ГОСТ Р ИСО/МЭК 27037-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме

Введение

Настоящий стандарт предоставляет руководства по конкретным процессам при обращении с потенциальными свидетельствами, представленными в цифровой форме; этими процессами являются: идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме. Эти процессы необходимы при проведении расследования и предназначены для поддержки целостности свидетельств, представленных в цифровой форме, т.е. являются приемлемой методикой получения свидетельств, представленных в цифровой форме, которая будет способствовать их допустимости для правовых и дисциплинарных действий, а также для других необходимых случаев. Настоящий стандарт также предоставляет общее руководство по сбору свидетельств, не представленных в цифровой форме, которые могут быть полезны на этапе анализа потенциальных свидетельств, представленных в цифровой форме.

Настоящий стандарт предназначен для предоставления руководства лицам, отвечающим за идентификацию, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме. К таким лицам относятся специалисты "оперативного реагирования" по свидетельствам, представленным в цифровой форме, специалисты по свидетельствам, представленным в цифровой форме, специалисты по реагированию на инциденты и руководители лабораторий судебной экспертизы. Настоящий стандарт обеспечивает уверенность в том, что ответственные лица осуществляют менеджмент потенциальных свидетельств, представленных в цифровой форме, рациональными общепризнанными способами, чтобы систематически и беспристрастно содействовать расследованию, использующему цифровые устройства и свидетельства, представленные в цифровой форме, сохраняя при этом их целостность и подлинность.

Данный стандарт также предназначен для информирования лиц, принимающих решения, которым необходимо определять достоверность передаваемых им свидетельств, представленных в цифровой форме. Он применим для организаций, нуждающихся в защите, анализе и представлении потенциальных свидетельств, представленных в цифровой форме. Он важен для директивных органов, которые создают и оценивают процедуры, связанные со свидетельствами, представленными в цифровой форме, часто являющимися частью более крупной совокупности свидетельств.

Упоминаемые в настоящем стандарте потенциальные свидетельства, представленные в цифровой форме, могут быть получены из различных цифровых устройств, сетей, баз данных и т.д. Они относятся к данным, уже имеющим цифровой формат. Настоящий стандарт не пытается охватить вопрос преобразования аналоговых данных в цифровой формат.

Вследствие недолговечности свидетельств, представленных в цифровой форме, необходимо использовать приемлемую методику, обеспечивающую уверенность в сохранении целостности и подлинности потенциальных свидетельств, представленных в цифровой форме. Настоящий стандарт не предписывает использование конкретных инструментальных средств или методов. Ключевыми доверенными компонентами при расследовании являются применяемая во время процесса методика и лица, компетентные в выполнении задач, указанных в методике. Настоящий стандарт не рассматривает методику процессуальных действий, дисциплинарных процедур и других, связанных с ними действий при обращении со свидетельствами, представленными в цифровой форме, которые выходят за рамки идентификации, сбора, получения и сохранения.

Применение настоящего стандарта требует соблюдения национальных законов, правил и предписаний. Он не должен заменять конкретные правовые требования любой юрисдикции. Вместо этого настоящий стандарт может послужить практическим руководством для любых специалистов "оперативного реагирования" по свидетельствам, представленным в цифровой форме, или специалистов по свидетельствам, представленным в цифровой форме, в расследованиях с использованием потенциальных свидетельств, представленных в цифровой форме. Он не распространяется на анализ свидетельств, представленных в цифровой форме, и не заменяет специфичных для юрисдикции требований, которые относятся к таким вопросам, как допустимость, доказательная весомость, обоснованность и другим, регулируемым в судебном порядке ограничениям на использование потенциальных свидетельств, представленных в цифровой форме, в судах общей юрисдикции. Настоящий стандарт может способствовать упрощению обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями. Чтобы поддерживать целостность свидетельств, представленных в цифровой форме, пользователям настоящего стандарта необходимо адаптировать и внести поправки в представленные в настоящем стандарте процедуры на основе правовых требований к свидетельствам в конкретной юрисдикции.

Несмотря на то, что настоящий стандарт не касается вопросов подготовленности к судебным разбирательствам, адекватная подготовленность к судебным разбирательствам может существенно способствовать процессу идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме. Подготовленность к судебным разбирательствам - это достижение организацией соответствующего уровня возможностей, который позволяет ей идентифицировать, собирать, получать, хранить, защищать и анализировать свидетельства, представленные в цифровой форме. Поскольку описанные в настоящем стандарте процессы и действия по существу являются реагирующими мерами, используемыми для расследования инцидента после его наступления, готовность к судебным разбирательствам - это упреждающий процесс попытки планирования каких-либо действий со стороны организации до наступления таких событий.

Предоставляя дополнительное руководство по реализации, настоящий стандарт дополняет ИСО/МЭК 27001 и ИСО/МЭК 27002, в частности, требованиями мер и средств контроля и управления, касающимися получения потенциальных свидетельств, представленных в цифровой форме. Кроме того, настоящий стандарт будет иметь применение в контексте, независимом от ИСО/МЭК 27001 и ИСО/МЭК 27002. Настоящий стандарт следует рассматривать совместно с другими стандартами, связанными со свидетельствами, представленными в цифровой форме, и расследованиями инцидентов информационной безопасности.