ISO standaryzuje informatykę śledczą

Data: 1 lipca 2013 | Autor: | Brak komentarzy »

Zakusy Międzynarodowej Organizacji Normalizacyjnej, aby ustandaryzować cały świat, dotarły w końcu także do obszaru zarządzania ryzykiem nadużyć. Na pierwszy ogień poszła tematyka informatyki śledczej. Być może nawet to stwierdzenie jest zbyt daleko idące, jako że przeglądając prace Komitetu Technicznego, zajmującego się tym tematem (ISO/IEC JTC 1/SC 27), oczywiste staje się, że rodowód standardów wywodzi się z obszaru bezpieczeństwa informatycznego, a konkretnie z działki incydent reponse, nie jest zaś samoistnym bytem działki computer forensics.

Fakt pozostaje jednak faktem, że zasady i standardy obowiązujące przy badaniu incydentów bezpieczeństwa w dużej mierze pokrywają się z analizami wykonywanymi przez informatyków śledczych, szczególnie w tych obszarach, w których interesuje nas nie tylko zawartość plików podejrzanego (tzw. custodiana), ale także historia jego działalności na stacji roboczej i w sieci.

W zasadzie temat nie jest nowy, ponieważ pierwszy standard z tej działki światło dzienne ujrzał już w październiku zeszłego roku. Mowa tutaj o dokumencie ISO/IEC 27037:2012Guidelines for identification, collection, acquisition, and preservation of digital evidence (Wytyczne dla identyfikacji, gromadzenia, pozyskiwania i zabezpieczania dowodów elektronicznych). Natomiast moment na zwrócenie uwagi na ten temat wydaje się odpowiedni, ponieważ w II połowie czerwca status 30.20, oznaczający rozpoczęcie prac nad kompletnym draftem przygotowanym przez Komitet (CD – Committee Draft), osiągnęły trzy inne standardy z tego obszaru:

  • ISO/IEC 27041 – Guidance on assuring suitability and adequacy of incident investigation methods,
  • ISO/IEC 27042 – Guidelines for the analysis and interpretation of digital evidence,
  • ISO/IEC 27043 – Incident investigation principles and processes.

Niecierpliwych od razu ostrzegam, że do publikacji rzeczonych dokumentów jeszcze długa droga, jako że w samych pracach Komitetu muszą one osiągnąć jeszcze dwa stadia rozwojowe: DIS (Draft International Standard) oraz FDIS (Final Draft International Standard), co potrwa zapewne ok. roku, jeśli nie dłużej.

Gotowy już standard ISO/IEC 27037 ma na celu zapewnienie dowodom elektronicznym odpowiedniego stopnia autentyczności i wierności (niestety trudno za pomocą procedur zapewnić jest kompletność, wystarczalności oraz przystępność), co z kolei ma przełożyć się na usprawnienie przetwarzania tych dowodami przez organy wymiaru sprawiedliwości oraz wzrost ich wiarygodności jako dowodów w sprawie. Przedstawiciele ISO mają również nadzieję, że jednolitość procesowania dowodów elektronicznych wspomoże ich wymianę i uznawalność między różnymi porządkami prawnymi.

Sam dokument ISO/IEC 27037 jest niewielki (liczy zaledwie 38 stron), ale zakres jego zastosowania jest szeroki, bowiem zgodnie z deklaracjami dotyczy on postępowania z danymi pozyskiwanymi z:

  • nośników danych, takich jak dyski twarde, nośników optycznych (płyty CD/DVD), nośników magnetooptycznych, przenośnych pamięci (pendrive’y, kart pamięci) i podobnych urządzeń,
  • telefonów komórkowych, smartfonów, urządzeń PDA (elektroniczni asystenci),
  • systemów nawigacji,
  • aparatów i kamer (w tym CCTV)
  • komputerów funkcjonujących w sieciach,
  • sieci bazujących na TCP/IP oraz innych protokołach,
  • wszelkich innych urządzeniach podobnego zastosowania.

Czy tego rodzaju standardy są potrzebne? Zdecydowanie. Wprawdzie specjaliści informatyki śledczej i bezpieczeństwa komputerowego wypracowali przez lata zasady postępowania zapewniające odpowiednią jakość cyfrowego materiału dowodowego, ale nie stanowiły one oficjalnego standardu w rozumieniu prawnym i były w wielu przypadkach przedmiotem debaty ekspertów wynajętych przez strony. A wiadomo, że tam gdzie dwóch ekspertów, tam często trzy opinie… Z pewnością standardy ISO w tym zakresie to krok w dobrym kierunku, ale trzeba być realistą i zdawać sobie sprawę, że czas ich powszechnej adaptacji będzie zapewne długi.



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.