Kiberincidenta juridiskā saglabāšana GDPR, NIS2 un DORA vajadzībām

Plkst. 4.17 Marija, fintech SaaS pakalpojumu sniedzēja informācijas drošības vadītāja, saņēma zvanu, kuram gatavojas ikviens drošības vadītājs, bet cer to nekad nesaņemt. Kritiskie produkcijas serveri neatbildēja. Faili bija šifrēti. Uz jaunākā administratora ekrāna bija atvērta izpirkuma piezīme.

Plkst. 4.28 incidentu reaģēšanas komanda vēlējās izolēt ietekmētās sistēmas un no jauna izvietot tīru infrastruktūru. Plkst. 4.41 inženierijas komanda jautāja, vai drīkst rotēt autentifikācijas datus, dzēst pagaidu failus un pārbūvēt konteinerus. Plkst. 5.03 datu aizsardzības speciālists (DPO) brīdināja, ka kompromitētajā vidē ir klientu identifikatori un darījumu metadati. Plkst. 5.16 juridiskais dienests pievienojās krīzes saziņas kanālam ar vienu norādi: “Neiznīciniet potenciālos pierādījumus. Iespējams, mums būs nepieciešama juridiskā saglabāšana.” Plkst. 5.30 operāciju direktors (COO) jautāja, vai ir iedarbināti DORA ziņošanas pienākumi. Plkst. 6.00 Marija atcerējās NIS2 termiņus: agrīnais brīdinājums var būt jāsniedz 24 stundu laikā, pilnīgāks paziņojums — 72 stundu laikā, bet galīgais ziņojums — mēneša laikā.

Tad izskanēja jautājums, kas nosaka, vai kiberincidents kļūs pamatoti pārvaldāms vai haotisks:

“Vai mums vēl ir žurnāli?”

Šī ir pēcpārkāpuma pārvaldības problēma, ko daudzi reaģēšanas plāni novērtē par zemu. Nepietiek ar incidenta atklāšanu, ierobežošanu un darbības atjaunošanu. 2026. gadā organizācijām ir arī jāpierāda, kas notika, jāsaglabā attiecīgie pierādījumi, jāizvairās no digitālās kriminālistikas artefaktu bojāšanas, jāievēro GDPR datu minimizēšana, jāatbalsta NIS2 uzraudzība un jāuztur DORA IKT risku ieraksti, kas iztur auditu, tiesvedību un regulatīvo pārbaudi.

Kiberincidenta juridiskā saglabāšana un pierādījumu glabāšana atrodas drošības operāciju, privātuma, juridisko jautājumu, atbilstības, mākoņinženierijas, piegādātāju pārvaldības un audita saskares punktā. Ja process tiek improvizēts pārkāpuma laikā, organizācija var zaudēt pierādījumus, kas nepieciešami pamatcēloņa analīzei, ziņošanai regulatoram, apdrošināšanas prasībām, aizstāvībai tiesvedībā, darbinieku disciplinārlietu izskatīšanai un klientu pārliecības nodrošināšanai. Ja process tiek piemērots pārmērīgi plaši, organizācija var glabāt pārmērīgu personas datu apjomu un radīt otru atbilstības problēmu.

Clarysec pieeja paredz juridisko saglabāšanu padarīt par kontrolētu IDPS procesu, nevis panikas reakciju. Modelis vienā darbības sistēmā sasaista ISO/IEC 27001:2022 pārvaldību, ISO/IEC 27002:2022 pierādījumu un žurnālfiksēšanas kontroles pasākumus, GDPR pārskatatbildību, NIS2 incidentu ziņošanu un DORA IKT risku pierādījumus. Šī sistēma komandām nosaka, kas jāsaglabā, kurš drīkst autorizēt saglabāšanu, cik ilgi pierādījumi paliek juridiskajā saglabāšanā, kurš drīkst tiem piekļūt un kad dzēšanu drīkst atsākt.

Pirmās 24 stundas nosaka, vai pierādījumi tiks saglabāti

Daudzos reālos incidentos pierādījumus neiznīcina uzbrucēji. Tos iznīcina parastās operācijas.

Beidzas mākoņvides žurnālu glabāšanas termiņš. Konteiners tiek izvietots no jauna. Galiekārta tiek atjaunota no attēla, pirms ir iegūta operatīvās atmiņas kopija. SaaS administrators izmeklēšanai eksportē CSV failu un pēc tam to rediģē. Labi domājošs inženieris pirms kriminālistiskas kopijas izveides izdzēš ļaunprātīgus skriptus. Datu noliktavas glabāšanas uzdevums izņem ierakstus, kas nepieciešami, lai noteiktu, kuri klienti tika ietekmēti.

Organizācija joprojām var atjaunot darbību, bet tā zaudē pierādīšanas iespēju. Šī atšķirība ir būtiska.

Saskaņā ar GDPR pārzinim jāspēj pierādīt atbilstību datu aizsardzības principiem, tostarp integritātei un konfidencialitātei, nolūka ierobežošanai, datu minimizēšanai un glabāšanas ierobežošanai. Ja personas datu aizsardzības pārkāpums var radīt risku fiziskām personām, Article 33 var prasīt paziņošanu uzraudzības iestādei bez nepamatotas kavēšanās un, ja iespējams, 72 stundu laikā pēc tam, kad pārzinis par to uzzinājis. Ja pārkāpums var radīt augstu risku fiziskām personām, Article 34 var prasīt saziņu ar ietekmētajiem datu subjektiem.

Saskaņā ar NIS2 būtiskajām un svarīgajām vienībām nozīmīgi incidenti jāpārvalda, izmantojot pakāpenisku ziņošanu un uzraudzību. Saskaņā ar DORA finanšu vienībām jāreģistrē ar IKT saistīti incidenti, jāklasificē būtiski incidenti, par tiem jāziņo, jāveic pamatcēloņa analīze un jāsaglabā pierādījumi visos IKT aktīvos, biznesa funkcijās un trešo pušu atkarībās.

ISO/IEC 27001:2022 šim procesam nodrošina pārvaldības sistēmas struktūru. 4.2. punkts prasa organizācijai noteikt ieinteresēto pušu vajadzības un gaidas, tostarp tiesiskās, normatīvās, regulatīvās un līgumiskās prasības, kas attiecas uz informācijas drošību. 4.3. punkts prasa IDPS darbības jomā ņemt vērā saskarnes un atkarības, kas ir kritiski svarīgi, ja pierādījumi atrodas pie mākoņpakalpojumu sniedzēja, pārvaldīta drošības pakalpojumu sniedzēja, maksājumu platformas vai ārpakalpojuma palīdzības dienesta. 6.1. punkts sasaista šos pienākumus ar informācijas drošības riskiem un to apstrādi. 7.5. punkts prasa kontrolētu dokumentēto informāciju. 8. punkts prasa darbības plānošanu un kontroli.

Clarysec Zenith Blueprint: auditora 30 soļu ceļkarte skaidro, kāpēc tas jāizstrādā pirms incidenta, nevis tā laikā. Posmā “Kontroles pasākumi darbībā”, 23. solī, norādījumos par ISO/IEC 27002:2022 kontroles pasākumu 5.28 teikts:

“Kad notiek informācijas drošības incidents, viens no kritiskākajiem, bet bieži nepietiekami novērtētajiem reaģēšanas elementiem ir pierādījumi. Nevis žurnāli, ekrānuzņēmumi vai brīvi apraksti, bet pienācīgi saglabāti, pierādījumu aprites ķēdi ievērojoši un pret manipulācijām noturīgi pierādījumi.”

Tas pats 23. solis piebilst, ka “tas, ko varat pierādīt, ir tikpat svarīgi kā tas, kas faktiski notika.” Šis teikums nošķir incidentu reaģēšanu no pamatotas incidentu reaģēšanas. Regulators, klienta auditors, tiesa, apdrošinātājs vai uzraudzības iestāde nepieņems mutisku rekonstrukciju, ja organizācija nevar uzrādīt saglabātus žurnālus, uzticamus laikspiedolus, kontrolētus ierakstus un dokumentētu pierādījumu aprites ķēdi.

Juridiskā saglabāšana nenozīmē “glabāt visu mūžīgi”

Kiberincidenta juridiskā saglabāšana ir formāla parastās dzēšanas vai iznīcināšanas apturēšana noteiktiem ierakstiem, žurnāliem, rezerves kopijām, attēliem, komunikācijai un citiem pierādījumiem, kas var būt nozīmīgi izmeklēšanai, tiesvedībai, regulatīvai pārbaudei, auditam vai līgumiskam strīdam.

Biežākā kļūda ir juridisko saglabāšanu uztvert kā vispārīgu norādi: “Nedzēst neko.” Tas rada privātuma, izmaksu un darbības risku. GDPR kiberincidenta laikā nepārstāj darboties. Personas dati joprojām jāapstrādā likumīgi, godprātīgi un pārredzami, noteiktiem nolūkiem, tikai nepieciešamajā apjomā un jāglabā tikai tik ilgi, cik nepieciešams. Article 5(2) papildus nosaka pārskatatbildību, proti, organizācijai jāspēj pierādīt šos lēmumus.

Šeit Clarysec politiku bibliotēka kļūst praktiski izmantojama. SME Datu glabāšanas un drošas iznīcināšanas politika SME nosaka:

“Juridiskā saglabāšana un dzēšanas apturēšana ir pārāka par standarta glabāšanas prasībām un novērš datu dzēšanu.”

Lielākām organizācijām Enterprise Datu glabāšanas un iznīcināšanas politika, 6.4.1. punkts, nosaka:

“Ja tiek izdota juridiskā saglabāšana un dzēšanas apturēšana (piemēram, gaidāmas tiesvedības, izmeklēšanas vai audita dēļ), dati, kas citādi būtu jāiznīcina, jāsaglabā ilgāk par to parasto glabāšanas termiņu.”

Tā pati Enterprise politika prasa, lai juridiskā saglabāšana būtu:

“Dokumentēta un apstiprināta juridiskajā dienestā un pie datu aizsardzības speciālista (DPO)”

Šis apstiprināšanas modelis nav birokrātija. Tas ir līdzsvara mehānisms starp pierādījumu saglabāšanu un privātuma ierobežojumiem. Juridiskais dienests apstiprina tiesvedības, izmeklēšanas vai regulatīvo pamatu. DPO apstiprina, ka darbības joma, nolūks, personas datu kategorijas, piekļuves kontroles pasākumi un glabāšanas termiņa pagarinājums ir samērīgi.

SME organizācijām bez pilnas juridiskās nodaļas vai DPO funkcijas to pašu lēmumu loģiku var īstenot vCISO, privātuma atbildīgā persona, izpilddirektors un ārējais jurists, ja autorizācija ir dokumentēta, laikā ierobežota un pārskatīta.

Atbilstības spriedze, kas jāatrisina katram informācijas drošības vadītājam

Pēc nopietna incidenta dažādas iesaistītās puses pieprasa atšķirīgus pierādījumus. Juridiskā funkcija vēlas saglabāšanu. Privātuma funkcija vēlas minimizēšanu. Regulatori vēlas faktus. Operācijas vēlas atjaunošanu. Klienti vēlas apliecinājumu. Auditori vēlas objektīvus pierādījumus.

Mēģinājums šīs prasības pārvaldīt atsevišķās privātuma, juridiskajās, SOC un audita darbplūsmās rada pretrunu risku. Vienota ISO/IEC 27001:2022 IDPS tās iekļauj vienā riska, kontroles pasākumu un pierādījumu procesā.

Kontroles pasākumu kopums pamatotai pierādījumu glabāšanai

Kiberincidenta juridiskā saglabāšana nav viens ISO/IEC 27002:2022 kontroles pasākums. Tā ir kontroles pasākumu savstarpējā saistība.

Clarysec Zenith Controls: starpatbilstības ceļvedis sasaista ISO/IEC 27002:2022 kontroles pasākumu 5.28 “Pierādījumu vākšana” kā koriģējošu kontroles pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību. Tas ietilpst kiberdrošības konceptos “Atklāt” un “Reaģēt” un informācijas drošības notikumu pārvaldības spējā.

Tas pats Zenith Controls ceļvedis sasaista 5.28 ar reaģēšanu uz informācijas drošības incidentiem, žurnālfiksēšanu un uzraudzību, ierakstu aizsardzību un ziņošanu par notikumiem. Loģika ir praktiska: incidentu reaģētājiem žurnāli un artefakti nepieciešami pirms korektīvie pasākumi maina incidenta vietu, regulatīvajiem ziņotājiem nepieciešami uzticami fakti, bet izmeklētājiem — pierādījumi, kas nav mainīti.

Tikpat svarīgs ir ISO/IEC 27002:2022 kontroles pasākums 5.33 “Ierakstu aizsardzība”. Tas atbalsta juridiskās un atbilstības prasības, aktīvu pārvaldību un informācijas aizsardzību. Tas sasaista ierakstu aizsardzību ar klasifikāciju, rezerves kopijām, drošu iznīcināšanu, juridiskajām un līgumiskajām prasībām, piekļuves kontroli un incidentu reaģēšanu. Praksē juridiskajai saglabāšanai ne tikai jāiegūst pierādījumi. Tai jāaizsargā paša pierādījumu ieraksta integritāte, konfidencialitāte un pieejamība.

Žurnālfiksēšanai pamats ir ISO/IEC 27002:2022 kontroles pasākums 8.15 “Žurnālfiksēšana”. Tas sasaistās ar 8.16 “Uzraudzības darbības” un 8.17 “Pulksteņu sinhronizācija”. Ja žurnāli ir nepilnīgi, administratoru rediģējami, nav laikā sinhronizēti vai tiek glabāti pārāk īsu laiku, pierādījumu process var izgāzties vēl pirms izmeklēšanas sākuma.

Zenith Blueprint, posmā “Kontroles pasākumi darbībā”, 19. solī, to pastiprina ar praktisku formulējumu par žurnālfiksēšanu:

“Žurnāli, kas reģistrē darbības, izņēmumus, kļūmes un citus attiecīgus notikumus, ir jāizveido, jāglabā, jāaizsargā un jāanalizē.”

Tas arī brīdina, ka žurnālu aizsardzība ietver piekļuves ierobežošanu un tādu mehānismu izmantošanu kā hešošana vai write-once glabāšana, lai novērstu manipulācijas. 19. solis sasaista pulksteņu sinhronizāciju ar kriminālistisko konsekvenci, skaidrojot, ka sinhronizēti pulksteņi ļauj dažādu sistēmu žurnālus saskaņot izmeklēšanai.

GDPR pārskatatbildība: saglabājiet nepieciešamo, pamatojiet glabāto

GDPR rada visredzamāko spriedzi incidenta pierādījumu glabāšanā. Drošības komandas bieži vēlas vairāk datu. Privātuma komandas vēlas mazāk. Pamatota juridiskā saglabāšana saskaņo abas vajadzības.

Žurnālos un artefaktos var būt IP adreses, lietotāju ID, e-pasta adreses, ierīču identifikatori, autentifikācijas ieraksti, atbalsta pieteikumu teksts, ekrānuzņēmumi, klientu eksporti vai īpašu kategoriju dati. Tāpēc pierādījumu saglabāšana ir apstrāde. Juridiskās saglabāšanas paziņojumā jānorāda tiesiskais pamats, nolūks, darbības joma, piekļuves ierobežojumi, glabāšanas pārskatīšanas datums un iznīcināšanas ierosinātājs.

Clarysec SME Datu aizsardzības un privātuma politika SME nosaka:

“Jāvāc un jāglabā tikai minimālais nepieciešamais personas datu apjoms”

Enterprise Digitālo pierādījumu iegūšanas un kriminālistikas politika kriminālistisko pierādījumu apstrādi skaidri balsta uz:

“GDPR Article 5, tostarp nolūka ierobežošanu un datu minimizēšanu”

Tas ir darbības princips. Nesaglabājiet visu produkcijas datubāzi, ja attiecīgie pierādījumi ir šaura audita pēda, piekļuves žurnāls, vaicājuma ieraksts un ietekmēto lietotāju saraksts. Nedodiet katram reaģētājam piekļuvi neapstrādātiem pierādījumiem, ja pietiek ar pseidonimizētiem izvilkumiem vai lomās balstītu piekļuvi. Neglabājiet incidenta artefaktus beztermiņā pēc tam, kad juridiskā, regulatīvā un audita vajadzība ir beigusies.

Kvalitatīvs, ar GDPR saskaņots juridiskās saglabāšanas ieraksts atbild uz septiņiem jautājumiem:

1. Kurš incidents vai izmeklēšana ierosināja juridisko saglabāšanu?
2. Kādas personas datu kategorijas var būt iekļautas?
3. Kāpēc katra pierādījumu kategorija ir nepieciešama?
4. Kurš un kad apstiprināja juridisko saglabāšanu?
5. Kurš drīkst piekļūt pierādījumiem?
6. Kad juridiskā saglabāšana tiks pārskatīta?
7. Kāds dzēšanas vai drošas iznīcināšanas process atsāksies pēc juridiskās saglabāšanas atcelšanas?

Šādi pierādījumu glabāšana nekļūst par pārmērīgu privātuma datu glabāšanu.

NIS2: juridiskā saglabāšana pakāpeniskai incidentu ziņošanai

Organizācijām, uz kurām attiecas NIS2, pierādījumu gaidas mainās no “noderīgi iekšēji” uz “nepieciešami uzraudzībai”.

NIS2 attiecas uz daudzām būtiskām un svarīgām vienībām ES, tostarp digitālās infrastruktūras nodrošinātājiem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkliem, uzticamības pakalpojumu sniedzējiem, elektronisko sakaru pakalpojumu sniedzējiem, pārvaldīto pakalpojumu sniedzējiem, pārvaldīto drošības pakalpojumu sniedzējiem un noteiktiem digitālajiem pakalpojumu sniedzējiem, piemēram, tiešsaistes tirdzniecības vietām, tiešsaistes meklētājprogrammām un sociālo tīklu platformām.

Article 21 prasa atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, tostarp riska analīzi, incidentu apstrādi, darbības nepārtrauktību, piegādes ķēdes drošību, drošu izstrādi, efektivitātes izvērtēšanu, apmācību, kriptogrāfiju, cilvēkresursu drošību, piekļuves kontroli, aktīvu pārvaldību un autentifikāciju. Article 20 padara vadības struktūras atbildīgas par šo pasākumu apstiprināšanu un pārraudzību.

Juridiskās saglabāšanas kontekstā galvenais NIS2 jautājums ir Article 23. Nozīmīgiem incidentiem nepieciešama pakāpeniska ziņošana: agrīnais brīdinājums 24 stundu laikā pēc informētības iegūšanas, incidenta paziņojums 72 stundu laikā, starpposma ziņojumi pēc pieprasījuma un galīgais ziņojums ne vēlāk kā mēnesi pēc 72 stundu paziņojuma. Galīgajam ziņojumam nepieciešams apraksts, smaguma pakāpe, ietekme, iespējamais apdraudējuma tips vai pamatcēlonis, mazināšanas pasākumi un pārrobežu ietekme, ja tāda ir.

Ja incidents ietekmē personas datus, NIS2 kompetentās iestādes var sadarboties ar GDPR uzraudzības iestādēm. Tas palielina vajadzību pēc vienota pierādījumu naratīva, kas atbalsta gan kiberdrošības uzraudzību, gan privātuma pārskatatbildību.

DORA: IKT risku pierādījumi pārsniedz drošības žurnālus

Finanšu vienībām DORA ir nozares specifisks darbības noturības režīms. To piemēro no 2025. gada 17. janvāra, un tas aptver IKT risku pārvaldību, būtisku IKT incidentu ziņošanu, noturības testēšanu, informācijas apmaiņu un IKT trešo pušu risku pārvaldību. Finanšu vienībām, kas saskaņā ar NIS2 ir arī būtiskas vai svarīgas, DORA parasti darbojas kā nozares specifisks Savienības tiesību akts IKT risku un incidentu ziņošanai.

DORA pēc būtības prasa plašus pierādījumus. Article 17 prasa ar IKT saistītu incidentu pārvaldības procesu. Article 18 aplūko ar IKT saistītu incidentu un kiberdraudu klasifikāciju. Article 19 attiecas uz ziņošanu par būtiskiem ar IKT saistītiem incidentiem. Finanšu vienībām jāuztur arī pārvaldības un kontroles kārtība, jāidentificē kritiskās vai svarīgās funkcijas, jādokumentē IKT aktīvi un atkarības un jāveic pamatcēloņa analīze.

Tas nozīmē, ka DORA juridiskajai saglabāšanai jāaptver darbības noturības pierādījumi, ne tikai drošības artefakti. Pēc mākoņidentitātes kompromitēšanas, kas ietekmē maksājumu operācijas, juridiskā saglabāšana var ietvert identitātes nodrošinātāja žurnālus, priviliģētās piekļuves vēsturi, mākoņvides audita žurnālus, SIEM brīdinājumus, galiekārtu attēlus, klientu darījumu ietekmes analīzi, darbības nepārtrauktības aktivizēšanas ierakstus, rezerves kopiju un atjaunošanas pierādījumus, piegādātāju komunikāciju, vadības struktūras instruktāžas, pamatcēloņa analīzi un korektīvo pasākumu validācijas pierādījumus.

DORA padara neizbēgamus arī IKT trešo pušu pierādījumus. Articles 28 to 30 prasa IKT trešo pušu risku pārvaldību, līgumisko vienošanos reģistrus, sākotnējo izpēti, koncentrācijas riska izvērtēšanu un rakstiskus līgumus ar tiesībām un pienākumiem. Kritiskām vai svarīgām funkcijām līgumiem jāatbalsta pakalpojumu sniedzēja paziņošanas un ziņošanas pienākumi, palīdzība incidentu gadījumā, sadarbība ar iestādēm, piekļuves, pārbaudes un audita tiesības, kā arī izstāšanās stratēģijas.

Ja attiecīgos žurnālus glabā jūsu mākoņpakalpojumu sniedzējs, MSP, MSSP, maksājumu apstrādātājs vai SaaS atkarība, juridiskās saglabāšanas procesam jau jābūt iestrādātam piegādātāju līgumos. Pretējā gadījumā būtiska incidenta laikā varat atklāt, ka pakalpojumu sniedzēja standarta glabāšanas logs ir īsāks par jūsu regulatīvās ziņošanas dzīves ciklu.

Kā Clarysec operacionalizē juridisko saglabāšanu SaaS pārkāpuma laikā

Apsveriet Marijas fintech SaaS vidi. Incidents var ietvert nesankcionētu piekļuvi klientu identifikatoriem, darījumu metadatiem, administratoru sistēmām un ārpakalpojuma SOC ierakstiem. Uzņēmums apkalpo ES finanšu iestādes, paļaujas uz mākoņinfrastruktūru un var saskarties ar GDPR, DORA līgumiskajiem pienākumiem un NIS2 pienākumiem.

Pirmā darbība nav saglabāt visu. Pirmā darbība ir iedarbināt kontrolētu lēmumu.

Incidenta vadītājs nosūta juridiskās saglabāšanas pieprasījumu juridiskajam dienestam, DPO vai privātuma vadītājam, informācijas drošības vadītājam un biznesa īpašniekam. Pieprasījumā iekļauj incidenta ID, datumu un laiku, ietekmētās sistēmas, iespējamās datu kategorijas, sākotnējos regulatīvos virzienus, piedāvātās pierādījumu kategorijas un tūlītējos dzēšanas riskus.

Izmantojot Enterprise Datu glabāšanas un iznīcināšanas politiku, juridiskā saglabāšana tiek dokumentēta un apstiprināta juridiskajā dienestā un pie DPO. SME organizācijām Datu glabāšanas un drošas iznīcināšanas politika SME nodrošina dzēšanas apturēšanas noteikumu. Autorizācijā iekļauj pārskatīšanas datumu, kas saskaņots ar izmeklēšanas atskaites punktiem, regulatīvās ziņošanas termiņiem un paredzamo tiesvedības vai līgumiskā strīda risku. Tā nenosaka “mūžīgi”. Tā nosaka “līdz atcelšanai ar autorizētu lēmumu pēc pārskatīšanas”.

Pēc tam komanda iesaldē attiecīgos žurnālus un artefaktus. SME Žurnālfiksēšanas un uzraudzības politika SME nosaka:

“Žurnāli jāiekļauj juridiskajā saglabāšanā un dzēšanas apturēšanā un jāaizsargā pret mainīšanu vai dzēšanu”

Komanda aptur dzēšanu SIEM lietām, identitātes žurnāliem, mākoņvides audita žurnāliem, lietojumprogrammu žurnāliem, datubāzu vaicājumu žurnāliem, WAF notikumiem un SOC brīdinājumu metadatiem. Eksportētie žurnāli tiek glabāti ierobežotas piekļuves pierādījumu glabātuvē ar hešošanu, versiju kontroli un tikai lasīšanas piekļuves tiesībām, ja tas ir piemērojami.

Vākšanas noteikums ir vienkāršs: saglabāt pierādījumus, nerediģējot oriģinālus. SME Digitālo pierādījumu iegūšanas un kriminālistikas politika SME nosaka:

“Vienmēr jāizveido kriminālistiska kopija vai eksports; oriģinālos pierādījumus nekad nedrīkst rediģēt tieši.”

Inženieri drīkst īstenot korektīvos pasākumus, bet tikai pēc nepieciešamo momentuzņēmumu, eksportu vai kriminālistisko kopiju izveides, ja vien tūlītēja ierobežošana nav nepieciešama, lai novērstu turpmāku kaitējumu. Ja ārkārtas korektīvie pasākumi notiek vispirms, iemesls tiek dokumentēts.

Tā pati SME politika nosaka:

“Katram incidentam jāuztur vienkāršs pierādījumu aprites ķēdes žurnāls (piemēram, Excel fails vai veidnes dokuments).”

Enterprise vidēm Digitālo pierādījumu iegūšanas un kriminālistikas politika, 5.6. punkts, prasa:

“Pierādījumu aprites ķēdes žurnālam jāseko līdzi visiem fiziskajiem vai digitālajiem pierādījumiem no iegūšanas brīža līdz arhivēšanai vai nodošanai un jādokumentē:”

Praksē pierādījumu aprites ķēdes žurnāls reģistrē pierādījuma ID, aprakstu, avota sistēmu, ieguvēju, iegūšanas metodi, hešvērtību, ja piemērojams, laika avotu, glabāšanas vietu, piekļuves notikumus, nodošanu, analīzes kopijas un galīgās apstrādes metodi.

Visbeidzot jāaizsargā pats izmeklēšanas ieraksts. Enterprise Audita un atbilstības uzraudzības politika nosaka:

“Visi audita žurnāli, konstatējumi un korektīvo pasākumu ziņojumi jāglabā, jāšifrē un jāaizsargā pret manipulācijām.”

Šī prasība attiecas uz incidenta laika līniju, lēmumu žurnālu, juridiskās saglabāšanas paziņojumu, komunikāciju ar regulatoru, klientu komunikāciju, pamatcēloņa analīzi un korektīvo pasākumu pierādījumiem.

Dokumentētā informācija, ko pārbaudīs auditori

ISO/IEC 27001:2022 7.5. punkts prasa kontrolēt dokumentēto informāciju, kas nepieciešama IDPS un ko prasa standarts. Zenith Blueprint, IDPS pamatu un vadības posma 6. solis, to pārvērš praktiskās prasībās: dokumentiem jābūt identificētiem, ar noteiktu formātu, pārskatīšanu, apstiprināšanu, versiju kontroli, kontrolētu piekļuvi, integritātes aizsardzību, izmaiņu kontroli, glabāšanu un galīgo apstrādi.

6. solis arī norāda, ka tādi ieraksti kā uzraudzības žurnāli, audita ziņojumi un incidenta izmeklēšanas faili var būt konfidenciāli un koplietojami pēc principa “nepieciešams zināt”, rediģēšanas tiesības ierobežojot tikai autorizētiem lietotājiem.

Pamatotā pierādījumu pakotnē jāiekļauj:

• Juridiskās saglabāšanas paziņojums un apstiprinājums.
• Incidenta klasifikācija un lēmums par smaguma pakāpi.
• Pierādījumu uzskaite.
• Pierādījumu aprites ķēdes žurnāls.
• Žurnālu saglabāšanas apstiprinājums.
• Kriminālistiskā attēla vai eksporta ieraksti.
• Hešvērtības vai integritātes pārbaudes, ja piemērojams.
• Pierādījumu glabātuves piekļuves saraksts.
• Regulatīvās ziņošanas pierādījumi.
• Privātuma izvērtēšana un personas datu ietekmes analīze.
• Piegādātāju pierādījumu pieprasījumi un atbildes.
• Pamatcēloņa analīze.
• Korektīvo pasākumu un validācijas pierādījumi.
• Juridiskās saglabāšanas pārskatīšanas un atcelšanas lēmums.

Jo spēcīgāka dokumentētās informācijas kontrole, jo vienkāršāks audits.

Piegādātāju un mākoņvides pierādījumi: kļūmes punkts, ko daudzas komandas palaiž garām

Sarežģītākie pierādījumi bieži neatrodas jūsu organizācijā. Tos glabā mākoņpakalpojumu sniedzējs, SaaS platforma, MSSP, MSP, maksājumu apstrādātājs, identitātes nodrošinātājs vai ārpakalpojuma izstrādes komanda.

NIS2 Article 21 ietver piegādes ķēdes drošību un drošības aspektus attiecībās ar tiešajiem piegādātājiem vai pakalpojumu sniedzējiem. DORA finanšu vienībām iet tālāk, pieprasot IKT trešo pušu reģistrus, sākotnējo izpēti, koncentrācijas riska analīzi un līgumus ar incidentu atbalstu, pakalpojumu sniedzēja ziņošanu, sadarbību ar iestādēm, audita tiesībām un izstāšanās noteikumiem kritiskām vai svarīgām funkcijām.

NIST Cybersecurity Framework 2.0 arī uzskata piegādes ķēdes risku par dzīves cikla disciplīnu. Tā pārvaldības funkcija ietver piegādātāju risku pārvaldības rezultātus attiecībā uz stratēģiju, lomām, līgumiem, sākotnējo izpēti, uzraudzību, dalību incidentos un izstāšanās noteikumiem. CSF profili var izteikt mērķa kiberdrošības prasības piegādātājiem, kas ir noderīgi, juridiskās saglabāšanas pierādījumu vajadzības pārvēršot līguma noteikumos.

Piegādātāju līgumos jāparedz:

• Klientam pieejamie drošības žurnālu veidi.
• Noklusējuma glabāšanas termiņi un paplašinātas glabāšanas iespējas.
• Ārkārtas saglabāšanas pieprasījuma process.
• Laiks pierādījumu saglabāšanai pēc klienta pieprasījuma.
• Kriminālistiskā eksporta formāti.
• Pierādījumu aprites ķēdes atbalsts.
• Sadarbība ar regulatoru.
• Apakšapstrādātāja vai apakšuzņēmēja pierādījumu pienākumi.
• Datu atrašanās vietas un pārsūtīšanas ierobežojumi.
• Droša dzēšana pēc juridiskās saglabāšanas atcelšanas.

Zenith Blueprint, posmā “Kontroles pasākumi darbībā”, 18. solī, līdzīgu disciplīnu piemēro fizisko datu nesēju nodošanai, pieprasot šifrēšanu, pret manipulācijām aizsargātu iepakojumu, izsekošanu, pārvadāšanas žurnālus, datu nesēju uzskaiti un reģistra auditu. Tā pati loģika attiecas uz mākoņvides pierādījumu nodošanu: saglabāt integritāti, izsekot aprites ķēdi, ierobežot piekļuvi un apstiprināt saņemšanu.

Kā auditori un regulatori pārbaudīs jūsu juridiskās saglabāšanas procesu

Juridiskās saglabāšanas process izskatās atšķirīgi atkarībā no pārbaudītāja mandāta. Clarysec izmanto Zenith Controls kā starpatbilstības kompasu, lai viena un tā pati pierādījumu pakotne varētu apmierināt vairākus skatījumus bez darba dublēšanas.

ISO auditors pievērsīs uzmanību atbilstībai un objektīviem pierādījumiem. GDPR pārskatītājs pievērsīs uzmanību nepieciešamībai, nolūka ierobežošanai un pierādāmai pārskatatbildībai. NIS2 pārskatītājs pievērsīs uzmanību nozīmīga incidenta ziņošanas faktiem un vadības atbildībai. DORA pārskatītājs pievērsīs uzmanību IKT risku pārvaldībai, būtisku incidentu apstrādei, trešo pušu atkarībām un gūtajām mācībām. COBIT 2019 vai ISACA stila auditors pievērsīs uzmanību pārvaldībai, kontroles pasākumu dizainam, kontroles darbībai un apliecinājumam par informācijas kvalitāti.

Viena pierādījumu pakotne var kalpot visiem, ja tā ir izstrādāta tieši tā.

Praktisks kiberincidenta juridiskās saglabāšanas kontrolsaraksts 2026. gadam

Izmantojiet šo kontrolsarakstu pirms nākamā nopietnā incidenta, nevis tā laikā.

Šis kontrolsaraksts kļūst iedarbīgāks, ja tas ir iestrādāts IDPS riska apstrādes plānā, piegādātāju drošības prasībās, incidentu reaģēšanas rokasgrāmatās, žurnālfiksēšanas arhitektūrā un privātuma pārvaldībā.

No pēcpārkāpuma panikas līdz auditam gatavai noturībai

Zvans plkst. 4.00 vienmēr būs saspringts. Tam nav jākļūst par haosu.

Nobriedis kiberincidenta juridiskās saglabāšanas process katrai iesaistītajai pusei nodrošina kontrolētu ceļu. Juridiskā funkcija saņem pamatotu saglabāšanu. Privātuma funkcija saņem minimizēšanu un pārskatīšanu. Informācijas drošības vadītājs saņem pierādījumu integritāti. DPO saņem pārskatatbildību. Valde saņem uzticamus faktus. NIS2, DORA un GDPR pārskatītāji saņem objektīvus pierādījumus, nevis improvizētus skaidrojumus.

Clarysec 30 soļu metodoloģija neuztver juridisko saglabāšanu kā atsevišķu juridisku memorandu. Tā to uztver kā IDPS darbības spēju.

Zenith Blueprint 6. solis izveido dokumentētās informācijas bibliotēku, tostarp glabāšanas un galīgās apstrādes noteikumus. 19. solis stiprina žurnālfiksēšanu un pulksteņu sinhronizāciju, lai izmeklēšanas varētu rekonstruēt laika līnijas. 23. solis operacionalizē pierādījumu vākšanu un pierādījumu aprites ķēdi. 18. solis pievieno datu nesēju apstrādes disciplīnu gadījumos, kad pierādījumi pārvietojas fiziski vai starp pusēm.

Zenith Controls ietvarā Clarysec sasaista pamatā esošos ISO/IEC 27002:2022 kontroles pasākumus, lai klienti redzētu, kā pierādījumu vākšana ir atkarīga no žurnālfiksēšanas, uzraudzības, incidentu reaģēšanas, ierakstu aizsardzības, piekļuves kontroles, rezerves kopijām, privātuma un juridiskajām prasībām.

Clarysec politiku bibliotēkā praktiskie darbplūsmas balsti jau ir definēti: Datu glabāšanas un iznīcināšanas politika, Datu glabāšanas un drošas iznīcināšanas politika SME, Digitālo pierādījumu iegūšanas un kriminālistikas politika, Digitālo pierādījumu iegūšanas un kriminālistikas politika SME, Žurnālfiksēšanas un uzraudzības politika SME, Datu aizsardzības un privātuma politika SME un Audita un atbilstības uzraudzības politika.

Ja jūsu incidentu reaģēšanas plānā ir teikts “saglabāt pierādījumus”, bet nav definētas juridiskās saglabāšanas pilnvaras, pierādījumu darbības joma, glabāšanas apturēšana, pierādījumu aprites ķēde, piegādātāju saglabāšana, GDPR minimizēšana un atcelšanas kritēriji, tas vēl nav gatavs auditam.

Izveidojiet procesu pirms pārkāpuma. Clarysec var palīdzēt izveidot pamatotu kiberincidenta juridiskās saglabāšanas un pierādījumu glabāšanas spēju, izmantojot Zenith Blueprint: auditora 30 soļu ceļkarte, Zenith Controls: starpatbilstības ceļvedis un Clarysec politiku veidnes, tostarp Datu glabāšanas un iznīcināšanas politiku, Digitālo pierādījumu iegūšanas un kriminālistikas politiku, Audita un atbilstības uzraudzības politiku, Žurnālfiksēšanas un uzraudzības politika SME, Datu aizsardzības un privātuma politika SME un Digitālo pierādījumu iegūšanas un kriminālistikas politika SME.

Lejupielādējiet rīkkopas, pieprasiet Clarysec politiku pārskatīšanu vai rezervējiet pierādījumu glabāšanas gatavības izvērtēšanu pirms nākamā audita, uzraudzības pieprasījuma vai būtiskas klienta drošības pārskatīšanas.