ГОСТ Р ИСО/МЭК 27037-2014

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

     
Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме

Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence

ОКС 35.040

Дата введения 2015-11-01

     

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО "ИАВЦ") и Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 09 сентября 2014 г. N 1028-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27037:2012* "Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме" (ISO/IEC 27037:2012 "Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence").

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

Введение

Настоящий стандарт предоставляет руководства по конкретным процессам при обращении с потенциальными свидетельствами, представленными в цифровой форме; этими процессами являются: идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме. Эти процессы необходимы при проведении расследования и предназначены для поддержки целостности свидетельств, представленных в цифровой форме, т.е. являются приемлемой методикой получения свидетельств, представленных в цифровой форме, которая будет способствовать их допустимости для правовых и дисциплинарных действий, а также для других необходимых случаев. Настоящий стандарт также предоставляет общее руководство по сбору свидетельств, не представленных в цифровой форме, которые могут быть полезны на этапе анализа потенциальных свидетельств, представленных в цифровой форме.

Настоящий стандарт предназначен для предоставления руководства лицам, отвечающим за идентификацию, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме. К таким лицам относятся специалисты "оперативного реагирования" по свидетельствам, представленным в цифровой форме, специалисты по свидетельствам, представленным в цифровой форме, специалисты по реагированию на инциденты и руководители лабораторий судебной экспертизы. Настоящий стандарт обеспечивает уверенность в том, что ответственные лица осуществляют менеджмент потенциальных свидетельств, представленных в цифровой форме, рациональными общепризнанными способами, чтобы систематически и беспристрастно содействовать расследованию, использующему цифровые устройства и свидетельства, представленные в цифровой форме, сохраняя при этом их целостность и подлинность.

Данный стандарт также предназначен для информирования лиц, принимающих решения, которым необходимо определять достоверность передаваемых им свидетельств, представленных в цифровой форме. Он применим для организаций, нуждающихся в защите, анализе и представлении потенциальных свидетельств, представленных в цифровой форме. Он важен для директивных органов, которые создают и оценивают процедуры, связанные со свидетельствами, представленными в цифровой форме, часто являющимися частью более крупной совокупности свидетельств.

Упоминаемые в настоящем стандарте потенциальные свидетельства, представленные в цифровой форме, могут быть получены из различных цифровых устройств, сетей, баз данных и т.д. Они относятся к данным, уже имеющим цифровой формат. Настоящий стандарт не пытается охватить вопрос преобразования аналоговых данных в цифровой формат.

Вследствие недолговечности свидетельств, представленных в цифровой форме, необходимо использовать приемлемую методику, обеспечивающую уверенность в сохранении целостности и подлинности потенциальных свидетельств, представленных в цифровой форме. Настоящий стандарт не предписывает использование конкретных инструментальных средств или методов. Ключевыми доверенными компонентами при расследовании являются применяемая во время процесса методика и лица, компетентные в выполнении задач, указанных в методике. Настоящий стандарт не рассматривает методику процессуальных действий, дисциплинарных процедур и других, связанных с ними действий при обращении со свидетельствами, представленными в цифровой форме, которые выходят за рамки идентификации, сбора, получения и сохранения.

Применение настоящего стандарта требует соблюдения национальных законов, правил и предписаний. Он не должен заменять конкретные правовые требования любой юрисдикции. Вместо этого настоящий стандарт может послужить практическим руководством для любых специалистов "оперативного реагирования" по свидетельствам, представленным в цифровой форме, или специалистов по свидетельствам, представленным в цифровой форме, в расследованиях с использованием потенциальных свидетельств, представленных в цифровой форме. Он не распространяется на анализ свидетельств, представленных в цифровой форме, и не заменяет специфичных для юрисдикции требований, которые относятся к таким вопросам, как допустимость, доказательная весомость, обоснованность и другим, регулируемым в судебном порядке ограничениям на использование потенциальных свидетельств, представленных в цифровой форме, в судах общей юрисдикции. Настоящий стандарт может способствовать упрощению обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями. Чтобы поддерживать целостность свидетельств, представленных в цифровой форме, пользователям настоящего стандарта необходимо адаптировать и внести поправки в представленные в настоящем стандарте процедуры на основе правовых требований к свидетельствам в конкретной юрисдикции.

Несмотря на то, что настоящий стандарт не касается вопросов подготовленности к судебным разбирательствам, адекватная подготовленность к судебным разбирательствам может существенно способствовать процессу идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме. Подготовленность к судебным разбирательствам - это достижение организацией соответствующего уровня возможностей, который позволяет ей идентифицировать, собирать, получать, хранить, защищать и анализировать свидетельства, представленные в цифровой форме. Поскольку описанные в настоящем стандарте процессы и действия по существу являются реагирующими мерами, используемыми для расследования инцидента после его наступления, готовность к судебным разбирательствам - это упреждающий процесс попытки планирования каких-либо действий со стороны организации до наступления таких событий.

Предоставляя дополнительное руководство по реализации, настоящий стандарт дополняет ИСО/МЭК 27001 и ИСО/МЭК 27002, в частности, требованиями мер и средств контроля и управления, касающимися получения потенциальных свидетельств, представленных в цифровой форме. Кроме того, настоящий стандарт будет иметь применение в контексте, независимом от ИСО/МЭК 27001 и ИСО/МЭК 27002. Настоящий стандарт следует рассматривать совместно с другими стандартами, связанными со свидетельствами, представленными в цифровой форме, и расследованиями инцидентов информационной безопасности.

     1 Область применения

Настоящий стандарт предоставляет руководства по конкретным видам деятельности, касающимся обращения со свидетельствами, представленными в цифровой форме, к которым относится идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме, которые могут иметь доказательную ценность. Настоящий стандарт предоставляет руководство по распространенным ситуациям, возникающим в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями.

Настоящий стандарт предоставляет рекомендации относительно следующих устройств и (или) функций, используемых при различных обстоятельствах:

- цифровые носители данных, используемые в типовых компьютерах, например, жесткие диски, дискеты, оптические и магнитооптические диски, устройства с аналогичными функциями;

- мобильные телефоны, "карманные" персональные компьютеры, персональные электронные устройства, карты памяти;

- мобильные навигационные системы;

- цифровые фотоаппараты и видеокамеры (включая системы видеонаблюдения);

- типовые компьютеры с сетевыми соединениями;

- сети на основе протоколов TCP/IP и других цифровых протоколов;

- устройства с функциями, аналогичными перечисленным.

Примечание 1 - Приведенный выше перечень устройств является примерным и неисчерпывающим перечнем.     

Примечание 2 - Применение перечисленных выше устройств, которые существуют в различных формах, обусловлено обстоятельствами. Например, автомобильная система может включать мобильное навигационное устройство, устройство хранения данных и систему сенсоров.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты*. Для датированных документов используют только указанное издание. Для недатированных документов используют самое последнее издание ссылочного документа (с учетом всех его изменений).

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

ИСО/ТО 15801 Управление документацией. Хранение информации в электронном виде. Рекомендации по достоверности и надежности (ISO/TR 15801, Document management - Information stored electronically - Recommendations for trustworthiness and reliability)

ИСО/МЭК 17020 Оценка соответствия. Требования к работе различных типов контролирующих органов (ISO/IEC 17020, Conformity assessment - Requirements for the operation of various types of bodies performing inspection)

ИСО/МЭК 17025:2005 Общие требования к компетентности испытательных и калибровочных лабораторий (ISO/IEC 17025:2005, General requirements for the competence of testing and calibration laboratories)

ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary).

     3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 27000, ИСО/МЭК 17020, ИСО/МЭК 17025 и ИСО/ТО 15801, а также следующие термины с соответствующими определениями.

3.1 получение свидетельства (acquisition): Процесс создания копии данных в рамках определенной совокупности.

Примечание - Результатом получения свидетельства является экземпляр потенциального свидетельства, представленного в цифровой форме.

3.2 выделенное пространство (allocated space): Область на цифровом носителе, включая основную память, которая используется для хранения данных, в том числе метаданных.

3.3 сбор (collection): Процесс сбора физических элементов, которые содержат потенциальные свидетельства, представленные в цифровой форме.

3.4 цифровое устройство (digital device): Электронное оборудование, используемое для обработки или хранения данных, представленных в цифровой форме.

3.5 свидетельства, представленные в цифровой форме (digital evidence): Информация или данные, хранящиеся или передаваемые в виде двоичного кода, которые можно использовать в качестве доказательства.

3.6 копия свидетельства, представленного в цифровой форме (digital evidence сору): Копия свидетельства, представленного в цифровой форме, которая была создана для поддержки достоверности доказательства посредством включения свидетельства, представленного в цифровой форме, и средства верификации, причем способ верификации может быть встроенным в инструментальные средства, используемые для осуществления верификации, или независимым от них.

3.7 специалист "оперативного реагирования" по свидетельствам, представленным в цифровой форме; DEFR (digital evidence first responder): Физическое лицо, которое уполномочено, обучено и подготовлено действовать первым на месте инцидента, осуществляя сбор и получение свидетельств, представленных в цифровой форме, и которое несет ответственность за обращение с этими свидетельствами.

Примечание - Полномочия, обучение и подготовка являются ожидаемыми требованиями, необходимыми для получения достоверных свидетельств, представленных в цифровой форме, но отдельные обстоятельства могут приводить к тому, что физическое лицо не будет соответствовать всем трем требованиям. При этом должны быть рассмотрены местное законодательство, политика организации и конкретные обстоятельства.

3.8 специалист по свидетельствам, представленным в цифровой форме; DES (digital evidence specialist): Физическое лицо, которое может выполнять задачи специалиста "оперативного реагирования" по свидетельствам, представленным в цифровой форме, и которое обладает специальными знаниями, навыками и способностями, чтобы разбираться в широком спектре технических вопросов.

Примечание - Специалист по свидетельствам, представленным в цифровой форме, может обладать дополнительными навыками, например, знанием получения свидетельств из сетей, ОЗУ, программных средств операционной системы или из мэйнфрейма.

3.9 цифровой носитель данных (digital storage medium): Устройство, на котором могут быть записаны цифровые данные.

[Адаптировано из ИСО/МЭК 10027:1990]

3.10 средство сохранения свидетельств (evidence preservation facility): Безопасная среда или место, где хранятся собранные или полученные свидетельства.

Примечание - Средство для сохранения свидетельств не должно подвергаться воздействию магнитных полей, пыли, вибрации, влаги или любых других факторов внешней среды (таких как экстремальная температура или влажность), которые могут повредить потенциальные свидетельства, представленные в цифровой форме.

3.11 значение хэш-функции (hash value): Битовая строка, являющаяся выходным результатом хэш-функции.

[ИСО/МЭК 10118-1:2000]

3.12 идентификация (identification): Процесс, включающий поиск, распознавание и документирование потенциальных свидетельств, представленных в цифровой форме.

3.13 создание образа (imaging): Процесс создания побитовой копии цифрового носителя данных.

Примечание - Побитовая копия также называется физической копией.

Пример - При создании образа жесткого диска специалист "оперативного реагирования" по свидетельствам, представленным в цифровой форме, будет также копировать данные, которые были удалены.

3.14 периферийное устройство (peripheral): Устройство, подключенное к цифровому устройству для расширения его функциональных возможностей.

3.15 сохранение (preservation): Процесс поддержки и защиты целостности и (или) исходного состояния потенциальных свидетельств, представленных в цифровой форме.

3.16 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.

[ИСО/МЭК 27000:2009]

3.17 повторяемость (repeatability): Свойство процесса получать такие же результаты тестирования в той же тестовой среде (тот же компьютер, жесткий диск, режим работы и т.д.).

3.18 воспроизводимость (reproducibility): Свойство процесса получать такие же результаты тестирования в другой тестовой среде (другой компьютер, жесткий диск, оператор и т.д.).

3.19 повреждение (spoliation): Осуществление или признание осуществления изменения(й) потенциальных свидетельств, представленных в цифровой форме, уменьшающее их доказательную ценность.