Kibernetinio incidento teisinis įrodymų išsaugojimo nurodymas pagal GDPR, NIS2 ir DORA

4:17 val. ryto Maria, finansinių technologijų SaaS paslaugų teikėjo informacijos saugumo vadovė (CISO), sulaukė skambučio, kuriam rengiasi kiekvienas saugumo vadovas, tačiau vis tiek tikisi jo niekada nesulaukti. Kritiniai produkcinės aplinkos serveriai neatsakė. Failai buvo užšifruoti. Jaunesniojo sistemos administratoriaus ekrane buvo atidarytas išpirkos reikalavimas.

4:28 val. reagavimo į incidentus komanda norėjo izoliuoti paveiktas sistemas ir iš naujo įdiegti švarią infrastruktūrą. 4:41 val. inžinerijos komanda paklausė, ar gali rotuoti prisijungimo duomenis, išvalyti laikinuosius failus ir perkurti konteinerius. 5:03 val. duomenų apsaugos pareigūnas įspėjo, kad kompromituotoje aplinkoje yra klientų identifikatorių ir operacijų metaduomenų. 5:16 val. teisininkas prisijungė prie krizių valdymo konferencinio pokalbio su vienu nurodymu: „Nenaikinkite galimų įrodymų. Gali reikėti teisinio įrodymų išsaugojimo nurodymo.“ 5:30 val. veiklos vadovas paklausė, ar suveikė DORA pranešimų teikimo pareigos. 6:00 val. Maria prisiminė NIS2 terminus: ankstyvasis įspėjimas gali būti privalomas per 24 valandas, išsamesnis pranešimas – per 72 valandas, o galutinė ataskaita – per mėnesį.

Tada nuskambėjo klausimas, nuo kurio priklauso, ar kibernetinis incidentas bus valdomas pagrįstai, ar virs chaosu:

„Ar dar turime žurnalus?“

Tai po incidento kylantis valdysenos klausimas, kurį daugelis reagavimo planų nuvertina. Nepakanka incidentą aptikti, suvaldyti ir atkurti veiklą. 2026 m. organizacijos taip pat turi įrodyti, kas įvyko, išsaugoti reikšmingus įrodymus, nepažeisti skaitmeninės kriminalistikos artefaktų, laikytis GDPR duomenų minimizavimo, palaikyti NIS2 priežiūrą ir tvarkyti DORA IRT rizikos įrašus taip, kad jie atlaikytų auditą, bylinėjimąsi ir priežiūros institucijų vertinimus.

Kibernetinio incidento teisinis įrodymų išsaugojimo nurodymas ir įrodymų saugojimas yra saugumo operacijų, privatumo, teisės, atitikties, debesijos inžinerijos, tiekėjų valdymo ir audito sankirtoje. Jei procesas improvizuojamas duomenų saugumo pažeidimo metu, organizacija gali prarasti įrodymus, reikalingus pagrindinės priežasties analizei, pranešimams priežiūros institucijai, draudimo reikalavimams, gynybai bylinėjantis, drausminėms priemonėms darbuotojams ir klientų patikinimui. Jei procesas taikomas pertekliai, organizacija gali saugoti per daug asmens duomenų ir sukurti antrą atitikties problemą.

Clarysec požiūris – teisinį įrodymų išsaugojimo nurodymą paversti kontroliuojamu ISVS procesu, o ne panikos reakcija. Modelis sujungia ISO/IEC 27001:2022 valdyseną, ISO/IEC 27002:2022 įrodymų ir žurnalų valdymo kontrolės priemones, GDPR atskaitomybę, NIS2 pranešimus apie incidentus ir DORA IRT rizikos įrodymus į vieną veikimo sistemą. Ši sistema komandoms nurodo, ką išsaugoti, kas gali autorizuoti išsaugojimą, kiek laiko įrodymai lieka išsaugojimo nurodymo taikymo srityje, kas gali prie jų prieiti ir kada gali būti atnaujintas trynimas.

Pirmosios 24 valandos lemia, ar įrodymai išliks

Daugelyje realių incidentų įrodymus sunaikina ne užpuolikai. Juos sunaikina įprastos operacijos.

Baigiasi debesijos žurnalų saugojimo laikotarpis. Konteineris įdiegiamas iš naujo. Galinis įrenginys perrašomas atvaizdu dar neužfiksavus operatyviosios atminties. SaaS administratorius tyrimui eksportuoja CSV ir vėliau redaguoja failą. Gerų ketinimų turintis inžinierius ištrina kenkėjiškus scenarijus prieš padarydamas kriminalistinę kopiją. Duomenų saugyklos saugojimo užduotis pašalina įrašus, reikalingus nustatyti, kurie klientai buvo paveikti.

Organizacija vis dar gali atkurti veiklą, tačiau ji praranda įrodymus. Šis skirtumas svarbus.

Pagal GDPR duomenų valdytojas turi galėti įrodyti atitiktį duomenų apsaugos principams, įskaitant vientisumą ir konfidencialumą, tikslo apribojimą, duomenų minimizavimą ir saugojimo trukmės ribojimą. Jei tikėtina, kad asmens duomenų saugumo pažeidimas sukels riziką fiziniams asmenims, Article 33 gali reikalauti nepagrįstai nedelsiant ir, kai įmanoma, per 72 valandas nuo sužinojimo pranešti priežiūros institucijai. Jei tikėtina, kad pažeidimas sukels didelę riziką fiziniams asmenims, Article 34 gali reikalauti informuoti paveiktus duomenų subjektus.

Pagal NIS2 esminiai ir svarbūs subjektai reikšmingus incidentus turi valdyti taikydami etapinius pranešimus ir užtikrindami priežiūrai reikalingą atsekamumą. Pagal DORA finansų subjektai turi registruoti su IRT susijusius incidentus, klasifikuoti reikšmingus incidentus, apie juos pranešti, atlikti pagrindinės priežasties analizę ir išsaugoti įrodymus IRT turto, verslo funkcijų ir priklausomybių nuo trečiųjų šalių mastu.

ISO/IEC 27001:2022 tam suteikia valdymo sistemos struktūrą. Clause 4.2 reikalauja, kad organizacija nustatytų suinteresuotųjų šalių poreikius ir lūkesčius, įskaitant su informacijos saugumu susijusius teisinius, reglamentavimo ir sutartinius reikalavimus. Clause 4.3 reikalauja, kad ISVS taikymo sritis apimtų sąsajas ir priklausomybes; tai kritiškai svarbu, kai įrodymai yra debesijos paslaugų teikėjo, valdomų saugumo paslaugų teikėjo, mokėjimų platformos ar išorės pagalbos tarnybos aplinkoje. Clause 6.1 susieja šias pareigas su informacijos saugumo rizikomis ir jų tvarkymu. Clause 7.5 reikalauja kontroliuojamos dokumentuotos informacijos. Clause 8 reikalauja operacinio planavimo ir kontrolės.

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas paaiškina, kodėl tai turi būti suprojektuota prieš incidentą, o ne jo metu. Etape „Kontrolės priemonės praktikoje“, 23 žingsnyje, ISO/IEC 27002:2022 kontrolės priemonės 5.28 gairėse nurodoma:

„Įvykus informacijos saugumo incidentui, vienas kritiškiausių, tačiau dažnai nepastebimų reagavimo elementų yra įrodymai. Ne žurnalai, ne ekrano kopijos, ne padriki pasakojimai, o tinkamai išsaugoti, perdavimo grandinę gerbiantys ir klastojimui atsparūs įrodymai.“

Tas pats 23 žingsnis papildo, kad „tai, ką galite įrodyti, yra taip pat svarbu kaip tai, kas iš tikrųjų įvyko.“ Šis sakinys atskiria reagavimą į incidentus nuo įrodymais pagrįsto reagavimo į incidentus. Priežiūros institucija, kliento auditorius, teismas, draudikas ar kita vertinanti institucija nepriims žodinės rekonstrukcijos, jei organizacija negalės pateikti išsaugotų žurnalų, patikimų laiko žymų, kontroliuojamų įrašų ir dokumentuotos įrodymų saugojimo bei perdavimo grandinės.

Teisinis įrodymų išsaugojimo nurodymas nėra „saugoti viską amžinai“

Kibernetinio incidento teisinis įrodymų išsaugojimo nurodymas – tai formalus įprasto apibrėžtų įrašų, žurnalų, atsarginių kopijų, atvaizdų, komunikacijos ir kitų įrodymų, kurie gali būti svarbūs tyrimui, bylinėjimuisi, priežiūros institucijos paklausimui, auditui ar sutartiniam ginčui, trynimo arba sunaikinimo sustabdymas.

Dažniausia klaida – teisinį įrodymų išsaugojimo nurodymą laikyti bendru nurodymu: „Nieko netrinkite.“ Tai sukuria privatumo, sąnaudų ir veiklos riziką. GDPR neišnyksta kibernetinio incidento metu. Asmens duomenys vis tiek turi būti tvarkomi teisėtai, sąžiningai ir skaidriai, nustatytais tikslais, tik tiek, kiek būtina, ir saugomi tik tiek, kiek būtina. Article 5(2) papildomai nustato atskaitomybę, t. y. organizacija turi galėti pagrįsti šiuos sprendimus.

Čia Clarysec politikų biblioteka tampa praktiška. MVĮ skirta Duomenų saugojimo politika ir saugaus sunaikinimo politika MVĮ nustato:

„Teisinis duomenų išsaugojimas ir trinimo sustabdymas turi viršenybę prieš standartinius saugojimo reikalavimus ir neleidžia trinti duomenų.“

Didesnėms organizacijoms skirta Enterprise Duomenų saugojimo ir sunaikinimo politika, Clause 6.4.1, nurodo:

„Jei išduodamas teisinis išsaugojimo nurodymas ir trinimo sustabdymas (pvz., dėl vykstančio bylinėjimosi, tyrimo ar audito), duomenys, kurie kitu atveju būtų sunaikinti, turi būti išsaugomi ilgiau nei jų įprastas saugojimo laikotarpis.“

Ta pati Enterprise politika reikalauja, kad išsaugojimo nurodymas būtų:

„Dokumentuotas ir patvirtintas teisininko ir duomenų apsaugos pareigūno (DAP)“

Šis tvirtinimo modelis nėra biurokratija. Tai pusiausvyros mechanizmas tarp įrodymų išsaugojimo ir privatumo ribojimo. Teisininkas patvirtina bylinėjimosi, tyrimo ar reglamentavimo pagrindą. DAP patvirtina, kad taikymo sritis, tikslas, asmens duomenų kategorijos, prieigos kontrolė ir saugojimo pratęsimas išlieka proporcingi.

MVĮ, neturinčioms visos apimties teisės funkcijos ar DAP funkcijos, tą pačią sprendimų logiką gali taikyti vCISO, privatumo savininkas, vykdomasis direktorius ir išorės teisininkas, jeigu autorizavimas dokumentuojamas, apribojamas laike ir peržiūrimas.

Atitikties įtampa, kurią turi išspręsti kiekvienas CISO

Po rimto incidento skirtingos suinteresuotosios šalys prašo skirtingų įrodymų. Teisės funkcija nori išsaugojimo. Privatumo funkcija nori minimizavimo. Priežiūros institucijos nori faktų. Operacijos nori atkūrimo. Klientai nori patikinimo. Auditoriai nori objektyvių įrodymų.

Bandymas šiuos reikalavimus valdyti atskirais privatumo, teisės, SOC ir audito darbo srautais yra prieštaravimų receptas. Vieninga ISO/IEC 27001:2022 ISVS juos paverčia vieno rizikos, kontrolės ir įrodymų proceso dalimi.

Kontrolės priemonių rinkinys pagrįstam įrodymų saugojimui

Kibernetinio incidento teisinis įrodymų išsaugojimo nurodymas nėra viena ISO/IEC 27002:2022 kontrolės priemonė. Tai kontrolės priemonių sąryšis.

Clarysec Zenith Controls: kryžminės atitikties vadovas susieja ISO/IEC 27002:2022 kontrolės priemonę 5.28, įrodymų rinkimas, su korekcinėmis kontrolės priemonėmis, palaikančiomis konfidencialumą, vientisumą ir prieinamumą. Ji patenka į kibernetinio saugumo aptikimo ir reagavimo koncepcijas bei informacijos saugumo įvykių valdymo operacinį pajėgumą.

Tas pats Zenith Controls vadovas susieja 5.28 su reagavimu į informacijos saugumo incidentus, žurnalų valdymu ir stebėsena, įrašų apsauga ir pranešimu apie įvykius. Logika praktiška: incidentų valdytojams reikia žurnalų ir artefaktų prieš tai, kai taisomieji veiksmai pakeičia situaciją, pranešimus priežiūros institucijoms rengiantiems asmenims reikia patikimų faktų, o tyrėjams reikia įrodymų, kurie nebuvo pakeisti.

ISO/IEC 27002:2022 kontrolės priemonė 5.33, įrašų apsauga, yra ne mažiau svarbi. Ji palaiko teisinius ir atitikties reikalavimus, turto valdymą ir informacijos apsaugą. Ji susieja įrašų apsaugą su klasifikavimu, atsarginėmis kopijomis, saugiu sunaikinimu, teisiniais ir sutartiniais reikalavimais, prieigos kontrole ir reagavimu į incidentus. Praktikoje teisinis išsaugojimo nurodymas turi ne tik surinkti įrodymus. Jis turi apsaugoti paties įrodymų įrašo vientisumą, konfidencialumą ir prieinamumą.

Žurnalų valdymui ISO/IEC 27002:2022 kontrolės priemonė 8.15, auditinių žurnalų registravimas, yra pagrindas. Ji susijusi su 8.16, stebėsenos veiklomis, ir 8.17, laikrodžio sinchronizavimu. Jei žurnalai neišsamūs, administratoriai gali juos redaguoti, jie nėra sinchronizuoti pagal laiką arba saugomi per trumpai, įrodymų procesas gali žlugti dar neprasidėjus tyrimui.

Zenith Blueprint etapo „Kontrolės priemonės praktikoje“ 19 žingsnis tai sustiprina praktine žurnalų valdymo formuluote:

„Žurnalai, kuriuose registruojamos veiklos, išimtys, gedimai ir kiti svarbūs įvykiai, turi būti kuriami, saugomi, apsaugomi ir analizuojami.“

Jame taip pat įspėjama, kad žurnalų apsauga apima prieigos ribojimą ir tokių mechanizmų kaip maišos skaičiavimas ar vienkartinio įrašymo saugykla naudojimą, kad būtų išvengta klastojimo. 19 žingsnis susieja laikrodžio sinchronizavimą su kriminalistiniu nuoseklumu, paaiškindamas, kad sinchronizuoti laikrodžiai leidžia skirtingų sistemų žurnalus suderinti tyrimui.

GDPR atskaitomybė: išsaugokite tai, ko reikia, ir pagrįskite tai, ką laikote

GDPR sukuria matomiausią įtampą incidento įrodymų saugojime. Saugumo komandos dažnai nori daugiau duomenų. Privatumo komandos nori mažiau. Pagrįstas teisinis išsaugojimo nurodymas suderina abu poreikius.

Žurnaluose ir artefaktuose gali būti IP adresų, naudotojų identifikatorių, el. pašto adresų, įrenginių identifikatorių, autentifikavimo įrašų, pagalbos užklausų teksto, ekrano kopijų, klientų eksportų ar specialių kategorijų duomenų. Todėl įrodymų išsaugojimas yra duomenų tvarkymas. Teisinio išsaugojimo nurodymo pranešime turi būti dokumentuojamas teisinis pagrindas, tikslas, taikymo sritis, prieigos apribojimai, saugojimo peržiūros data ir sunaikinimo paleidiklis.

Clarysec MVĮ skirta Duomenų apsaugos ir privatumo politika MVĮ nustato:

„Turi būti renkami ir saugomi tik minimalūs būtini asmens duomenys“

Enterprise Įrodymų rinkimo ir kriminalistikos politika kriminalistinių įrodymų tvarkymą aiškiai sieja su:

„GDPR Article 5, įskaitant tikslo apribojimą ir duomenų minimizavimą“

Tai yra veikimo principas. Neišsaugokite visos produkcinės duomenų bazės, jei reikšmingi įrodymai yra siauras audito pėdsakas, prieigos žurnalas, užklausų įrašas ir paveiktų naudotojų sąrašas. Nesuteikite kiekvienam incidento valdytojui prieigos prie neapdorotų įrodymų, jei pakanka pseudonimizuotų išrašų arba vaidmenimis pagrįstos prieigos. Nelaikykite incidento artefaktų neribotą laiką pasibaigus teisiniam, reglamentavimo ir audito poreikiui.

Geras, GDPR reikalavimus atitinkantis teisinio išsaugojimo nurodymo įrašas atsako į septynis klausimus:

1. Koks incidentas ar tyrimas inicijavo išsaugojimo nurodymą?
2. Kokios asmens duomenų kategorijos gali būti įtrauktos?
3. Kodėl kiekviena įrodymų kategorija yra būtina?
4. Kas ir kada patvirtino išsaugojimo nurodymą?
5. Kas gali prieiti prie įrodymų?
6. Kada išsaugojimo nurodymas bus peržiūrėtas?
7. Koks trynimo arba saugaus sunaikinimo procesas atnaujinamas pasibaigus išsaugojimo nurodymui?

Taip įrodymų saugojimas netampa pertekliniu privatumo duomenų saugojimu.

NIS2: teisinis išsaugojimo nurodymas etapiniam pranešimui apie incidentus

Organizacijoms, patenkančioms į taikymo sritį, NIS2 pakeičia įrodymų lūkestį iš „naudinga viduje“ į „reikalinga priežiūrai“.

NIS2 taikoma daugeliui esminių ir svarbių subjektų ES, įskaitant skaitmeninės infrastruktūros teikėjus, debesijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklus, patikimumo užtikrinimo paslaugų teikėjus, elektroninių ryšių teikėjus, valdomų paslaugų teikėjus, valdomų saugumo paslaugų teikėjus ir tam tikrus skaitmeninių paslaugų teikėjus, pavyzdžiui, internetines prekyvietes, interneto paieškos sistemas ir socialinių tinklų platformas.

Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, įskaitant rizikos analizę, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, saugų kūrimą, veiksmingumo vertinimą, mokymus, kriptografiją, žmogiškųjų išteklių saugumą, prieigos kontrolę, turto valdymą ir autentifikavimą. Article 20 nustato valdymo organų atsakomybę patvirtinti ir prižiūrėti šias priemones.

Teisiniam išsaugojimo nurodymui svarbiausias NIS2 klausimas yra Article 23. Reikšmingiems incidentams taikomas etapinis pranešimas: ankstyvasis įspėjimas per 24 valandas nuo sužinojimo, pranešimas apie incidentą per 72 valandas, tarpinės ataskaitos pagal prašymą ir galutinė ataskaita ne vėliau kaip per vieną mėnesį po 72 valandų pranešimo. Galutinei ataskaitai reikia aprašymo, sunkumo, poveikio, tikėtino grėsmės tipo arba pagrindinės priežasties, rizikos mažinimo priemonių ir tarpvalstybinio poveikio, kai taikoma.

Jei incidentas paveikia asmens duomenis, NIS2 kompetentingos institucijos gali bendradarbiauti su GDPR priežiūros institucijomis. Tai didina poreikį turėti vieną įrodymų naratyvą, kuris palaikytų ir kibernetinio saugumo priežiūrą, ir privatumo atskaitomybę.

DORA: IRT rizikos įrodymai apima daugiau nei saugumo žurnalus

Finansų subjektams DORA yra sektoriui taikomas skaitmeninės veiklos atsparumo režimas. Jis taikomas nuo 2025 m. sausio 17 d. ir apima IRT rizikos valdymą, pranešimus apie reikšmingus IRT incidentus, atsparumo testavimą, dalijimąsi informacija ir IRT trečiųjų šalių rizikos valdymą. Finansų subjektams, kurie pagal NIS2 taip pat yra esminiai ar svarbūs, DORA paprastai veikia kaip sektoriui taikomas Sąjungos teisės aktas IRT rizikos ir pranešimų apie incidentus srityje.

DORA iš esmės reikalauja daug įrodymų. Article 17 reikalauja su IRT susijusių incidentų valdymo proceso. Article 18 reglamentuoja su IRT susijusių incidentų ir kibernetinių grėsmių klasifikavimą. Article 19 apima pranešimą apie reikšmingus su IRT susijusius incidentus. Finansų subjektai taip pat turi palaikyti valdysenos ir kontrolės priemonių tvarką, identifikuoti kritines ar svarbias funkcijas, dokumentuoti IRT turtą ir priklausomybes bei atlikti pagrindinės priežasties analizę.

Tai reiškia, kad DORA teisinis išsaugojimo nurodymas turi apimti veiklos atsparumo įrodymus, o ne tik saugumo artefaktus. Po debesijos tapatybės kompromitavimo, paveikusio mokėjimo operacijas, išsaugojimo nurodymas gali apimti tapatybės teikėjo žurnalus, privilegijuotos prieigos istoriją, debesijos audito žurnalus, SIEM įspėjimus, galinių įrenginių atvaizdus, klientų operacijų poveikio analizę, veiklos tęstinumo aktyvavimo įrašus, atsarginių kopijų ir atkūrimo įrodymus, tiekėjų komunikaciją, valdymo organo informavimo medžiagą, pagrindinės priežasties analizę ir taisomųjų veiksmų validavimą.

DORA taip pat padaro IRT trečiųjų šalių įrodymus neišvengiamus. Articles 28 to 30 reikalauja IRT trečiųjų šalių rizikos valdymo, sutartinių susitarimų registrų, deramo patikrinimo, koncentracijos rizikos vertinimo ir rašytinių sutarčių su teisėmis ir pareigomis. Kritinėms ar svarbioms funkcijoms sutartys turi palaikyti paslaugų teikėjo pranešimo ir ataskaitų teikimo įsipareigojimus, pagalbą incidentų metu, bendradarbiavimą su institucijomis, prieigos, patikrinimo ir audito teises bei pasitraukimo strategijas.

Jei jūsų debesijos paslaugų teikėjas, MSP, MSSP, mokėjimų tvarkytojas ar SaaS priklausomybė turi susijusius žurnalus, jūsų teisinio išsaugojimo nurodymo procesas jau turi būti įtvirtintas tiekėjų sutartyse. Priešingu atveju reikšmingo incidento metu galite sužinoti, kad paslaugų teikėjo standartinis saugojimo laikotarpis trumpesnis nei jūsų reglamentavimo pranešimų teikimo gyvavimo ciklas.

Kaip Clarysec operacionalizuoja teisinį išsaugojimo nurodymą SaaS pažeidimo metu

Apsvarstykime Maria finansinių technologijų SaaS aplinką. Incidentas gali apimti neteisėtą prieigą prie klientų identifikatorių, operacijų metaduomenų, administratorių sistemų ir išorinio SOC įrašų. Įmonė aptarnauja ES finansų įstaigas, remiasi debesijos infrastruktūra ir gali susidurti su GDPR, DORA sutartiniais įsipareigojimais ir NIS2 pareigomis.

Pirmasis veiksmas nėra visko išsaugojimas. Pirmasis veiksmas – inicijuoti kontroliuojamą sprendimą.

Incidento vadovas siunčia teisinio išsaugojimo nurodymo prašymą teisininkui, DAP arba privatumo vadovui, CISO ir verslo savininkui. Prašyme nurodomas incidento identifikatorius, data ir laikas, paveiktos sistemos, įtariamos duomenų kategorijos, pradinės reglamentavimo kryptys, siūlomos įrodymų kategorijos ir neatidėliotinos trynimo rizikos.

Naudojant Enterprise Duomenų saugojimo ir sunaikinimo politiką, išsaugojimo nurodymas dokumentuojamas ir patvirtinamas teisininko bei DAP. MVĮ atveju Duomenų saugojimo politika ir saugaus sunaikinimo politika MVĮ nustato trynimo sustabdymo taisyklę. Autorizavimas apima peržiūros datą, suderintą su tyrimo etapais, pranešimų priežiūros institucijoms terminais ir tikėtina bylinėjimosi ar sutartinio ginčo rizika. Jame nenurodoma „amžinai“. Jame nurodoma „iki autorizuoto sprendimo po peržiūros nutraukti išsaugojimo nurodymą“.

Toliau komanda įšaldo susijusius žurnalus ir artefaktus. MVĮ skirta Žurnalų valdymo ir stebėsenos politika MVĮ nustato:

„Žurnalams turi būti taikomas teisinis išsaugojimo nurodymas ir trynimo sustabdymas, jie turi būti apsaugoti nuo pakeitimo ar ištrynimo“

Komanda sustabdo trynimą SIEM bylose, tapatybės žurnaluose, debesijos audito žurnaluose, taikomųjų programų žurnaluose, duomenų bazių užklausų žurnaluose, WAF įvykiuose ir SOC įspėjimų metaduomenyse. Eksportuoti žurnalai saugomi ribotos prieigos įrodymų saugykloje, prireikus taikant maišos skaičiavimą, versijų kontrolę ir tik skaitymui skirtas teises.

Rinkimo taisyklė paprasta: išsaugoti įrodymus neredaguojant originalų. MVĮ skirta Įrodymų rinkimo ir kriminalistikos politika MVĮ nustato:

„Visada turi būti sukurta kriminalistinė kopija arba eksportas; originalūs įrodymai niekada negali būti tiesiogiai redaguojami.“

Inžinieriai gali atlikti taisomuosius veiksmus, tačiau tik po to, kai padaromos būtinos momentinės kopijos, eksportai arba kriminalistinės kopijos, išskyrus atvejus, kai neatidėliotinas suvaldymas būtinas tęstinei žalai išvengti. Jei neatidėliotini taisomieji veiksmai atliekami pirmiau, priežastis dokumentuojama.

Ta pati MVĮ politika nurodo:

„Kiekvienam incidentui turi būti tvarkomas paprastas perdavimo grandinės žurnalas (pvz., Excel failas arba šabloninis dokumentas).“

Enterprise aplinkoms Įrodymų rinkimo ir kriminalistikos politika, Clause 5.6, reikalauja:

„Perdavimo grandinės žurnalas turi lydėti visus fizinius arba skaitmeninius įrodymus nuo paėmimo momento iki archyvavimo ar perdavimo ir turi dokumentuoti:“

Praktikoje perdavimo grandinės žurnale fiksuojamas įrodymo identifikatorius, aprašymas, šaltinio sistema, surinkęs asmuo, paėmimo metodas, maišos reikšmė, kai taikoma, laiko šaltinis, saugojimo vieta, prieigos įvykiai, perdavimai, analizės kopijos ir galutinis sutvarkymo būdas.

Galiausiai turi būti apsaugotas pats tyrimo įrašas. Enterprise Audito ir atitikties stebėsenos politika nustato:

„Visi audito žurnalai, išvados ir taisomųjų veiksmų ataskaitos turi būti saugomi, šifruojami ir apsaugomi nuo klastojimo.“

Šis reikalavimas taikomas incidento laiko juostai, sprendimų žurnalui, teisinio išsaugojimo nurodymo pranešimui, komunikacijai su priežiūros institucijomis, klientų komunikacijai, pagrindinės priežasties analizei ir taisomųjų veiksmų įrodymams.

Dokumentuota informacija, kurią tikrins auditoriai

ISO/IEC 27001:2022 Clause 7.5 reikalauja kontroliuoti ISVS reikalingą ir standarto reikalaujamą dokumentuotą informaciją. Zenith Blueprint etapo „ISVS pagrindas ir lyderystė“ 6 žingsnis tai paverčia praktiniais reikalavimais: dokumentai turi turėti identifikavimą, formatą, peržiūrą, patvirtinimą, versijų kontrolę, kontroliuojamą prieigą, vientisumo apsaugą, pakeitimų kontrolę, saugojimą ir sunaikinimą.

6 žingsnyje taip pat pažymima, kad tokie įrašai kaip stebėsenos žurnalai, audito ataskaitos ir incidentų tyrimo failai gali būti konfidencialūs ir turi būti bendrinami pagal būtinybės žinoti principą, o redagavimo teisės turi būti ribojamos autorizuotiems naudotojams.

Pagrįstas įrodymų paketas turėtų apimti:

• Teisinio išsaugojimo nurodymo pranešimą ir patvirtinimą.
• Incidento klasifikavimą ir sprendimą dėl sunkumo.
• Įrodymų apskaitą.
• Perdavimo grandinės žurnalą.
• Žurnalų išsaugojimo patvirtinimą.
• Kriminalistinio atvaizdo arba eksporto įrašus.
• Maišos reikšmes arba vientisumo patikras, kai taikoma.
• Prieigos prie įrodymų saugyklos sąrašą.
• Pranešimo priežiūros institucijai įrodymus.
• Privatumo vertinimą ir poveikio asmens duomenims analizę.
• Įrodymų prašymus tiekėjams ir jų atsakymus.
• Pagrindinės priežasties analizę.
• Taisomųjų veiksmų ir validavimo įrodymus.
• Išsaugojimo nurodymo peržiūros ir nutraukimo sprendimą.

Kuo stipresnė dokumentuotos informacijos kontrolė, tuo paprastesnis auditas.

Tiekėjų ir debesijos įrodymai: dažnai praleidžiamas silpnasis taškas

Sudėtingiausi įrodymai dažnai nėra jūsų organizacijos viduje. Juos turi debesijos paslaugų teikėjas, SaaS platforma, MSSP, MSP, mokėjimų tvarkytojas, tapatybės teikėjas arba išorės vystymo komanda.

NIS2 Article 21 apima tiekimo grandinės saugumą ir santykių su tiesioginiais tiekėjais ar paslaugų teikėjais saugumo aspektus. DORA finansų subjektams nustato dar daugiau: IRT trečiųjų šalių registrus, deramą patikrinimą, koncentracijos rizikos analizę ir sutartis su pagalba incidentų metu, paslaugų teikėjo ataskaitų teikimu, bendradarbiavimu su institucijomis, audito teisėmis ir pasitraukimo nuostatomis kritinėms ar svarbioms funkcijoms.

NIST Cybersecurity Framework 2.0 tiekimo grandinės riziką taip pat traktuoja kaip gyvavimo ciklo discipliną. Jo valdysenos funkcija apima tiekėjų rizikos valdymo rezultatus strategijai, vaidmenims, sutartims, deramam patikrinimui, stebėsenai, dalyvavimui incidentuose ir pasitraukimo nuostatoms. CSF profiliai gali išreikšti tikslinius kibernetinio saugumo reikalavimus tiekėjams; tai naudinga verčiant teisinio išsaugojimo nurodymo įrodymų poreikius į sutarties sąlygas.

Tiekėjų sutartyse turi būti aptarta:

• Klientui prieinami saugumo žurnalų tipai.
• Numatytieji saugojimo laikotarpiai ir pratęsto saugojimo galimybės.
• Neatidėliotino išsaugojimo prašymo procesas.
• Laikas įrodymams išsaugoti po kliento prašymo.
• Kriminalistinio eksporto formatai.
• Perdavimo grandinės palaikymas.
• Bendradarbiavimas su priežiūros institucija.
• Subtvarkytojų arba subtiekėjų įrodymų įsipareigojimai.
• Duomenų vietos ir perdavimo apribojimai.
• Saugus ištrynimas pasibaigus išsaugojimo nurodymui.

Zenith Blueprint etapo „Kontrolės priemonės praktikoje“ 18 žingsnis panašią discipliną taiko fizinių laikmenų perdavimui, reikalaudamas šifravimo, klastojimą atskleidžiančios pakuotės, sekimo, transportavimo žurnalų, laikmenų apskaitos ir registro audito. Ta pati logika taikoma debesijos įrodymų perdavimams: išsaugoti vientisumą, sekti saugojimo atsakomybę, riboti prieigą ir patvirtinti gavimą.

Kaip auditoriai ir priežiūros institucijos testuos jūsų teisinio išsaugojimo nurodymo procesą

Teisinio išsaugojimo nurodymo procesas atrodo skirtingai priklausomai nuo vertintojo mandato. Clarysec naudoja Zenith Controls kaip kryžminės atitikties kompasą, kad tas pats įrodymų paketas galėtų patenkinti kelias perspektyvas nedubliuojant darbo.

ISO auditorius vertins atitiktį ir objektyvius įrodymus. GDPR vertintojui rūpės būtinumas, tikslo apribojimas ir įrodoma atskaitomybė. NIS2 vertintojui rūpės reikšmingo incidento pranešimo faktai ir vadovybės atsakomybė. DORA vertintojui rūpės IRT rizikos valdysena, reikšmingų incidentų valdymas, priklausomybės nuo trečiųjų šalių ir įgyta patirtis. COBIT 2019 arba ISACA tipo auditoriui rūpės valdysena, kontrolės priemonių projektavimas, kontrolės priemonių veikimas ir patikinimas dėl informacijos kokybės.

Vienas įrodymų paketas gali būti naudojamas visiems, jei jis taip suprojektuotas.

Praktinis kibernetinio incidento teisinio išsaugojimo nurodymo kontrolinis sąrašas 2026 m.

Naudokite šį kontrolinį sąrašą prieš kitą rimtą incidentą, o ne jo metu.

Šis kontrolinis sąrašas tampa veiksmingesnis, kai įtraukiamas į ISVS rizikos tvarkymo planą, tiekėjų saugumo reikalavimus, reagavimo į incidentus atkūrimo instrukcijas, žurnalų valdymo architektūrą ir privatumo valdyseną.

Nuo panikos po pažeidimo prie auditui tinkamo atsparumo

4 val. ryto skambutis visada kels stresą. Tačiau jis neturi virsti chaosu.

Brandus kibernetinio incidento teisinio išsaugojimo nurodymo procesas suteikia kiekvienai suinteresuotajai šaliai kontroliuojamą kelią. Teisės funkcija gauna pagrįstą išsaugojimą. Privatumo funkcija gauna minimizavimą ir peržiūrą. CISO gauna įrodymų vientisumą. DAP gauna atskaitomybę. Valdyba gauna patikimus faktus. NIS2, DORA ir GDPR vertintojai gauna objektyvius įrodymus, o ne improvizuotus paaiškinimus.

Clarysec 30 žingsnių metodika nelaiko teisinio išsaugojimo nurodymo atskiru teisiniu memorandumu. Ji traktuoja jį kaip ISVS operacinį pajėgumą.

Zenith Blueprint 6 žingsnis sukuria dokumentuotos informacijos biblioteką, įskaitant saugojimo ir sutvarkymo taisykles. 19 žingsnis sustiprina auditinių žurnalų registravimą ir laikrodžio sinchronizavimą, kad tyrimai galėtų atkurti laiko juostas. 23 žingsnis operacionalizuoja įrodymų rinkimą ir perdavimo grandinę. 18 žingsnis prideda laikmenų tvarkymo discipliną, kai įrodymai juda fiziškai arba tarp šalių.

Zenith Controls Clarysec susieja pagrindines ISO/IEC 27002:2022 kontrolės priemones, kad klientai matytų, kaip įrodymų rinkimas priklauso nuo žurnalų valdymo, stebėsenos, reagavimo į incidentus, įrašų apsaugos, prieigos kontrolės, atsarginių kopijų, privatumo ir teisinių reikalavimų.

Clarysec politikų bibliotekoje praktiniai darbo eigos pagrindai jau apibrėžti: Duomenų saugojimo ir sunaikinimo politika, Duomenų saugojimo politika ir saugaus sunaikinimo politika MVĮ, Įrodymų rinkimo ir kriminalistikos politika, Įrodymų rinkimo ir kriminalistikos politika MVĮ, Žurnalų valdymo ir stebėsenos politika MVĮ, Duomenų apsaugos ir privatumo politika MVĮ ir Audito ir atitikties stebėsenos politika.

Jei jūsų reagavimo į incidentus planas sako „išsaugoti įrodymus“, bet neapibrėžia teisinio išsaugojimo nurodymo įgaliojimų, įrodymų taikymo srities, saugojimo sustabdymo, perdavimo grandinės, tiekėjų išsaugojimo, GDPR minimizavimo ir nutraukimo kriterijų, jis dar nėra tinkamas auditui.

Sukurkite procesą prieš pažeidimą. Clarysec gali padėti sukurti pagrįstą kibernetinio incidento teisinio išsaugojimo nurodymo ir įrodymų saugojimo pajėgumą naudojant Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą, Zenith Controls: kryžminės atitikties vadovą ir Clarysec politikų šablonus, įskaitant Duomenų saugojimo ir sunaikinimo politiką, Įrodymų rinkimo ir kriminalistikos politiką, Audito ir atitikties stebėsenos politiką, Žurnalų valdymo ir stebėsenos politiką MVĮ, Duomenų apsaugos ir privatumo politiką MVĮ ir Įrodymų rinkimo ir kriminalistikos politiką MVĮ.

Atsisiųskite priemonių rinkinius, paprašykite Clarysec politikų peržiūros arba užsisakykite įrodymų saugojimo pasirengimo vertinimą prieš kitą auditą, priežiūros institucijos prašymą ar svarbią kliento saugumo peržiūrą.