Skip to main content

5.28 Zbieranie dowodów

Cel

Zapewnienie skutecznego procesu identyfikacji, zbierania, przechowywania i ochrony dowodów związanych ze zdarzeniami bezpieczeństwa informacji, umożliwiającego ich wykorzystanie w postępowaniach dyscyplinarnych i prawnych.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć procedury identyfikacji, pozyskiwania i zabezpieczania dowodów cyfrowych oraz fizycznych związanych z incydentami bezpieczeństwa informacji.
  • Uwzględnić wymagania różnych jurysdykcji, aby zapewnić akceptowalność dowodów w ewentualnych postępowaniach prawnych.
  • Zapewnić, że zbieranie dowodów odbywa się w sposób umożliwiający wykazanie, że:
    • dane są kompletne i nie zostały zmienione,
    • kopie dowodów cyfrowych są identyczne z oryginałami,
    • system, z którego pozyskano dowody, działał poprawnie w momencie rejestrowania zdarzenia.
  • Wykorzystywać certyfikowane narzędzia i kwalifikowany personel w celu zwiększenia wiarygodności zebranego materiału dowodowego.
  • Zapewnić, że organizacja ma prawo do zbierania i przechowywania wymaganych dowodów cyfrowych, zwłaszcza gdy incydent przekracza granice jurysdykcyjne.

Wdrożenie

  • Organizacja powinna wdrożyć procedury zbierania dowodów obejmujące:
    • identyfikację potencjalnych dowodów na różnych nośnikach,
    • pozyskiwanie i zabezpieczanie dowodów zgodnie z ustalonymi procedurami,
    • dokumentowanie każdego etapu procesu w celu zapewnienia łańcucha dowodowego,
    • zabezpieczanie oryginalnych dowodów i tworzenie identycznych kopii do analizy.
  • W sytuacji wykrycia incydentu organizacja powinna niezwłocznie rozpocząć proces zabezpieczania dowodów, nawet jeśli na wczesnym etapie nie jest oczywiste, czy sprawa trafi do sądu.
  • Współpraca z działem prawnym lub organami ścigania powinna zostać nawiązana na wczesnym etapie w celu zapewnienia zgodności z obowiązującymi regulacjami prawnymi.

Przegląd i aktualizacja

  • Proces zbierania dowodów powinien być regularnie oceniany i dostosowywany do zmieniających się wymagań prawnych oraz technologicznych.
  • Organizacja powinna przeprowadzać szkolenia dla personelu odpowiedzialnego za zbieranie dowodów oraz stosowanie najlepszych praktyk w zakresie informatyki śledczej.
  • Powinny być wdrażane mechanizmy ochrony zgromadzonych dowodów przed przypadkowym usunięciem, modyfikacją lub nieautoryzowanym dostępem.

Skuteczne zbieranie dowodów pozwala organizacji na prawidłowe zarządzanie incydentami bezpieczeństwa, wspiera podejmowanie działań dyscyplinarnych i prawnych oraz wzmacnia zdolność do skutecznej obrony w przypadku