ГОСТ Р ИСО/МЭК 27037-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме

     5.4 Процессы обработки свидетельств, представленных в цифровой форме

5.4.1 Общий обзор

Хотя полный процесс обработки свидетельств, представленных в цифровой форме, включает и другие действия (например, передача, уничтожение и т.д.), сфера рассмотрения настоящего стандарта связана только с начальным процессом обработки, состоящим из идентификации, сбора, получения и сохранения потенциальных свидетельств, представленных в цифровой форме.

По своему характеру свидетельства, представленные в цифровой форме, могут быть уязвимыми. Они могут быть изменены, фальсифицированы или разрушены в результате ненадлежащего обращения или изучения. Обработчики свидетельств, представленных в цифровой форме, должны быть компетентными в вопросе идентификации и менеджмента рисков, а также последствий возможных вариантов действий при обращении со свидетельствами, представленными в цифровой форме. Неспособность обращаться с цифровыми устройствами надлежащим образом может привести потенциальные свидетельства, представленные в цифровой форме и содержащиеся в этих цифровых устройствах, к непригодности для использования.

DEFR и DES должны следовать документированным процедурам для обеспечения уверенности в поддержке целостности и достоверности потенциальных свидетельств, представленных в цифровой форме. Указанные процедуры должны учитывать рекомендации по обращению с источниками потенциальных свидетельств, представленных в цифровой форме, и охватывать следующие основные принципы:

- сведение к минимуму обращения с исходным цифровым устройством или потенциальными свидетельствами, представленными в цифровой форме;

- учет любых изменений и документирование предпринятых действий (в такой степени, чтобы эксперт мог сформировать мнение о достоверности);

- соблюдение действующих на местах правил в отношении свидетельств;

- DEFR и DES не должны предпринимать действия, выходящие за рамки их компетентности.

Путем соблюдения базовых принципов и требований по обращению с потенциальными свидетельствами, представленными в цифровой форме, свидетельства должны быть сохранены. Все действия и логические обоснования должны документироваться, особенно в случае внесения неизбежных изменений. Каждый процесс обработки свидетельств, представленных в цифровой форме, т.е. идентификация, сбор, получение и сохранение более подробно обсуждается в нижеследующих пунктах.

5.4.2 Идентификация

Свидетельства, представленные в цифровой форме, могут быть в физическом или логическом виде. Физический вид означает представление данных в материальном устройстве. Логический вид потенциальных свидетельств, представленных в цифровой форме, относится к виртуальному представлению данных в устройстве.

Процесс идентификации включает поиск, распознавание и документирование потенциальных свидетельств, представленных в цифровой форме. В процессе идентификации должны определяться цифровые носители информации и устройства обработки, которые могут содержать потенциальные свидетельства, представленные в цифровой форме, имеющие отношение к инциденту. Данный процесс включает также действие по установлению приоритетов для сбора свидетельств, на основе их изменчивости. Для обеспечения уверенности в надлежащем порядке процессов сбора и получения свидетельств следует идентифицировать изменчивость данных, чтобы свести к минимуму ущерб для потенциальных свидетельств, представленных в цифровой форме, и получить наилучшие свидетельства. Кроме того, во время этого процесса следует идентифицировать скрытые потенциальные свидетельства, представленные в цифровой форме. DEFR и DES должны сознавать, что не все виды цифровых носителей информации могут быть легко идентифицированы и локализованы, например, облачная обработка данных, NAS и SAN добавляют виртуальный компонент к процессу идентификации.

DEFR и DES должны систематически проводить тщательный поиск элементов, которые могут содержать потенциальные свидетельства, представленные в цифровой форме. Различные виды цифровых устройств, которые могут содержать потенциальные свидетельства, представленные в цифровой форме, легко могут быть незамечены (например, из-за малого размера), скрыты или перемешаны с другим, не относящимся к делу материалом.

В 6.1 и 6.6 приводится дополнительная информация, касающаяся истории хранения и аспектов упаковки и маркировки при идентификации свидетельств, представленных в цифровой форме. В разделе 7 определены руководящие указания, относящиеся к конкретным примерам идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме.

5.4.3 Сбор

После идентификации цифровых устройств, которые могут содержать потенциальные свидетельства, представленные в цифровой форме, DEFR и DES должны решить, будет ли осуществляться сбор или получение свидетельств в течение следующего процесса. Существует ряд влияющих на такое решение факторов, которые более детально обсуждаются в разделе 7. Решение должно быть основано на обстоятельствах.

Сбор является одним из процессов обработки свидетельств, представленных в цифровой форме, если устройства, которые могут содержать потенциальные свидетельства, представленные в цифровой форме, перемещаются из их рабочей среды в лабораторию или иную контролируемую среду для последующего получения и анализа свидетельств. Устройства, содержащие потенциальные свидетельства, представленные в цифровой форме, могут быть в одном из двух состояний: когда питание системы включено или когда питание системы выключено. В зависимости от состояния устройства требуются разные методы и инструментальные средства. К методам и инструментальным средствам, используемым для сбора данных, могут применяться специальные процедуры.

Этот процесс включает документирование всех действий, а также упаковку устройств перед их транспортировкой. Для DEFR и DES важно собрать любой материал, который может иметь отношение к потенциальной цифровой информации (например, листы бумаги с записанными паролями, подставки и силовые разъемы для встроенных устройств). При отсутствии разумной осторожности потенциальные свидетельства, представленные в цифровой форме, могут быть потеряны или повреждены. DEFR и DES должны выбрать наилучший возможный метод сбора на основе ситуации, расходов и времени, и документально оформить решение об использовании конкретного метода.

Примечание 1 - Извлечение цифровых носителей информации не всегда рекомендовано, и DEFR должен быть уверен в своей компетентности, должен осознавать необходимость и возможность выполнения этого.

Примечание 2 - В соответствии с требованиями конкретной юрисдикции должны быть документированы сведения о несобранных цифровых устройствах с обоснованием их исключения.

5.4.4 Получение свидетельств

Процесс получения свидетельств включает создание цифровой копии свидетельств, представленных в цифровой форме (например, полного жесткого диска, раздела диска, выбранных файлов), и документирование использованных методов и выполняемых действий. DEFR должен выбрать надлежащий метод получения свидетельств, исходя из ситуации, затрат и времени, и документально оформить решение об использовании конкретного метода или инструментального средства, соответственно.

Методы, используемые для получения потенциальных свидетельств, представленных в цифровой форме, должны быть четко и подробно документированы, и, насколько это практически возможно, воспроизводиться или поддаваться проверке компетентным DEFR. DEFR или DES должны получать потенциальные свидетельства, представленные в цифровой форме, безотлагательным способом, чтобы избежать, где это возможно, внесения изменений. При осуществлении этого процесса DEFR должны рассмотреть использование наиболее подходящего метода. Если в результате процесса неизбежны изменения в цифровых данных, выполняемая деятельность должна быть задокументирована для учета изменений в данных.

В процессе получения свидетельств следует создавать копию потенциального свидетельства, представленного в цифровой форме, или цифровых устройств, которые могут содержать потенциальные свидетельства, представленные в цифровой форме. И оригинал, и копия свидетельства, представленного в цифровой форме, должны быть верифицированы с помощью проверенной функции верификации (подтвержденной как точная на данный момент времени), являющейся приемлемой для лица, которое будет использовать свидетельства. И оригинал, и каждая копия свидетельства, представленного в цифровой форме, должны давать один и тот же результат при верификации.

Возможны обстоятельства, когда процесс верификации не может быть выполнен, например, при получении свидетельств в работающей системе, оригинал содержит ошибки секторов или период получения свидетельств ограничен по времени. В таких случаях DEFR должен использовать наилучший доступный метод, и быть в состоянии обосновать и защитить выбор метода. Если создание образа не может быть проверено, то это должно быть задокументировано и обосновано. При необходимости используемый метод получения свидетельств должен иметь возможность получения выделенного и незанятого пространства.

Примечание 1 - Если процесс верификации не может быть осуществлен для источника в целом, вследствие ошибок источника, то осуществляется верификация тех частей источника, которые могут быть надежно прочитаны.

Могут быть случаи, когда невозможно или недопустимо создание копии свидетельства, представленного в цифровой форме, например, когда источник слишком велик. В таких случаях DEFR должен осуществить логическое получение свидетельства, нацеленное только на определенные типы данных, директории или адреса. Это обычно происходит на уровне файлов и разделов диска. Во время логического получения свидетельства, в зависимости от используемого метода, могут быть скопированы только активные файлы и распределенное пространство цифрового носителя информации, а удаленные файлы или нераспределенное пространство могут не копироваться. Другим примером, где такой метод может быть полезен, являются критичные для целевой задачи системы, не допускающие отключения.

Примечание 2 - Некоторые юрисдикции могут требовать особого обращения с данными, например, опечатывания в присутствии владельца данных. Опечатывание должно осуществляться в соответствии с локальными требованиями (законодательными и процессуальными).