15 октября 2012 года Международная организация по стандартизации (ИСО) опубликовала новый стандарт ISO/IEC 27037:2012, «Руководство по выявлению, сбору, приобретению и обеспечению долговременной сохранности электронных доказательств» (Guidelines for identification, collection, acquisition and preservation of digital evidence).
Данный стандарт принадлежит к серии стандартов системы менеджмента информационной безопасности ISO 27000. Он дополняет базовые стандарты ISO 27001 и ISO 27002, особенно требования к мерам и средствам контроля и управления в отношении сбора электронных доказательств. Кроме того, данный стандарт может применяться и вне контекста системы менеджмента информационной безопасности - например, при сборе неэлектронных доказательств в соответствии со стандартами ISO/IEC 17020:2012 «Conformity assessment - Requirements for the operation of various types of bodies performing inspection» (ГОСТ Р ИСО/МЭК 17020-2010 «Общие критерии работы различных типов контролирующих органов») и ISO/IEC 17025:2005 «General requirements for the competence of testing and calibration laboratories» (ГОСТ ИСО/МЭК 17025-2009 Общие требования к компетентности испытательных и калибровочных лабораторий) Объём документа 38 страниц.
Во вводной части стандарта отмечается, что «настоящий международный стандарт содержит рекомендации в отношении конкретных видов работ с электронными доказательствами, таких, как идентификация, сбор, комплектование и обеспечение сохранности потенциальных электронных доказательств, которые могут иметь доказательную силу.» Эти шаги необходимы для процесса расследования, призванного обеспечить сохранение целостности электронных доказательств - признанная методология получения электронных доказательств обеспечит возможность использования их в намеченных целях.
Стандарт также содержит рекомендации для лиц, ответственных за идентификацию, сбор, комплектование и обеспечение сохранности потенциальных электронных доказательств, в отношении типичных ситуаций, которые возникают в процессе обработки электронных доказательств. В число таких лиц входят специалисты по сбору улик на месте инцидента (Digital Evidence First Responder, DEFR), специалисты широкого профиля по работе с электронными доказательствами (Digital Evidence Specialist, DES), специалисты по реагированию на инциденты и руководители лабораторий компьютерной судебной экспертизы. Стандарт обеспечивает управление электронными доказательствами ответственными лицами в соответствии с приемлемой международной практикой, с целью способствовать проведению систематическим и объективным образом расследований, затрагивающих электронные устройства и электронные доказательства, при сохранении их целостности и аутентичности.
Стандарт помогает организациям в исполнении их дисциплинарных процедур и способствует обмену потенциальными электронными доказательствами между различными юрисдикциями.
Настоящий стандарт также предназначен для информирования принимающих решения лиц, которые должны определять надежность представленных им электронных доказательств. Стандарт применим в организациях, которым нужно защищать, анализировать и представлять потенциальные электронные доказательства. Он актуален для руководящих органов, которые разрабатывают и оценивают процедуры, связанные с электронными доказательствами, зачастую в качестве части более широкой совокупности доказательств.
Потенциальные электронные доказательства, о которых идёт речь в данном стандарте, могут быть собраны с электронных носителей информации любого типа. Стандарт также охватывает данные, которые уже находятся в электронном цифровом формате. Данный международный стандарт не рассматривает преобразование аналоговых данных в цифровой формат.
Вследствие хрупкости потенциальных электронных доказательств, необходимо следовать приемлемой методологии, обеспечивающей сохранение их целостности и доказательной силы. Настоящий стандарт не предписывает использование каких-либо конкретных инструментов и методов. Ключевыми элементами, обеспечивающими доверие к результатам расследования, являются применяемая в процессе расследования методология, и участие в нем лиц, профессионально подготовленных для выполнения предусмотренных методологией задач. В данном стандарте не рассматривается методологию ведения судебных разбирательств, дисциплинарных расследований и других соответствующих действий, связанных с использованием электронных доказательств.
При применении настоящего стандарта необходимо соблюдать национальное законодательство, нормы и правила. Стандарт не подменяет специфические правовые требования, существующие в данной юрисдикции. Он, напротив, может служить в качестве практического руководства для DEFR и DES-специалистов при проведении расследований, затрагивающих потенциальные электронные доказательства. Стандарт не рассматривает вопросы анализа электронных доказательств, и не может заменить специфические для данной юрисдикции требования по таким вопросам, как допустимость доказательств, оценка доказательной силы, относимость, равно как и другие устанавливаемые судебными властями ограничения на использование потенциальных электронных доказательств в судах. Стандарт может способствовать упрощению обмена потенциальными электронными доказательствами между различными юрисдикциями. С целью сохранения целостности электронных доказательств, пользователям данного международного стандарта необходимо адаптировать и скорректировать описанные в стандарте процедуры в соответствии со специфическими правовыми требованиями, существующими в данной юрисдикции в отношении доказательств.
ISO/IEC 27037:2012 содержит рекомендации в отношении следующих устройств и обстоятельств (список не является исчерпывающим):
- Электронные носители информации, используемые в стандартных компьютерах, такие, как жёсткие диски, флоппи-диски, оптические и магнитооптические диски и иные устройства хранения данных, выполняющие аналогичные функции,
- Мобильные телефоны, карманные персональные компьютеры (Personal Digital Assistants, PDAs), персональные электронные устройства (Personal Electronic Devices, PEDs), карты памяти,
- Мобильные навигационные системы,
- Цифровые фото- и видеокамеры (включая CCTV-устройства непрерывного видеонаблюдения),
- Стандартные компьютеры, в т.ч. подключенные к сетям,
- Сети на основе TCP/IP и иных протоколов, и
- Устройства, функционально аналогичные перечисленным выше.
Вводная часть стандарта (первые 9 страниц) доступна по адресу http://webstore.iec.ch/preview/info_isoiec27037%7Bed1.0%7Den.pdf .
Комментариев нет:
Отправить комментарий