Ապացույցների և փաստաթղթերի պահպանումը

1) Նպատակը և արդյունքները

Ապացույցների և փաստաթղթերի պահպանման համակարգը ապահովում է

Արտեֆակտների իրավաբանորեն նշանակալի անփոփոխ (immutable evidence)։

Հետադարձ կապ. Ո՞ վ, երբ նա ստեղծեց/փոխեց/կարդաց։

Պատրաստակամություն «կոճակի» համար (կրկնօրինակված «audit pack»)։

Գաղտնիության և վերականգնման պահպանումը (TTL, Legal Hold, հեռացում/անանուն)։

Իրավունքների և պատասխանատվության միավորը (RACI) և որակի մեթրիկը։

2) Արտեֆակտների տաքսոնոմիա (որը համարվում ենք ապացույցներ)

Տեխնիկական 'հասանելիության և ադմինի գործողությունների, սկաներների եզրակացությունները (SFC/DMS/SCA), գաղտնիության զեկույցները, SOAR ամսագրերը, IaC/ամպերը, խմբակցությունների բեքապերը, KFC/HSM հետքերը։

Վիրահատական ՝ ITSM/միջադեպեր/փոփոխություններ, post-mortem, DR/BCP թեստերի ակտեր, հասանելիության ստուգումներ (re-cript)։

Իրավական և կարգավորող 'քաղաքականություններ/ստանդարտներ/SOP տարբերակների ամսագրով, DPA/SLA/addendums, կարգավորողներին ծանուցումներ, հարցումների պատասխաններ, SARA/ռեմեդիա։

Գաղտնիությունը և տվյալները 'վերամշակման օրինակներ, DSAR-Cass-ներ, կոդավորման/անանունիզացիայի հաստատումը, վերականգնման գրաֆիկները, Legal Hold ամսագրերը։

Wendors/երրորդ կողմերը 'Due Diligence-ի արդյունքները, հավաստագրերը (SOC/MS/PCI), պենտեստների հաշվետվությունները, SLA-ի համապատասխանությունը։

Ֆինանսական-վերահսկողական 'AML/STR հաշվետվությունները, սահմանները և բացառությունները, SoD-ի ապացույցը։

3) Սկզբունքներ (desportenets)

Immutability by 2019: WORM/Object Prok, պահեստավորման ժամանակ վերագրանցման արգելք։

Integrity & Authenticity: Hash շղթաներ, mercley արմատներ, թվային ստորագրություն և ժամանակներ։

Minimal & Purpose-bound: Միայն անհրաժեշտ տվյալներ, կեղծանունացում/դիմակավորում։

Cast-based-ը բացատրում է, որ մուտքն ու դերը, ընթերցանության/էքսպորտի միջոցով։

Policy-as-Code: Retention/Legal Hold/արտեֆակտների դասարաններ 'կանոնների ավանդակում։

Auditability: վերարտադրված հաշվետվությունները և «audit pack» -ը հեշ քվիտացիաներով։

4) Դերեր և RACI

Դերը	Պատասխանատվություն
Evidence Platform Owner (A)	Մոսկվա, անփոփոխ, բյուջե, հասանելիություն
Compliance/GRC (R)	Տաքսոնոմիա, վերականգնման կանոնները/Legal Hold, «audit pack»
SecOps/DFIR (R)	Արտեֆակտների ամբողջականությունը, հավաքումը և ամրագրումը պատահականներով
Data Platform (R)	Տվյալների ինտերֆեյսը և/գծերը, հաշվետվության ցուցիչները
Legal/DPO (C)	Գաղտնիությունը, իրավական հիմքերը, հիբրիդային ասպեկտները
IAM/IGA (C)	Դերեր/SoD, արխիվի հասանելիության ռետրո հավաստագրում
Internal Audit (I)	Անկախ ընթացակարգերի և ընտրության հավատարմագրում

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Եվրոպական ճարտարապետությունը (հանրաքվե)

1. Կղզիների գոտին (ingest) 'հուսալի անվադողեր, mTSA, retrai, deduplication, մետատվյալների նորմալացում (JSON)։

2. Տաք պահեստ 'արագ որոնում/հաշվետվություններ (30-90 օր)։

3. Սառը պահեստ 'օբյեկտի/արխիվային (1-7 տարեկան), էկոլոգիական դաս։

4. WORM/Object Systek-2019 'անփոփոխ ապացույցների արխիվ քաղաքական գործիչների հետ տանկի/օբյեկտի վրա։

5. Ամբողջականությունը 'հեշ-բաթի, մերկլի ծառեր, պարբերական, ստուգման ամսագիր։

6. Կատալոգը/MDM արտեֆակտներ ՝ ստանդարտ տեսակներ, սխեմաներ, սեփականատերեր, TTL, որոնման հիմնական դաշտեր։

7. Հասանելիություն ՝ RBAC/ABAC + cast-based 2019; էքսպորտը հեշ քվիտանիայի հետ; երկչափ վերահսկողություն զգայուն հավաքածուների համար։

8. Կրկնօրինակումը և DR 'երկրաչափությունը, RTO/RPO նպատակները, որոնք համապատասխանում են վերականգնման ստուգմանը։

6) Քաղաքականություն-կոդը (YAML օրինակ)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Պահեստավորման շղթան (Chain of Custody)

Նույնականացում 'օբյեկտի յուրահատուկ ID, աղբյուրը, սխեմայի տարբերակը։

Ամրագրումը 'hESH-256/512, կոդավորման ստորագրությունը, ժամանակի կնիքը։

Տրանսպորտը 'մանիֆեստների ամսագիր (ով/երբ բեռնեց/հավատում էր)։

Հասանելիություն 'բոլոր ընթերցումների/օրինագծերի իրականացում; հղում քեյսի/տիկետի վրա։

Զեկույցները ՝ հեշ քվիտանիա, Վերիելի արձանագրություններ, սվիտերի արդյունքներ։

8) Ռեթենցիա, Legal Hold և հեռացում

Պահեստավորման գրաֆիկները արտեֆակտների դասարաններում և հայտարարություններում։

Legal Hold-ը, երբ տեղի է ունենում/կարգավորողի խնդրանքները, «սառեցում» է։

TTL-ի հեռացումը միայն ակտիվ Hold-ի բացակայության ավտոմատ ստուգումից հետո է։

Հեռացման զեկույցը օբյեկտների ցուցակն է + համախմբված հեշ-կամարը։

Օֆբորդինգը հայելային վերափոխում է, ոչնչացման ապացույց։

9) Գաղտնիությունը և նվազեցումը

Scope-նվազագույն 'պահել ենթատեքստը, ոչ թե ամբողջական payload։

Կեղծանունացում/զգայուն դաշտերի դիմակավորում; առանձին բանալիներ re-նույնականացում։

«Քեյսի» հասանելիությունը 'DSAR/2019-ի համար ժամանակավոր իրավունքներ է ամսագրի հետ։

Ինտենսիվությունը 'հստակ պահեստավորման/վերամշակման երկրների ձեռնարկությունները։ պատճենների վերահսկումը։

10) «Audit pack» (կառուցվածքը)

1. Կազմակերպության և RACI-ի նկարագրությունը։

2. Քաղաքական/ստանդարտներ/SOP (իրական տարբերակները + changelog)։

3. Համակարգերի քարտեզը և վերահսկումը + մեպինգը նորմերի/հավաստագրման վրա։

4. KPI/KRI մետրիկները և ժամանակահատվածի հաշվետվությունները։

5. Արթեֆակտները նմուշով 'լոգներ, դելիգներ, սկաններ, DR/BCP, մուտքի լուծումներ։

6. Vendor-ը 'DPA/SLA, հավաստագրեր, պենտեստ հաշվետվություններ։

7. ՍԱՌԱ/ռեմեդիա 'կարգավիճակ, փակման ապացույց։

8. Հեշ-քվիտանիա է նաև դրա հասանելիության ամսագիրը։

11) Մետրիկի և SLO

Integrity Pass: 100 տոկոսը հեշ շղթաների հաջողակ ստուգումներ են։

Anchor Freshness p95: 242 ժամ անկերինգների և հավատալիքների միջև։

Coverage: 2498 տոկոսը քննադատական համակարգերում evidence-ում։

Express Review SLA: 100 տոկոսը ամեն ամիս արխիվների իրավունքների հավաստագրությունները։

Legal Hold Lag: 3515 րոպե իրադարձությունից մինչև Hold տեղադրումը։

Express SLA («audit pack»): 248 ժամ ամբողջական հավաքածուի վրա։

PII Leak Rate: 0 կրիտիկական արտահոսք արխիվներում։

12) Dashbords (նվազագույն հավաքածու)

Integrity & WORM: ancering կարգավիճակը, Object Prok-ը, veriae սխալները։

Coverage & Catalog: artefakts, «անցքեր», որբ օբյեկտներ։

Express & Express-ը 'ով է կարդում/բեռնաթափում, անոմալիաներ, SoD հակամարտություններ։

Retention & Hold: TTL, ակտիվ Legal Hold, հեռացման գրաֆիկ։

Vendor Mirror-ը 'կապալառուների մոտ հայելային վերականգնման վիճակը։

Audit Readiness-ը '«կոճակի» պատրաստակամությունը և ժամանակը մինչև SLA-ը։

13) SOP (տեխնիկական ընթացակարգ)

SOP-1 ՝ Ապացույցների բեռնումը

1. Աղբյուրի թիվ 2) նորմալացում/սխեմա թիվ 3) հեշ և ստորագրություն

2. WORM գոտում թիվ 5) ստուգումը և ancering 366) նորարարությունը։

SOP-2: Audit pack պատրաստումը

Բացեք քեյսը նախատեսվում է հավաքել արտեֆակտների ցանկը նմուշով, որոնք պատրաստվում են ստեղծել hash-quitantion wwww.legal review-ի փաթեթը։

SOP-3: Legal Hold

Hold-ը պատրաստվում է ներկայացնել դասարանները/cass-ը, որպեսզի դադարեցնեն առաջադրանքները։

SOP-4: Հեռացում TTL-ով

Ստուգել ակտիվ Hold-ը նախատեսվում է հեռացնել ատոմային պլանավորումը hash-ի զեկույցը պլանավորվում է թարմացնել կատալոգը։

SOP-5: Offbording wendor

Պահեստավորման հայելային հաշվետվության հարցումը ցույց է տալիս, որ էքսպորտը/փոխանցումը հաստատվում է գենդորից ոչնչացման հաստատման և վկայագրերի արխիվի հիման վրա։

14) Մետատվական արտեֆակտը (առնվազն)

UID, դասը, սխեմայի տարբերակը, աղբյուրը, սեփականատերը/կապը։

Ստեղծման և բեռնման ժամանակը, միգրացիան/պահպանման տարածքը։

Հեշ/ստորագրություն/մերկլիի թերթ և Վերիելի պատմությունը։

TTL-ը և Legal Hold կարգավիճակը։

Հղումները կապված հյուսվածքների/քեյսերի/քաղաքականության վրա։

Հասանելի/օրինագծերի պատմությունը։

15) Ամբողջականության ստուգում (ալգորիթմ)

Բիթերի ամենօրյա ընտրությունը նախատեսում է վերահաշվարկել հերկլիի կեղևը, որը ցույց է տալիս, որ անհամապատասխանությունների մասին զեկույցը կատարվում է ավտոմատ էսկալացիայի և «freeze» վիճահարույց հատվածների հետ մինչև հետազոտությունը։

16) Որակը և թեստավորումը

Schema compliance ≥ 99. Հինգ տոկոսը (շեղումները շարժիչների արգելափակումը)։

Diaster Restore Corills-ը արխիվի վերականգնման եռամսյակային թեստեր է։

Reperformability-ը ռեպերֆորմի ջութակներ է ֆոսֆորների համար (վերարտադրողականություն)։

Versioned Playbooks-ը SOP-ի տարբերակն է և «audit pack» ձևանմուշները։

17) Անտիպատերնի

WORM/immutability-ի բացակայությունը բացատրում է ապացույցների վիճաբանությունը։

Հում տեքստը առանց սխեմաների հաստատվում է թույլ որոնման/բարիվության։

Գոյություն չունի ռուսական և սեփականատերեր «ոչ մի» պատասխանատվություն։

Արխիվը որպես «գանձարան» 'ոչ մի մետրիկ/դաշբորդներ, ոչ DR թեստեր։

Հավերժական բացառություններ (waivers) առանց մրցույթի ամսաթվի։

Էքսպորտը առանց հեշ քվիտանիայի և հասանելիության ամսագրի։

PI-ի պրոդ տվյալների խառնուրդը արտեֆակտներում առանց նվազագույնի։

18) Հասունության մոդելը (M0-M4)

M0 Runnaya 'ցրված թղթապանակներ, չկան TTL/պահեստային շղթաներ։

M1 Կատալոգը 'արտեֆակտների միասնական գրանցում, ռոտենցիա։

M2 Կառավարվող ՝ WORM/Object Prok, IAM, Legal Hold, dashbords։

M3 Assured: Hesh շղթաներ, ancering, cased-based, «audit pack» կոճակով։

M4 Enginuous Assurance-ը 'ամբողջականության ավտոմատ ստուգումներ, կանխատեսելի ռիսկեր, գողերի հայելային վերականգնումը, ամբողջական DR ուսուցումները։

19) Կապված wiki հոդվածները

Ամսագրեր և հյուրանոցներ

Audit Trail 'հետևել վիրահատություններին

Legal Hold-ը և տվյալների սառեցումը

Տվյալների պահպանման և տեղադրման գրաֆիկները

Շարունակական կոմպոզիցիա (MSM)

KPI և կոմպլանսի մետրերը

Due Diligence-ը և աուտսորսինգի ռիսկերը

Փոփոխությունների կառավարում կոմպլանսի քաղաքականության մեջ

Փոխազդեցություն կարգավորիչների և ֆոսֆորների հետ

Արդյունքը

Ապացույցների հուսալի պահպանումը ոչ միայն «արխիվն» է, այլ կառավարվող և ապացուցված անփոփոխ համակարգ 'WORM և hash շղթաներ, խիստ վերափոխման քաղաքականություններ և Legal Hold, հասանելիություն «գործի», և «audit pack» և վերարտադրված «audit pack»։ Այս համակարգում աուդիտը կանխատեսելի է, հետազոտությունները արագ են, իսկ ռիսկերը վերահսկվում են։

Ապացույցների և փաստաթղթերի պահպանումը

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

Արդյունքը

Կապ հաստատեք մեզ հետ

Արագ կապ

Տեսանյութը շուտով կթարմացվի

Այս պահին մենք ծանրաբեռնված ենք նախագծերով