Conservarea legală a probelor în incidente cibernetice în contextul GDPR, NIS2 și DORA
La ora 4:17 AM, Maria, CISO-ul unui furnizor fintech SaaS, a primit apelul pentru care fiecare lider de securitate se pregătește, dar speră să nu îl primească niciodată. Serverele critice de producție nu răspundeau. Fișierele erau criptate. O notă de răscumpărare era deschisă pe ecranul unui administrator junior.
La 4:28, echipa de răspuns la incidente voia să izoleze sistemele afectate și să reimplementeze o infrastructură curată. La 4:41, echipa de inginerie a întrebat dacă poate roti credențialele, elimina fișierele temporare și reconstrui containerele. La 5:03, responsabilul cu protecția datelor (DPO) a avertizat că mediul compromis conținea identificatori ai clienților și metadate privind tranzacțiile. La 5:16, consilierul juridic s-a alăturat conferinței de criză cu o singură instrucțiune: „Nu distrugeți potențiale dovezi. Este posibil să avem nevoie de o măsură de conservare legală.” La 5:30, COO a întrebat dacă au fost declanșate obligațiile de raportare DORA. La 6:00, Maria și-a amintit de ceasul NIS2: o avertizare timpurie poate fi necesară în termen de 24 de ore, o notificare mai completă în termen de 72 de ore și un raport final în termen de o lună.
Apoi a venit întrebarea care decide dacă un incident cibernetic devine defensabil sau haotic:
„Mai avem jurnalele?”
Aceasta este problema de guvernanță post-incident pe care multe planuri de răspuns o tratează insuficient. Nu este suficient să detectezi, să izolezi și să recuperezi. În 2026, organizațiile trebuie să și demonstreze ce s-a întâmplat, să păstreze dovezile relevante, să evite compromiterea artefactelor criminalistice, să respecte minimizarea datelor conform GDPR, să susțină supravegherea NIS2 și să mențină înregistrări privind riscurile TIC conform DORA care pot rezista la audit, litigii și verificări de reglementare.
Conservarea legală și păstrarea dovezilor în cazul incidentelor cibernetice se află la intersecția dintre operațiunile de securitate, protecția datelor, juridic, conformitate, inginerie cloud, managementul furnizorilor și audit. Dacă procesul este improvizat în timpul unei breșe, organizația poate pierde dovezile necesare pentru analiza cauzei principale, raportarea către autorități, cererile de despăgubire către asigurători, apărarea în litigii, măsurile disciplinare și asigurarea solicitată de clienți. Dacă procesul este aplicat excesiv, organizația poate păstra date cu caracter personal peste necesar și poate crea o a doua problemă de conformitate.
Abordarea Clarysec este de a transforma conservarea legală într-un proces SMSI controlat, nu într-o reacție de panică. Modelul conectează guvernanța ISO/IEC 27001:2022, controalele ISO/IEC 27002:2022 privind dovezile și jurnalizarea, responsabilitatea demonstrabilă GDPR, raportarea incidentelor NIS2 și dovezile privind riscurile TIC conform DORA într-un singur sistem operațional. Acest sistem le indică echipelor ce trebuie păstrat, cine poate autoriza păstrarea, cât timp rămân dovezile sub măsura de conservare, cine le poate accesa și când poate fi reluată ștergerea.
Primele 24 de ore decid dacă dovezile supraviețuiesc
În multe incidente reale, dovezile nu sunt distruse de atacatori. Sunt distruse de operațiunile normale.
Perioada de retenție a jurnalelor cloud expiră. Un container este reimplementat. Un endpoint este reinstalat înainte de capturarea memoriei. Un administrator SaaS exportă un CSV pentru investigație, apoi editează fișierul. Un inginer bine intenționat șterge scripturile malițioase înainte de a realiza o copie criminalistică. O sarcină de retenție dintr-un depozit de date elimină înregistrările necesare pentru a determina ce clienți au fost afectați.
Organizația se poate recupera operațional, dar pierde dovada. Această diferență contează.
Conform GDPR, un operator de date trebuie să poată demonstra conformitatea cu principiile de protecție a datelor, inclusiv integritatea și confidențialitatea, limitarea scopului, minimizarea datelor și limitarea stocării. Dacă o încălcare a securității datelor cu caracter personal este susceptibilă să genereze un risc pentru persoane, Article 33 poate impune notificarea autorității de supraveghere fără întârzieri nejustificate și, acolo unde este fezabil, în termen de 72 de ore de la luarea la cunoștință. Dacă încălcarea este susceptibilă să genereze un risc ridicat pentru persoane, Article 34 poate impune informarea persoanelor vizate afectate.
Conform NIS2, entitățile esențiale și importante trebuie să gestioneze incidentele semnificative prin raportare etapizată și supraveghere. Conform DORA, entitățile financiare trebuie să înregistreze incidentele legate de TIC, să clasifice incidentele majore, să le raporteze, să efectueze analiza cauzei principale și să păstreze dovezi la nivelul activelor TIC, funcțiilor de business și dependențelor de terți.
ISO/IEC 27001:2022 oferă structura sistemului de management pentru acest demers. Clauza 4.2 impune organizației să determine nevoile și așteptările părților interesate, inclusiv cerințele legale, de reglementare și contractuale relevante pentru securitatea informației. Clauza 4.3 impune ca domeniul de aplicare al SMSI să ia în considerare interfețele și dependențele, aspect critic atunci când dovezile se află la un furnizor cloud, un furnizor de servicii de securitate administrate, o platformă de plăți sau un helpdesk externalizat. Clauza 6.1 leagă aceste obligații de riscurile de securitate a informației și de tratarea riscurilor. Clauza 7.5 impune informații documentate controlate. Clauza 8 impune planificare și control operațional.
Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului de la Clarysec explică de ce acest proces trebuie proiectat înainte de incident, nu în timpul acestuia. În faza Controale în acțiune, Pasul 23, îndrumarea pentru controlul ISO/IEC 27002:2022 5.28 precizează:
„Atunci când are loc un incident de securitate a informațiilor, unul dintre cele mai critice, dar adesea trecute cu vederea, elemente ale răspunsului este reprezentat de dovezi. Nu jurnale, nu capturi de ecran, nu narațiuni disparate, ci dovezi păstrate corespunzător, cu respectarea lanțului de custodie și rezistente la alterare.”
Același Pas 23 adaugă că „ceea ce puteți dovedi contează la fel de mult ca ceea ce s-a întâmplat efectiv.” Această frază marchează diferența dintre răspuns la incidente și răspuns la incidente defensabil. O autoritate de reglementare, un auditor al clientului, o instanță, un asigurător sau o autoritate de supraveghere nu va accepta o reconstituire verbală dacă organizația nu poate prezenta jurnale păstrate, marcaje temporale fiabile, înregistrări controlate și un lanț de custodie documentat.
Conservarea legală nu înseamnă „păstrați totul pentru totdeauna”
O măsură de conservare legală în cazul unui incident cibernetic reprezintă suspendarea formală a ștergerii sau eliminării obișnuite pentru înregistrări, jurnale, backup-uri, imagini, comunicări și alte dovezi definite, care pot fi relevante pentru o investigație, litigiu, solicitare reglementară, audit sau dispută contractuală.
Cea mai frecventă eroare este tratarea conservării legale ca o instrucțiune generală: „Nu ștergeți nimic.” Aceasta generează riscuri de confidențialitate, costuri și riscuri operaționale. GDPR nu dispare în timpul unui incident cibernetic. Datele cu caracter personal trebuie în continuare prelucrate legal, echitabil și transparent, pentru scopuri specificate, limitate la ceea ce este necesar și păstrate doar atât timp cât este necesar. Article 5(2) adaugă responsabilitatea demonstrabilă, ceea ce înseamnă că organizația trebuie să poată demonstra aceste decizii.
Aici biblioteca de politici Clarysec devine practică. Politica pentru IMM Politica de retenție a datelor și eliminare securizată - IMM precizează:
„Reținerea în scop juridic și suspendarea ștergerii prevalează asupra cerințelor standard de retenție și împiedică ștergerea datelor.”
Pentru organizații mai mari, politica Enterprise Politica de păstrare și eliminare a datelor, Clauza 6.4.1, precizează:
„Dacă se emite o măsură de conservare legală și o suspendare a ștergerii (de exemplu, litigiu, investigație sau audit în curs), datele care altfel ar fi supuse distrugerii trebuie păstrate peste perioada normală de retenție.”
Aceeași politică Enterprise impune ca măsura de conservare să fie:
„Documentată și aprobată de Consilierul juridic și de Responsabilul cu protecția datelor (DPO)”
Acest model de aprobare nu este birocrație. Este mecanismul de echilibrare între păstrarea probatorie și limitarea din perspectiva protecției datelor. Consilierul juridic confirmă temeiul legat de litigiu, investigație sau reglementare. DPO confirmă că domeniul, scopul, categoriile de date cu caracter personal, controalele de acces și extinderea retenției rămân proporționale.
Pentru IMM-uri fără un departament juridic complet sau fără funcție DPO, aceeași logică decizională poate fi aplicată de un vCISO, responsabilul procesului de confidențialitate, directorul general și consilierul juridic extern, atât timp cât autorizarea este documentată, limitată în timp și revizuită.
Tensiunea de conformitate pe care fiecare CISO trebuie să o rezolve
După un incident grav, părți interesate diferite solicită dovezi diferite. Juridicul dorește păstrare. Confidențialitatea dorește minimizare. Autoritățile de reglementare doresc fapte. Operațiunile doresc restaurare. Clienții doresc asigurare. Auditorii doresc dovezi obiective.
| Reglementare sau nevoie | Cerința principală privind dovezile | Implicație asupra păstrării |
|---|---|---|
| NIS2 | Demonstrarea impactului, severității și cauzei suspectate pentru raportarea etapizată a incidentelor | Păstrați alertele, indicatorii de compromitere, datele privind impactul asupra serviciilor, înregistrările privind întreruperile operaționale și jurnalele deciziilor |
| DORA | Susținerea clasificării incidentului, raportării, analizei impactului asupra clienților și revizuirii cauzei principale | Păstrați artefactele tehnice, dovezile privind activele TIC, informările către conducere, comunicările cu furnizorii și înregistrările de remediere |
| GDPR | Demonstrarea limitării scopului, minimizării datelor, limitării stocării și securității prelucrării | Justificați păstrarea datelor cu caracter personal, restricționați accesul și ștergeți sau anonimizați dovezile când măsura de conservare este ridicată |
| Litigii | Prezentarea unor dovezi defensabile, nealterate, cu un lanț de custodie clar | Înghețați datele relevante printr-o măsură formală de conservare și mențineți înregistrări privind achiziția, accesul și transferul |
| Contracte cu clienții | Demonstrarea obligațiilor de notificare, impactului asupra serviciului, remedierii și cooperării | Păstrați comunicările cu clienții, analiza SLA, rapoartele de incident și înregistrările răspunsului contractual |
Încercarea de a gestiona aceste cerințe prin fluxuri separate de confidențialitate, juridic, SOC și audit este o rețetă pentru contradicții. Un SMSI unificat conform ISO/IEC 27001:2022 le include într-un singur proces de risc, control și dovezi.
Stiva de controale pentru păstrarea defensabilă a dovezilor
Conservarea legală a probelor în cazul incidentelor cibernetice nu este un singur control ISO/IEC 27002:2022. Este o relație între controale.
Zenith Controls: ghidul de conformitate încrucișată de la Clarysec mapează controlul ISO/IEC 27002:2022 5.28, colectarea dovezilor, ca un control corectiv care susține confidențialitatea, integritatea și disponibilitatea. Acesta se regăsește în conceptele de securitate cibernetică Detectare și Răspuns și în capabilitatea operațională de management al evenimentelor de securitate a informației.
Același ghid Zenith Controls conectează 5.28 la răspunsul la incidente de securitate a informațiilor, jurnalizare și monitorizare, protecția înregistrărilor și raportarea evenimentelor. Logica este practică: responsabilii de răspuns la incidente au nevoie de jurnale și artefacte înainte ca remedierea să schimbe scena, raportorii către autorități au nevoie de fapte fiabile, iar investigatorii au nevoie de dovezi care nu au fost alterate.
Controlul ISO/IEC 27002:2022 5.33, Protecția înregistrărilor, este la fel de important. Acesta susține cerințele legale și de conformitate, managementul activelor și protecția informațiilor. Leagă protecția înregistrărilor de clasificare, backup-uri, eliminare securizată, cerințe legale și contractuale, controlul accesului și răspuns la incidente. În practică, o măsură de conservare legală nu trebuie doar să captureze dovezi. Trebuie să protejeze integritatea, confidențialitatea și disponibilitatea înregistrării probatorii în sine.
Pentru jurnalizare, controlul ISO/IEC 27002:2022 8.15, Jurnalizare, reprezintă baza. Acesta se conectează la 8.16, Activități de monitorizare, și la 8.17, Sincronizarea ceasului. Dacă jurnalele sunt incomplete, editabile de administratori, nesincronizate în timp sau păstrate pentru o perioadă prea scurtă, procesul probatoriu poate eșua înainte de începerea investigației.
| Nevoie privind dovezile | Relație de control ISO/IEC 27002:2022 | De ce contează după o breșă |
|---|---|---|
| Păstrarea artefactelor înainte de remediere | 5.28 Colectarea dovezilor legată de 5.26 Răspunsul la incidente de securitate a informațiilor | Împiedică echipele de răspuns să distrugă dovezi în timp ce izolează incidentul |
| Protejarea înregistrărilor investigației | 5.33 Protecția înregistrărilor legată de 5.31 Cerințe legale, statutare, de reglementare și contractuale și 5.15 Controlul accesului | Asigură că fișierele probatorii, rapoartele și aprobările rămân intacte și restricționate |
| Menținerea unor jurnale fiabile | 8.15 Jurnalizare legată de 8.16 Activități de monitorizare și 8.17 Sincronizarea ceasului | Susține cronologiile evenimentelor, atribuirea, analiza impactului și raportarea reglementară |
| Echilibrarea confidențialității | 5.34 Confidențialitate și protecția informațiilor de identificare personală legată de jurnalizare și protecția înregistrărilor | Previne păstrarea excesivă sau divulgarea necontrolată a datelor cu caracter personal |
| Recuperarea disponibilității dovezilor | 8.13 Backup al informațiilor legat de protecția înregistrărilor | Ajută la restaurarea înregistrărilor și jurnalelor dacă sistemele sunt corupte, criptate sau șterse |
| Îmbunătățirea după incident | 5.27 Învățare din incidentele de securitate a informațiilor legată de acțiunea corectivă | Transformă lecțiile învățate în tratarea riscurilor, îmbunătățirea controalelor și dovezi de audit |
Zenith Blueprint, în faza Controale în acțiune, Pasul 19, consolidează acest aspect prin formulări practice privind jurnalizarea:
„Jurnalele care înregistrează activități, excepții, defecțiuni și alte evenimente relevante ar trebui generate, stocate, protejate și analizate.”
De asemenea, avertizează că protecția jurnalelor include restricționarea accesului și utilizarea unor mecanisme precum calculul hash sau stocarea WORM pentru a preveni alterarea. Pasul 19 conectează sincronizarea ceasului cu coerența criminalistică, explicând că ceasurile sincronizate permit alinierea jurnalelor din sisteme diferite pentru investigație.
Responsabilitatea demonstrabilă GDPR: păstrați ce aveți nevoie, justificați ce rețineți
GDPR creează cea mai vizibilă tensiune în păstrarea dovezilor de incident. Echipele de securitate doresc adesea mai multe date. Echipele de confidențialitate doresc mai puține. O măsură de conservare legală defensabilă le reconciliază pe ambele.
Jurnalele și artefactele pot conține adrese IP, ID-uri de utilizator, adrese de e-mail, identificatori de dispozitiv, înregistrări de autentificare, text din tichete de suport, capturi de ecran, exporturi ale clienților sau date din categorii speciale. Păstrarea dovezilor este, prin urmare, prelucrare. Notificarea măsurii de conservare legală trebuie să documenteze temeiul juridic, scopul, domeniul, restricțiile de acces, data revizuirii retenției și declanșatorul eliminării.
Politica pentru IMM Politica de protecție a datelor și confidențialitate - IMM de la Clarysec precizează:
„Trebuie colectate și păstrate numai datele cu caracter personal minime necesare”
Politica Enterprise Politica privind colectarea dovezilor și activitățile criminalistice ancorează explicit gestionarea probelor criminalistice în:
„GDPR Article 5, inclusiv limitarea scopului și minimizarea datelor”
Acesta este principiul operațional. Nu păstrați o întreagă bază de date de producție dacă dovezile relevante sunt o pistă de audit restrânsă, un jurnal de acces, o înregistrare de interogare și lista utilizatorilor afectați. Nu acordați fiecărui responsabil de răspuns acces la dovezi brute dacă sunt suficiente extrase pseudonimizate sau acces bazat pe roluri. Nu păstrați artefactele incidentului pe termen nedeterminat după ce necesitatea legală, de reglementare și de audit a expirat.
O înregistrare bună a măsurii de conservare legală, aliniată la GDPR, răspunde la șapte întrebări:
- Ce incident sau investigație a declanșat măsura de conservare?
- Ce categorii de date cu caracter personal pot fi incluse?
- De ce este necesară fiecare categorie de dovezi?
- Cine a aprobat măsura de conservare și când?
- Cine poate accesa dovezile?
- Când va fi revizuită măsura de conservare?
- Ce proces de ștergere sau eliminare securizată se reia când măsura de conservare este ridicată?
Astfel, păstrarea dovezilor evită să devină o păstrare excesivă din perspectiva confidențialității.
NIS2: conservare legală pentru raportarea etapizată a incidentelor
Pentru organizațiile aflate în domeniul de aplicare, NIS2 schimbă așteptarea privind dovezile de la „utile intern” la „necesare pentru supraveghere”.
NIS2 se aplică multor entități esențiale și importante din UE, inclusiv furnizorilor de infrastructură digitală, furnizorilor de servicii de cloud computing, furnizorilor de servicii pentru centre de date, rețelelor de livrare de conținut, furnizorilor de servicii de încredere, furnizorilor de comunicații electronice, furnizorilor de servicii administrate, furnizorilor de servicii de securitate administrate și anumitor furnizori digitali, cum ar fi piețele online, motoarele de căutare online și platformele de rețele sociale.
Article 21 impune măsuri tehnice, operaționale și organizaționale adecvate și proporționale, inclusiv analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, dezvoltarea securizată, evaluarea eficacității, instruirea, criptografia, securitatea resurselor umane, controlul accesului, managementul activelor și autentificarea. Article 20 face organismele de conducere responsabile pentru aprobarea și supravegherea acestor măsuri.
Pentru conservarea legală, problema-cheie NIS2 este Article 23. Incidentele semnificative impun raportare etapizată: avertizare timpurie în termen de 24 de ore de la luarea la cunoștință, notificarea incidentului în termen de 72 de ore, rapoarte intermediare la cerere și un raport final nu mai târziu de o lună după notificarea de 72 de ore. Raportul final are nevoie de o descriere, severitate, impact, tip probabil de amenințare sau cauză principală, măsuri de atenuare și impact transfrontalier, după caz.
| Etapă de raportare NIS2 | Dovezi necesare | Acțiune de conservare legală |
|---|---|---|
| Avertizare timpurie la 24 de ore | Momentul inițial al detectării, activitate malițioasă suspectată, serviciu afectat și posibil impact transfrontalier | Înghețați alertele SOC, tichetul de incident, jurnalele de identitate și pistele de audit cloud |
| Notificare la 72 de ore | Severitate, impact, indicatori de compromitere, întrerupere operațională și indicatori ai pierderilor financiare | Păstrați exporturile criminalistice, inventarul activelor afectate, IOC-urile, notele privind impactul asupra activității și înregistrările comunicărilor |
| Rapoarte intermediare | Starea curentă, progresul izolării și întrebările autorității | Mențineți o înregistrare versionată a investigației și un jurnal al deciziilor de răspuns |
| Raport final | Cauza principală, descrierea incidentului, severitate, impact, atenuare și efect transfrontalier | Păstrați dovezile privind cauza principală, dovezile de remediere, lecțiile învățate și pista aprobărilor |
Dacă incidentul afectează date cu caracter personal, autoritățile competente NIS2 pot coopera cu autoritățile de supraveghere GDPR. Aceasta crește nevoia unei singure narațiuni probatorii care să susțină atât supravegherea securității cibernetice, cât și responsabilitatea demonstrabilă privind confidențialitatea.
DORA: dovezile privind riscurile TIC depășesc jurnalele de securitate
Pentru entitățile financiare, DORA este regimul sectorial de reziliență operațională. Se aplică de la 17 ianuarie 2025 și acoperă managementul riscurilor TIC, raportarea incidentelor TIC majore, testarea rezilienței, schimbul de informații și managementul riscurilor asociate terților TIC. Pentru entitățile financiare care sunt și esențiale sau importante conform NIS2, DORA funcționează, în general, ca actul juridic sectorial al Uniunii pentru riscurile TIC și raportarea incidentelor.
DORA este orientat puternic spre dovezi prin concepție. Article 17 impune un proces de gestionare a incidentelor legate de TIC. Article 18 tratează clasificarea incidentelor legate de TIC și a amenințărilor cibernetice. Article 19 acoperă raportarea incidentelor majore legate de TIC. Entitățile financiare trebuie, de asemenea, să mențină aranjamente de guvernanță și control, să identifice funcțiile critice sau importante, să documenteze activele și dependențele TIC și să efectueze analiza cauzei principale.
Aceasta înseamnă că măsura de conservare legală DORA trebuie să acopere dovezi privind reziliența operațională, nu doar artefacte de securitate. După o compromitere a identității cloud care afectează operațiunile de plată, măsura de conservare poate include jurnalele furnizorului de identitate, istoricul accesului privilegiat, jurnale de audit cloud, alerte SIEM, imagini ale endpoint-urilor, analiza impactului asupra tranzacțiilor clienților, înregistrări privind activarea continuității activității, dovezi de backup și recuperare, comunicări cu furnizorii, informări către organul de conducere, analiza cauzei principale și validarea remedierii.
DORA face inevitabile și dovezile TIC de la terți. Articles 28 to 30 impun managementul riscurilor asociate terților TIC, registre ale acordurilor contractuale, verificări prealabile, evaluarea riscului de concentrare și contracte scrise cu drepturi și obligații. Pentru funcții critice sau importante, contractele ar trebui să susțină obligațiile furnizorului de notificare și raportare, asistența la incident, cooperarea cu autoritățile, drepturile de acces, inspecție și audit și strategiile de ieșire.
Dacă furnizorul dumneavoastră cloud, MSP, MSSP, procesatorul de plăți sau dependența SaaS deține jurnalele relevante, procesul de conservare legală trebuie să fie deja integrat în contractele cu furnizorii. În caz contrar, puteți descoperi în timpul unui incident major că fereastra standard de retenție a furnizorului este mai scurtă decât ciclul dumneavoastră de raportare reglementară.
Cum operaționalizează Clarysec conservarea legală în timpul unei breșe SaaS
Să luăm mediul fintech SaaS al Mariei. Incidentul poate implica acces neautorizat la identificatori ai clienților, metadate privind tranzacțiile, sisteme de administrare și înregistrări SOC externalizate. Compania deservește instituții financiare din UE, se bazează pe infrastructură cloud și poate avea obligații contractuale GDPR, DORA și sarcini NIS2.
Prima acțiune nu este păstrarea tuturor lucrurilor. Prima acțiune este declanșarea unei decizii controlate.
Comandantul incidentului transmite o solicitare de conservare legală către consilierul juridic, DPO sau responsabilul de confidențialitate, CISO și proprietarul de business. Solicitarea include ID-ul incidentului, data și ora, sistemele afectate, categoriile de date suspectate, căile reglementare inițiale, categoriile de dovezi propuse și riscurile imediate de ștergere.
Utilizând politica Enterprise Politica de păstrare și eliminare a datelor, măsura de conservare este documentată și aprobată de Consilierul juridic și DPO. Pentru IMM-uri, Politica de retenție a datelor și eliminare securizată - IMM oferă regula de suspendare a ștergerii. Autorizarea include o dată de revizuire aliniată la etapele investigației, termenele de raportare reglementară și riscul estimat de litigiu sau dispută contractuală. Nu spune „pentru totdeauna”. Spune „până la ridicarea prin decizie autorizată, după revizuire”.
Apoi, echipa îngheață jurnalele și artefactele relevante. Politica pentru IMM Politica de jurnalizare și monitorizare - IMM precizează:
„Jurnalele trebuie plasate sub măsură de conservare legală și suspendarea ștergerii și protejate împotriva alterării sau ștergerii”
Echipa suspendă ștergerea pentru cazurile SIEM, jurnalele de identitate, jurnalele de audit cloud, jurnalele aplicațiilor, jurnalele de interogări ale bazelor de date, evenimentele WAF și metadatele alertelor SOC. Jurnalele exportate sunt stocate într-un spațiu restricționat de dovezi, cu calcul hash, control al versiunilor și permisiuni doar de citire, acolo unde este cazul.
Regula de colectare este simplă: păstrați dovezile fără a edita originalele. Politica pentru IMM Politica privind colectarea dovezilor și activitățile criminalistice - IMM precizează:
„Trebuie creată întotdeauna o copie criminalistică sau un export; dovada originală nu trebuie niciodată editată direct.”
Inginerii pot remedia, dar numai după realizarea instantaneelor, exporturilor sau copiilor criminalistice necesare, cu excepția cazului în care izolarea imediată este necesară pentru a preveni un prejudiciu în desfășurare. Dacă remedierea de urgență are loc mai întâi, motivul este documentat.
Aceeași politică pentru IMM precizează:
„Trebuie menținut un registru simplu al lanțului de custodie (de exemplu, fișier Excel sau document șablon) pentru fiecare incident.”
Pentru mediile enterprise, Politica privind colectarea dovezilor și activitățile criminalistice, Clauza 5.6, impune:
„Un registru al lanțului de custodie trebuie să însoțească toate dovezile fizice sau digitale de la momentul achiziției până la arhivare sau transfer și trebuie să documenteze:”
În practică, registrul lanțului de custodie consemnează ID-ul dovezii, descrierea, sistemul sursă, colectorul, metoda de achiziție, valoarea hash acolo unde este cazul, sursa de timp, locația de stocare, evenimentele de acces, transferurile, copiile de analiză și metoda finală de dispunere.
În final, însăși înregistrarea investigației trebuie protejată. Politica Enterprise Politica de audit și monitorizare a conformității precizează:
„Toate jurnalele de audit, constatările și rapoartele de remediere trebuie păstrate, criptate și protejate împotriva alterării.”
Această cerință se aplică cronologiei incidentului, jurnalului deciziilor, notificării măsurii de conservare legală, comunicărilor cu autoritățile, comunicărilor cu clienții, analizei cauzei principale și dovezilor de remediere.
Informațiile documentate pe care auditorii le vor verifica
ISO/IEC 27001:2022 Clauza 7.5 impune controlul informațiilor documentate necesare SMSI și solicitate de standard. Zenith Blueprint, în faza Fundamentarea și conducerea SMSI, Pasul 6, traduce acest lucru în cerințe practice: documentele ar trebui să aibă identificare, format, revizuire, aprobare, control al versiunilor, acces controlat, protecția integrității, controlul schimbărilor, retenție și dispunere.
Pasul 6 notează, de asemenea, că înregistrările precum jurnalele de monitorizare, rapoartele de audit și fișierele de investigare a incidentelor pot fi confidențiale și ar trebui partajate pe baza principiului necesității de a cunoaște, cu drepturi de editare limitate la utilizatori autorizați.
Un pachet de dovezi defensabil ar trebui să includă:
- Notificarea măsurii de conservare legală și aprobarea.
- Clasificarea incidentului și decizia privind severitatea.
- Inventarul dovezilor.
- Registrul lanțului de custodie.
- Confirmarea păstrării jurnalelor.
- Înregistrări privind imagistica criminalistică sau exportul.
- Valori hash sau verificări de integritate, acolo unde este cazul.
- Lista de acces pentru spațiul de stocare a dovezilor.
- Dovezi privind raportarea reglementară.
- Evaluarea confidențialității și analiza impactului asupra datelor cu caracter personal.
- Solicitări și răspunsuri privind dovezile de la furnizori.
- Analiza cauzei principale.
- Dovezi de remediere și validare.
- Decizia de revizuire și ridicare a măsurii de conservare.
Cu cât controlul informațiilor documentate este mai solid, cu atât auditul este mai ușor.
Dovezile de la furnizori și din cloud: punctul de eșec pe care multe echipe îl ratează
Cele mai dificile dovezi nu se află adesea în organizația dumneavoastră. Sunt deținute de un furnizor cloud, o platformă SaaS, un MSSP, un MSP, un procesator de plăți, un furnizor de identitate sau o echipă de dezvoltare externalizată.
NIS2 Article 21 include securitatea lanțului de aprovizionare și aspectele de securitate ale relațiilor cu furnizorii direcți sau furnizorii de servicii. DORA merge mai departe pentru entitățile financiare, impunând registre ale terților TIC, verificări prealabile, analiza riscului de concentrare și contracte cu asistență la incident, raportarea de către furnizor, cooperarea cu autoritățile, drepturi de audit și prevederi de ieșire pentru funcții critice sau importante.
NIST Cybersecurity Framework 2.0 tratează, de asemenea, riscul lanțului de aprovizionare ca pe o disciplină de ciclu de viață. Funcția Guvernare include rezultate de management al riscului asociat furnizorilor pentru strategie, roluri, contracte, verificări prealabile, monitorizare, participare la incidente și prevederi de ieșire. Profilurile CSF pot exprima cerințe-țintă de securitate cibernetică pentru furnizori, ceea ce este util la traducerea nevoilor de dovezi pentru conservarea legală în clauze contractuale.
Contractele cu furnizorii ar trebui să trateze:
- Tipurile de jurnale de securitate disponibile clientului.
- Perioadele implicite de retenție și opțiunile de retenție extinsă.
- Procesul de solicitare urgentă a păstrării.
- Timpul necesar pentru păstrarea dovezilor după solicitarea clientului.
- Formatele de export criminalistic.
- Suportul pentru lanțul de custodie.
- Cooperarea cu autoritățile de reglementare.
- Obligațiile de furnizare a dovezilor ale persoanelor împuternicite subsecvente sau ale subcontractorilor.
- Restricțiile privind locația și transferul datelor.
- Ștergerea securizată după ridicarea măsurii de conservare.
Zenith Blueprint, în faza Controale în acțiune, Pasul 18, oferă o disciplină similară pentru transferul mediilor fizice, impunând criptare, ambalare cu evidențiere a alterării, urmărire, jurnale de transport, inventarul mediilor și auditul registrului. Aceeași logică se aplică transferurilor de dovezi din cloud: păstrați integritatea, urmăriți custodia, restricționați accesul și confirmați primirea.
Cum vor testa auditorii și autoritățile procesul de conservare legală
Un proces de conservare legală arată diferit în funcție de mandatul evaluatorului. Clarysec utilizează Zenith Controls ca busolă de conformitate încrucișată, astfel încât același pachet de dovezi să poată satisface mai multe perspective fără dublarea muncii.
| Perspectiva auditorului | Ce va întreba auditorul | Dovezi pregătite de Clarysec |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Conservarea legală face parte din SMSI, tratarea riscurilor, informațiile documentate și procesul de răspuns la incidente? | Domeniul de aplicare al SMSI, cerințe ale părților interesate, Declarație de aplicabilitate, procedura de incident, politica privind dovezile, politica de retenție și înregistrări controlate |
| Revizor de controale ISO/IEC 27002:2022 | Sunt implementate și conectate colectarea dovezilor 5.28, protecția înregistrărilor 5.33 și jurnalizarea 8.15? | Inventarul dovezilor, registrul lanțului de custodie, protecția împotriva alterării, setările de retenție a jurnalelor, dovada sincronizării ceasului și controalele de acces |
| Auditor GDPR sau revizor DPO | Datele cu caracter personal au fost păstrate numai acolo unde era necesar și pe baza unui scop și temei juridic documentate? | Evaluarea confidențialității, raționamentul privind minimizarea datelor, restricțiile de acces, revizuirea retenției și dovada ștergerii sau eliminării securizate |
| Revizor de supraveghere NIS2 | Entitatea poate susține raportarea la 24 de ore, 72 de ore și finală cu fapte fiabile? | Cronologia incidentului, evaluarea severității, IOC-uri, dovezi privind impactul, analiza transfrontalieră, aprobări ale conducerii și comunicări |
| Revizor al riscurilor TIC DORA | Incidentele sunt înregistrate, clasificate, escaladate, raportate, analizate pentru cauza principală și reintegrate în managementul riscurilor TIC? | Registrul incidentelor, criterii de clasificare, raportare către organul de conducere, analiza cauzei principale, validarea remedierii și dovezi de la furnizori |
| Evaluator NIST CSF 2.0 | Rezultatele privind guvernanța, riscul, furnizorii, detectarea, răspunsul și recuperarea sunt integrate într-un singur profil? | Profiluri curente și țintă, plan de lacune, cerințe pentru furnizori, dovezi de monitorizare și lecții învățate din incidente |
| Auditor COBIT 2019 sau ISACA | Obiectivele de guvernanță, responsabilitatea, calitatea informațiilor, monitorizarea controalelor și dovezile de asigurare sunt fiabile? | RACI, deținerea controalelor, revizuire de management, pistă de audit, urmărirea problemelor, închiderea remedierii și indicatori de performanță |
Auditorul ISO va fi interesat de conformitate și dovezi obiective. Revizorul GDPR va fi interesat de necesitate, limitarea scopului și responsabilitatea demonstrabilă. Revizorul NIS2 va fi interesat de faptele privind raportarea incidentelor semnificative și responsabilitatea conducerii. Revizorul DORA va fi interesat de guvernanța riscurilor TIC, gestionarea incidentelor majore, dependențele de terți și lecțiile învățate. Auditorul COBIT 2019 sau de tip ISACA va fi interesat de guvernanță, proiectarea controalelor, operarea controalelor și asigurarea calității informațiilor.
Un singur pachet de dovezi le poate servi pe toate, dacă este proiectat în acest fel.
Listă practică de verificare pentru conservarea legală în cazul incidentelor cibernetice în 2026
Utilizați această listă de verificare înainte de următorul incident grav, nu în timpul acestuia.
| Întrebare de control | Răspuns așteptat |
|---|---|
| Cine poate emite o măsură de conservare legală pentru un incident cibernetic? | Consilierul juridic și DPO sau responsabilul procesului de confidențialitate aprobă, cu inițiere de către CISO și comandantul incidentului |
| Ce declanșează o măsură de conservare? | Suspiciune de incident de securitate grav, încălcare a securității datelor cu caracter personal, posibilitate de raportare reglementară, risc de litigiu, solicitare din partea organelor de aplicare a legii, audit al clientului sau dispută contractuală |
| Ce dovezi intră în domeniu? | Jurnale, alerte, imagini criminalistice, instantanee, tichete, comunicări, analiza impactului, înregistrări ale furnizorilor, decizii ale conducerii și dovezi de remediere |
| Cum sunt protejate dovezile? | Acces restricționat, criptare, protecție împotriva alterării, calcul hash unde este cazul, stocare imuabilă sau cu drepturi doar de citire și acces monitorizat |
| Cum se menține lanțul de custodie? | Registrul dovezilor consemnează achiziția, colectorul, timpul, metoda, stocarea, transferul, accesul și dispunerea |
| Cum este gestionată minimizarea GDPR? | Domeniul este limitat la dovezile necesare, accesul la date cu caracter personal este restricționat, se stabilesc date de revizuire, iar ștergerea se reia după ridicare |
| Cum sunt incluși furnizorii? | Contractele impun păstrarea dovezilor, asistență la incident, cooperare la audit și extinderea retenției la cerere |
| Cum este gestionată ridicarea măsurii de conservare? | Revizuirea autorizată stabilește dacă măsura de conservare continuă, se restrânge sau se ridică și dacă eliminarea securizată se reia |
Această listă de verificare devine mai puternică atunci când este integrată în planul de tratare a riscurilor SMSI, cerințele de securitate pentru furnizori, runbook-urile de răspuns la incidente, arhitectura de jurnalizare și guvernanța confidențialității.
De la panica post-breșă la reziliență pregătită pentru audit
Apelul de la 4 AM va fi întotdeauna stresant. Nu trebuie să devină haos.
Un proces matur de conservare legală a probelor în cazul incidentelor cibernetice oferă fiecărei părți interesate o cale controlată. Juridicul obține păstrare defensabilă. Confidențialitatea obține minimizare și revizuire. CISO obține integritatea dovezilor. DPO obține responsabilitate demonstrabilă. Consiliul de administrație obține fapte fiabile. Revizorii NIS2, DORA și GDPR obțin dovezi obiective în locul explicațiilor improvizate.
Metodologia în 30 de pași a Clarysec nu tratează conservarea legală ca pe un memoriu juridic autonom. O tratează ca pe o capabilitate operațională SMSI.
În Zenith Blueprint, Pasul 6 construiește biblioteca de informații documentate, inclusiv regulile de retenție și dispunere. Pasul 19 consolidează jurnalizarea și sincronizarea ceasului astfel încât investigațiile să poată reconstrui cronologii. Pasul 23 operaționalizează colectarea dovezilor și lanțul de custodie. Pasul 18 adaugă disciplină de gestionare a mediilor acolo unde dovezile se deplasează fizic sau între părți.
În Zenith Controls, Clarysec conectează controalele ISO/IEC 27002:2022 de bază, astfel încât clienții să poată vedea cum colectarea dovezilor depinde de jurnalizare, monitorizare, răspuns la incidente, protecția înregistrărilor, controlul accesului, backup-uri, confidențialitate și cerințe legale.
În biblioteca de politici Clarysec, ancorele practice ale fluxului de lucru sunt deja definite: Politica de păstrare și eliminare a datelor, Politica de retenție a datelor și eliminare securizată - IMM, Politica privind colectarea dovezilor și activitățile criminalistice, Politica privind colectarea dovezilor și activitățile criminalistice - IMM, Politica de jurnalizare și monitorizare - IMM, Politica de protecție a datelor și confidențialitate - IMM și Politica de audit și monitorizare a conformității.
Dacă planul dumneavoastră de răspuns la incidente spune „păstrați dovezile”, dar nu definește autoritatea de conservare legală, domeniul dovezilor, suspendarea retenției, lanțul de custodie, păstrarea de către furnizori, minimizarea GDPR și criteriile de ridicare, acesta nu este încă pregătit pentru audit.
Construiți procesul înainte de breșă. Clarysec vă poate ajuta să creați o capabilitate defensabilă de conservare legală și păstrare a dovezilor în cazul incidentelor cibernetice utilizând Zenith Blueprint: foaia de parcurs în 30 de pași a auditorului, Zenith Controls: ghidul de conformitate încrucișată și șabloanele de politici Clarysec, inclusiv Politica de păstrare și eliminare a datelor, Politica privind colectarea dovezilor și activitățile criminalistice, Politica de audit și monitorizare a conformității, Politica de jurnalizare și monitorizare - IMM, Politica de protecție a datelor și confidențialitate - IMM și Politica privind colectarea dovezilor și activitățile criminalistice - IMM.
Descărcați kiturile de instrumente, solicitați o revizuire de politică Clarysec sau programați o evaluare a capacității de păstrare a dovezilor înainte de următorul audit, următoarea solicitare de supraveghere sau următoarea revizuire majoră de securitate din partea unui client.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
