Právne pozastavenie výmazu pri kybernetickom incidente pre GDPR, NIS2 a DORA

O 4:17 ráno dostala Maria, CISO fintechového poskytovateľa služieb SaaS, telefonát, na ktorý sa pripravuje každý bezpečnostný líder a zároveň dúfa, že nikdy nepríde. Kritické produkčné servery nereagovali. Súbory boli zašifrované. Na obrazovke juniorného administrátora bola otvorená výkupná správa.

O 4:28 chcel tím reakcie na incidenty izolovať dotknuté systémy a znovu nasadiť čistú infraštruktúru. O 4:41 sa technický tím pýtal, či môže rotovať poverenia, vyčistiť dočasné súbory a znovu zostaviť kontajnery. O 5:03 DPO upozornil, že kompromitované prostredie obsahuje identifikátory zákazníkov a transakčné metadáta. O 5:16 sa ku krízovému hovoru pripojil právny zástupca s jediným pokynom: „Neničte potenciálne dôkazy. Môže byť potrebné právne pozastavenie výmazu.“ O 5:30 sa COO spýtal, či boli aktivované oznamovacie povinnosti podľa DORA. O 6:00 si Maria spomenula na lehoty podľa NIS2: včasné varovanie môže byť potrebné podať do 24 hodín, úplnejšie oznámenie do 72 hodín a záverečnú správu do jedného mesiaca.

Potom prišla otázka, ktorá rozhoduje, či bude kybernetický incident obhájiteľný alebo chaotický:

„Máme ešte logy?“

Toto je problém postincidentného riadenia, ktorý mnohé plány reakcie podceňujú. Nestačí incident detegovať, zamedziť jeho šíreniu a obnoviť prevádzku. V roku 2026 musia organizácie zároveň preukázať, čo sa stalo, uchovať relevantné dôkazy, zabrániť znehodnoteniu forenzných artefaktov, dodržať minimalizáciu údajov podľa GDPR, podporiť dohľad podľa NIS2 a udržiavať záznamy o rizikách IKT podľa DORA tak, aby obstáli pri audite, súdnom spore a regulačnom preskúmaní.

Právne pozastavenie výmazu pri kybernetickom incidente a uchovávanie dôkazov sa nachádzajú v prieniku bezpečnostnej prevádzky, ochrany súkromia, právnej funkcie, súladu, cloudového inžinieringu, riadenia dodávateľov a auditu. Ak sa proces improvizuje až počas porušenia ochrany údajov alebo bezpečnostného incidentu, organizácia môže stratiť dôkazy potrebné na analýzu koreňovej príčiny, oznamovanie regulátorovi, poistné nároky, obhajobu v súdnom spore, disciplinárne opatrenia voči zamestnancom a uistenie zákazníkov. Ak je proces nastavený príliš široko, organizácia môže uchovávať nadmerný rozsah osobných údajov a vytvoriť si druhý problém súladu.

Prístup Clarysec spočíva v tom, aby právne pozastavenie výmazu bolo riadeným procesom ISMS, nie panickou reakciou. Model prepája správu a riadenie podľa ISO/IEC 27001:2022, dôkazové a logovacie kontroly ISO/IEC 27002:2022, zodpovednosť podľa GDPR, oznamovanie incidentov podľa NIS2 a dôkazy o rizikách IKT podľa DORA do jedného prevádzkového systému. Tento systém tímom určuje, čo majú uchovať, kto môže uchovanie schváliť, ako dlho zostávajú dôkazy pod právnym pozastavením výmazu, kto k nim môže pristupovať a kedy môže výmaz pokračovať.

Prvých 24 hodín rozhoduje, či dôkazy prežijú

Pri mnohých reálnych incidentoch dôkazy nezničia útočníci. Zničia ich bežné prevádzkové činnosti.

Uplynie lehota uchovávania cloudových logov. Kontajner sa znovu nasadí. Endpoint sa obnoví z obrazu skôr, ako sa zaistí pamäť. Administrátor SaaS vyexportuje CSV na účely vyšetrovania a následne súbor upraví. Dobre mienený inžinier vymaže škodlivé skripty skôr, ako vytvorí forenznú kópiu. Úloha uchovávania v dátovom sklade odstráni záznamy potrebné na určenie, ktorých zákazníkov sa incident týkal.

Organizácia sa môže prevádzkovo obnoviť, ale stratí dôkazový materiál. Na tomto rozdiele záleží.

Podľa GDPR musí byť prevádzkovateľ schopný preukázať súlad so zásadami ochrany údajov vrátane integrity a dôvernosti, obmedzenia účelu, minimalizácie údajov a obmedzenia uchovávania. Ak je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre fyzické osoby, Article 33 môže vyžadovať oznámenie dozornému orgánu bez zbytočného odkladu a, ak je to možné, do 72 hodín od zistenia. Ak je pravdepodobné, že porušenie povedie k vysokému riziku pre fyzické osoby, Article 34 môže vyžadovať komunikáciu s dotknutými osobami.

Podľa NIS2 musia základné a dôležité subjekty riadiť významné incidenty prostredníctvom postupného oznamovania a dohľadu. Podľa DORA musia finančné subjekty zaznamenávať incidenty súvisiace s IKT, klasifikovať významné incidenty, oznamovať ich, vykonávať analýzu koreňovej príčiny a uchovávať dôkazy naprieč aktívami IKT, organizačnými funkciami a závislosťami od tretích strán.

ISO/IEC 27001:2022 na to poskytuje štruktúru systému manažérstva. Kapitola 4.2 vyžaduje, aby organizácia určila potreby a očakávania zainteresovaných strán vrátane právnych, regulačných a zmluvných požiadaviek relevantných pre informačnú bezpečnosť. Kapitola 4.3 vyžaduje, aby rozsah ISMS zohľadnil rozhrania a závislosti, čo je kritické vtedy, keď sa dôkazy nachádzajú u cloudového poskytovateľa, poskytovateľa riadených bezpečnostných služieb, platobnej platformy alebo outsourcovaného helpdesku. Kapitola 6.1 prepája tieto povinnosti s rizikami informačnej bezpečnosti a ich ošetrením. Kapitola 7.5 vyžaduje riadené zdokumentované informácie. Kapitola 8 vyžaduje prevádzkové plánovanie a riadenie.

Clarysec Zenith Blueprint: 30-kroková cestovná mapa audítora vysvetľuje, prečo musí byť tento proces navrhnutý pred incidentom, nie počas neho. Vo fáze Controls in Action, Step 23, usmernenie ku kontrole ISO/IEC 27002:2022 5.28 uvádza:

„Keď dôjde k incidentu informačnej bezpečnosti, jedným z najkritickejších, no často prehliadaných prvkov reakcie sú dôkazy. Nie logy, nie snímky obrazovky, nie voľné opisy, ale riadne uchované dôkazy s rešpektovaním reťazca zverenia a odolnosťou voči manipulácii.“

Ten istý Step 23 dodáva, že „to, čo dokážete preukázať, je rovnako dôležité ako to, čo sa skutočne stalo.“ Táto veta je rozdielom medzi reakciou na incidenty a obhájiteľnou reakciou na incidenty. Regulátor, zákaznícky audítor, súd, poisťovateľ ani dozorný orgán neprijme slovnú rekonštrukciu, ak organizácia nevie predložiť uchované logy, spoľahlivé časové pečiatky, riadené záznamy a zdokumentovaný reťazec zverenia.

Právne pozastavenie výmazu neznamená „uchovať všetko navždy“

Právne pozastavenie výmazu pri kybernetickom incidente je formálne pozastavenie bežného výmazu alebo likvidácie pre vymedzené záznamy, logy, zálohy, obrazy, komunikáciu a ďalšie dôkazy, ktoré môžu byť relevantné pre vyšetrovanie, súdny spor, regulačné preverenie, audit alebo zmluvný spor.

Najčastejším zlyhaním je chápať právne pozastavenie výmazu ako plošný pokyn: „Nič nemažte.“ Tým vzniká riziko pre súkromie, náklady aj prevádzku. GDPR počas kybernetického incidentu nezaniká. Osobné údaje sa musia naďalej spracúvať zákonne, spravodlivo a transparentne, na určené účely, v rozsahu obmedzenom na nevyhnutné údaje a uchovávať sa len tak dlho, ako je potrebné. Article 5(2) dopĺňa zodpovednosť za súlad, čo znamená, že organizácia musí byť schopná tieto rozhodnutia preukázať.

Práve tu sa knižnica politík Clarysec stáva prakticky použiteľnou. SME Politika uchovávania údajov a bezpečnej likvidácie – SME uvádza:

„Právne pozastavenie výmazu a likvidácie má prednosť pred štandardnými požiadavkami na uchovávanie a bráni výmazu údajov.“

Pre väčšie organizácie Enterprise Politika uchovávania a likvidácie údajov, Clause 6.4.1, uvádza:

„Ak sa vydá právne pozastavenie výmazu a likvidácie (napr. z dôvodu prebiehajúceho súdneho sporu, vyšetrovania alebo auditu), údaje, ktoré by inak podliehali zničeniu, sa musia uchovať nad rámec ich bežnej lehoty uchovávania.“

Tá istá Enterprise politika vyžaduje, aby bolo právne pozastavenie výmazu:

„Zdokumentované a schválené právnym zástupcom a zodpovednou osobou pre ochranu osobných údajov (DPO)“

Tento schvaľovací model nie je byrokracia. Je to vyvažovací mechanizmus medzi uchovaním dôkazov a obmedzením z hľadiska ochrany súkromia. Právny zástupca potvrdzuje základ pre súdny spor, vyšetrovanie alebo regulačný postup. DPO potvrdzuje, že rozsah, účel, kategórie osobných údajov, riadenie prístupu a predĺženie uchovávania zostávajú primerané.

Pre MSP bez plnohodnotného právneho oddelenia alebo funkcie DPO môže tú istú rozhodovaciu logiku vykonať virtuálny CISO, vlastník ochrany súkromia, konateľ a externý právny zástupca, pokiaľ je oprávnenie zdokumentované, časovo obmedzené a preskúmavané.

Napätie v súlade, ktoré musí vyriešiť každý CISO

Po závažnom incidente požadujú rôzne zainteresované strany rôzne dôkazy. Právne oddelenie chce uchovanie. Ochrana súkromia chce minimalizáciu. Regulátori chcú fakty. Prevádzka chce obnovu. Zákazníci chcú uistenie. Audítori chcú objektívne dôkazy.

Pokúšať sa riadiť tieto požiadavky cez oddelené pracovné toky ochrany súkromia, právnej funkcie, SOC a auditu je recept na rozpor. Jednotný ISMS podľa ISO/IEC 27001:2022 ich robí súčasťou jedného procesu rizík, kontrol a dôkazov.

Súbor kontrol pre obhájiteľné uchovávanie dôkazov

Právne pozastavenie výmazu pri kybernetickom incidente nie je jedna kontrola ISO/IEC 27002:2022. Je to vzťah medzi kontrolami.

Clarysec Zenith Controls: Sprievodca krížovým súladom mapuje kontrolu ISO/IEC 27002:2022 5.28, zber dôkazov, ako nápravné opatrenie podporujúce dôvernosť, integritu a dostupnosť. Patrí do kyberbezpečnostných konceptov Detect a Respond a do prevádzkovej schopnosti riadenia udalostí informačnej bezpečnosti.

Ten istý sprievodca Zenith Controls prepája 5.28 s reakciou na incidenty informačnej bezpečnosti, logovaním a monitorovaním, ochranou záznamov a hlásením udalostí. Logika je praktická: pracovníci reakcie na incidenty potrebujú logy a artefakty skôr, než nápravné opatrenia zmenia situáciu, osoby zodpovedné za regulačné oznámenia potrebujú spoľahlivé fakty a vyšetrovatelia potrebujú dôkazy, ktoré neboli zmenené.

Rovnako dôležitá je kontrola ISO/IEC 27002:2022 5.33, ochrana záznamov. Podporuje právne požiadavky a požiadavky súladu, správu aktív a ochranu informácií. Prepája ochranu záznamov s klasifikáciou, zálohami, bezpečnou likvidáciou, právnymi a zmluvnými požiadavkami, riadením prístupu a reakciou na incidenty. V praxi právne pozastavenie výmazu nesmie dôkazy iba zachytiť. Musí chrániť integritu, dôvernosť a dostupnosť samotného dôkazového záznamu.

Pre logovanie je základom kontrola ISO/IEC 27002:2022 8.15, logovanie. Prepája sa s 8.16, monitorovanie aktivít, a 8.17, synchronizácia systémového času. Ak sú logy neúplné, upraviteľné administrátormi, nie sú časovo synchronizované alebo sa uchovávajú príliš krátko, dôkazový proces môže zlyhať ešte pred začiatkom vyšetrovania.

Zenith Blueprint, fáza Controls in Action, Step 19, to posilňuje praktickým jazykom k logovaniu:

„Logy, ktoré zaznamenávajú aktivity, výnimky, chyby a ďalšie relevantné udalosti, by sa mali vytvárať, ukladať, chrániť a analyzovať.“

Zároveň upozorňuje, že ochrana logov zahŕňa obmedzenie prístupu a použitie mechanizmov, ako je hashovanie alebo úložisko typu write-once, na zabránenie manipulácii. Step 19 prepája synchronizáciu systémového času s forenznou konzistentnosťou a vysvetľuje, že synchronizované systémové hodiny umožňujú zosúladiť logy z rôznych systémov na účely vyšetrovania.

Zodpovednosť podľa GDPR: uchovajte, čo potrebujete, a odôvodnite, čo držíte

GDPR vytvára najviditeľnejšie napätie pri uchovávaní dôkazov z incidentu. Bezpečnostné tímy často chcú viac údajov. Tímy ochrany súkromia chcú menej. Obhájiteľné právne pozastavenie výmazu zlaďuje oboje.

Logy a artefakty môžu obsahovať IP adresy, ID používateľov, e-mailové adresy, identifikátory zariadení, autentifikačné záznamy, texty podporných ticketov, snímky obrazovky, exporty zákazníkov alebo údaje osobitných kategórií. Uchovávanie dôkazov je preto spracúvaním. Oznámenie o právnom pozastavení výmazu má dokumentovať právny základ, účel, rozsah, obmedzenia prístupu, dátum preskúmania uchovávania a spúšťač likvidácie.

SME Politika ochrany údajov a súkromia – SME od Clarysec uvádza:

„Zhromažďovať a uchovávať sa smú iba minimálne osobné údaje, ktoré sú nevyhnutné“

Enterprise Politika zberu dôkazov a forenznej analýzy výslovne viaže nakladanie s forenznými dôkazmi na:

„GDPR Article 5 vrátane obmedzenia účelu a minimalizácie údajov“

Toto je prevádzkový princíp. Neuchovávajte celú produkčnú databázu, ak relevantným dôkazom je úzka auditná stopa, prístupový log, záznam dotazu a zoznam dotknutých používateľov. Nedávajte každému pracovníkovi reakcie prístup k surovým dôkazom, ak postačia pseudonymizované výpisy alebo prístup na základe rolí. Neuchovávajte artefakty z incidentu na neurčito po tom, ako zanikne právna, regulačná a auditná potreba.

Kvalitný záznam právneho pozastavenia výmazu zohľadňujúci GDPR odpovedá na sedem otázok:

1. Aký incident alebo vyšetrovanie spustilo právne pozastavenie výmazu?
2. Aké kategórie osobných údajov môžu byť zahrnuté?
3. Prečo je každá kategória dôkazov nevyhnutná?
4. Kto a kedy právne pozastavenie výmazu schválil?
5. Kto môže pristupovať k dôkazom?
6. Kedy sa právne pozastavenie výmazu preskúma?
7. Aký proces výmazu alebo bezpečnej likvidácie sa obnoví po uvoľnení právneho pozastavenia výmazu?

Takto sa uchovávanie dôkazov nestane nadmerným uchovávaním z pohľadu ochrany súkromia.

NIS2: právne pozastavenie výmazu pre postupné oznamovanie incidentov

Pre organizácie v rozsahu pôsobnosti NIS2 mení očakávanie dôkazov z „užitočné interne“ na „potrebné pre dohľad“.

NIS2 sa vzťahuje na mnohé základné a dôležité subjekty v EÚ vrátane poskytovateľov digitálnej infraštruktúry, poskytovateľov cloudových výpočtových služieb, poskytovateľov služieb dátových centier, sietí na doručovanie obsahu, poskytovateľov dôveryhodných služieb, poskytovateľov elektronických komunikácií, poskytovateľov riadených služieb, poskytovateľov riadených bezpečnostných služieb a určitých digitálnych poskytovateľov, ako sú online trhoviská, online vyhľadávače a platformy sociálnych sietí.

Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane analýzy rizík, riešenia incidentov, kontinuity činností, bezpečnosti dodávateľského reťazca, bezpečného vývoja, posudzovania účinnosti, školení, kryptografie, bezpečnosti ľudských zdrojov, riadenia prístupu, správy aktív a autentifikácie. Article 20 ukladá riadiacim orgánom zodpovednosť za schvaľovanie týchto opatrení a dohľad nad nimi.

Pri právnom pozastavení výmazu je kľúčovou otázkou NIS2 Article 23. Významné incidenty vyžadujú postupné oznamovanie: včasné varovanie do 24 hodín od zistenia, oznámenie incidentu do 72 hodín, priebežné správy na požiadanie a záverečnú správu najneskôr jeden mesiac po 72-hodinovom oznámení. Záverečná správa vyžaduje opis, závažnosť, dopad, pravdepodobný typ hrozby alebo koreňovú príčinu, zmierňujúce opatrenia a prípadný cezhraničný dopad.

Ak incident zasahuje osobné údaje, príslušné orgány podľa NIS2 môžu spolupracovať s dozornými orgánmi podľa GDPR. Tým sa zvyšuje potreba jednotného dôkazového naratívu, ktorý podporí dohľad nad kybernetickou bezpečnosťou aj zodpovednosť v oblasti ochrany súkromia.

DORA: dôkazy o rizikách IKT presahujú bezpečnostné logy

Pre finančné subjekty je DORA odvetvovým režimom prevádzkovej odolnosti. Uplatňuje sa od 17. januára 2025 a pokrýva riadenie rizík IKT, oznamovanie významných incidentov IKT, testovanie odolnosti, zdieľanie informácií a riadenie rizík tretích strán v oblasti IKT. Pre finančné subjekty, ktoré sú zároveň základnými alebo dôležitými subjektmi podľa NIS2, DORA vo všeobecnosti funguje ako odvetvovo špecifický právny akt Únie pre riziká IKT a oznamovanie incidentov.

DORA je zámerne náročné na dôkazy. Article 17 vyžaduje proces riadenia incidentov súvisiacich s IKT. Article 18 sa týka klasifikácie incidentov súvisiacich s IKT a kybernetických hrozieb. Article 19 upravuje oznamovanie významných incidentov súvisiacich s IKT. Finančné subjekty musia zároveň udržiavať mechanizmy správy, riadenia a kontrol, identifikovať kritické alebo dôležité funkcie, dokumentovať aktíva a závislosti IKT a vykonávať analýzu koreňovej príčiny.

To znamená, že právne pozastavenie výmazu podľa DORA musí pokrývať dôkazy o prevádzkovej odolnosti, nielen bezpečnostné artefakty. Po kompromitácii cloudovej identity ovplyvňujúcej platobné operácie môže právne pozastavenie výmazu zahŕňať logy poskytovateľa identít, históriu privilegovaného prístupu, cloudové auditné logy, upozornenia SIEM, obrazy endpointov, analýzu dopadu na zákaznícke transakcie, záznamy o aktivácii kontinuity činností, dôkazy o zálohovaní a obnove, komunikáciu s dodávateľmi, brífingy riadiaceho orgánu, analýzu koreňovej príčiny a validáciu nápravných opatrení.

DORA zároveň robí dôkazy tretích strán v oblasti IKT nevyhnutnými. Articles 28 to 30 vyžadujú riadenie rizík tretích strán v oblasti IKT, registre zmluvných dohôd, due diligence, posúdenie rizika koncentrácie a písomné zmluvy s právami a povinnosťami. Pri kritických alebo dôležitých funkciách majú zmluvy podporovať oznamovacie a reportovacie povinnosti poskytovateľa, pomoc pri incidente, spoluprácu s orgánmi, práva na prístup, kontrolu a audit, ako aj stratégie ukončenia.

Ak relevantné logy drží váš cloudový poskytovateľ, MSP, MSSP, spracovateľ platieb alebo závislá služba SaaS, proces právneho pozastavenia výmazu už musí byť zakotvený v zmluvách s dodávateľmi. Inak môžete počas významného incidentu zistiť, že štandardné okno uchovávania vášho poskytovateľa je kratšie než váš regulačný cyklus oznamovania.

Ako Clarysec operacionalizuje právne pozastavenie výmazu počas incidentu v SaaS

Zoberme si Máriino fintechové prostredie SaaS. Incident môže zahŕňať neoprávnený prístup k identifikátorom zákazníkov, transakčným metadátam, administrátorským systémom a záznamom outsourcovaného SOC. Spoločnosť obsluhuje finančné inštitúcie EÚ, spolieha sa na cloudovú infraštruktúru a môže čeliť GDPR, zmluvným povinnostiam podľa DORA a povinnostiam podľa NIS2.

Prvým krokom nie je uchovať všetko. Prvým krokom je spustiť riadené rozhodnutie.

Veliteľ incidentu odošle žiadosť o právne pozastavenie výmazu právnemu zástupcovi, DPO alebo vedúcemu ochrany súkromia, CISO a vlastníkovi organizácie. Žiadosť obsahuje ID incidentu, dátum a čas, dotknuté systémy, predpokladané kategórie údajov, počiatočné regulačné smerovanie, navrhované kategórie dôkazov a bezprostredné riziká výmazu.

Podľa Enterprise Politiky uchovávania a likvidácie údajov sa právne pozastavenie výmazu zdokumentuje a schvaľuje právnym zástupcom a DPO. Pre MSP poskytuje Politika uchovávania údajov a bezpečnej likvidácie – SME pravidlo pozastavenia výmazu. Oprávnenie obsahuje dátum preskúmania zosúladený s míľnikmi vyšetrovania, regulačnými lehotami oznamovania a očakávaným rizikom súdneho alebo zmluvného sporu. Nehovorí „navždy“. Hovorí „do uvoľnenia oprávneným rozhodnutím po preskúmaní“.

Následne tím zmrazí relevantné logy a artefakty. SME Politika logovania a monitorovania – SME uvádza:

„Logy musia byť zaradené pod právne pozastavenie výmazu a likvidácie a chránené pred zmenou alebo výmazom“

Tím pozastaví výmaz pre prípady SIEM, logy identít, cloudové auditné logy, aplikačné logy, logy databázových dotazov, udalosti WAF a metadáta upozornení SOC. Exportované logy sa ukladajú do obmedzeného dôkazového úložiska s hashovaním, riadením verzií a oprávneniami iba na čítanie, kde je to vhodné.

Pravidlo zberu je jednoduché: uchovávať dôkazy bez úpravy originálov. SME Politika zberu dôkazov a forenznej analýzy – SME uvádza:

„Vždy sa musí vytvoriť forenzná kópia alebo export; pôvodný dôkaz sa nikdy nesmie upravovať priamo.“

Inžinieri môžu vykonať nápravné opatrenia, ale až po vytvorení požadovaných snapshotov, exportov alebo forenzných kópií, pokiaľ nie je okamžité zamedzenie šírenia nevyhnutné na zabránenie prebiehajúcej ujme. Ak sa núdzové nápravné opatrenie vykoná ako prvé, dôvod sa zdokumentuje.

Tá istá SME politika uvádza:

„Pre každý incident sa musí viesť jednoduchý log reťazca zverenia (napr. súbor Excel alebo šablóna dokumentu).“

Pre podnikové prostredia Politika zberu dôkazov a forenznej analýzy, Clause 5.6, vyžaduje:

„Log reťazca zverenia musí sprevádzať všetky fyzické alebo digitálne dôkazy od okamihu získania až po archiváciu alebo prenos a musí dokumentovať:“

V praxi log reťazca zverenia zaznamenáva ID dôkazu, opis, zdrojový systém, osobu, ktorá dôkaz získala, metódu získania, hash hodnotu, ak je relevantná, časový zdroj, miesto uloženia, udalosti prístupu, prenosy, analytické kópie a konečný spôsob naloženia.

Napokon musí byť chránený aj samotný záznam vyšetrovania. Enterprise Politika monitorovania auditov a súladu uvádza:

„Všetky auditné logy, zistenia a správy o nápravných opatreniach sa musia uchovávať, šifrovať a chrániť pred manipuláciou.“

Táto požiadavka sa vzťahuje na časovú os incidentu, rozhodovací log, oznámenie o právnom pozastavení výmazu, komunikáciu s regulátorom, komunikáciu so zákazníkmi, analýzu koreňovej príčiny a dôkazy o nápravných opatreniach.

Zdokumentované informácie, ktoré budú audítori kontrolovať

ISO/IEC 27001:2022 kapitola 7.5 vyžaduje, aby zdokumentované informácie potrebné pre ISMS a vyžadované normou boli riadené. Zenith Blueprint, fáza ISMS Foundation and Leadership, Step 6, to prevádza do praktických požiadaviek: dokumenty majú mať identifikáciu, formát, preskúmanie, schválenie, riadenie verzií, riadený prístup, ochranu integrity, riadenie zmien, uchovávanie a spôsob naloženia.

Step 6 zároveň uvádza, že záznamy, ako sú monitorovacie logy, audítorské správy a súbory vyšetrovania incidentov, môžu byť dôverné a majú sa zdieľať na základe zásady potreby vedieť, pričom práva na úpravu majú byť obmedzené na oprávnených používateľov.

Obhájiteľný dôkazový balík má obsahovať:

• Oznámenie o právnom pozastavení výmazu a schválenie.
• Klasifikáciu incidentu a rozhodnutie o závažnosti.
• Evidenciu dôkazov.
• Log reťazca zverenia.
• Potvrdenie uchovania logov.
• Záznamy o forenzných obrazoch alebo exportoch.
• Hash hodnoty alebo kontroly integrity, kde je to relevantné.
• Zoznam prístupov k dôkazovému úložisku.
• Dôkazy o regulačnom oznamovaní.
• Posúdenie ochrany súkromia a analýzu dopadu na osobné údaje.
• Žiadosti o dôkazy od dodávateľov a ich odpovede.
• Analýzu koreňovej príčiny.
• Dôkazy o nápravných opatreniach a validácii.
• Rozhodnutie o preskúmaní a uvoľnení právneho pozastavenia výmazu.

Čím silnejšie je riadenie zdokumentovaných informácií, tým jednoduchší je audit.

Dôkazy od dodávateľov a z cloudu: bod zlyhania, ktorý mnohé tímy prehliadajú

Najťažšie získateľné dôkazy sa často nenachádzajú vo vašej organizácii. Drží ich cloudový poskytovateľ, platforma SaaS, MSSP, MSP, spracovateľ platieb, poskytovateľ identít alebo outsourcovaný vývojový tím.

NIS2 Article 21 zahŕňa bezpečnosť dodávateľského reťazca a bezpečnostné aspekty vzťahov s priamymi dodávateľmi alebo poskytovateľmi služieb. DORA ide pri finančných subjektoch ďalej a vyžaduje registre tretích strán v oblasti IKT, due diligence, analýzu rizika koncentrácie a zmluvy s pomocou pri incidente, reportovaním zo strany poskytovateľa, spoluprácou s orgánmi, právami na audit a ustanoveniami o ukončení pre kritické alebo dôležité funkcie.

NIST Cybersecurity Framework 2.0 takisto chápe riziko dodávateľského reťazca ako disciplínu životného cyklu. Jeho funkcia Govern zahŕňa výsledky riadenia dodávateľských rizík pre stratégiu, roly, zmluvy, due diligence, monitorovanie, účasť na incidente a ustanovenia o ukončení. CSF Profiles môžu vyjadriť cieľové požiadavky kybernetickej bezpečnosti voči dodávateľom, čo je užitočné pri prevode dôkazových potrieb právneho pozastavenia výmazu do zmluvných podmienok.

Zmluvy s dodávateľmi majú riešiť:

• Typy bezpečnostných logov dostupné zákazníkovi.
• Predvolené lehoty uchovávania a možnosti predĺženého uchovávania.
• Proces núdzovej žiadosti o uchovanie.
• Čas na uchovanie dôkazov po žiadosti zákazníka.
• Formáty forenzných exportov.
• Podporu reťazca zverenia.
• Spoluprácu s regulátorom.
• Dôkazové povinnosti ďalšieho sprostredkovateľa alebo subdodávateľa.
• Obmedzenia umiestnenia a prenosu údajov.
• Bezpečný výmaz po uvoľnení právneho pozastavenia výmazu.

Zenith Blueprint, fáza Controls in Action, Step 18, poskytuje podobnú disciplínu pre prenos fyzických médií a vyžaduje šifrovanie, balenie s indikáciou manipulácie, sledovanie, transportné logy, evidenciu médií a audit registra. Rovnaká logika platí pre prenosy dôkazov z cloudu: zachovať integritu, sledovať zverenie, obmedziť prístup a potvrdiť prevzatie.

Ako audítori a regulátori otestujú váš proces právneho pozastavenia výmazu

Proces právneho pozastavenia výmazu vyzerá odlišne podľa mandátu osoby, ktorá ho preskúmava. Clarysec používa Zenith Controls ako kompas krížového súladu, aby ten istý dôkazový balík mohol uspokojiť viaceré pohľady bez duplicity práce.

Audítora ISO bude zaujímať zhoda a objektívne dôkazy. Preskúmavateľa GDPR bude zaujímať nevyhnutnosť, obmedzenie účelu a preukázateľná zodpovednosť. Preskúmavateľa NIS2 budú zaujímať fakty pre oznamovanie významných incidentov a zodpovednosť manažmentu. Preskúmavateľa DORA bude zaujímať správa a riadenie rizík IKT, riešenie významných incidentov, závislosti od tretích strán a získané poznatky. Audítora v štýle COBIT 2019 alebo ISACA bude zaujímať správa a riadenie, návrh kontrol, fungovanie kontrol a uistenie o kvalite informácií.

Jeden dôkazový balík môže slúžiť všetkým, ak je takto navrhnutý.

Praktický kontrolný zoznam právneho pozastavenia výmazu pri kybernetickom incidente na rok 2026

Použite tento kontrolný zoznam pred ďalším závažným incidentom, nie počas neho.

Tento kontrolný zoznam je účinnejší, keď je vložený do plánu ošetrenia rizík ISMS, bezpečnostných požiadaviek na dodávateľov, playbookov reakcie na incidenty, architektúry logovania a správy ochrany súkromia.

Od postincidentnej paniky k odolnosti pripravenej na audit

Telefonát o 4:00 ráno bude vždy stresujúci. Nemusí sa však zmeniť na chaos.

Zrelý proces právneho pozastavenia výmazu pri kybernetickom incidente poskytuje každej zainteresovanej strane riadenú cestu. Právna funkcia získava obhájiteľné uchovanie. Ochrana súkromia získava minimalizáciu a preskúmanie. CISO získava integritu dôkazov. DPO získava zodpovednosť. Predstavenstvo získava spoľahlivé fakty. Preskúmavatelia NIS2, DORA a GDPR získavajú objektívne dôkazy namiesto improvizovaných vysvetlení.

30-kroková metodika Clarysec nechápe právne pozastavenie výmazu ako samostatné právne memorandum. Chápe ho ako prevádzkovú schopnosť ISMS.

V Zenith Blueprint Step 6 buduje knižnicu zdokumentovaných informácií vrátane pravidiel uchovávania a spôsobu naloženia. Step 19 posilňuje logovanie a synchronizáciu systémového času, aby vyšetrovania dokázali rekonštruovať časové osi. Step 23 operacionalizuje zber dôkazov a reťazec zverenia. Step 18 dopĺňa disciplínu nakladania s médiami tam, kde sa dôkazy fyzicky presúvajú alebo prenášajú medzi stranami.

V Zenith Controls Clarysec prepája podkladové kontroly ISO/IEC 27002:2022, aby klienti videli, ako zber dôkazov závisí od logovania, monitorovania, reakcie na incidenty, ochrany záznamov, riadenia prístupu, záloh, ochrany súkromia a právnych požiadaviek.

V knižnici politík Clarysec sú praktické kotvy pracovného toku už definované: Politika uchovávania a likvidácie údajov, Politika uchovávania údajov a bezpečnej likvidácie – SME, Politika zberu dôkazov a forenznej analýzy, Politika zberu dôkazov a forenznej analýzy – SME, Politika logovania a monitorovania – SME, Politika ochrany údajov a súkromia – SME a Politika monitorovania auditov a súladu.

Ak váš plán reakcie na incidenty hovorí „uchovať dôkazy“, ale nedefinuje právomoc právneho pozastavenia výmazu, rozsah dôkazov, pozastavenie výmazu, reťazec zverenia, uchovanie dôkazov u dodávateľov, minimalizáciu podľa GDPR a kritériá uvoľnenia, ešte nie je pripravený na audit.

Vybudujte proces pred porušením. Clarysec vám môže pomôcť vytvoriť obhájiteľnú schopnosť právneho pozastavenia výmazu pri kybernetickom incidente a uchovávania dôkazov pomocou Zenith Blueprint: 30-kroková cestovná mapa audítora, Zenith Controls: Sprievodca krížovým súladom a šablón politík Clarysec vrátane Politiky uchovávania a likvidácie údajov, Politiky zberu dôkazov a forenznej analýzy, Politiky monitorovania auditov a súladu, Politiky logovania a monitorovania – SME, Politiky ochrany údajov a súkromia – SME a Politiky zberu dôkazov a forenznej analýzy – SME.

Stiahnite si toolkity, požiadajte o preskúmanie politík Clarysec alebo si objednajte posúdenie pripravenosti na uchovávanie dôkazov pred ďalším auditom, požiadavkou dozorného orgánu alebo významným zákazníckym bezpečnostným preskúmaním.