25.02.2011

ISO 27037 - как собирать доказательства

Готовится сейчас в ISO новый стандарт - ISO 27037 "Information technology -- Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence", посвященный описанию и систематизации процесса сбора доказательств во время расследования компьютерных инцидентов. Стандарт конечно высокоуровневый (как и все стандарты ISO) и уступает сугубо практическим рекомендациям МинЮста США и CERT/CC, но все-таки это международный стандарт, устанавливающий общий язык для всех специалистов.

Преимуществом является использование блок-схем, упрощающих последовательность действий в тех или иных ситуациях, которые могут возникнуть при сборе доказательств. Хотя надо понимать, что эти рекомендации применимы только в том случае, если вы не планируете доводить дело до суда. В этом случае самостоятельно собранные доказательства не будут восприняты судом, как законно полученные ;-(

6 коммент.:

Vadim комментирует...

А в России этот стандарт когда-нибудь действовать будет?

Алексей Лукацкий комментирует...

Как национальный? Вполне может быть.

securityinform комментирует...

А есть ли смысл в таком стандарте, если всё равно нельзя нести собранное в суд?

pushkinist комментирует...

2securityinform
а что, часто дело доводится до суда чтоли?

Алексей Лукацкий комментирует...

Ну во-первых, данный стандарт может использоваться и правоохранителями. Во-вторых, вам ничто не мешает собирать данные ВМЕСТЕ с правоохранителями, чтобы придать доказательствам юридическую силу. И самое главное - не каждая компания ставит перед собой цель доводить дело до суда. Многим нужно просто предотвратить повтор инцидента или покарать нарушителя своими силами. Суд нужен, если вы хотите возместить ущерб, но в России - это редкая практика.

securityinform комментирует...

"Для себя" и без стандартов прекрасно собирают, о чем говорит наш многолетний опыт.