У тих випадках, коли дії, що вживаються після інциденту інформаційної безпеки проти фізичної особи або організації, припускають юридичні санкції (цивільні або кримінальні), повинні здійснюватися збір, зберігання і надання свідчень для виконання правил, прийнятих у відповідній юрисдикції (ях).