthetően kockázattal jár az érintettekre nézve, Article 33 alapján indokolatlan késedelem nélkül, és ahol lehetséges, a tudomásszerzéstől számított 72 órán belül értesíteni kell a felügyeleti hatóságot. Ha a jogsértés valószínűsíthetően magas kockázattal jár az érintettekre nézve, Article 34 alapján tájékoztatni kell az érintetteket.

A NIS2 alapján az alapvető és fontos szervezeteknek a jelentős incidenseket szakaszos jelentéstétellel és felügyelet mellett kell kezelniük. A DORA alapján a pénzügyi szervezeteknek rögzíteniük kell az IKT-val kapcsolatos incidenseket, osztályozniuk kell a jelentős incidenseket, jelenteniük kell azokat, gyökérok-elemzést kell végezniük, és meg kell őrizniük a bizonyítékokat az IKT-eszközök, üzleti funkciók és harmadik felektől való függőségek teljes körében.

Az ISO/IEC 27001:2022 ehhez irányítási rendszer szerkezetet ad. A 4.2 pont előírja, hogy a szervezet határozza meg az érdekelt felek igényeit és elvárásait, beleértve az információbiztonság szempontjából releváns jogi, szabályozói és szerződéses követelményeket. A 4.3 pont előírja, hogy az IBIR alkalmazási területének figyelembe kell vennie az interfészeket és függőségeket, ami kritikus, ha a bizonyítékok felhőszolgáltatónál, menedzselt biztonsági szolgáltatónál, fizetési platformon vagy kiszervezett ügyfélszolgálatnál találhatók. A 6.1 pont ezeket a kötelezettségeket az információbiztonsági kockázatokhoz és a kockázatkezeléshez kapcsolja. A 7.5 pont kontrollált dokumentált információt követel meg. A 8 pont működéstervezést és -szabályozást ír elő.

A Clarysec Zenith Blueprint: 30 lépéses auditori ütemterv útmutatója bemutatja, miért kell ezt az incidens előtt, nem pedig közben megtervezni. A Kontrollok működésben fázis 23. lépésében az ISO/IEC 27002:2022 5.28 kontrolljára vonatkozó útmutató így fogalmaz:

„Amikor információbiztonsági incidens történik, a reagálás egyik legkritikusabb, mégis gyakran figyelmen kívül hagyott eleme a bizonyíték. Nem a naplók, nem a képernyőképek, nem a laza narratívák, hanem a megfelelően megőrzött, bizonyítékláncot tiszteletben tartó, manipulációval szemben ellenálló bizonyíték.”

Ugyanez a 23. lépés hozzáteszi, hogy „amit bizonyítani tud, legalább annyira számít, mint ami ténylegesen történt.” Ez a mondat jelenti a különbséget az incidensreagálás és az igazolható incidensreagálás között. A szabályozó hatóság, az ügyfélauditor, a bíróság, a biztosító vagy a felügyeleti hatóság nem fogad el szóbeli rekonstrukciót, ha a szervezet nem tud megőrzött naplókat, megbízható időbélyegeket, kontrollált nyilvántartásokat és dokumentált bizonyítékláncot bemutatni.

A jogi zárolás nem azt jelenti, hogy „mindent örökre meg kell tartani”

A kiberincidenshez kapcsolódó jogi zárolás a normál törlés vagy selejtezés formális felfüggesztése meghatározott nyilvántartások, naplók, biztonsági mentések, lemezképek, kommunikációk és más bizonyítékok esetében, amelyek relevánsak lehetnek vizsgálat, peres eljárás, szabályozói megkeresés, audit vagy szerződéses vita szempontjából.

A leggyakoribb hiba, hogy a jogi zárolást általános utasításként kezelik: „Ne töröljetek semmit.” Ez adatvédelmi, költség- és működési kockázatot teremt. A GDPR nem szűnik meg egy kiberincidens alatt. A személyes adatokat továbbra is jogszerűen, tisztességesen és átláthatóan, meghatározott célból, a szükséges mértékre korlátozva, és csak a szükséges ideig szabad kezelni. Article 5(2) hozzáadja az elszámoltathatóságot, vagyis a szervezetnek képesnek kell lennie igazolni ezeket a döntéseket.

Itt válik gyakorlati eszközzé a Clarysec szabályzattára. A KKV-knak szóló Adatmegőrzési és biztonságos megsemmisítési szabályzat KKV-k számára kimondja:

„A jogi zárolás és a törlés felfüggesztése felülírja a standard megőrzési követelményeket, és megakadályozza az adatok törlését.”

Nagyobb szervezetek esetében az Enterprise Adatmegőrzési és megsemmisítési szabályzat 6.4.1 pontja szerint:

„Ha jogi zárolást és törlési felfüggesztést rendelnek el (például folyamatban lévő peres eljárás, vizsgálat vagy audit miatt), az egyébként megsemmisítés alá eső adatokat a normál megőrzési időn túl is meg kell őrizni.”

Ugyanez az Enterprise szabályzat előírja, hogy a zárolás legyen:

„Dokumentált, valamint a jogi képviselő és az adatvédelmi tisztviselő (DPO) által jóváhagyott”

Ez a jóváhagyási modell nem bürokrácia. Ez az egyensúlyi mechanizmus a bizonyítékok megőrzése és az adatvédelmi visszafogottság között. A jogi képviselő megerősíti a peres, vizsgálati vagy szabályozói alapot. A DPO megerősíti, hogy a hatókör, a cél, a személyesadat-kategóriák, a hozzáférés-szabályozás és a megőrzési idő meghosszabbítása arányos marad.

Azoknál a KKV-knál, ahol nincs teljes jogi osztály vagy DPO-funkció, ugyanez a döntési logika vCISO, adatvédelmi felelős, ügyvezető és külső jogi képviselő bevonásával is alkalmazható, feltéve, hogy az engedélyezés dokumentált, időkorlátos és felülvizsgált.

A megfelelési feszültség, amelyet minden információbiztonsági vezetőnek kezelnie kell

Súlyos incidens után a különböző érdekelt felek eltérő bizonyítékokat kérnek. A jogi terület megőrzést akar. Az adatvédelem adattakarékosságot. A szabályozók tényeket. Az üzemeltetés helyreállítást. Az ügyfelek bizonyosságot. Az auditorok objektív bizonyítékokat.

Ha ezeket az igényeket külön adatvédelmi, jogi, SOC- és auditmunkafolyamatokban próbálják kezelni, az ellentmondásokhoz vezet. Egy egységes ISO/IEC 27001:2022 IBIR ezeket egyetlen kockázati, kontroll- és bizonyítékfolyamat részévé teszi.

Kontrollréteg az igazolható bizonyítékmegőrzéshez

A kiberincidenshez kapcsolódó jogi zárolás nem egyetlen ISO/IEC 27002:2022 kontroll. Kontrollkapcsolat.

A Clarysec Zenith Controls: keresztmegfelelési útmutató az ISO/IEC 27002:2022 5.28, Bizonyítékok gyűjtése kontrollt a bizalmasságot, sértetlenséget és rendelkezésre állást támogató helyesbítő kontrollként térképezi fel. A Detect és Respond kiberbiztonsági koncepciókon, valamint az információbiztonsági eseménykezelés operatív képességén belül helyezkedik el.

Ugyanez a Zenith Controls útmutató az 5.28 kontrollt az információbiztonsági incidensekre adott válaszhoz, a naplózáshoz és monitorozáshoz, a nyilvántartások védelméhez és az eseményjelentéshez kapcsolja. A logika gyakorlati: az incidenskezelőknek naplókra és artefaktumokra van szükségük, mielőtt a helyesbítő intézkedések megváltoztatják a helyzetet; a szabályozói jelentést készítőknek megbízható tényekre van szükségük; a vizsgálatot végzőknek pedig olyan bizonyítékra, amelyet nem módosítottak.

Az ISO/IEC 27002:2022 5.33, Nyilvántartások védelme kontroll ugyanilyen fontos. Támogatja a jogi és megfelelési követelményeket, az eszközkezelést és az információvédelmet. A nyilvántartások védelmét az osztályozáshoz, a biztonsági mentésekhez, a biztonságos megsemmisítéshez, a jogi és szerződéses követelményekhez, a hozzáférés-szabályozáshoz és az incidensreagáláshoz kapcsolja. A gyakorlatban a jogi zárolásnak nemcsak rögzítenie kell a bizonyítékokat. A bizonyítéknyilvántartás sértetlenségét, bizalmasságát és rendelkezésre állását is védenie kell.

A naplózás esetében az ISO/IEC 27002:2022 8.15, Naplózás kontroll az alap. Kapcsolódik a 8.16, Monitorozási tevékenységek és a 8.17, Óraszinkronizálás kontrollokhoz. Ha a naplók hiányosak, rendszergazdák által szerkeszthetők, nem időszinkronizáltak, vagy túl rövid ideig őrzik meg őket, a bizonyítékfolyamat már a vizsgálat megkezdése előtt meghiúsulhat.

A Zenith Blueprint Kontrollok működésben fázisának 19. lépése ezt gyakorlati naplózási megfogalmazással erősíti meg:

„A tevékenységeket, kivételeket, hibákat és más releváns eseményeket rögzítő naplókat elő kell állítani, tárolni kell, védeni kell és elemezni kell.”

Arra is figyelmeztet, hogy a naplók védelme magában foglalja a hozzáférés korlátozását, valamint olyan mechanizmusok alkalmazását, mint a hash-képzés vagy az egyszer írható tárolás a manipuláció megelőzésére. A 19. lépés az óraszinkronizálást a forenzikus koherenciához kapcsolja, kifejtve, hogy a szinkronizált órák lehetővé teszik a különböző rendszerek naplóinak vizsgálati célú összehangolását.

GDPR szerinti elszámoltathatóság: azt őrizze meg, amire szüksége van, és indokolja, amit megtart

A GDPR hozza létre a leglátványosabb feszültséget az incidenshez kapcsolódó bizonyítékok megőrzésében. A biztonsági csapatok gyakran több adatot szeretnének. Az adatvédelmi csapatok kevesebbet. Egy igazolható jogi zárolás mindkettőt összeegyezteti.

A naplók és artefaktumok tartalmazhatnak IP-címeket, felhasználói azonosítókat, e-mail-címeket, eszközazonosítókat, hitelesítési nyilvántartásokat, támogatási jegyek szövegét, képernyőképeket, ügyfélexportokat vagy különleges kategóriájú adatokat. A bizonyítékok megőrzése ezért adatkezelés. A jogi zárolási értesítésnek dokumentálnia kell a jogalapot, a célt, a hatókört, a hozzáférési korlátozásokat, a megőrzés felülvizsgálati dátumát és a megsemmisítés kiváltó feltételét.

A Clarysec KKV-knak szóló Adatvédelmi és magánszféra-védelmi szabályzat KKV-k számára kimondja:

„Csak a szükséges minimális személyes adat gyűjthető és őrizhető meg”

Az Enterprise Bizonyítékgyűjtési és forenzikai szabályzat a forenzikus bizonyíték kezelését kifejezetten ehhez köti:

„GDPR Article 5, beleértve a célhoz kötöttséget és az adattakarékosságot”

Ez a működési alapelv. Ne őrizzen meg egy teljes éles adatbázist, ha a releváns bizonyíték egy szűk auditnyom, hozzáférési napló, lekérdezési nyilvántartás és érintett felhasználói lista. Ne adjon minden reagálónak hozzáférést a nyers bizonyítékokhoz, ha pszeudonimizált kivonatok vagy szerepköralapú hozzáférés elegendő. Ne őrizze meg az incidensartefaktumokat korlátlan ideig, miután a jogi, szabályozói és auditigény megszűnt.

Egy megfelelő, GDPR-tudatos jogi zárolási bejegyzés hét kérdésre ad választ:

1. Melyik incidens vagy vizsgálat váltotta ki a zárolást?
2. Milyen személyesadat-kategóriák szerepelhetnek benne?
3. Miért szükséges minden bizonyítékkategória?
4. Ki és mikor hagyta jóvá a zárolást?
5. Ki férhet hozzá a bizonyítékokhoz?
6. Mikor kerül sor a zárolás felülvizsgálatára?
7. Milyen törlési vagy biztonságos megsemmisítési folyamat folytatódik a zárolás feloldása után?

Így kerülhető el, hogy a bizonyítékok megőrzése adatvédelmi túlmegőrzéssé váljon.

NIS2: jogi zárolás a szakaszos incidensjelentéshez

Az alkalmazási körbe tartozó szervezeteknél a NIS2 a bizonyítékokra vonatkozó elvárást a „belsőleg hasznos” szintről a „felügyelethez szükséges” szintre emeli.

A NIS2 az EU számos alapvető és fontos szervezetére vonatkozik, ideértve a digitális infrastruktúra-szolgáltatókat, felhőszolgáltatókat, adatközpont-szolgáltatókat, tartalomszolgáltató hálózatokat, bizalmi szolgáltatókat, elektronikus hírközlési szolgáltatókat, menedzselt szolgáltatókat, menedzselt biztonsági szolgáltatókat és bizonyos digitális szolgáltatókat, például online piactereket, online keresőmotorokat és közösségi hálózati platformokat.

Article 21 megfelelő és arányos technikai, működési és szervezeti intézkedéseket ír elő, ideértve a kockázatelemzést, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos fejlesztést, az eredményesség értékelését, a képzést, a kriptográfiát, az emberi erőforrások biztonságát, a hozzáférés-szabályozást, az eszközkezelést és a hitelesítést. Article 20 a vezető testületeket teszi felelőssé ezen intézkedések jóváhagyásáért és felügyeletéért.

A jogi zárolás szempontjából a fő NIS2-kérdés Article 23. A jelentős incidensek szakaszos jelentéstételt igényelnek: korai figyelmeztetés a tudomásszerzéstől számított 24 órán belül, incidensbejelentés 72 órán belül, kérésre közbenső jelentések, valamint végleges jelentés legkésőbb a 72 órás bejelentést követő egy hónapon belül. A végleges jelentéshez leírásra, súlyosságra, hatásra, valószínű fenyegetéstípusra vagy gyökérokra, kockázatcsökkentő intézkedésekre és adott esetben határokon átnyúló hatásra van szükség.

Ha az incidens személyes adatokat érint, a NIS2 szerinti illetékes hatóságok együttműködhetnek a GDPR szerinti felügyeleti hatóságokkal. Ez növeli az igényt egyetlen olyan bizonyítéknarratívára, amely a kiberbiztonsági felügyeletet és az adatvédelmi elszámoltathatóságot egyaránt támogatja.

DORA: az IKT-kockázati bizonyíték túlmutat a biztonsági naplókon

A pénzügyi szervezetek számára a DORA az ágazatspecifikus operatív reziliencia keretrendszere. 2025. január 17-től alkalmazandó, és lefedi az IKT-kockázatkezelést, a jelentős IKT-incidensek jelentését, a rezilienciatesztelést, az információmegosztást és az IKT-harmadik fél kockázatkezelést. Azoknál a pénzügyi szervezeteknél, amelyek a NIS2 alapján is alapvető vagy fontos szervezetnek minősülnek, a DORA általában az IKT-kockázatra és incidensjelentésre vonatkozó ágazatspecifikus uniós jogi aktusként működik.

A DORA kialakításánál fogva bizonyítékigényes. Article 17 IKT-val kapcsolatos incidenskezelési folyamatot ír elő. Article 18 az IKT-val kapcsolatos incidensek és kiberfenyegetések osztályozásával foglalkozik. Article 19 a jelentős IKT-val kapcsolatos incidensek jelentését szabályozza. A pénzügyi szervezeteknek emellett irányítási és kontrollmegoldásokat kell fenntartaniuk, azonosítaniuk kell a kritikus vagy fontos funkciókat, dokumentálniuk kell az IKT-eszközöket és függőségeket, valamint gyökérok-elemzést kell végezniük.

Ez azt jelenti, hogy a DORA szerinti jogi zárolásnak nemcsak biztonsági artefaktumokra, hanem az operatív rezilienciát alátámasztó bizonyítékokra is ki kell terjednie. Egy fizetési műveleteket érintő felhőidentitás-kompromittálódás után a zárolás kiterjedhet az identitásszolgáltató naplóira, az emelt jogosultságú hozzáférés előzményeire, a felhő auditnaplókra, SIEM-riasztásokra, végponti lemezképekre, ügyféltranzakciós hatáselemzésre, üzletmenet-folytonossági aktiválási nyilvántartásokra, biztonsági mentési és helyreállítási bizonyítékokra, beszállítói kommunikációkra, vezető testületi tájékoztatókra, gyökérok-elemzésre és a korrekciós intézkedések ellenőrzésére.

A DORA az IKT-harmadik felektől származó bizonyítékokat is elkerülhetetlenné teszi. Articles 28 to 30 IKT-harmadik fél kockázatkezelést, szerződéses megállapodások nyilvántartását, kellő gondosságot, koncentrációs kockázatértékelést, valamint jogokat és kötelezettségeket tartalmazó írásbeli szerződéseket ír elő. Kritikus vagy fontos funkciók esetén a szerződéseknek támogatniuk kell a szolgáltatói értesítési és jelentéstételi kötelezettségeket, az incidenssegítséget, a hatóságokkal való együttműködést, a hozzáférési, ellenőrzési és auditálási jogokat, valamint a kilépési stratégiákat.

Ha a releváns naplókat a felhőszolgáltató, MSP, MSSP, fizetésfeldolgozó vagy SaaS-függőség kezeli, a jogi zárolási folyamatnak már be kell épülnie a beszállítói szerződésekbe. Ellenkező esetben egy jelentős incidens során derülhet ki, hogy a szolgáltató standard megőrzési ablaka rövidebb, mint az Ön szabályozói jelentéstételi életciklusa.

Hogyan teszi működőképessé a Clarysec a jogi zárolást egy SaaS-adatsértés során

Vegyük Maria fintech SaaS-környezetét. Az incidens érintheti az ügyfélazonosítókhoz, tranzakciós metaadatokhoz, rendszergazdai rendszerekhez és kiszervezett SOC-nyilvántartásokhoz való jogosulatlan hozzáférést. A vállalat uniós pénzügyi intézményeket szolgál ki, felhőinfrastruktúrára támaszkodik, és GDPR, DORA szerződéses kötelezettségek, valamint NIS2 szerinti feladatok hatálya alá kerülhet.

Az első lépés nem az, hogy mindent meg kell őrizni. Az első lépés egy kontrollált döntés elindítása.

Az incidensvezető jogi zárolási kérelmet küld a jogi képviselőnek, a DPO-nak vagy adatvédelmi vezetőnek, az információbiztonsági vezetőnek és az üzleti tulajdonosnak. A kérelem tartalmazza az incidensazonosítót, a dátumot és időpontot, az érintett rendszereket, a feltételezett adatkategóriákat, a kezdeti szabályozási útvonalakat, a javasolt bizonyítékkategóriákat és az azonnali törlési kockázatokat.

Az Enterprise Adatmegőrzési és megsemmisítési szabályzat alkalmazásával a zárolást dokumentálják, és azt a jogi képviselő, valamint a DPO jóváhagyja. KKV-k esetén az Adatmegőrzési és biztonságos megsemmisítési szabályzat KKV-k számára biztosítja a törlési felfüggesztési szabályt. Az engedélyezés tartalmaz egy felülvizsgálati dátumot, amely igazodik a vizsgálati mérföldkövekhez, a szabályozói jelentéstételi határidőkhöz és a várható peres vagy szerződéses vitakockázathoz. Nem azt mondja, hogy „örökre”. Azt mondja, hogy „felülvizsgálatot követő felhatalmazott döntéssel történő feloldásig”.

Ezután a csapat befagyasztja a releváns naplókat és artefaktumokat. A KKV-knak szóló Naplózási és monitorozási szabályzat KKV-k számára kimondja:

„A naplókat jogi zárolás és törlési felfüggesztés alá kell helyezni, és védeni kell a módosítással vagy törléssel szemben”

A csapat felfüggeszti a törlést a SIEM-esetek, identitásnaplók, felhő auditnaplók, alkalmazásnaplók, adatbázis-lekérdezési naplók, WAF-események és SOC-riasztási metaadatok esetében. Az exportált naplókat korlátozott hozzáférésű bizonyítéktárolóban helyezik el hash-értékkel, verziókezeléssel és adott esetben írásvédett jogosultságokkal.

A gyűjtési szabály egyszerű: a bizonyítékokat az eredetik szerkesztése nélkül kell megőrizni. A KKV-knak szóló Bizonyítékgyűjtési és forenzikai szabályzat KKV-k számára kimondja:

„Mindig forenzikus másolatot vagy exportot kell készíteni; az eredeti bizonyítékot soha nem szabad közvetlenül szerkeszteni.”

A mérnökök végezhetnek korrekciós intézkedéseket, de csak a szükséges pillanatképek, exportok vagy forenzikus másolatok elkészítése után, kivéve, ha az azonnali elszigetelés a folyamatban lévő kár megelőzéséhez szükséges. Ha a sürgősségi korrekciós intézkedés történik először, annak okát dokumentálni kell.

Ugyanez a KKV-szabályzat kimondja:

„Minden incidenshez egyszerű bizonyítéklánc-naplót (például Excel-fájlt vagy sablondokumentumot) kell vezetni.”

Enterprise környezetekben a Bizonyítékgyűjtési és forenzikai szabályzat 5.6 pontja előírja:

„A beszerzés időpontjától az archiválásig vagy továbbításig minden fizikai vagy digitális bizonyítékot bizonyítéklánc-naplónak kell kísérnie, és annak dokumentálnia kell:”

A gyakorlatban a bizonyítéklánc-napló rögzíti a bizonyítékazonosítót, a leírást, a forrásrendszert, a gyűjtőt, a beszerzési módszert, adott esetben a hash-értéket, az időforrást, a tárolási helyet, a hozzáférési eseményeket, a továbbításokat, az elemzési másolatokat és a végső rendelkezést.

Végül magát a vizsgálati nyilvántartást is védeni kell. Az Enterprise Audit- és megfelelőség-monitorozási szabályzat kimondja:

„Minden auditnaplót, megállapítást és korrekciós jelentést meg kell őrizni, titkosítani kell, és védeni kell a manipulációval szemben.”

Ez a követelmény az incidens idővonalára, a döntési naplóra, a jogi zárolási értesítésre, a hatósági kommunikációkra, az ügyfélkommunikációkra, a gyökérok-elemzésre és a korrekciós intézkedéseket alátámasztó bizonyítékokra is vonatkozik.

A dokumentált információ, amelyet az auditorok vizsgálni fognak

Az ISO/IEC 27001:2022 7.5 pontja előírja, hogy az IBIR által igényelt és a szabvány által megkövetelt dokumentált információt kontrollálni kell. A Zenith Blueprint IBIR-alapok és vezetés fázisának 6. lépése ezt gyakorlati követelményekre fordítja le: a dokumentumoknak rendelkezniük kell azonosítással, formátummal, felülvizsgálattal, jóváhagyással, verziókezeléssel, kontrollált hozzáféréssel, sértetlenségvédelemmel, változáskezeléssel, megőrzéssel és rendelkezéssel.

A 6. lépés azt is rögzíti, hogy az olyan nyilvántartások, mint a monitorozási naplók, auditjelentések és incidensvizsgálati fájlok bizalmasak lehetnek, ezért szükséges ismeret elve alapján kell megosztani őket, a szerkesztési jogosultságokat pedig jogosult felhasználókra kell korlátozni.

Egy igazolható bizonyítékcsomagnak tartalmaznia kell:

• Jogi zárolási értesítés és jóváhagyás.
• Incidensosztályozási és súlyossági döntés.
• Bizonyítéknyilvántartás.
• Bizonyítéklánc-napló.
• Naplómegőrzés megerősítése.
• Forenzikus lemezkép vagy exportnyilvántartások.
• Hash-értékek vagy sértetlenségi ellenőrzések, ahol alkalmazható.
• Hozzáférési lista a bizonyítéktárolóhoz.
• Szabályozói jelentéstételt alátámasztó bizonyítékok.
• Adatvédelmi értékelés és személyesadat-hatáselemzés.
• Beszállítói bizonyítékkérelmek és válaszok.
• Gyökérok-elemzés.
• Korrekciós és ellenőrzési bizonyítékok.
• Zárolás felülvizsgálati és feloldási döntése.

Minél erősebb a dokumentált információ kontrollja, annál egyszerűbb az audit.

Beszállítói és felhőbeli bizonyítékok: a hibapont, amelyet sok csapat elmulaszt

A legnehezebben megszerezhető bizonyíték gyakran nem a saját szervezeten belül található. Felhőszolgáltató, SaaS-platform, MSSP, MSP, fizetésfeldolgozó, identitásszolgáltató vagy kiszervezett fejlesztőcsapat kezeli.

A NIS2 Article 21 tartalmazza az ellátási lánc biztonságát és a közvetlen beszállítókkal vagy szolgáltatókkal fennálló kapcsolatok biztonsági szempontjait. A DORA továbbmegy a pénzügyi szervezetek esetében: IKT-harmadik fél nyilvántartásokat, kellő gondosságot, koncentrációs kockázatelemzést, valamint incidenssegítséget, szolgáltatói jelentéstételt, hatósági együttműködést, auditálási jogot és kritikus vagy fontos funkciók esetén kilépési rendelkezéseket tartalmazó szerződéseket követel meg.

A NIST Cybersecurity Framework 2.0 az ellátási lánc kockázatát szintén életciklus-fegyelemként kezeli. Govern funkciója beszállítói kockázatkezelési eredményeket tartalmaz a stratégiára, szerepkörökre, szerződésekre, kellő gondosságra, monitorozásra, incidensben való részvételre és kilépési rendelkezésekre vonatkozóan. A CSF-profilok célzott kiberbiztonsági követelményeket fejezhetnek ki a beszállítók felé, ami hasznos, amikor a jogi zároláshoz szükséges bizonyítékigényeket szerződéses feltételekké alakítják.

A beszállítói szerződéseknek ki kell térniük az alábbiakra:

• Az ügyfél számára elérhető biztonsági naplótípusok.
• Alapértelmezett megőrzési időszakok és kiterjesztett megőrzési lehetőségek.
• Sürgősségi megőrzési kérelem folyamata.
• A bizonyítékok megőrzésének határideje ügyfélkérés után.
• Forenzikus exportformátumok.
• Bizonyítéklánc-támogatás.
• Szabályozó hatósági együttműködés.
• Al-adatfeldolgozói vagy alvállalkozói bizonyítékkötelezettségek.
• Adathelyre és adattovábbításra vonatkozó korlátozások.
• Biztonságos törlés a zárolás feloldása után.

A Zenith Blueprint Kontrollok működésben fázisának 18. lépése hasonló fegyelmet ír elő a fizikai adathordozók továbbítására: titkosítást, manipulációt jelző csomagolást, nyomon követést, szállítási naplókat, adathordozó-nyilvántartást és a nyilvántartás auditját követeli meg. Ugyanez a logika vonatkozik a felhőbeli bizonyítékok továbbítására is: meg kell őrizni a sértetlenséget, nyomon kell követni a bizonyítékláncot, korlátozni kell a hozzáférést és meg kell erősíteni az átvételt.

Hogyan tesztelik az auditorok és szabályozók a jogi zárolási folyamatot

A jogi zárolási folyamat a felülvizsgáló megbízatásától függően eltérő képet mutat. A Clarysec a Zenith Controls útmutatót keresztmegfelelési iránytűként használja, hogy ugyanaz a bizonyítékcsomag több nézőpontot is kielégítsen, párhuzamos munka nélkül.

Az ISO-auditor a megfelelésre és az objektív bizonyítékokra fog összpontosítani. A GDPR-felülvizsgáló a szükségességre, a célhoz kötöttségre és az igazolható elszámoltathatóságra. A NIS2-felülvizsgáló a jelentős incidensekre vonatkozó jelentéstételi tényekre és a vezetői felelősségre. A DORA-felülvizsgáló az IKT-kockázatirányításra, a jelentős incidensek kezelésére, a harmadik felektől való függőségekre és a tanulságokra. A COBIT 2019 vagy ISACA-szemléletű auditor az irányításra, a kontrolltervezésre, a kontrollműködésre és az információminőség feletti bizonyosságra.

Egyetlen bizonyítékcsomag mindegyikük igényét kiszolgálhatja, ha így tervezték meg.

Gyakorlati kiberincidenshez kapcsolódó jogi zárolási ellenőrzőlista 2026-ra

Ezt az ellenőrzőlistát a következő súlyos incidens előtt használja, ne közben.

Ez az ellenőrzőlista akkor válik igazán erőssé, ha beépül az IBIR kockázatkezelési tervébe, a beszállítói biztonsági követelményekbe, az incidensreagálási forgatókönyvekbe, a naplózási architektúrába és az adatvédelmi irányításba.

Az adatsértés utáni pániktól az auditra kész rezilienciáig

A hajnali 4 órás hívás mindig stresszes lesz. De nem kell káosszá válnia.

Egy érett kiberincidenshez kapcsolódó jogi zárolási folyamat minden érdekelt félnek kontrollált utat biztosít. A jogi terület igazolható megőrzést kap. Az adatvédelem adattakarékosságot és felülvizsgálatot. Az információbiztonsági vezető bizonyítéksértetlenséget. A DPO elszámoltathatóságot. Az igazgatóság megbízható tényeket. A NIS2, DORA és GDPR szerinti felülvizsgálók objektív bizonyítékokat kapnak improvizált magyarázatok helyett.

A Clarysec 30 lépéses módszertana a jogi zárolást nem önálló jogi feljegyzésként kezeli. IBIR működési képességként kezeli.

A Zenith Blueprint 6. lépése felépíti a dokumentált információk könyvtárát, beleértve a megőrzési és rendelkezési szabályokat. A 19. lépés megerősíti a naplózást és az óraszinkronizálást, hogy a vizsgálatok rekonstruálni tudják az idővonalakat. A 23. lépés működésbe helyezi a bizonyítékgyűjtést és a bizonyítékláncot. A 18. lépés hozzáadja az adathordozó-kezelési fegyelmet, amikor a bizonyítékok fizikailag vagy felek között mozognak.

A Zenith Controls keretében a Clarysec összekapcsolja az alapul szolgáló ISO/IEC 27002:2022 kontrollokat, hogy az ügyfelek lássák, miként függ a bizonyítékgyűjtés a naplózástól, a monitorozástól, az incidensreagálástól, a nyilvántartások védelmétől, a hozzáférés-szabályozástól, a biztonsági mentésektől, az adatvédelemtől és a jogi követelményektől.

A Clarysec szabályzattárában a gyakorlati munkafolyamat-horgonyok már meghatározottak: Adatmegőrzési és megsemmisítési szabályzat, Adatmegőrzési és biztonságos megsemmisítési szabályzat KKV-k számára, Bizonyítékgyűjtési és forenzikai szabályzat, Bizonyítékgyűjtési és forenzikai szabályzat KKV-k számára, Naplózási és monitorozási szabályzat KKV-k számára, Adatvédelmi és magánszféra-védelmi szabályzat KKV-k számára és Audit- és megfelelőség-monitorozási szabályzat.

Ha az incidensreagálási terve azt mondja, hogy „őrizze meg a bizonyítékokat”, de nem határozza meg a jogi zárolási hatáskört, a bizonyítékok hatókörét, a megőrzés felfüggesztését, a bizonyítékláncot, a beszállítói megőrzést, a GDPR szerinti adattakarékosságot és a feloldási kritériumokat, akkor még nem alkalmas auditra.

Építse ki a folyamatot az adatsértés előtt. A Clarysec segít igazolható kiberincidenshez kapcsolódó jogi zárolási és bizonyítékmegőrzési képességet kialakítani a Zenith Blueprint: 30 lépéses auditori ütemterv, a Zenith Controls: keresztmegfelelési útmutató és a Clarysec szabályzatsablonjai segítségével, beleértve az Adatmegőrzési és megsemmisítési szabályzatot, a Bizonyítékgyűjtési és forenzikai szabályzatot, az Audit- és megfelelőség-monitorozási szabályzatot, a Naplózási és monitorozási szabályzatot KKV-k számára, az Adatvédelmi és magánszféra-védelmi szabályzatot KKV-k számára és a Bizonyítékgyűjtési és forenzikai szabályzatot KKV-k számára.

Töltse le az eszközkészleteket, kérjen Clarysec szabályzatfelülvizsgálatot, vagy foglaljon bizonyítékmegőrzési felkészültségi értékelést a következő audit, felügyeleti megkeresés vagy jelentős ügyfélbiztonsági felülvizsgálat előtt.