Skip to main content

A.5.28 איסוף ראיות

מטרה

מטרת הנוהל היא להבטיח כי הארגון יבצע איסוף ראיות בצורה מאורגנת ומדויקת במהלך תקריות אבטחת מידע, על מנת לתמוך בחקירות פנימיות, הליכים משפטיים או לצורך הוכחת ממצאים למול צדדים שלישיים.

תחום יישום

הנוהל חל על כל התקריות והאירועים בהם נדרש איסוף ראיות, לרבות אירועים פוטנציאליים, אירועים בפועל ואירועים סגורים.

הגדרות

  • אירוע אבטחת מידע: כל אירוע שיש בו כדי לפגוע בזמינות, סודיות או שלמות של המידע או מערכות המידע של הארגון.
  • ראיות: מידע שנאסף במהלך תקרית אבטחת מידע, כגון רשומות יומן, קבצים דיגיטליים, נתוני תקשורת או עדויות פיזיות, אשר יכול לשמש להוכחת עובדות הקשורות לאירוע.
  • שימור ראיות: תהליך של שמירה ואבטחת ראיות שנאספו, על מנת למנוע פגיעה או אובדן.

אחריות

  • ממונה אבטחת מידע: אחראי על פיתוח נהלי איסוף ושימור ראיות.
  • צוות תגובה לאירועי אבטחת מידע (CIRT): אחראי על איסוף ושימור הראיות במהלך ולאחר תקריות אבטחת מידע.

תהליך

1. זיהוי סוגי ראיות

  • צוות ה-CIRT יזהה את סוגי הראיות הדרושות לחקירת האירוע, כולל מידע דיגיטלי, נתונים מרשתות, יומני גישה, התקני חומרה או תוכנה, ועדויות אנושיות.
  • הזיהוי יבוצע באופן שוטף במהלך הטיפול בתקרית, תוך התייחסות למידת החשיבות של כל סוג ראיות.

2. איסוף ראיות

  • צוות ה-CIRT יאסוף את הראיות בצורה מאורגנת, תוך שמירה על תקינות המידע ועל שלמות הראיות.
  • תהליך האיסוף יכלול שימוש בכלים דיגיטליים מתקדמים לאחסון נתונים, יצירת גיבויים והבטחת עקיבות הראיות.
  • כל שלב בתהליך האיסוף יתועד, כולל המועדים בהם נאספו הראיות, המיקום שבו הן נמצאו, והפעולות שבוצעו כדי לשמר את הראיות.

3. שימור הראיות

  • הראיות יישמרו בצורה מאובטחת, כולל גיבויים מאובטחים, הגבלת גישה לראיות, ותיעוד כל פעולה שבוצעה על הראיות.
  • הארגון ישתמש בשיטות מתקדמות לשימור הראיות, כגון קידוד נתונים, אחסון פיזי מוגן, וניהול בקרות גישה מחמירות.

4. תיעוד הראיות

  • צוות ה-CIRT יתעד את כל הראיות שנאספו בצורה מפורטת, כולל פרטים מזהים, שיטות איסוף ושימור, ותהליכי עיבוד שנעשו.
  • הדיווחים יכילו מידע ברור על כל ראייה ופעולות שבוצעו עליה, כולל שרשרת שליטה על הראיות (Chain of Custody) שתבטיח את עקיבותן.

5. מסירת ראיות

  • במקרים בהם נדרש להעביר ראיות לגורמים חיצוניים, כגון רשויות אכיפה או בתי משפט, צוות ה-CIRT יוודא כי המסירה נעשית בצורה בטוחה ומאובטחת, כולל תיעוד מלא של תהליך ההעברה.
  • הארגון יפעל בהתאם לחוקים ולתקנות הנוגעים לשימור ראיות, ויוודא שהראיות נמסרות במצב שבו לא נפגעו במהלך האחסון וההעברה.

6. סקירה תקופתית

  • ממונה אבטחת מידע יסקור את נהלי איסוף ושימור הראיות באופן תקופתי, ויוודא שהם עדיין עונים על הדרישות הרגולטוריות ועל צרכי הארגון.
  • השיפורים ייושמו לפי צורך, בהתבסס על לקחים מאירועים קודמים או על שינויים בסביבת האיום.

הערות

  • הארגון יבצע ביקורות תקופתיות על יישום הנוהל בנוגע לאיסוף ושימור ראיות.
  • במקרה של חשד לאובדן או פגיעה בראיות, ממונה אבטחת מידע ינקוט בפעולות מיידיות לתיקון המצב ולמזעור הנזקים.