Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27037-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме

     5.3 Требования к обращению со свидетельствами, представленными в цифровой форме

5.3.1 Общая информация

Принципы, изложенные в 5.2, могут быть выполнены следующим образом:

- значимость: должна быть возможна демонстрация того, что полученный материал является значимым для расследования, т.е. он содержит ценную информацию для содействия расследованию конкретного инцидента и существует достаточное основание для его получения. Для проверки и обоснованности DEFR должен быть способен описать соблюдаемые процедуры и объяснить, как было принято решение о получении каждого элемента;

- достоверность: все процессы, используемые при обращении с потенциальными свидетельствами, представленными в цифровой форме, должны быть контролируемыми и повторяемыми. Результаты применения таких процессов должны быть воспроизводимыми;

- достаточность: DEFR должен принять во внимание, что было собрано достаточно данных, чтобы сделать возможным проведение надлежащего расследования. Для проверки и обоснованности DEFR должен быть способен указать, сколько данных в совокупности рассматривалось, и какие процедуры использовались для принятия решения о том, сколько и какие данные нужно получить.

Примечание - Данные могут быть собраны путем получения свидетельств и (или) осуществления мероприятий по сбору.


Существует четыре ключевых аспекта в обращении со свидетельствами, представленными в цифровой форме: контролируемость, обоснованность и либо повторяемость, либо воспроизводимость, в зависимости от конкретных обстоятельств.

5.3.2 Контролируемость

Независимый специалист по оценке или другие уполномоченные заинтересованные стороны должны иметь возможность оценивания действий, выполняемых DEFR и DES. Это достижимо путем надлежащего документирования всех предпринятых действий. DEFR и DES должны быть способны обосновать процесс принятия решения, касающегося выбора определенного порядка действий. Процессы, выполненные DEFR и DES должны быть доступны для независимой оценки с целью определения того, соблюдался ли соответствующий научный метод, технический прием или процедура.

5.3.3 Повторяемость

Факт повторяемости признается, если те же результаты теста получают при следующих условиях:

- использование такой же процедуры и метода измерений;

- использование таких же инструментальных средств и при таких же условиях;

- возможно повторение в любое время после первоначального тестирования.

Обладающий соответствующими навыками и опытом DEFR должен быть способен выполнять все процессы, описанные в документации, и прийти к тем же результатам без указаний или объяснений. DEFR должен сознавать, что могут быть обстоятельства, когда повторить тестирование невозможно, например, когда исходный жесткий диск скопирован и возвращен в использование, или когда продукт включает энергозависимую память. В этом случае DEFR должен убедиться, что процесс получения свидетельств достоверен. Для достижения повторяемости необходим контроль качества и документирование процесса.

5.3.4 Воспроизводимость

Факт воспроизводимости признается, если те же результаты теста получают при следующих условиях:

- использование такого же метода измерения;

- использование различных инструментальных средств и при различных условиях;

- возможно повторение в любое время после первоначального тестирования.

Необходимость воспроизвести результаты меняется в зависимости от юрисдикции и обстоятельств, поэтому DEFR или лицо, осуществляющее воспроизведение, должны быть осведомлены о соответствующих условиях.

5.3.5 Обоснованность

DEFR должен быть способен обосновать все действия и методы, использованные для обращения со свидетельствами, представленными в цифровой форме. Обоснование может быть достигнуто путем демонстрации того, что принятое решение было наилучшим выбором для получения всех потенциальных свидетельств, представленных в цифровой форме. С другой стороны, DEFR или DES может также продемонстрировать это, посредством успешного воспроизведения или валидации использованных действий и методов.

Организация заинтересована в найме DEFR или DES, который обладает основными навыками и компетентностью, описанными в приложении А настоящего стандарта. Это обеспечит уверенность в том, что при обращении со свидетельствами, представленными в цифровой форме, соблюдались надлежащие процессы и процедуры, обеспечивающие конечное сохранение свидетельств, представленных в цифровой форме, которые могут иметь доказательную ценность. Это также обеспечит уверенность в том, что организации могут использовать потенциальные свидетельства, представленные в цифровой форме, например, в своих дисциплинарных процедурах или в содействии обмену потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями.

Примечание - Компетенция DEFR, описанная в приложении А, ограничена функцией, которая совмещена с ролью DES, как определено в 3.8.