ISO 27001 Приложение A 5.28 Сбор доказательств | Подкаст ведущего аудитора скачать в хорошем качестве

ISO 27001 Приложение A 5.28 Сбор доказательств | Подкаст ведущего аудитора

В этом эпизоде: ведущий аудитор Стюарт Баркер и его команда подробно разбирают раздел 5.28 «Сбор доказательств» приложения A стандарта ISO 27001. В подкасте рассматривается, что это такое, почему это важно и как добиться соответствия требованиям. ✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki... Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001. Читайте полную статью: Полное руководство по разделу 5.28 «Сбор доказательств» приложения A стандарта ISO 27001 - https://hightable.io/iso-27001-annex-... Золотой стандарт: раздел 5.28 приложения A стандарта ISO 27001 Мы говорим о сборе доказательств. Звучит как скучная бумажная работа, но если вы допустите ошибку, это обойдется вам очень дорого. Если вы не справитесь с этим контролем, ваши доказательства окажутся бесполезными. Журналы событий, электронная почта — всё это будет выброшено. Представьте себе стоимость такого нарушения. А теперь добавьте к этому боль от невозможности привлечь кого-либо к ответственности. Статистика показывает, что почти 40% доказательств отклоняются из-за простых ошибок в обращении с ними. Вы не хотите оказаться в этой статистике. Что говорится в своде правил? Правило простое. У вас должен быть план по выявлению, сбору и обеспечению сохранности доказательств. Это называется готовностью к судебной экспертизе. Это означает, что ваша команда готова до того, как разразится кризис. Когда что-то пойдет не так, вы сможете исправить проблему, не уничтожая доказательства, необходимые для судебного разбирательства. Вам необходимо знать законы вашего региона, поскольку именно они определяют, что считается действительным доказательством. Кто несет ответственность? Ежедневная работа ложится на вашу ИТ-команду. Но если процесс даст сбой? Это ответственность высшего руководства. Это вопрос управления. Если саботажник останется безнаказанным из-за некачественных журналов, то вина лежит на самом главном. Преимущества правильного подхода Помимо простого прохождения аудита, есть пять важных преимуществ: Готовность: Вы собираете данные, которые действительно можете использовать. Юридическая безопасность: Вы снижаете риск того, что ваши доказательства будут признаны недействительными. Соответствие требованиям: Это показывает, что вы умеете управлять кризисами. Репутация: Вы можете доказать, что следовали правилам и привлекали людей к ответственности. Сертификация: Без неё вы просто не сможете получить сертификат ISO 27001. Что считается доказательством? Вам нужно охватить широкий круг доказательств. К распространённым доказательствам относятся: Электронная почта и журналы чатов компании. Системные и прикладные журналы. Отчёты и распечатки. Данные с личных устройств (если это разрешено вашей политикой). Техническая ловушка: Доказательство целостности Это самая сложная часть. Как доказать, что файл не был изменён? Целостность — ключ к успеху. Вы должны доказать три вещи: Доказательства полны и не подвергались фальсификации. Любые копии являются точными, побитовыми совпадениями оригинала. Доказательства получены из систем, которые работали корректно. Главная ошибка: Не следует просто щелкнуть правой кнопкой мыши и скопировать файл на USB-накопитель. Это изменяет «метаданные» файла, такие как время последнего доступа. Адвокат защиты скажет, что вы испортили доказательства. Решение: Используйте специальные инструменты для создания «копии изображения». Эти инструменты используют процесс, называемый хешированием. Представьте себе хеш как цифровой отпечаток пальца. Если изменяется даже один крошечный бит данных, отпечаток полностью меняется. Если отпечатки совпадают, вы доказали, что копия идеальна. Цепочка хранения Вам также необходима «цепочка хранения». Представьте это как журнал для ключей от банковского хранилища. С момента обнаружения доказательств вы должны записать: Кто ими владел. Когда они получили это. Где это хранилось. Что они с этим сделали. Если в этом журнале есть пробел, ваши доказательства бесполезны. Поскольку это очень технический вопрос, обычно следует нанимать экспертов. Не пытайтесь сделать это самостоятельно, если у вас нет соответствующей подготовки. Три способа потерпеть неудачу Даже с благими намерениями компании допускают ошибки. Вот три основные ошибки: Отсутствие плана: Они просто действуют наугад. Если это не записано, этого не существует. Самостоятельная криминалистическая экспертиза: Ваша ИТ-команда может быть отличной, но они не эксперты в области криминалистики. Они могут случайно нарушить цепочку доказательств. Отсутствие проверок: Вы должны проверить свой план. Если у вас был инцидент полгода назад, и вы не извлекли из него уроков, ваш план уже устарел. Как пройти аудит Когда аудитор проверяет это, он ищет три вещи: Документированный процесс: Есть ли у вас подписанная политика? Доказательство работоспособности: Можете ли вы показать логи и хеши реального или те...