Sustavi lociranja u hitnim slučajevima stvaraju operativne dokaze visoke vrijednosti i visokoosjetljive podatke. Programi trebaju modele zadržavanja i odgovora na incidente koji čuvaju ono što je potrebno za sigurnost i odgovornost, a istovremeno ograničavaju nepotrebnu izloženost.

Model dizajna zadržavanja

  • Definirajte zadržavanje prema klasi podataka, a ne prema pogodnostima sustava.
  • Razlikovati radnu telemetriju od dokaza incidenta.
  • Primijenite branjive vremenske okvire i kontrole brisanja.

Model dizajna odgovora na incident

  • Sačuvajte relevantne zapise brzo i selektivno.
  • Ograničite pristup istražnim ulogama.
  • Održavajte potpuni revizijski trag za rukovanje dokazima.

Komentar

Politika zadržavanja često se napiše jednom i ostane netaknuta. To je riskantno. Stvarna okruženja se mijenjaju, pravna tumačenja se razvijaju, a obrasci incidenata otkrivaju praznine. Politika zadržavanja/incidenata trebala bi se tretirati kao živi kontrolni okvir.

Praktična kontrolna petlja

  1. Tromjesečni pregled retencije-kontrole.
  2. Incident post mortem integracija u ažuriranja pravila.
  3. Neovisna revizija ponašanja pristupa i brisanja.
  4. Izvršno izvješćivanje o neriješenim prazninama u politici kontrole.