Trang /
Tiêu chuẩn Quốc gia TCVN ISO/IEC 27037:2019 Xác định, tập hợp và bảo quản các bằng chứng số
- Thuộc tính
- Nội dung
- Tiêu chuẩn liên quan
- Lược đồ
- Tải về
Lưu
Theo dõi văn bản
Đây là tiện ích dành cho thành viên đăng ký phần mềm.
Quý khách vui lòng Đăng nhập tài khoản LuatVietnam và đăng ký sử dụng Phần mềm tra cứu văn bản.
Báo lỗi
Đang tải dữ liệu...
Đang tải dữ liệu...
Tiêu chuẩn Việt Nam TCVN ISO/IEC 27037:2019
Tiêu chuẩn Quốc gia TCVN ISO/IEC 27037:2019 ISO/IEC 27037:2012 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn xác định, tập hợp, thu nhận và bảo quản các bằng chứng số
Số hiệu: | TCVN ISO/IEC 27037:2019 | Loại văn bản: | Tiêu chuẩn Việt Nam |
Cơ quan ban hành: | Bộ Khoa học và Công nghệ | Lĩnh vực: | Khoa học-Công nghệ, Thông tin-Truyền thông |
Ngày ban hành: | 08/10/2019 | Hiệu lực: | |
Người ký: | Tình trạng hiệu lực: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! | |
Tình trạng hiệu lực: Đã biết
Ghi chú: Thêm ghi chú cá nhân cho văn bản bạn đang xem.
Hiệu lực: Đã biết
Tình trạng: Đã biết
TIÊU CHUẨN QUỐC GIA
TCVN ISO/lEC 27037:2019
ISO/IEC 27037:2012
CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN XÁC ĐỊNH, TẬP HỢP, THU NHẬN VÀ BẢO QUẢN CÁC BẰNG CHỨNG SỐ
Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence
Lời nói đầu
TCVN ISO/IEC 27037:2019 hoàn toàn tương đương với ISO/IEC 27037:2012.
TCVN ISO/IEC 27037:2019 do Trung tâm ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
Tiêu chuẩn này cung cấp hướng dẫn cho các hoạt động cụ thể trong việc xử lý các bằng chứng số tiềm năng; các quy trình này bao gồm: xác định, tập hợp, thu nhận và bảo quản các bằng chứng số tiềm năng. Các quy trình này được yêu cầu trong một cuộc điều tra được thiết kế để duy trì tính toàn vẹn của bằng chứng số - phương pháp có thể được chấp nhận trong việc tìm kiếm bằng chứng số cho phép chấp nhận bằng chứng này trong các hành động pháp lý và luật định cũng như các trường hợp được yêu cầu khác. Tiêu chuẩn này cũng cung cấp các hướng dẫn chung cho việc tập hợp bằng chứng phi số có thể giúp ích trong giai đoạn phân tích các bằng chứng số tiềm năng.
Tiêu chuẩn này nhằm mục đích cung cấp hướng dẫn cho những cá nhân chịu trách nhiệm xác định, tập hợp, thu nhận và bảo quản bằng chứng số tiềm năng. Những cá nhân này bao gồm Người ứng phó bằng chứng số đầu tiên (DEFR), Chuyên gia về bằng chứng số (DES), chuyên gia ứng phó sự cố và người quản lý phòng thí nghiệm pháp y. Tiêu chuẩn này đảm bảo rằng các cá nhân có trách nhiệm sẽ quản lý bằng chứng số tiềm năng theo những cách thực tế có thể được chấp nhận trên toàn thế giới, với mục tiêu thúc đẩy điều tra các thiết bị kỹ thuật số và bằng chứng số một cách có hệ thống và không thiên vị trong khi vẫn duy trì tính toàn vẹn và tính xác thực của nó.
Tiêu chuẩn này cũng nhằm mục đích thông báo cho những người ra quyết định - những người cần xác định độ tin cậy của bằng chứng số được trình bày với họ. Nó được áp dụng cho các tổ chức cần bảo vệ, phân tích và trình bày bằng chứng số tiềm năng. Nó thích hợp cho các cơ quan hoạch định chính sách tạo ra và đánh giá các thủ tục liên quan đến bằng chứng số, thường là một phần của một bằng chứng lớn hơn.
Bằng chứng số tiềm năng được đề cập trong tiêu chuẩn này có thể có nguồn gốc từ các loại thiết bị kỹ thuật số, mạng, cơ sở dữ liệu khác nhau... Nó đề cập đến dữ liệu đã ở định dạng kỹ thuật số. Tiêu chuẩn này không bao gồm việc chuyển đổi dữ liệu tương tự sang định dạng kỹ thuật số.
Do tính nhạy cảm của bằng chứng số, cần phải thực hiện một phương pháp có thể chấp nhận để đảm bảo tính toàn vẹn và tính xác thực của bằng chứng số tiềm năng. Tiêu chuẩn này không bắt buộc sử dụng các công cụ hoặc phương pháp cụ thể. Các thành phần chính cung cấp độ tin cậy trong cuộc điều tra là phương pháp được áp dụng trong quá trình và các cá nhân đủ điều kiện để thực hiện các nhiệm vụ được chỉ định trong phương pháp luận. Tiêu chuẩn này không đề cập đến phương pháp luận về thủ tục pháp lý, thủ tục luật định và các hành động liên quan khác trong việc xử lý bằng chứng số tiềm năng nằm ngoài phạm vi xác định, tập hợp, thu nhận và bảo quản.
Mặc dù tiêu chuẩn này không bao gồm sự sẵn sàng về mặt pháp y, nhưng sự sẵn sàng pháp y có thẩm quyền có thể hỗ trợ lớn cho việc xác định, tập hợp, thu nhận và bảo quản các bằng chứng số. Sự sẵn sàng về mặt pháp y thể hiện năng lực phù hợp của một tổ chức trong việc xác định, tập hợp, thu nhận và bảo quản, bảo vệ và phân tích bằng chứng số. Trong khi các quy trình và hoạt động được mô tả trong tiêu chuẩn này về cơ bản là các biện pháp phản ứng được sử dụng để điều tra một sự cố đã xảy ra, thì sự sẵn sàng pháp y là một quá trình chủ động, cố gắng lên kế hoạch cho các sự kiện đó.
Tiêu chuẩn này bổ sung cho ISO/IEC 27001 và ISO/IEC 27002, và đặc biệt là các yêu cầu kiểm soát liên quan đến việc thu nhận bằng chứng số tiềm năng bằng cách cung cấp hướng dẫn thực hiện bổ sung. Ngoài ra, tiêu chuẩn này sẽ có các ứng dụng trong bối cảnh độc lập với ISO/IEC 27001 và ISO/IEC 27002. Tiêu chuẩn này phải được đọc cùng với các tiêu chuẩn khác liên quan đến bằng chứng số và điều tra sự cố an toàn thông tin.
CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN XÁC ĐỊNH, TẬP HỢP, THU NHẬN VÀ BẢO QUẢN CÁC BẰNG CHỨNG SỐ
Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence
1 Phạm vi áp dụng
Tiêu chuẩn này đưa ra hướng dẫn cho các hoạt động cụ thể trong xử lý bằng chứng số bao gồm xác định, tập hợp, thu nhận và bảo quản bằng chứng số có thể có giá trị chứng cứ. Tiêu chuẩn này đưa ra hướng dẫn cho các cá nhân về tình huống phổ biến trong quá trình xử lý bằng chứng số và hỗ trợ các tổ chức về quy trình cần tuân thủ và tạo thuận lợi cho việc trao đổi bằng chứng số tiềm năng giữa các tổ chức.
Tiêu chuẩn này đưa ra hướng dẫn cho các thiết bị và/hoặc các chức năng dưới đây thường được sử dụng trong nhiều trường hợp:
- Phương tiện lưu trữ số được sử dụng trong máy tính tiêu chuẩn như ổ đĩa cứng, ổ đĩa mềm, ổ quang học và ổ quang học từ tính, thiết bị dữ liệu với chức năng tương tự.
- Điện thoại di động, các thiết bị hỗ trợ cá nhân (PDA), các thiết bị điện tử cá nhân (PED), các thẻ nhớ;
- Hệ thống định vị di động;
- Máy ảnh số và máy quay video (bao gồm CCTV);
- Máy tính tiêu chuẩn với các kết nối mạng;
- Các mạng dựa trên TCP/IP và các giao thức số khác;
- Các thiết bị với các chức năng tương tự như trên.
CHÚ THÍCH 1: Danh sách các thiết bị trên là một danh sách thực tế và không đầy đủ.
CHÚ THÍCH 2: Trường hợp thực tế sẽ bao gồm các thiết bị trên mà tồn tại dưới các hình thức khác nhau. Ví dụ một hệ thống tự động có thể gồm hệ thống định vị di động, lưu trữ dữ liệu và hệ thống cảm biến.
2 Tài liệu viện dẫn
Tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).
ISO/TR 15801, Document management - Information Stored Electronically - Recommendations for trustworthiness and reliability (Quản lý tài liệu - Thông tin lưu trữ điện tử - Các khuyến nghị về sự tin cậy và độ tin cậy).
TCVN ISO/IEC 17020 (ISO/IEC 17020), Đánh giá sự phù hợp - Yêu cầu đối với hoạt động của tổ chức tiến hành giám định.
TCVN ISO/IEC 17025:2007 (ISO/IEC 17025:2005), Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn.
TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng.
3 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN 11238, TCVN ISO/IEC 17020, TCVN ISO/IEC 17025, ISO/TR 15801 và các thuật ngữ, định nghĩa sau:
3.1
Thu nhận (acquisition)
Quá trình tạo ra một bản sao của dữ liệu trong một tập dữ liệu đã được xác định.
CHÚ THÍCH: sản phẩm của việc thu nhận là một bản sao bằng chứng số tiềm năng.
3.2
Không gian được cấp phát (allocated space)
Phân vùng trên phương tiện lưu trữ số, bao gồm cả bộ nhớ chính, được sử dụng cho việc lưu trữ dữ liệu, bao gồm cả siêu dữ liệu.
3.3
Tập hợp (collection)
Quá trình thu nhận các mẫu vật lý có chứa bằng chứng số tiềm năng.
3.4
Thiết bị số (digital device)
Thiết bị điện tử được sử dụng để xử lý hoặc lưu trữ dữ liệu số.
3.5
Bằng chứng số (digital evidence)
Thông tin hoặc dữ liệu được lưu trữ hoặc truyền tải dưới dạng nhị phân coi là tin cậy làm bằng chứng.
3.6
Bản sao bằng chứng số (digital evidence copy)
Bản sao của bằng chứng số được tạo ra để duy trì tính tin cậy của bằng chứng này bằng cách bao gồm cả bằng chứng số và cách thức xác minh, trong đó phương pháp xác minh có thể được nhúng hoặc độc lập với các công cụ được sử dụng để xác minh.
3.7
Người ứng phó bằng chứng số đầu tiên (Digital Evidence First Responder)
DEFR
Cá nhân được ủy quyền, được đào tạo và có đủ khả năng hành động đầu tiên tại hiện trường sự cố để thực hiện tập hợp và thu nhận bằng chứng số với trách nhiệm xử lý bằng chứng đó.
CHÚ THÍCH: Ủy quyền, đào tạo và trình độ chuyên môn là các yêu cầu cần thiết để tạo ra các bằng chứng số đáng tin cậy, nhưng có thể có hoàn cảnh cụ thể mà cá nhân không đáp ứng đầy đủ ba yêu cầu trên. Trong trường hợp này, cần xem xét đến luật pháp, chính sách của tổ chức và trường hợp cụ thể.
3.8
Chuyên gia bằng chứng số (Digital Evidence Specialist)
Cá nhân có thể thực hiện các nhiệm vụ của một DEFR và có kiến thức chuyên sâu, kỹ năng và khả năng để xử lý một loạt các vấn đề kỹ thuật.
CHÚ THÍCH: Một chuyên gia bằng chứng số có thể có thêm kỹ năng thích hợp, ví dụ, thu nhận dữ liệu từ mạng; thu nhận dữ liệu từ RAM, có kiến thức về phần mềm hệ điều hành hoặc kiến thức về máy tính lớn (Mainframe).
3.9
Phương tiện lưu trữ số (digital storage medium)
Thiết bị có thể ghi lại được dữ liệu số.
3.10
Phương tiện bảo quản bằng chứng số (evidence preservation facility)
Môi trường hoặc một vị trí an toàn nơi lưu trữ các bằng chứng được tập hợp và thu nhận
CHÚ THÍCH: Một phương tiện bảo quản bằng chứng số không được để phơi nhiễm từ trường, bụi, rung động, hơi nước hoặc bất kỳ yếu tố môi trường khác (như nhiệt độ và độ ẩm khắc nghiệt) mà các yếu tố này có thể phá hủy các bằng chứng số tiềm năng chứa trong phương tiện.
3.11
Giá trị băm (hash value)
Chuỗi các bit là đầu ra của một hàm băm.
3.12
Xác định (identification)
Quá trình bao gồm việc tìm kiếm, nhận dạng và lập tài liệu bằng chứng số tiềm năng.
3.13
Tạo bản sao (imaging)
Quá trình của việc tạo một bản sao theo bit của phương tiện lưu trữ số.
CHÚ THÍCH: Sao chép bít nhị phân cũng được gọi là sao chép vật lý.
VÍ DỤ: Khi tạo bản sao một ổ cứng, DEFR cũng có thể sao chép dữ liệu đã bị xóa.
3.14
Thiết bị ngoại vi (peripheral)
Thiết bị được gắn vào một thiết bị số để mở rộng chức năng của thiết bị số.
3.15
Bảo quản (preservation)
Quá trình duy trì và bảo vệ tính toàn vẹn và/hoặc trạng thái gốc của bằng chứng số tiềm năng.
3.16
Tính tin cậy (reliability)
Thuộc tính về sự nhất quán trong hành vi dự kiến và kết quả.
3.17
Tính lặp lại (repeatability)
Thuộc tính của một quá trình thực hiện để nhận được cùng kết quả kiểm thử trên cùng môi trường kiểm thử (cùng máy tính, ổ cứng, chế độ vận hành...).
3.18
Tính tái tạo (reproducibility)
Thuộc tính của một quá trình để nhận được cùng kết quả trên một môi trường kiềm thử khác (khác máy tính, ổ cứng, người vận hành...).
3.19
Sự sửa đổi (spoliation)
Hành động tạo ra hoặc cho phép thay đổi bằng chứng số tiềm năng làm giảm bớt giá trị của bằng chứng số tiềm năng này.
3.20
Thời gian hệ thống (system time)
Thời gian được sinh ra bởi đồng hồ hệ thống và sử dụng bởi hệ điều hành, không phải thời gian tính toán của hệ điều hành.
3.21
Sự giả mạo (tampering)
Hành động cố ý tạo hoặc làm thay đổi bằng chứng số (nghĩa là sửa đổi có chủ ý hoặc có mục đích).
3.22
Tem thời gian (time stamp)
Một tham số biến thiên theo thời gian đánh dấu một thời điểm trong một hệ tham chiếu thời gian thông thường.
[TCVN 7817-1:2007]
3.23
Không gian chưa cấp phát (unallocated space)
Phân vùng trên phương tiện lưu trữ số, bao gồm bộ nhớ chính, mà chưa được cấp phát bởi hệ điều hành và khu vực này sẵn sàng để lưu trữ dữ liệu, bao gồm cả siêu dữ liệu.
3.24
Tính hợp lệ (validation)
Sự xác nhận, thông qua việc cung cấp các bằng chứng khách quan, mà các yêu cầu cho sử dụng với mục đích cụ thể hoặc ứng dụng đã được đáp ứng đầy đủ.
3.25
Hàm xác minh (verification funtion)
Hàm được sử dụng để xác minh rằng hai bộ dữ liệu là đồng nhất.
CHÚ THÍCH 1: Không có hai bộ dữ liệu không đồng nhất tạo ra một kết quả so sánh đồng nhất từ một hàm xác minh.
CHÚ THÍCH 2: Các hàm xác minh thường được thực hiện bằng cách sử dụng các hàm băm như MD5, SHA1... nhưng các phương pháp khác cũng có thể được sử dụng.
3.26
Dữ liệu dễ thay đổi (volatile data)
Dữ liệu đặc biệt dễ bị thay đổi và có thể bị chỉnh sửa dễ dàng.
CHÚ THÍCH: Thay đổi có thể do ngắt điện hoặc đi qua từ trường. Dữ liệu dễ thay đổi cũng bao gồm dữ liệu mà thay đổi khi trạng thái hệ thống thay đổi. Ví dụ như dữ liệu được lưu trong RAM và các địa chỉ IP động.
4 Kí hiệu và từ viết tắt
AVI | Tệp tin đa phương tiện | Audio Video Interleave |
CCTV | Truyền hình mạch kín | Closed Circuit Television |
CD | Đĩa quang CD | Compact Disk |
DNA | Axit Deoxyribonucleic Acid | Deoxyribonucleic Acid |
DEFR | Người ứng phó bằng chứng số đầu tiên | Digital Evidence First Responder |
DES | Chuyên gia về bằng chứng số | Digital Evidence Specialists |
DVD | Đĩa quang DVD | Digital VideoA/Versatile Disk |
ESN | Số seri điện tử | Electronic Serial Number |
GPS | Hệ thống định vị toàn cầu | Global Positioning System |
GSM | Hệ thống thông tin di động toàn cầu | Global System for Mobile Communication |
IMEI | Số nhận dạng thiết bị di động quốc tế | International Mobile Equipment Identity |
IP | Giao thức kết nối Internet | Internet Protocol |
ISIRT | Nhóm ứng cứu sự cố an toàn thông tin | Information Security Incident Response Team |
LAN | Mạng cục bộ | Local Area Network |
MD5 | Thuật toán hàm băm MD5 | Message-Digest Algorithm 5 |
MP3 | Định dạng mã hóa cho số âm thanh | MPEG Audio Layer 3 |
MPEG | Nhóm các chuyên gia hình ảnh động | Moving Picture Experts Group |
NAS | Thiết bị lưu trữ gắn vào mạng | Network Attached Storage |
PDA | Thiết bị số hỗ trợ cá nhân | Personal Digital Assistant |
PED | Thiết bị điện tử cá nhân | Personal Electronic Device |
PIN | Mã số định danh cá nhân | Personal Identification Number |
PUK | Mã số mở khóa cá nhân | PIN Unlock Key |
RAID | Mảng đĩa độc lập dự phòng | Redundant Array of Independent Disks |
RAM | Bộ nhớ truy cập ngẫu nhiên | Random Access Memory |
RFID | Nhận dạng tần số radio | Radio Frequency Identitication |
SAN | Mạng lưu trữ SAN | Storage Area Network |
SHA | Thuật toán băm an toàn | Secure Hash Algorithm |
SIM | Mô - đun nhận dạng thuê bao | Subscriber Identity Module |
USB | Chuẩn kết nối tuần tự đa dụng | Universal Serial Bus |
UPS | Bộ lưu điện | Uninterruptible Power Supply |
USIM | Mô - đun nhận dạng thuê bao toàn cầu | Universal Subscriber Identity Module |
UV | Bức xạ tử ngoại | Ultraviolet |
Wi-Fi | Mạng không dây sử dụng sóng vô tuyến | Wireless Fidelity |
5 Tổng quan
5.1 Bối cảnh trong việc tập hợp bằng chứng số
Bằng chứng số có thể được yêu cầu sử dụng trong một số kịch bản khác nhau mà mỗi kịch bản này có sự cân bằng khác nhau giữa các tác nhân về chất lượng bằng chứng, thời điểm phân tích, việc khôi phục dịch vụ và chi phí tập hợp bằng chứng số. Do đó, các tổ chức sẽ được yêu cầu có một quá trình ưu tiên để xác định như cầu và cân bằng giữa chất lượng bằng chứng, thời điểm và việc khôi phục dịch vụ trước khi DEFR thực hiện nhiệm vụ. Một quá trình ưu tiên gồm việc thực hiện một đánh giá các tài liệu có sẵn nhằm quyết định giá trị bằng chứng có thể và trình tự mà các bằng chứng số tiềm năng nên được tập hợp, thu nhận hoặc bảo quản. Việc ưu tiên được thực hiện nhằm giảm thiểu tối đa rủi ro cho bằng chứng số tiềm năng có thể bị hư hỏng và tối đa hóa giá trị bằng chứng của bằng chứng số được tập hợp.
5.2 Các nguyên tắc của bằng chứng số
Tại hầu hết các cơ quan và các tổ chức, bằng chứng số được quản lý bởi ba nguyên tắc chủ yếu: sự liên quan, sự tin cậy và sự đầy đủ. Đó là ba nguyên tắc quan trọng trong tất cả các cuộc điều tra. Bằng chứng số gọi là liên quan khi nó sẽ chứng minh hay bác bỏ một yếu tố của trường hợp cục thể đang bị điều tra. Mặc dù định nghĩa chi tiết về “sự tin cậy” là khác nhau giữa các cơ quan nhưng đều có nghĩa tổng quan về nguyên tắc được thống nhất trên diện rộng là “để đảm bảo rằng bằng chứng số đúng là thứ mà nó giải nghĩa”. DEFR thường không cần tập hợp tất cả các dữ liệu hoặc tạo ra một bản sao đầy đủ của bằng chứng số gốc. Ở nhiều cơ quan khái niệm “sự đầy đủ” nghĩa là DEFR cần tập hợp đủ các bằng chứng số tiềm năng để thẩm tra hoặc điều tra đầy đủ các yếu tố của vấn đề. Hiểu biết về khái niệm này là đặc biệt quan trọng đối với DEFR để xác định đúng các nỗ lực cần ưu tiên khi quan tâm về vấn đề thời gian và chi phí.
CHÚ THÍCH: DEFR nên đảm bảo việc tập hợp các bằng chứng số tiềm năng phù hợp với luật pháp, quy định, yêu cầu trong từng trường hợp cụ thể.
Tất cả các quy trình được sử dụng bởi DEFR và DES cần được xác nhận tính hợp lệ trước khi thực hiện. Nếu việc xác nhận tính hợp lệ đó được thực hiện bên ngoài thì DEFR hoặc DES cần xác minh rằng việc xác nhận là phù hợp với môi trường, hoàn cảnh và mục đích của quy trình được sử dụng. DEFR hoặc DES cũng nên:
a) Lập tài liệu tất cả các hành động;
b) Quyết định và áp dụng một phương pháp cho việc thiết lập độ chính xác, độ tin cậy của bản sao bằng chứng số tiềm năng so với bản gốc;
c) Nhận biết rằng hành động bảo quản bằng chứng số tiềm năng không thể luôn là hành động không có sự can thiệp.
5.3 Các yêu cầu đối với xử lý bằng chứng số
5.3.1 Tổng quan
Các nguyên tắc đặt ra tại Điều 5.2 bên trên có thể được thỏa mãn như sau:
- Sự liên quan: Phải có thể chứng minh được rằng tài liệu thu nhận được là có liên quan đến việc điều tra. Tức là nó phải chứa các thông tin có giá trị hỗ trợ điều tra. Thông qua đánh giá và biện minh, DEFR phải có khả năng mô tả các thủ tục đã thực hiện và giải thích làm thế nào mà đã ra quyết định thu nhận từng hạng mục.
- Sự tin cậy: Tất cả các quá trình được sử dụng để xử lý các bằng chứng số tiềm năng phải có thể đánh giá được và có tính lặp lại. Kết quả của việc áp dụng các quá trình này phải có tính tái tạo.
- Sự đầy đủ: DEFR phải cân nhắc thu thập đủ các hạng mục để cho phép thực hiện điều tra một cách đầy đủ. DEFR phải có thể thông qua đánh giá và biện minh để quyết định số lượng và hạng mục cần thu thập dựa trên tổng số hạng mục đã được cân nhắc thu thập và các thủ tục đã được thực hiện.
CHÚ THÍCH: Các hạng mục có thể được thu thập thông qua các hành động thu nhận và/hoặc tập hợp.
Có 04 khía cạnh trong việc xử lý bằng chứng số: khả năng đánh giá, khả năng biện minh, và khả năng lặp lại hoặc khả năng tái tạo tùy thuộc vào hoàn cảnh cụ thể.
5.3.2 Khả năng đánh giá
Một người đánh giá độc lập hoặc những người được ủy quyền khác phải có thể đánh giá được các hoạt động mà DEFR và DES đã thực hiện. Điều này có thể thực hiện được bằng việc lập tài liệu đầy đủ tất cả các hành động đã thực hiện. DEFR và DES cần phải có khả năng biện minh cho quá trình ra quyết định lựa chọn một chuỗi các hành động cho trước. Các quy trình DEFR và DES thực hiện nên được chuẩn bị sẵn để người đánh giá độc lập xác định tính khoa học đầy đủ của phương pháp, kỹ thuật hoặc thủ tục đã thực hiện.
5.3.3 Tính lặp lại
Tính lặp lại được thiết lập khi trong những điều kiện sau đây sẽ tạo ra cùng kết quả kiểm thử:
- Sử dụng cùng phương pháp, thủ tục kiểm thử;
- Sử dụng cùng công cụ trong cùng điều kiện;
- Có thể lặp lại tại bất kỳ thời điểm nào sau phép kiểm thử gốc/ban đầu.
Một DEFR có kinh nghiệm và chuyên môn phù hợp cần có khả năng thực hiện tất cả các quá trình được mô tả trong tài liệu và đi đến cùng một kết quả mà không cần hướng dẫn hoặc giải thích. DEFR phải nhận biết rằng có thể có những trường hợp không thể lặp lại các thử nghiệm, ví dụ: khi một ổ cứng đã được sao chép dữ liệu và được đưa sử dụng lại, hoặc khi một khoản mục có liên quan đến bộ nhớ dễ biến động. Trong trường hợp này, DEFR nên đảm bảo quá trình thu nhận là đáng tin cậy. Để đạt được tính lặp lại, kiểm soát chất lượng và lập tài liệu quá trình này phải được thực hiện tại chỗ.
5.3.4 Tính tái tạo
Khả năng tái tạo được thiết lập khi trong những điều kiện sau đây sẽ tạo ra cùng kết quả kiểm thử:
- Sử dụng cùng phương pháp kiểm thử;
- Sử dụng các công cụ khác nhau và trong các điều kiện khác nhau;
- Có thể tái tạo được tại bất kỳ thời điểm nào sau phép kiểm thử gốc.
Nhu cầu cho việc tái tạo kết quả thay đổi tùy thuộc vào pháp lý và tình huống, vì thế DEFR hoặc cá nhân thực hiện việc tái tạo cần phải được thông tin về các điều kiện áp dụng.
5.3.5 Khả năng biện minh
DEFR phải có khả năng biện minh tất các hành động và các phương pháp đã sử dụng trong xử lý bằng chứng số. Biện minh có thể đạt được bằng cách chứng minh rằng các quyết định là sự lựa chọn tốt nhất để có được tất cả các bằng chứng số. DEFR hoặc DES khác cũng có thể chứng minh điều này bằng cách tái tạo thành công hoặc xác minh các hành động và phương pháp đã sử dụng.
Tổ chức sẽ có lợi nhất nếu thuê một DEFR hoặc DES có kỹ năng và năng lực cơ bản như được mô tả trong Phụ lục A của tiêu chuẩn này. Điều này đảm bảo rằng các quá trình và thủ tục đúng đắn đã được thực hiện khi xử lý các bằng chứng số để đảm bảo việc bảo quản các bằng chứng số có giá trị chứng cứ. Điều này cũng sẽ đảm bảo các tổ chức có thể sử dụng các bằng chứng số tiềm năng, ví dụ trong các thủ tục kỷ luật của tổ chức hoặc trong việc tạo thuận lợi cho trao đổi bằng chứng số tiềm năng giữa các cơ quan pháp luật.
CHÚ THÍCH: Năng lực mô tả trong Phụ lục A được giới hạn cho chức năng của DEFR, có liên kết với vai trò DES như xác định trong Điều 3.8.
5.4 Quá trình xử lý bằng chứng số
5.4.1 Tổng quan
Mặc dù quá trình xử lý bằng chứng số đầy đủ bao gồm các hoạt động khác (ví dụ: trình bày, bác bỏ...), phạm vi của tiêu chuẩn này chỉ liên quan đến quá trình xử lý ban đầu bao gồm xác định, tập hợp, thu nhận và bảo quản bằng chứng số tiềm năng.
Bằng chứng số có thể rất dễ bị phá hủy. Nó có thể bị thay đổi, giả mạo, hoặc phá hủy do xử lý hoặc thẩm tra không đúng cách. Người xử lý bằng chứng số nên có năng lực để xác định và quản lý các rủi ro và hậu quả của tiến trình hành động tiềm năng khi xử lý bằng chứng số. Các lỗi do không xử lý thiết bị số bằng phương pháp thích hợp có thể khiến các bằng chứng số tiềm năng chứa trong những thiết bị số này không sử dụng được.
DEFR và DES nên thực hiện theo các thủ tục đã được lập tài liệu để đảm bảo sự toàn vẹn và độ tin cậy của các bằng chứng số tiềm năng. Các thủ tục bao gồm các hướng dẫn xử lý nguồn bằng chứng số tiềm năng và phải bao gồm các nguyên tắc cơ bản sau:
- Giảm tối đa việc xử lý các thiết bị số gốc hoặc bằng chứng số tiềm năng;
- Giải thích bất kỳ thay đổi và các hành động đã thực hiện (đến mức độ mà một chuyên gia có thể hình thành ý kiến về độ tin cậy);
-Tuân thủ các quy tắc nội bộ về bằng chứng;
- DEFR và DES không nên thực hiện những hành động vượt quá năng lực của họ.
Bằng việc tuân thủ các nguyên tắc cơ bản và các yêu cầu về xử lý bằng chứng số tiềm năng, bằng chứng số sẽ được bảo quản. Đặc biệt trong trường hợp khi mà những thay đổi là không thể tránh khỏi, tất cả các hành động và lý do thực hiện cần phải được lập tài liệu. Mỗi quá trình xử lý bằng chứng số, ví dụ xác định, tập hợp, thu nhận và bảo quản được đề cập chi tiết hơn tại các điều dưới đây.
5.4.2 Xác định
Bằng chứng số được thể hiện qua hai hình thức là vật lý và logic. Hình thức vật lý bao gồm biểu diễn của dữ liệu trong một thiết bị hữu hình. Hình thức logic của các bằng chứng số tiềm năng chỉ các biểu diễn ảo của dữ liệu trong một thiết bị.
Quá trình xác định liên quan đến việc tìm kiếm, nhận dạng và lập tài liệu cho bằng chứng số tiềm năng. Quá trình xác định nên nhận dạng các phương tiện lưu trữ số và các thiết bị xử lý có thể chứa các bằng chứng số tiềm năng liên quan đến sự cố. Quá trình này cũng bao gồm những hoạt động ưu tiên cho việc tập hợp các bằng chứng dựa vào tính dễ biến động của chúng. Sự biến động của dữ liệu cần được xác định để đảm bảo trình tự đúng của quá trình tập hợp và sao chép nhằm giảm thiểu thiệt hại cho các bằng chứng và để có được các bằng chứng tốt nhất. Ngoài ra, quá trình xác định nên nhận dạng khả năng có các bằng chứng số tiềm năng ẩn. DEFR và DES nên biết rằng không phải tất cả các loại phương tiện lưu trữ số đều có thể dễ dàng xác định và định vị, ví dụ như điện toán đám mây, NAS và SAN - tất cả loại phương tiện này đều thêm thành phần ảo vào quá trình xác định.
DEFR nên thực hiện một cách có hệ thống việc tìm kiếm toàn diện các hạng mục có thể chứa đựng bằng chứng số tiềm năng. Các loại thiết bị số khác nhau có thể chứa đựng các bằng chứng số tiềm năng mà có thể dễ dàng bị bỏ qua (ví dụ do kích thước nhỏ), bị che dấu hoặc bị lẫn lộn trong số các hạng mục không liên quan.
Điều 6.1 và điều 6.6 cung cấp thêm các thông tin về chuỗi giám sát bằng chứng, đóng gói và ghi nhãn các khía cạnh của xác định bằng chứng số. Điều 7 hướng dẫn cụ thể liên quan đến các trường hợp riêng của xác định, tập hợp, thu nhận và bảo quản bằng chứng số.
5.4.3 Tập hợp
Khi đã xác định được các thiết bị số có thể chứa bằng chứng số tiềm năng, DEFR và DES phải quyết định tập hợp hoặc thu nhận trong quá trình tiếp theo. Có một số yếu tố quyết định cho điều này và được đề cập chi tiết tại Điều 7. Việc quyết định phải dựa trên trường hợp cụ thể.
Tập hợp là một tiến trình trong quá trình xử lý bằng chứng số, trong đó các thiết bị có thể chứa bằng chứng số tiềm năng được di dời khỏi vị trí ban đầu và đưa đến phòng thí nghiệm hoặc môi trường có kiểm soát khác, sau đó là thu nhận và phân tích. Các thiết bị có chứa bằng chứng số tiềm năng có thể ở một trong hai trạng thái: Khi hệ thống đang bật nguồn hoặc khi hệ thống đang tắt nguồn. Các cách tiếp cận khác nhau và công cụ khác nhau được yêu cầu tùy thuộc vào trạng thái của thiết bị. Các thủ tục nội bộ có thể áp dụng cho các cách tiếp cận và công cụ được sử dụng cho quá trình tập hợp.
Quá trình này bao gồm việc lập tài liệu về toàn bộ cách tiếp cận, cũng như việc đóng gói các thiết bị trước khi vận chuyển. Một điều quan trọng đối với DEFR và DES là phải tập hợp bất kỳ hạng mục nào có thể liên quan đến thông tin bằng chứng số tiềm năng (ví dụ: giấy tờ có ghi mật khẩu, giá đỡ và các bộ kết nối nguồn cho các thiết bị hệ thống nhúng). Bằng chứng số tiềm năng có thể bị mất hoặc hư hỏng nếu không được bảo quản hợp lý. DEFR và DES nên áp dụng phương pháp tập hợp tốt nhất dựa trên tình hình cụ thể, chi phí và thời gian, và lập tài liệu về quyết định sử dụng một phương pháp cụ thể.
CHÚ THÍCH 1: Việc tháo dời các phương tiện lưu trữ số không được khuyến khích và DEFR nên chắc chắn rằng họ có thẩm quyền để tháo dời phương tiện lưu trữ, và nhận biết việc này là thích hợp và được phép.
CHÚ THlCH 2: Chi tiết về các thiết bị số không được tập hợp phải được lập tài liệu có kèm giải thích cho việc loại trừ các thiết bị này, phù hợp với yêu cầu và thẩm quyền.
5.4.4 Thu nhận
Quá trình thu nhận liên quan đến việc tạo ra một bản sao bằng chứng số (ví dụ: toàn bộ đĩa cứng, phân vùng, hoặc các tệp tin được lựa chọn) và lập tài liệu về các phương pháp được sử dụng và các hoạt động đã thực hiện. DEFR nên áp dụng một phương pháp thu nhận phù hợp dựa trên tình hình thực tế, chi phí và thời gian, và lập tài liệu về quyết định sử dụng một phương pháp cụ thể hoặc một công cụ thích hợp.
Các phương pháp được sử dụng để thu nhận bằng chứng số tiềm năng nên được lập tài liệu rõ ràng, chi tiết và có thể tái tạo hoặc thẩm tra bởi một DEFR có năng lực. Một DEFR hoặc DES nên thu nhận bằng chứng số tiềm năng theo cách ít can thiệp nhất để tránh những thay đổi có thể. Để thực hiện quá trình này, DEFR nên xem xét phương pháp thích hợp nhất để sử dụng. Nếu quá trình này tạo ra những thay đổi không thể tránh khỏi cho dữ liệu số thì các hoạt động đã thực hiện phải được ghi lại trong tài liệu để giải thích những thay đổi của dữ liệu.
Phương pháp thu nhận được sử dụng nên tạo ra một bản sao bằng chứng số của bằng chứng số tiềm năng hoặc các thiết bị số có thể chứa bằng chứng số tiềm năng. Cả nguồn gốc và bản sao bằng chứng số cần được xác nhận với một hàm xác minh đã được chứng minh (độ chính xác được chứng minh tại cùng thời điểm) được chấp nhận bởi cá nhân sẽ sử dụng bằng chứng. Nguồn gốc và mỗi bản sao bằng chứng số nên tạo ra cùng một kết quả đầu ra khi áp dụng hàm xác minh.
Trong trường hợp quá trình xác minh không thể thực hiện được, ví dụ khi thu nhận một hệ thống đang chạy, bản sao gốc sẽ chứa các phân vùng (sector) lỗi, hoặc thời gian thu nhận sẽ bị giới hạn. Trong những trường hợp này, DEFR nên sử dụng phương pháp thu nhận tốt nhất có sẵn và có thể biện minh việc lựa chọn phương pháp này. Nếu bản sao không thể xác minh được, thì việc này cần phải được lập tài liệu và biện hộ. Nếu cần thiết, phương pháp thu nhận được sử dụng có thể chứa không gian lưu trữ đã được cấp phát và chưa được cấp phát.
CHÚ THÍCH 1: Khi quá trình xác minh không thể thực hiện trên một nguồn đầy đủ do có lỗi ở nguồn, việc xác minh sẽ sử dụng các phần của nguồn có thể đọc được một cách tin cậy và sử dụng được.
Có thể có các trường hợp mà không thể hoặc không được phép tạo một bản sao bằng chứng số của một nguồn bằng chứng như khi nguồn quá lớn. Trong trường hợp này, một DEFR có thể thực hiện thu nhận một phân vùng logic chỉ nhắm vào các kiểu dữ liệu, thư mục hoặc vị trí cụ thể. Thông thường việc này thực hiện trên một tệp tin và mức phân vùng. Trong suốt quá trình thu nhận logic, các tệp tin hiện hành và không gian lưu trữ đã được cấp phát không chứa tệp tin của thiết bị lưu trữ số có thể được thu nhận; các tệp tin bị xóa và không gian lưu trữ chưa được cấp phát có thể không được sao chép, tùy thuộc vào phương pháp được sử dụng. Những trường hợp khác mà phương pháp này có thể hữu ích là khi các hệ thống thực hiện nhiệm vụ trọng yếu mà không thể tắt hệ thống đó.
CHỨ THÍCH 2: Một số cơ quan pháp luật có thể yêu cầu xử lý đặc biệt đối với dữ liệu, ví dụ: thực hiện niêm phong dữ liệu có sự hiện diện chủ sở hữu dữ liệu đó. Việc niêm phong nên được thực hiện theo đúng yêu cầu nội bộ (về thủ tục và pháp luật).
5.4.5 Bảo quản
Bằng chứng số tiềm năng nên được bảo quản để chắc chắn rằng nó hữu ích trong việc điều tra. Việc bảo vệ tính toàn vẹn của bằng chứng là rất quan trọng. Quá trình bảo quản bằng chứng số bao gồm việc bảo vệ các bằng chứng số tiềm năng và các thiết bị số có thể chứa các bằng chứng số tiềm năng khỏi bị giả mạo hoặc sửa đổi. Việc bảo quản nên được bắt đầu và duy trì trong suốt quá trình xử lý bằng chứng số, bắt đầu từ việc xác định các thiết bị số chứa bằng chứng số tiềm năng.
Trong kịch bản tốt nhất không nên sửa đổi dữ liệu hoặc các siêu dữ liệu liên kết với nó (ví dụ: ngày tháng và các tem thời gian). DEFR phải có khả năng chứng minh rằng bằng chứng chưa từng được chỉnh sửa từ khi chúng được tập hợp, thu nhận, hoặc cung cấp lý do và lập tài liệu về hoạt động nếu có những thay đổi không thể tránh khỏi.
CHÚ THÍCH: Trong một vài trường hợp, tính bí mật của bằng chứng số tiềm năng được yêu cầu, hoặc là yêu cầu nghiệp vụ hoặc là một yêu cầu pháp lý (ví dụ: tính riêng tư). Các bằng chứng số tiềm năng nên được bảo quản để bảo đảm sự bí mật của dữ liệu.
6 Các thành phần chính trong xác định, tập hợp, thu nhận và bảo quản bằng chứng số
6.1 Chuỗi giám sát bằng chứng
Trong bất cứ cuộc điều tra nào, DEFR nên có thể giải thích tất cả các dữ liệu và thiết bị đã thu nhận tại thời điểm trong phạm vi giám sát của DEFR. Hồ sơ giám sát là tài liệu sắp xếp theo thứ tự các sự kiện xác định sự di chuyển và việc xử lý của bằng chứng số tiềm năng. Hồ sơ này nên được lập từ quá trình tập hợp hoặc thu nhận. Điều này thường được thực hiện bằng cách truy vết lịch sử của các hạng mục từ thời điểm nó được đội điều tra xác định, tập hợp hoặc thu nhận cho đến trạng thái và vị trí hiện tại.
Hồ sơ giám sát là tài liệu hoặc một loạt các tài liệu có liên quan ghi chi tiết về chuỗi giám sát và ghi lại người chịu trách nhiệm xử lý các bằng chứng số, ở dạng dữ liệu số hoặc ở các dạng khác (như ghi chép giấy). Mục đích của việc duy trì hồ sơ giám sát là cho phép xác định việc truy cập và di chuyển của bằng chứng số ở mỗi thời điểm xác định. Hồ sơ giám sát có thể bao gồm nhiều tài liệu, ví dụ đối với bằng chứng số tiềm năng nên có một tài liệu ghi lại sự thu nhận dữ liệu số vào một thiết bị cụ thể, sự di chuyển của thiết bị này và tài liệu ghi lại sự trích xuất hoặc sao chép bằng chứng số tiềm năng sau đó để phân tích hoặc cho các mục đích khác. Hồ sơ giám sát nên có ít nhất các thông tin dưới đây:
- Mã định danh duy nhất của bằng chứng;
- Người truy cập vào bằng chứng và thời gian, vị trí nơi truy cập;
- Người kiểm tra và thời điểm kiểm tra bằng chứng được đưa vào, đưa ra khỏi cơ sở bảo quản bằng chứng;
- Lý do tại sao các bằng chứng được kiểm tra (trường hợp nào và mục đích gì) và các cơ quan liên quan (nếu có);
- Bất kỳ những thay đổi không thể tránh khỏi tới bằng chứng số, cũng như tên của cá nhân chịu trách nhiệm và biện minh về việc xảy ra sự thay đổi.
Chuỗi giám sát bằng chứng nên được duy trì trong suốt vòng đời của bằng chứng và được bảo quản trong một khoảng thời gian xác định sau thời gian sống của bằng chứng - khoảng thời gian này có thể được thiết lập tùy theo cơ quan pháp luật tập hợp và áp dụng bằng chứng. Chuỗi giám sát này nên được thiết lập từ thời điểm các thiết bị số và/hoặc các bằng chứng số tiềm năng được thu nhận và không được để xâm hại.
CHÚ THÍCH: Một số cơ quan pháp luật có thể có các yêu cầu đặc biệt đối với chuỗi giám sát. DEFR nên tuân thủ những yêu cầu này.
6.2 Bảo vệ hiện trường tại vị trí xảy ra sự cố
6.2.1 Tổng quan
DEFR nên thực hiện các hành động để bảo vệ và bảo đảm an toàn cho vị trí của bằng chứng số tiềm năng sớm nhất có thể khi họ đến hiện trường. Các hành động này nên hỗ trợ các nội dung sau đây, tùy thuộc vào quy định nội bộ:
- Bảo vệ và kiểm soát khu vực chứa các thiết bị;
- Xác định người phụ trách vị trí này;
- Đảm bảo mọi người được đưa ra xa khỏi thiết bị và nguồn cung cấp;
- Lập tài liệu bất kỳ người nào đã tiếp cận vị trí và những người có thể có lý do để tham gia tại hiện trường sự cố;
- Nếu thiết bị đang ở chế độ “BẬT” không được chuyển sang chế độ “TẮT” và nếu thiết bị đang ở chế độ “TẮT” thì không được chuyển sang chế độ “BẬT”;
- Nếu có thể, lập tài liệu hiện trường (ví dụ: vẽ phác họa, chụp ảnh, quay video) về tất cả các thành phần và cáp ở vị trí gốc của chúng. Nếu không có máy ảnh, máy quay camera, cần vẽ phác họa hệ thống và ghi nhãn các cổng, các cáp sao cho hệ thống có thể được xác thực và được dựng lại sau này”;
- Nếu được phép, tìm kiếm trong khu vực các hạng mục như giấy ghi chú, nhật ký, giấy tờ, máy tính xách tay, phần cứng và phần mềm có lưu các chi tiết quan trọng về thiết bị như mật khẩu và mã PIN.
CHÚ THÍCH 1: Một số cơ quan pháp luật có thể có các yêu cầu đặc biệt đối với việc tiếp nhận các bằng chứng ảnh và video. DEFR nên tuân thủ các yêu cầu này.
CHÚ THÍCH 2: DEFR cần nhận thức được các bằng chứng số tiềm năng có thể không luôn ở các vị trí rõ ràng, ví dụ như được lưu trữ phân tán hoặc ảo hóa.
Đầu tiên DEFR nên nhận biết tất cả các rủi ro liên quan đến việc thực hiện các quá trình trong suốt cuộc điều tra. Cần cân nhắc bảo vệ cá nhân và bảo vệ các bằng chứng số tiềm năng tại hiện trường sự cố.
6.2.2 Nhân sự
Tiến hành đánh giá rủi ro liên quan đến an toàn nhân sự trước khi bắt đầu quá trình là rất quan trọng do an toàn của các nhân viên liên quan trong quá trình này là đặc biệt quan trọng. Các vấn đề cần xem xét trong đánh giá rủi ro đối với nhân sự bao gồm, nhưng không giới hạn như sau:
- Những cá nhân được điều tra sẽ có mặt không? Nếu có mặt, họ có thiên hướng quá khích không?
- Thời gian nào trong ngày sẽ tiến hành hoạt động?
- Có thể cách ly hiện trường sự cố với người ngoài không?
- Có vũ khí nào trong khu vực không?
- Có mối nguy hại vật lý nào tới các cá nhân có mặt không?
- Có thứ nào trong vùng lân cận, bao gồm cả thiết bị, đã được cấu hình có thể gây ra thiệt hại vật lý nếu xử lý một cách không phù hợp, ví dụ như một cái bẫy được che giấu?
- Các hạng mục nào được tập hợp có khả năng gây ra ảnh hưởng tâm lý hoặc hành vi phạm tội không?
- Hiện trường vụ việc có được coi là an toàn không?
- Khu vực xung quanh có tác động rủi ro tiềm tàng không?
6.2.3 Bằng chứng số tiềm năng
DEFR nên thận trọng khi sử dựng một số công cụ để tập hợp hoặc thu nhận bằng chứng số tiềm năng. Không tính toán rủi ro trước khi hành động có thể dẫn đến mất ít hoặc mất cả các bằng chứng số tiềm năng do các công nghệ được áp dụng trong suốt quá trình tập hợp hoặc sao chép. Các rủi ro nên được đánh giá để giảm thiểu các khiếu nại do hư hỏng.
Việc đánh giá rủi ro có liên quan đến việc ước lượng hệ thống các rủi ro và tác động tiềm năng của chúng đến điều tra bằng chứng số. Các khía cạnh cần quan tâm trong đánh giá rủi ro cho bằng chứng số tiềm năng bao gồm nhưng không giới hạn những điều sau đây:
- Loại phương pháp tập hợp/thu nhận nào được áp dụng?
- Các thiết bị nào có thể cần đến tại hiện trường?
- Mức độ biến động của dữ liệu và thông tin liên quan đến bằng chứng số tiềm năng?
- Có thể có truy cập từ xa tới các thiết bị số không và nó có đe dọa tới tính toàn vẹn của bằng chứng không?
- Điều gì sẽ xảy ra nếu dữ liệu/thiết bị bị phá hủy?
- Dữ liệu có thể có thể bị hỏng không?
- Các thiết bị số có thể được cấu hình để phá hủy (ví dụ, sử dụng bom logic), làm hư hỏng hoặc làm rối dữ liệu nếu tắt hoặc truy cập ở chế độ không được kiểm soát?
6.3 Vai trò và trách nhiệm
Vai trò của DEFR liên quan đến việc xác định, tập hợp, thu nhận và bảo quản bằng chứng số tiềm năng tại hiện trường sự cố. Nó bao gồm cả việc viết báo cáo tập hợp và thu nhận nhưng không nhất thiết phải báo cáo phân tích. Vai trò của DEFR cũng liên quan đến việc bảo đảm sự toàn vẹn và xác thực của bằng chứng số tiềm năng. Để thực hiện được vai trò của mình, DEFR nên có kinh nghiệm, kỹ năng và kiến thức phù hợp trong việc xử lý bằng chứng số tiềm năng. Điều này là rất quan trọng bởi bằng chứng số tiềm năng có thể dễ dàng hư hỏng.
DEFR cũng có thể yêu cầu nhân viên hỗ trợ kỹ thuật trong lĩnh vực liên quan. Vai trò của DES liên quan đến việc cung cấp hỗ trợ kỹ thuật cho DEFR trong việc xác định, tập hợp, thu nhận và bảo quản bằng chứng số tiềm năng tại hiện trường sự cố. DES cung cấp kiến thức chuyên môn cho DEFR. Bảng năng lực của DEFR (tại Phụ lục A) hướng dẫn xác định mức độ năng lực phù hợp của các DEFR.
CHÚ THÍCH: Trong hoàn cảnh xử lý sự cố có mặt ISIRT, vai trò của DEFR và/hoặc DES như là thành viên của đội ISIRT được đề cập trong tiêu chuẩn TCVN 11239:2015.
6.4 Năng lực
DEFR và/hoặc DES nên có năng lực kỹ thuật và pháp luật thích hợp (ví dụ liệt kê tại Phụ lục A) và có thể chứng minh rằng họ được đào tạo đúng, có đủ hiểu biết về pháp luật và kỹ thuật để xử lý các bằng chứng số tiềm năng một cách thích hợp. Điều này bao gồm hiểu biết về các quy trình và phương pháp thích hợp cho xử lý các nguồn bằng chứng số tiềm năng. Việc đào tạo đầy đủ sẽ cho phép các DEFR xử lý các thiết bị số chứa các bằng chứng số tiềm năng. Việc có bộ công cụ tốt nhất sẽ không bảo đảm được chất lượng của bằng chứng số nếu DEFR không có năng lực thực hiện các nhiệm vụ.
Một số cơ quan pháp luật quy định cách thức các DEFR thiết lập trình độ chuyên môn của họ. Trách nhiệm của các DEFR là đảm bảo chắc chắn họ được thông tin đúng đắn làm thế nào để thực hiện đúng theo yêu cầu pháp lý. Khi được yêu cầu, DEFR và/hoặc DES nên chứng minh rằng họ có thẩm quyền để xử lý các bằng chứng số tiềm năng sử dụng các công cụ và phương thức lựa chọn để thực hiện nhiệm vụ. Sẽ là cần thiết để các DEFR có thể cung cấp bằng chứng trong khả năng của họ.
Một vài điều kiện tiên quyết cho DEFR được quy định như sau:
- DEFR nên được huấn luyện đầy đủ để xử lý các thiết bị số trong phạm vi hoạt động điều tra;
- DEFR nên chứng minh và duy trì các kỹ năng, năng lực của họ cho các cơ quan thích hợp trong lĩnh vực xử lý bằng chứng số tiềm năng có liên quan;
- Trách nhiệm của các cá nhân và của người sử dụng là đảm bảo rằng DEFR được đào tạo đầy đủ và duy trì các kỹ năng và năng lực của họ.
CHÚ THÍCH: Năng lực của một DEFR có thể khác nhau tùy theo cơ quan pháp luật.
6.5 Sử dụng hợp lý
Tránh bất kỳ hành động có thể dẫn đến việc sửa đổi bằng chứng số tiềm năng được lưu trữ trong các thiết bị số do hành động cố ý hoặc vô ý. Ví dụ tiếp xúc với từ trường có thể làm hỏng bằng chứng số tiềm năng được lưu trong băng từ. DEFR không nên truy cập vào các thiết bị số, như tiến hành dump bộ nhớ từ một thiết bị số đang chạy, trừ khi họ có năng lực theo yêu cầu và sử dụng các quy trình đáng tin cậy và được xác minh hợp lệ.
Có một số trường hợp việc tập hợp hoặc thu nhận bằng chứng số tiềm năng là phi thực tế. DEFR nên xem xét những trường hợp sau đây, nhưng không hạn chế chỉ ở những trường hợp này:
- Nếu không được cho phép pháp lý hoặc ủy quyền để tập hợp các thiết bị số;
- Nếu có nghĩa vụ sử dụng các phương pháp khác (ví dụ để tránh gián đoạn việc kinh doanh);
- Nếu DEFR muốn bắt giữ các phương pháp thao tác của kẻ tình nghi đang lạm dụng một hệ thống;
- Nếu việc tập hợp hoặc thu nhận cần diễn ra bí mật, nếu được cơ quan pháp luật cho là hợp pháp;
- Nếu đây là một thiết bị số với nhiệm vụ quan trọng không thể bị dừng;
- Nếu kích thước vật lý của thiết bị số là quá lớn, chẳng hạn như một máy chủ tại một trung tâm dữ liệu hoặc hệ thống RAID;
- Nếu đây là một thiết bị số liên quan đến an toàn thiết yếu mà sẽ gây nguy hiểm đến tính mạng nếu bị dừng hoạt động;
- Nếu nó là một thiết bị số đang phục vụ những bên không có liên can.
6.6 Lập tài liệu
Việc lập tài liệu là rất quan trọng khi xử lý các thiết bị số có thể chứa các bằng chứng số tiềm năng. DEFR nên tuân thủ những điểm sau đây khi lập tài liệu:
- Mọi hoạt động thực hiện phải được ghi vào tài liệu. Điều này đảm bảo rằng không có thông tin nào bị bỏ sót trong quá trình xác định, tập hợp, thu nhận và bảo quản. Điều này có thể hữu ích trong cuộc điều tra xuyên biên giới khi mà bằng chứng só tiềm năng được tập hợp từ bên ngoài biên giới có thể được truy vết.
- DEFR nên nhạy bén về thiết lập thời gian và ngày tháng nếu các thiết bị số đang được bật nguồn. So sánh thời gian thiết lập với nguồn thời gian tin cậy. Các thiết lập thời gian phải được ghi vào tài liệu và ghi chú nếu có sự khác biệt. Một số hệ thống yêu cầu nhiều sự tương tác người dùng để lấy được các thiết lập ngày và giờ. DEFR nên thận trọng không được sửa đổi hệ thống. Chỉ những nhân viên được đào tạo mới tiếp cận các thiết lập này.
- DEFR nên ghi tài liệu bất cứ gì có thể nhìn thấy được trên màn hình các thiết bị số như: chương trình hoạt động và các tiến trình, cũng như tên thư mục đang mở. Việc ghi tài liệu nên bao gồm mô tả của những gì nhìn thấy được do một số chương trình độc hại có thể giả dạng như một phần mềm đã biết.
- Bất kỳ di chuyển của các thiết bị số nên được ghi vào tài liệu phù hợp với các yêu cầu nội bộ.
- Ghi tài liệu tất cả các nhận dạng duy nhất của các thiết bị số và các bộ phận liên kết như các số seri và nhãn duy nhất.
Ví dụ về một bộ tài liệu tối thiểu để trao đổi bằng chứng số tiềm năng giữa các cơ quan pháp luật được trình bày trong Phụ lục B.
CHÚ THÍCH: Tham khảo điều khoản về quản lý tài liệu và quản lý hồ sơ của tiêu chuẩn TCVN ISO/IEC 17025:2007 để biết thêm thông tin về lập tài liệu.thuyvy
6.7 Tóm tắt
6.7.1 Tổng quan
Điều cần thiết đối với DEFR và DES là được chỉ dẫn đầy đủ bởi cơ quan thích hợp trước khi thực hiện các nhiệm vụ, trong khi tôn trọng các luật và các ràng buộc về tính bí mật (nghĩa là, cần hiểu những điều cơ bản). Có một phiên chỉ dẫn chính thức là quan trọng để hiểu về sự cố, những gì mong muốn hay không mong muốn trong quá trình điều tra, và nhắc nhở chống giả mạo hoặc sửa đổi bằng chứng. Chỉ dẫn nên đủ để các thành viên có sự chuẩn bị tốt hoàn thành vai trò và trách nhiệm của họ, đảm bảo trích xuất được các bằng chứng số tiềm năng phù hợp.
6.7.2 Xác định bằng chứng số
Một phiên chỉ dẫn tập trung rõ ràng vào xác định các bằng chứng số là cần thiết để thông báo cho các DEFR về chi tiết liên quan đến cuộc điều tra. Trong suốt phiên chỉ dẫn, DEFR và DES nên được cung cấp thông tin có liên quan và các chỉ dẫn chi tiết về bằng chứng số tiềm năng cần được tập hợp hoặc thu nhận. Các thông tin và chỉ dẫn này có thể bao gồm:
- Loại sự cố (nếu biết);
- Thời gian xảy ra sự cố (nếu biết);
- Kế hoạch điều tra (tập hợp và/hoặc thu nhận, hoạt động mạng đã biết, yêu cầu dữ liệu dễ biến đổi đã biết...);
- Xem xét bằng chứng số tiềm năng sẽ được lưu trữ/vận chuyển ở đâu và như thế nào sau khi tập hợp hoặc thu nhận;
- Các công cụ cụ thể cần thiết để thu nhận các bằng chứng số tiềm năng;
- Các bằng chứng số tiềm năng liên quan đến loại điều tra cụ thể;
- Thiết bị và tài liệu hướng dẫn sử dụng có liên quan của các thiết bị số;
- Nhắc nhở thành viên trong nhóm tắt Bluetooth hoặc Wi-Fi trên điện thoại/máy tính của họ để họ không vô tình tương tác với các thiết bị số, trừ điện thoại/máy tính được sử dụng để phát hiện các kết nối;
- Tầm quan trọng của việc lập tài liệu trong suốt cuộc điều tra;
- Quy định pháp luật hoặc các yếu tố khác có thể không cho phép tập hợp bất kỳ thiết bị hoặc bằng chứng số tiềm năng;
Phiên chỉ dẫn cụ thể này có thể là một phần của phiên chỉ dẫn tổng quát được mô tả tại 6.7.1.
6.7.3 Xác định nhân sự
Một phiên chỉ dẫn tập trung hướng dẫn rõ ràng vào việc xác định nhân sự là cần thiết để thông báo các DEFR về các khía cạnh liên quan đến các bên liên quan trong việc điều tra. Trong phiên chỉ dẫn, nhóm điều tra sẽ được cung cấp các chỉ dẫn liên quan đến nhân sự. Các chỉ dẫn này có thể bao gồm:
- Sự phân công, vai trò trách nhiệm của đội điều tra tại hiện trường sự cố;
- Các cơ quan khác (nhân viên y tế, người điều tra pháp y...) được dự kiến tham gia vào cuộc điều tra;
- Yêu cầu các thành viên trong nhóm không chấp nhận hỗ trợ kỹ thuật từ bất kỳ cá nhân trái phép;
- Yêu cầu các thành viên trong nhóm thực hiện theo các thủ tục chặt chẽ để giảm thiểu nguy cơ sửa đổi bằng chứng số tiềm năng, chẳng hạn như tránh sử dụng bất kỳ công cụ hoặc vật liệu có thể tạo ra hoặc phát ra tĩnh điện hoặc từ trường do các công cụ này có thể gây thiệt hại hoặc phá hủy bằng chứng số tiềm năng.
Phiên chỉ dẫn cụ thể này có thể là một phần của phiên hướng dẫn tổng quát được mô tả tại 6.7.1.
6.7.4 Sự cố xảy ra trong thời gian thực
Sẽ rất tốt nếu cuộc điều tra về một sự cố được lên kế hoạch trước, nhưng có những trường hợp (ví dụ khi một sự cố đang phát triển và đang được ứng cứu trong thời gian thực) khi đó các kế hoạch có thể không khả thi. Trong tình huống đó, đội điều tra nên được chỉ dẫn về chiến lược, chiến thuật ban đầu cho cuộc điều tra và cho phép phát triển các chiến lược, chiến thuật mới để đáp ứng với điều kiện hiện hành. Thông tin về sự cố, khi nó phát triển, cần được chia sẻ trong nhóm càng nhanh càng tốt để đảm bảo rằng các quyết định hành động được đưa ra một cách hiệu quả và thích hợp cho sự biện minh.
6.7.5 Thông tin khái quát
Ngoài bằng chứng số và nhân sự, các thông tin quan trọng khác cần được chỉ dẫn cho các nhóm điều tra bao gồm:
- Chỉ định khu vực điều tra, bao gồm cả tên của tổ chức, địa chỉ và bản đồ vị trí (nếu có);
- Lệnh điều tra;
- Chi tiết về các lệnh tìm kiếm và trao quyền khác áp dụng đối với việc điều tra, bao gồm các giới hạn tìm kiếm và thu giữ;
- Khía cạnh pháp lý và ý nghĩa;
- Khung thời gian điều tra;
- Thiết bị cần phải đưa đến hiện trường sự cố để điều tra;
- Thông tin hậu cần;
- Xung đột tiềm tàng về lợi ích.
DEFR nên tránh các tình huống mà có thể tạo ra các tố cáo về sự thiên vị cố hữu. Một ví dụ về sự thiên vị cố hữu là khi DEFR sao chép một máy tính mà không phải là máy tính khác (máy tính mà sau này được chứng minh chứa các bằng chứng bào chữa) dựa trên một nhận thức được hình thành bởi các chỉ dẫn.
6.8 Ưu tiên việc tập hợp và thu nhận
Để ưu tiên cho việc tập hợp hoặc thu nhận bằng chứng số tiềm năng, DEFR bắt buộc phải hiểu lý do của việc tập hợp và thu nhận bằng chứng số tiềm năng. Theo nguyên tắc chung, DEFR nên cố gắng tối đa hóa số lượng dữ liệu được bảo quản bằng các hành động tập hợp và thu nhận. Tuy nhiên, có thể cần phải ưu tiên cho các hạng mục theo tính biến đổi và/hoặc giá trị bằng chứng tiềm năng/có liên quan. Các hạng mục có giá trị bằng chứng tiềm năng/có liên quan cao hầu hết chứa dữ liệu có liên quan trực tiếp đến sự cố đang điều tra.
Quá trình ưu tiên theo tính biến đổi chỉ được áp dụng nếu như các tình huống cụ thể của vụ án đang điều tra yêu cầu việc này. Bằng chứng số tiềm năng có thể chia thành 2 loại: dễ biến đổi và không biến đổi. Dữ liệu dễ biến đổi có thể dễ dàng bị phá hủy hoặc mất nếu như không áp dụng bảo vệ dữ liệu. Ví dụ, tháo bỏ nguồn cung cấp từ thiết bị số có thể dẫn đến mất mát dữ liệu. Dữ liệu không biến đổi vẫn còn trên các phương tiện ngay cả khi đã loại bỏ nguồn cung cấp. Do một số loại bằng chứng có thời gian sống ngắn, bằng chứng số tiềm năng có thể dễ dàng bị giả mạo hoặc làm hỏng. Khi không rõ ràng về việc thiết bị số có chứa bằng chứng số tiềm năng hay không, hoặc các hạng mục nào có liên quan nhiều hơn so với hạng mục khác, có thể cần phải giám định chúng trước khi tập hợp bằng cách sử dụng một quá trình quyết định mức ưu tiên. Các thiết bị số được xem xét để tập hợp bao gồm, nhưng không hạn chế: các thiết bị công nghệ thông tin, phương tiện lưu trữ số, hệ thống CCTV, PED, hệ thống tự động, hệ thống điều khiển và thiết bị điện tử cảm biến, cần thu nhận các bằng chứng số tiềm năng dễ biến đổi nhất như RAM, phân vùng tạm (swap), các tiến trình đang chạy... DEFR nên có kiến thức tốt để xác định mức ưu tiên theo tính biến đổi.
Sau khi xác định, DEFR nên:
- Ưu tiên các bằng chứng số có thể bị mất vĩnh viễn khi tháo bỏ nguồn điện;
- Hành động nhanh chóng để tập hợp và thu nhận các dữ liệu với các phương pháp được xác nhận;
CHÚ THÍCH 1: Một vài dữ liệu dễ biến đổi có thể thay đổi do các yếu tố bao gồm, nhưng không giới hạn về, địa điểm, thời gian và sự thay đổi các thiết bị số xung quanh - cần đảm bảo những dữ liệu này được bảo quản trước khi di chuyển thiết bị.
CHÚ THÍCH 2: Các thiết bị số có chứa các bằng chứng số tiềm năng có thể là nguồn của bằng chứng vật lý (ví dụ như dấu vân tay, DNA,...). Các DEFR nên quan tâm không để hư hỏng bằng chứng này và phối hợp với những người tập hợp bằng chứng có liên quan trước khi tiếp tục các hoạt động tiếp theo.
CHÚ THÍCH 3: Khi nghi ngờ các nội dung mã hóa hoặc phần mềm độc hại, cần xem xét các dữ liệu dễ biến đổi.
Trong những tình huống này, thời gian có thể là một yếu tố hạn chế trong suốt cuộc điều tra. Trong những trường hợp này, sự ưu tiên nên được trao cho bằng chứng số tiềm năng được xác định là có liên quan đến sự cố cụ thể.
6.9 Bảo quản bằng chứng số tiềm năng
6.9.1 Tổng quan
Trong bảo quản bằng chứng số tiềm năng đã thu nhận và các thiết bị số đã tập hợp trong quá trình đóng gói, việc bảo đảm an toàn cho các hạng mục đã thu nhận theo cách loại trừ sự hủy hoại hoặc giả mạo là rất quan trọng. Sự hủy hoại có thể là kết quả của suy giảm từ, suy giảm điện, nhiệt, phơi nhiễm độ ẩm cao hoặc thấp, cũng như sốc hoặc rung động. Sự giả mạo có thể kết quả của một hành động cố ý làm thay đổi các bằng chứng số tiềm năng.
Do đó việc bảo vệ bằng chứng số tiềm năng một cách tốt nhất có thể là cực kỳ quan trọng, và việc sử dụng dữ liệu nguyên bản càng ít càng tốt. Một điều rất quan trọng là DEFR phải thuần thuộc với các yêu cầu đóng gói cụ thể theo các pháp lý có liên quan.
6.9.2 Bảo quản bằng chứng số tiềm năng
Tất cả các thiết bị số được sao chép và các bằng chứng số tiềm năng đã thu nhận nên được bảo vệ tốt nhất có thể để tránh bị mất, giả mạo hoặc sửa đổi. Hành động quan trọng nhất trong quá trình bảo quản là duy trì tính toàn vẹn và tính xác thực của bằng chứng số tiềm năng và chuỗi giám sát bằng chứng.
Các thiết bị số đã tập hợp và các bằng chứng số tiềm năng đã thu nhận nên được lưu trữ trong một cơ sở bảo quản bằng chứng có áp dụng các kiểm soát an ninh vật lý như các hệ thống kiểm soát truy cập, hệ thống giám sát hoặc các hệ thống phát hiện xâm nhập hoặc môi trường kiểm soát khác cho việc bảo quản bằng chứng số. Mục đích chính của an ninh vật lý là bảo vệ và ngăn ngừa tổn thất, thiệt hại và giả mạo, cũng như cho phép thực hiện hoạt động đánh giá.
Các thiết bị số được tập hợp nên được bao bọc hoặc đặt trong các gói thích hợp với bản chất của thiết bị để tránh hỏng hóc thiết bị số trước khi vận chuyển đến các nơi khác. Việc bao gói chống sốc có thể được sử dụng để tránh tổn hại vật lý cho các thành phần của thiết bị.
- DEFR nên cân nhắc tính nhạy cảm của các thiết bị số đối với tĩnh điện. Nếu có quan ngại, các thiết bị phải được bảo đảm an toàn trong một túi chống tĩnh điện;
- Các khối thiết bị hệ thống chính và các máy tính xách tay nên bảo đảm an toàn trong thùng đựng thích hợp để tránh sự giả mạo hoặc hư hỏng của bằng chứng số tiềm năng có thể đặt trong đó.
CHÚ THÍCH: Sử dụng túi Faraday hoặc bao gói che chắn tần số vô tuyến có thể làm tăng sự cạn kiệt pin máy điện thoại di động. Việc này có thể yêu cầu cấp nguồn bổ trợ cho thiết bị nằm trong túi, nếu nguồn lực cho phép.
6.9.3 Đóng gói thiết bị số và bằng chứng số tiềm năng
6.9.3.1 Hành động cơ bản: Đóng gói bằng chứng số tiềm năng
Các hành động cơ bản nên được thực hiện trừ khi có lý do chính đáng cho việc không thực hiện. Các hành động này cũng được xem là các hành động tối thiểu phải thực hiện. Khi đóng gói, DEFR nên lưu ý và thực hiện các hành động cơ bản sau đây:
- Không được chạm vào băng từ mà phải nhấc băng từ lên bằng vỏ bảo vệ của chúng hoặc tại các khu vực được biết không chứa dữ liệu (ví dụ như cạnh của ổ đĩa quang học). Điều này chỉ được làm khi DEFR đeo găng tay không có sợi tơ.
CHÚ THÍCH: Các khu vực cụ thể của phương tiện lưu trữ được biết không chứa dữ liệu phụ thuộc vào các loại phương tiện lưu trữ. Trách nhiệm của DEFR là phải biết công nghệ hiện tại và quen thuộc với việc xử lý phương tiện lưu trữ.
- Để đảm bảo định danh chính xác, DEFR nên ghi nhãn tất cả các bằng chứng số tiềm năng. Một vài cơ quan pháp luật có yêu cầu cụ thể liên quan đến khuôn dạng ghi nhãn vật liệu bằng chứng. DEFR nên quen thuộc và tuân thủ các yêu cầu áp dụng trong vấn đề thực tế. DEFR nên ghi nhãn tất cả bằng chứng số tiềm năng, các thiết bị số được thu nhận và các bộ phận phần cứng có liên kết bằng các nhãn chống làm giả. Nhãn không nên đặt trực tiếp trên các bộ phận cơ khí của thiết bị số và không nên bao phủ hoặc che đậy thông tin định danh quan trọng. Tất cả các bằng chứng số tiềm năng trong các thiết bị đã tập hợp nên được thu nhận và lưu trữ theo cách đảm bảo tính toàn vẹn của bằng chứng.
- Khi có thể, các thết bị số có các thành phần mở ra và dịch chuyển nên được niêm phong với nhãn chống làm giả thích hợp với thiết bị và DEFR nên ký lên niêm phong.
- Thiết bị kèm pin gắn có dữ liệu dễ bị biến đổi nên được kiểm tra thường xuyên đảm bảo luôn có đủ nguồn điện cung cấp.
- Xác định và bảo vệ các thiết bị số chống lại các mối đe dọa tiềm năng trong một hộp chứa phù hợp với bản chất thiết bị.
- Các máy tính và thiết bị số nên được đóng gói theo cách ngăn chặn thiệt hại khi bị sốc, rung động, nhiệt, và phơi nhiễm tần số vô tuyến trong quá trình vận chuyển.
- Băng từ nên được lưu trữ trong các gói trơ về từ tính, chống tĩnh điện và không có hạt.
- Thiết bị số cũng có thể chứa bằng chứng ẩn, dấu vết hoặc bằng chứng sinh học. Do vậy, các hành động thích hợp cần phải được thực hiện để bảo quản các bằng chứng số. Sao chép bằng chứng số nên được thực hiện sau khi quá trình tập hợp bằng chứng ẩn, dấu vết, hoặc bằng chứng sinh học được thực hiện trên các thiết bị. Tuy nhiên quyết định ưu tiên tập hợp bằng chứng nên được đánh giá kỹ càng để bảo quản bằng chứng này.
6.9.3.2 Hành động bổ sung: Đóng gói bằng chứng số tiềm năng
Các hành động bổ sung được coi là hành động rất được khuyến nghị thực hiện. Trong khi đóng gói, DEFR nên lưu ý các hành động bổ sung sau đây:
- Đeo găng tay không có sợi tơ và đảm bảo tay sạch và khô;
- Bảo vệ các thiết bị số khỏi ảnh hưởng của các nguồn điện từ (các thiết bị đàm thoại của cảnh sát, các bộ loa, các máy quét X-quang). Môi trường đóng gói nên là nơi tĩnh điện;
- Môi trường đóng gói nên là nơi không có bụi, dầu mỡ và các chất ô nhiễm thúc đẩy oxy hóa và ngưng tụ hơi ẩm;
- Giảm thiểu khả năng in xuyên qua (chuyển tín hiệu từ một vòng lặp của băng vào vòng lặp liền kề) xảy ra khi băng được lưu trong thời gian dài mà không sử dụng, kết quả là tín hiệu chất lượng kém;
- Trường hợp cần thiết, khu vực đóng gói nên là nơi không có tia UV. Tia UV có thể gây ra suy thoái DNA hoặc phá hỏng một số loại phương tiện lưu trữ. DEFR nên xem xét liệu tia UV có gây ra rủi ro cho bằng chứng số tiềm năng hay không trước khi chọn khu vực đóng gói;
- Các thiết bị số nên được bảo vệ rất kỹ khỏi sốc nhiệt.
6.9.4 Vận chuyển bằng chứng số tiềm năng
DEFR nên bảo quản các thiết bị số đã tập hợp và các bằng chứng số tiềm năng đã thu nhận trong quá trình vận chuyển. Các bằng chứng số tiềm năng không nên bị bỏ mặc trong quá trình vận chuyển. DEFR nên duy trì chuỗi giám sát trong suốt quá trình vận chuyển để ngăn ngừa giả mạo hoặc sửa đổi, và duy trì tính toàn vẹn và tính xác thực của các thiết bị số và bằng chứng số tiềm năng. Khuyến nghị sử dụng mã hóa nếu các bằng chứng số tiềm năng không được vận chuyển bởi DEFR hoặc DES.
CHÚ THÍCH: DEFR nên đảm bảo rằng việc tập hợp thông tin nhạy cảm hoặc thông tin cá nhân cần tuân theo quy định của pháp luật và các quy định về bảo vệ dữ liệu.
Trong khi đóng gói và vận chuyển, DEFR cần phải ý thức được sự hiện diện của phóng tĩnh điện có thể phá hủy giá trị của các bằng chứng số tiềm năng. DEFR nên đảm bảo rằng các máy tính và các thiết bị số được đóng gói một cách an toàn trong quá trình vận chuyển để ngăn chặn hư hỏng do sốc và rung động.
Quá trình vận chuyển nên chú ý đến môi trường dễ làm việc và được kiểm soát. Mức độ hơi ẩm, độ ẩm và nhiệt độ nên phù hợp cho các thiết bị số. Tránh giữ các bằng chứng số tiềm năng và các thiết bị số trong các phương tiện vận chuyển trong thời gian kéo dài và tránh chúng khỏi sự hiện diện của tia UV.
Trong một số cơ quan pháp luật khi hoàn cảnh không cho phép, DEFR không thể đi cùng bằng chứng. Trong trường hợp này, các cơ chế vận chuyển thích hợp và được ủy quyền có thể được sử dụng để bảo đảm an ninh thích hợp của các bằng chứng trong quá trình vận chuyển. Tài liệu vận chuyển và xác nhận tính toàn vẹn của bao gói là một phần của chuỗi giám sát bằng chứng.
7 Ví dụ về xác định, tập hợp, thu nhận và bảo quản
7.1 Máy tính, thiết bị ngoại vi và phương tiện lưu trữ số
7.1.1 Xác định
7.1.1.1 Tìm kiếm hiện trường sự cố vật lý và lập tài liệu
Trong bối cảnh của phần này, các máy tính được coi như những thiết bị số độc lập có thể nhận, xử lý, lưu trữ dữ liệu và đưa ra kết quả. Những thiết bị máy tính này không được kết nối mạng nhưng có thể được kết nối tới các thiết bị ngoại vi như máy in, máy quét, webcam, máy nghe nhạc MP3, hệ thống GPS, các thiết bị RFID và các thiết bị tương tự. Một thiết bị số có giao diện mạng, nhưng không được kết nối tại thời điểm tập hợp hoặc thu nhận có thể được xem như (đối với các mục đích của tiêu chuẩn này) là một máy tính độc lập. Khi máy tính có giao diện mạng nhưng không tìm thấy kết nối rõ ràng, các hành động cần được thực hiện để xác định các thiết bị nào đã từng kết nối tới thiết bị đó trong quá khứ.
Thông thường hiện trường sự cố sẽ chứa ngẫu nhiên nhiều loại phương tiện lưu trữ số. Phương tiện lưu trữ số được sử dụng để lưu trữ dữ liệu từ các thiết bị số và chúng khác nhau về dung lượng bộ nhớ. Ví dụ về các phương tiện lưu trữ số bao gồm, nhưng không giới hạn ở các ổ đĩa cứng di động cắm ngoài, ổ đĩa flash, đĩa CD, DVD, đĩa Blu-ray, đĩa mềm, băng từ và thẻ nhớ.
Trước khi thực hiện bất kỳ hành động thu nhận hoặc tập hợp nào, vấn đề an toàn của các bằng chứng số tiềm năng cần phải được xem xét. Những khía cạnh này được mô tả tại 6.2.1 và 6.2.2. Tuy nhiên, DEFR nên quan tâm đảm bảo rằng một thiết bị dường như là độc lập thì chưa từng được kết nối với mạng. Nếu có nghi ngờ rằng một thiết bị dường như là độc lập đã được ngắt kết nối, cần xem xét để xử lý nó như một thiết bị nối mạng để đảm bảo rằng các thành phần khác của mạng được xử lý một cách chính xác. DEFR nên lưu ý và giải quyết tối thiểu những điều sau:
- DEFR nên ghi chép về loại và nhãn hiệu của bất kỳ thiết bị số nào được sử dụng và xác định tất cả các máy tính và thiết bị ngoại vi có thể cần được thu nhận hoặc tập hợp trong giai đoạn ban đầu này. Số seri, số giấy phép và các dấu hiệu nhận dạng khác (bao gồm cả thiệt hại vật lý) nên được ghi chép bất cứ nơi nào có thể.
- Tại giai đoạn xác định, trạng thái của các máy tính và thiết bị ngoại vi cần phải được duy trì nguyên trạng. Nếu các máy tính hoặc thiết bị ngoại vi đã được tắt nguồn thì không được bật chúng. Nếu các máy tính hoặc thiết bị ngoại vi đang được bật nguồn, DEFR không được tắt chúng đi nếu không có thể làm hỏng các bằng chứng số tiềm năng.
- Nếu các máy tính đang được bật nguồn, DEFR nên chụp ảnh hoặc ghi chép lại những gì đang hiển thị trên màn hình. Tài liệu được ghi chép nên có mô tả về những gì đang thấy thực tế (như các vị trí cửa sổ, tiêu đề và nội dung).
- Một thiết bị có pin có thể chạy hết nguồn cần được sạc pin để đảm bảo thông tin không bị mất. DEFR cần xác định và tập hợp các bộ sạc pin tiềm năng và cáp điện trong giai đoạn này.
- DEFR cũng nên có thể sử dụng một máy dò tín hiệu không dây để phát hiện và xác định các tín hiệu không dây từ các thiết bị không dây có thể bị ẩn đi. Có thể có trường hợp không sử dụng máy dò tín hiệu không dây do hạn chế về chi phí và thời gian và DEFR nên ghi chép lại điều này. Nếu tìm thấy thiết bị, DEFR nên tiếp tục với quá trình xử lý bằng chứng như mô tả theo 7.2.2.2 của tiêu chuẩn này. Trường hợp sử dụng quét chủ động (tức là phát quảng bá và / hoặc thăm dò) cho các thiết bị mạng, các thiết bị quét nên được tắt cho đến khi có quyết định đánh giá khả năng thiết bị có thể tương tác với các thiết bị khác tại hiện trường. Các thành viên nên nhớ rằng các thiết bị nhất định tại hiện trường có thể phát hiện sự hiện diện của các thiết bị quét chủ động và việc sử dụng quét chủ động có thể kích hoạt các hành động có thẻ làm hỏng bằng chứng số tiềm năng, và có thể, trong các hoàn cảnh khắc nghiệt, dẫn đến việc kích hoạt các bẫy đã được che dấu.
CHÚ THÍCH 1: Ở một số cơ quan pháp luật, có thể được phép bật nguồn các thiết bị số tại một hiện trường để xác định sự liên quan của chúng đến cuộc điều tra nếu có nhiều thiết bị số hiện diện. Điều này được thực hiện trong việc cân nhắc thời gian xử lý và chi phí có thể phát sinh nếu thu nhận được thiết bị số không có liên quan. Nếu một thiết bị được bật nguồn để đánh giá tại hiện trường, DEFR nên đảm bảo rằng các ghi chú kỹ lưỡng về các hành động đã thực hiện được duy trì trong suốt quá trình.
CHÚ THÍCH 2: Trong việc bảo quản trạng thái nguồn của các thiết bị số, cần xem xét kết quả quá trình phân tích liên quan tới dữ liệu dễ biến đổi. Nếu đã quyết định rằng hầu hết các thông tin quan trọng là thông tin không dễ biến đổi trên đĩa thì có thể chụp hình màn hình điều khiển và rút điện của hệ thống đang chạy. Nếu thấy có thông tin biến đổi trong bộ nhớ thì việc quan trọng là giữ cho hệ thống bật nguồn và thực hiện thu nhận.
7.1.1.2 Tập hợp bằng chứng không có yếu tố số
DEFR nên xem xét việc tập hợp bằng chứng không có yếu tố số. Để làm được điều này trưởng nhóm nên xác định các cá nhân chịu trách nhiệm cho các phương tiện tại hiện trường. Cá nhân này có thể cung cấp thêm thông tin và tài liệu như mật khẩu cho các thiết bị số và các chi tiết khác có liên quan. DEFR cần phải ghi vào tài liệu tên và chức vụ của cá nhân này.
DEFR cũng có thể cần tập hợp một số bằng chứng bằng cách hỏi các cá nhân, những người có thể có những thông tin hữu ích hoặc có liên quan về các bằng chứng số tiềm năng hoặc các thiết bị số được tập hợp. Bất kỳ câu trả lời nào cũng phải được ghi chép chính xác. Những cá nhân này có thể bao gồm quản trị hệ thống, chủ sở hữu của thiết bị và người sử dụng máy tính và các thiết bị ngoại vi. Trong thời gian tập hợp chứng cứ bằng lời nói này, DEFR có thể yêu cầu thông tin như các cấu hình hệ thống và mật khẩu cho tài khoản quản trị. Thông tin bổ sung này có thể hữu ích trong giai đoạn phân tích các bằng chứng số tiềm năng. Những cuộc hội thoại nên được ghi chép để đảm bảo rằng các chi tiết là chính xác và các lời phát biểu đã được ghi vào tài liệu không thể bị thay đổi. DEFR cần phải quen thuộc với các yêu cầu pháp lý có liên quan tới việc tập hợp bằng chứng không có yếu tố số.
7.1.1.3 Quá trình ra quyết định cho việc tập hợp hoặc thu nhận
Trong quyết định tập hợp một thiết bị số hoặc thu nhận bằng chứng số tiềm năng, một số yếu tố cần được xem xét bao gồm nhưng không giới hạn trong những điều sau:
- Biến đổi của các bằng chứng số tiềm năng đã được đề cập tại 5.4.2 và 6.8,
- Việc sử dụng mã hóa toàn bộ đĩa hoặc mã hóa dung lượng mà các mật khẩu hoặc khóa có thể được lưu trú dưới dạng dữ liệu dễ biến đổi trong RAM, trên thẻ gắn ngoài, thẻ thông minh, thiết bị hoặc phương tiện lưu trữ khác,
- Tính quan trọng của hệ thống đã được đề cập tại 5.4.4, 7.2.1.2 và 7.1.3.4,
- Yêu cầu pháp lý của cơ quan pháp luật, và
- Các tài nguyên, như kích thước lưu trữ được yêu cầu, sự sẵn sàng của nhân viên, các hạn chế về thời gian.
Hình 1 minh họa tổng quan về quá trình ra quyết định thực hiện tập hợp hoặc thu nhận.
Hình 1 - Hướng dẫn ra quyết định thực hiện tập hợp hoặc thu nhận các bằng chứng số tiềm năng
7.1.2 Tập hợp
7.1.2.1 Thiết bị số đang bật nguồn
7.1.2.1.1 Tổng quan
DEFR có thể làm theo một số hướng dẫn tập hợp khi các thiết bị số đang được bật nguồn. Không phải tất cả các hướng dẫn đều lý tưởng và phù hợp cho bất kỳ trường hợp nào, một số hướng dẫn chỉ thích hợp với các trường hợp cụ thể. Do đó, các hướng dẫn có thể được phân loại là hướng dẫn cơ bản hoặc bổ sung. Các hành động cơ bản nên được áp dụng trong mọi tình huống, trong khi các hành động bổ sung nên được áp dụng khi thích hợp và khi có thể áp dụng, tùy thuộc thiết bị và tình huống cụ thể. Hình 2 minh họa hành động cơ bản và hành động bổ sung có thể áp dụng cho việc tập hợp thiết bị số đang bật nguồn.
Hình 2 - Hướng dẫn tập hợp các thiết bị số đang bật nguồn
Trách nhiệm của DEFR là phải hiểu biết công nghệ hiện tại và quen thuộc với các hướng dẫn xử lý phương tiện lưu trữ.
7.1.2.1.2 Các hành động cơ bản: Tập hợp thiết bị số đang bật nguồn
DEFR thực hiện các hành động cơ bản sau đây trong tất cả các trường hợp liên quan đến bằng chứng số tiềm năng. Những hướng dẫn này áp dụng khi DEFR đã quyết định rằng một thiết bị số đang bật nguồn nên được tập hợp:
- Xem xét việc thu nhận các dữ liệu dễ biến đổi của các thiết bị số và trạng thái hiện tại trước khi ngắt điện hệ thống. Các khóa mật mã và dữ liệu quan trọng khác có thể lưu trú trong bộ nhớ hoạt động, hoặc trong bộ nhớ không hoạt động mà chưa được làm rõ. Hãy xem xét thu nhận logic khi mã hóa bị nghi ngờ. Trong trường hợp này, hãy nhớ rằng hệ điều hành máy chủ đang chạy có thể không đáng tin cậy, do đó xem xét sử dụng các công cụ đáng tin cậy và được xác nhận là phù hợp.
- Cấu hình của thiết bị số có thể quyết định liệu DEFR cần phải tắt thiết bị thông qua các thủ tục quản trị thông thường, hay rút phích cắm của thiết bị khỏi ổ cắm. DEFR có thể cần phải tham khảo ý kiến một DES để xác định phương pháp tốt nhất cho hoàn cảnh cụ thể đó. Nếu quyết định đưa ra là rút phích cắm, DEFR cần phải loại bỏ các dây cấp nguồn bằng cách đầu tiên là loại bỏ các đầu gắn với thiết bị số và không phải là đầu gắn vào ổ cắm. Cần cẩn trọng vì một thiết bị kết nối với một UPS có thể có dữ liệu bị thay đổi nếu rút dây nguồn cắm vào tường mà không phải là thiết bị.
CHÚ THÍCH 1: Nếu ngắt điện khi một thiết bị số đang bật nguồn, bất kỳ bằng chứng số tiềm năng lưu trữ trong bộ lưu trữ được mã hóa sẽ không thể truy cập, trừ khi thu được các khóa giải mã. Dữ liệu trực tiếp có giá trị tiềm năng cũng có thể bị mất, dẫn đến thiệt hại hoặc mất mát về tính mạng con người, chẳng hạn như dữ liệu của công ty hoặc các thiết bị số kiểm soát thiết bị y tế. Do vậy, DEFR nên đảm bảo rằng dữ liệu dễ biến đổi được tập hợp trước khi ngắt nguồn cung cấp điện.
CHÚ THÍCH 2: Có các thiết bị phần cứng cho phép thiết bị đang bật nguồn được ngắt khỏi nguồn cung cấp và chuyển sang nối với UPS di động mà không làm gián đoạn nguồn cấp cho thiết bị. Ngoài ra còn có các mouse-jiggler được sử dụng để ngăn chặn kích hoạt trạng thái bảo vệ màn hình (screen-saver). Cả hai thiết bị này đều cung cấp các công cụ hữu ích khi làm việc với một thiết bị đang bật nguồn có thể kích hoạt mã hóa. Khi tập hợp một thiết bị đang bật nguồn đòi hỏi nguồn nuôi được duy trì, việc đóng gói và vận chuyển hệ thống một đang chạy cần phải giải quyết các vấn đề liên quan đến việc cung cấp làm mát, bảo vệ khỏi sốc cơ học...
- Ghi nhãn, ngắt kết nối và bảo vệ tất cả các cáp từ thiết bị số và ghi nhãn các cổng sao cho hệ thống có thể được xây dựng lại ở giai đoạn sau.
- Dán băng niêm phong công tắc nguồn nếu cần thiết để ngăn chặn sự chuyển đổi trạng thái của công tắc. Xem xét liệu trạng thái của công tắc đã được ghi lại trong tài liệu đúng chưa trước khi dán niêm phong hoặc di chuyển.
7.1.2.1.3 Các hành động bổ sung: Tập hợp thiết bị số đang bật nguồn
Sau đây là các hành động bổ sung có liên quan tùy thuộc vào cấu hình của các thiết bị số cụ thể:
- Nếu đây là một máy tính xách tay, cần đảm bảo dữ liệu dễ biến đổi đã được thu nhận trước khi tháo pin. DEFR đầu tiên nên tháo pin cấp nguồn chính, thay vì nhấn nút nguồn của máy tính xách tay để tắt nó. DEFR cũng nên lưu ý xem có bộ chuyển đổi nguồn không, và nếu có thì cần rút bỏ bộ chuyển đổi nguồn sau khi pin được tháo bỏ.
CHÚ THÍCH 1: Hành động nhấn nút nguồn trên một thiết bị số có thể được cấu hình để khởi tạo một kịch bản mà có thể thay đổi thông tin hoặc xóa thông tin khỏi hệ thống trước khi tắt hoặc để cảnh báo các hệ thống được kết nối về một sự kiện không mong đợi đã xảy ra do đó chúng có thể xóa dữ liệu có giá trị về chứng cứ trước khi chúng được xác định. Nó cũng có thể được cấu hình để kích hoạt một thiết bị gây thiệt hại vật lý tới DEFR, và các cá nhân khác có mặt.
- Đặt băng niêm phong khe cắm đĩa mềm, nếu có.
- Hãy chắc chắn rằng khay ổ đĩa CD hoặc DVD được thu lại đúng vị trí, lưu ý các khay ổ đĩa này là trống, chứa đĩa, hoặc không kiểm tra được và niêm phong ổ đĩa đã được đóng để ngăn chặn nó lại mở ra.
CHÚ THÍCH 2: Nếu bỏ sót bất kỳ phương tiện lưu trữ có thể khởi động ở bên trong thì sau đó khi máy được cấp điện nó có thể khởi động từ thiết bị này thay vì ổ cứng (hoặc ổ đĩa chứa công cụ điều tra số) tùy thuộc vào các thiết lập trong BIOS của máy tính.
DEFR nên tiến hành tập hợp bằng chứng không có yếu tố số thông qua luật tố tụng để đảm bảo rằng bất kỳ bằng chứng số nào cũng được thừa nhận.
7.1.2.2 Các thiết bị số đang tắt nguồn
7.1.2.2.1 Tổng quan
Các DEFR có thể làm theo một số hướng dẫn về việc tập hợp thiết bị số đang tắt nguồn. Không phải tất cả các hành động trong các hướng dẫn này đều có liên quan trong mọi hoàn cảnh. Do vậy cần phân biệt giữa những hành động áp dụng trong mọi trường hợp (các hành động cơ bản) và những hành động chỉ có thể áp dụng trong một số trường hợp (các hành động bổ sung). Hình 3 minh họa các hành động cơ bản và các hành động bổ sung có thể được áp dụng để tập hợp thiết bị số tắt nguồn.
Hình 3 - Hướng dẫn tập hợp thiết bị số đang tắt nguồn
Trách nhiệm của DEFR là phải hiểu biết kỹ thuật hiện tại và quen thuộc với các hướng dẫn xử lý phương tiện lưu trữ.
7.1.2.2.2 Các hành động cơ bản: Tập hợp thiết bị số đang tắt nguồn
Sau đây là những hành động cơ bản được khuyến cáo cho việc tập hợp các thiết bị số đang tắt nguồn:
- Tháo các dây cấp nguồn bằng cách đầu tiên là loại bỏ các đầu gắn với thiết bị số mà không phải là đầu gắn vào ổ cắm.
- Ngắt kết nối và bảo vệ tất cả các cáp từ các thiết bị số và ghi nhãn các cổng sao cho hệ thống có thể được tái lắp ghép ở giai đoạn sau.
- Đặt băng niêm phong công tắc nguồn nếu cần thiết để ngăn chặn công tắc này thay đổi trạng thái. Xem xét xem liệu trạng thái của công tắc đã được ghi vào tài liệu chính xác chưa trước khi niêm phong hoặc di chuyển.
CHÚ THÍCH: Trong hầu hết các trường hợp, không được gỡ bỏ phương tiện lưu trữ khỏi các thiết bị số cho đến khi nó được thu nhận, do việc gỡ bỏ nó làm tăng nguy cơ gây thiệt hại hoặc gây nhầm lẫn nó với một phương tiện lưu trữ khác. Thủ tục nội bộ về sự cần thiết để loại bỏ phương tiện lưu trữ từ các thiết bị số cần được xây dựng và tuân theo.
7.1.2.2.3 Hành động bổ sung: Tập hợp các thiết bị số đang tắt nguồn
Sau đây là hành động bổ sung có liên quan đến việc tập hợp thiết bị số đã tắt nguồn, tùy thuộc vào cấu hình của các thiết bị số cụ thể:
- Đầu tiên đảm bảo rằng máy tính xách tay đã thực sự được tắt nguồn do một số máy tính có thể ở chế độ chờ. Hãy nhận biết rằng một số máy tính xách tay có thể đang được bật nguồn bằng cách mở nắp. Sau đó tiến hành tháo nguồn pin chính khỏi máy tính xách tay.
- Nếu điều kiện hiện trường đòi hỏi các ổ đĩa cứng phải được tháo ra, DEFR nên cẩn thận tiếp đất cho các thiết bị số để ngăn chặn tĩnh điện làm hư ổ cứng. Nếu không, các ổ đĩa cứng không nên được tháo ra tại hiện trường này. Ghi nhãn ổ đĩa cứng nghi ngờ và ghi chép tất cả các chi tiết như kiểu, tên model, số serial và kích thước của ỗ đĩa cứng.
- Đặt băng niêm phong tại khe cắm đĩa mềm, nếu có.
- Hãy chắc chắn rằng khay ổ CD hoặc DVD được thu lại đúng vị trí, lưu ý các khay ổ đĩa này là trống, chứa ổ đĩa, hoặc không thể kiểm tra; niêm phong khe cắm ổ đã được đóng để ngăn chặn nó mở ra.
CHÚ THÍCH: Nếu có bất kỳ phương tiện khởi động nào còn sót lại bên trong thì lần sau khi máy này được cấp điện, nó có thể khởi động từ phương tiện này thay vì ổ cứng (hoặc ổ dĩa flash chứa công cụ điều tra số) tùy thuộc vào các thiết lập BIOS trong máy tính.
7.1.3 Thu nhận
7.1.3.1 Các thiết bị số đang bật nguồn
7.1.3.1.1 Tổng quan
Ba kịch bản tồn tại trong khi thu nhận có thể cần phải được thực hiện: khi các thiết bị số đang bật nguồn, khi các thiết bị số đang tắt nguồn và khi các thiết bị số ở trạng thái bật nhưng không thể tắt đi (chẳng hạn như các thiết bị số làm nhiệm vụ quan trọng). Trong tất cả các tình huống này, DEFR được yêu cầu để tạo một bản sao bằng chứng số chính xác của các thiết bị lưu trữ được nghi ngờ chứa bằng chứng số tiềm năng.
Nếu như không thể tạo bản sao, có thể thu nhận các bản sao chính xác của các tập tin cụ thể bị nghi ngờ chứa bằng chứng số tiềm năng. Lý tưởng nhất là cả bản sao chính được xác minh và bản sao làm việc phải được tạo ra. Bản sao chính có thể không được sử dụng lại trừ khi nó được yêu cầu để xác minh nội dung của bản sao làm việc hoặc tạo một bản sao làm việc thay thế bản sao làm việc đầu tiên đã bị phá hủy.
DEFR có thể làm theo một số hướng dẫn để thu nhận bằng chứng khi các thiết bị số được phát hiện là đang bật nguồn. Không phải tất cả các hướng dẫn đều lý tưởng và phù hợp cho tất cả các trường hợp. Một số hướng dẫn chỉ liên quan đến các trường hợp cụ thể. Do đó, các hướng dẫn có thể được phân loại thành cơ bản hoặc bổ sung, cần xem xét khả năng một hệ thống đang bật nguồn có thể đang ở chế độ bảo vệ màn hình hoặc tự động khóa và sẽ có một tác động tới những nỗ lực thực hiện để ngăn chặn chúng. Ví dụ, việc sử dụng phần mềm giả lập - mouse-jiggler - sẽ yêu cầu một USB nhập key vào registry và sẽ có các biến động xảy ra khi bất kỳ hành động nào được thực hiện. Sử dụng phương pháp đáng tin cậy sẽ giảm thiểu các tác động của hành động như vậy. Hình 4 minh họa các hành động cơ bản và hành động bổ sung áp dụng cho thu nhận bằng chứng từ thiết bị số đang bật nguồn.
Hình 4 - Hướng dẫn thu nhận bằng chứng từ thiết bị số đang bật nguồn
7.1.3.1.2 Các hành động cơ bản: Thu nhận bằng chứng từ thiết bị số đang bật nguồn
Dưới đây là các hành động cơ bản DEFR cần thực hiện trong tất cả các trường hợp liên quan đến việc thu nhận bằng chứng số tiềm năng từ các thiết bị số đang bật nguồn:
- Đầu tiên, hãy xem xét thu nhận các bằng chứng số tiềm năng có thể bị mất nếu thiết bị số bị tắt nguồn. Đây cũng được biết tới như là dạng dữ liệu dễ biến đổi như dữ liệu được lưu trữ trên bộ nhớ RAM, các tiến trình đang chạy, các kết nối mạng và các thiết lập ngày/thời gian. Trong những trường hợp cần thu nhận dữ liệu không dễ biến đổi từ các thiết bị đang chạy, nên xem xét thực hiện thu nhận trên một hệ thống đang bật nguồn.
- Thực hiện thu nhận trực tiếp là cần thiết để thu nhận dữ liệu trực tiếp từ các thiết bị đang chạy. Thu nhận trực tiếp dữ liệu dễ biến đổi trong bộ nhớ RAM có thể cho phép khôi phục các thông tin có giá trị như tình trạng mạng, ứng dụng giải mã và các mật khẩu. Thu nhận trực tiếp có thể được tiến hành trên giao diện điều khiển hoặc từ xa thông qua mạng. Các quy trình là khác nhau và yêu cầu việc sử dụng các bộ công cụ khác nhau.
- DEFR không bao giờ nên tin tưởng vào các chương trình trên hệ thống. Vì lý do này, các công cụ đáng tin cậy có bởi DEFR (các mã nhị phân tĩnh) được khuyến cáo bất cứ khi nào có thể. DEFR nên có năng lực sử dụng các công cụ được xác nhận và có khả năng đánh giá ảnh hưởng của các công cụ này trên hệ thống (ví dụ như sự dịch chuyển của các bằng chứng số tiềm năng, nội dung của bộ nhớ được sao chép lại khi phần mềm được tải...). Tất cả các hành động đã thực hiện và các kết quả thay đổi đối với bằng chứng số tiềm năng cần được lập tài liệu và hiểu rõ. Nếu không thể xác định ảnh hưởng của các công cụ đối với hệ thống hoặc không thể quyết định chắc chắn kết quả thay đổi thì tất cả các điều này cũng nên được ghi chép lại.
- Khi thu nhận dữ liệu dễ biến đổi, DEFR nên chấp nhận sử dụng một bộ chứa tập tin logic những khi có thể và ghi vào tài liệu giá trị băm của nó những khi nó chứa (các) tập tin dữ liệu dễ biến đổi. Khi trường hợp này là không thể, một bộ chứa giống như một tập tin ZIP nên được sử dụng và sau đó tập tin này nên được băm và giá trị được ghi lại. Các bộ chứa tệp tin kết quả nên được lưu trữ trên một phương tiện lưu trữ số đã được chuẩn bị cho mục đích này, ví dụ như đã được định dạng.
- Thực hiện quá trình tạo bản sao của bộ lưu trữ dữ liệu không dễ biến đổi trực tiếp sử dụng một công cụ tạo bản sao đã xác nhận hợp lệ. Bản sao kết quả bằng chứng số nên được lưu trữ trên một phương tiện lưu trữ số đã được chuẩn bị cho mục đích này. Trong khi ưu tiên sử dụng một phương tiện lưu trữ số mới, việc sử dụng các bản sao bằng chứng số từ các quá trình đã được xác nhận sẽ đảm bảo tính toàn vẹn của dữ liệu khi được tái tạo lại. Vì vậy, một phương tiện lưu trữ số đã được vệ sinh là đủ đáp ứng. Nếu bản sao phải được lưu trữ trong một bộ chứa tập tin logic, DEFR nên đảm bảo rằng bản sao không thể bị hỏng hoặc bị phá hủy.
CHÚ THÍCH: Trong các tình huống mà thiết bị bị khóa cứng, truy cập vật lý có thể được tiến hành thông qua các phương tiện khác có kích hoạt việc quyền truy cập trực tiếp vào bộ nhớ, ví dụ giao diện Firewire.
7.1.3.1.3 Các hành động bổ sung: Thu nhận bằng chứng từ thiết bị số đang bật nguồn
Sau đây là các hành động bổ sung có liên quan đến việc thu nhận bằng chứng từ thiết bị số đang bật nguồn, tùy thuộc vào cấu hình của các thiết bị số cụ thể:
- Xem xét thu nhận dữ liệu dễ biến đổi trong RAM khi việc sử dụng mã hóa bị nghi ngờ. Đầu tiên kiểm tra xem có phải trường hợp này hay không bằng cách kiểm tra các đĩa thô hoặc sử dụng một số tiện ích phát hiện mã hóa. Nếu đúng là trường hợp này, hãy lưu ý rằng máy chủ trực tiếp điều hành hệ thống có thể không đáng tin cậy và xem xét việc sử dụng các công cụ đáng tin cậy và đã được xác nhận phù hợp.
- Sử dụng một nguồn thời gian đáng tin cậy và lập tài liệu thời gian thực hiện của từng hành động.
- Có thể thích hợp để kết hợp DEFR với các bằng chứng số tiềm năng đã thu nhận, sử dụng chữ ký số, sinh trắc học và chụp ảnh.
CHÚ THÍCH: Hành động nhấn nút nguồn trên một thiết bị số có thể được cấu hình để khởi động một đoạn mã (script) mà có thể thay đổi thông tin và/hoặc xóa thông tin của hệ thống trước khi tắt hoặc để cảnh báo các hệ thống có kết nối đến rằng một sự kiện không mong muốn đã xảy ra do đó chúng có thể xóa dữ liệu bằng chứng có giá trị trước khi chúng được xác định. Nó cũng có thể được cấu hình để kích hoạt một thiết bị nhằm gây thiệt hại vật lý cho DEFR và các cá nhân khác có mặt.
7.1.3.2 Thiết bị số đang tắt nguồn
7.1.3.2.1 Tổng quan
Sẽ dễ dàng hơn trong xử lý một thiết bị số đang tắt nguồn so với một thiết bị số đang bật nguồn vì không cần thu nhận các dữ liệu dễ biến đổi. Hình 5 minh họa các hành động có thể áp dụng để thu nhận bằng chứng từ thiết bị số đang tắt nguồn.
Hình 5 - Hướng dẫn thu nhận bằng chứng từ các thiết bị số đang tắt nguồn
7.1.3.2.2 Thu nhận bằng chứng từ các thiết bị số đang tắt nguồn
Sau đây là các hành động để thu nhận các thiết bị số được tìm thấy ở trạng thái tắt nguồn:
- Đảm bảo rằng thiết bị thực sự là tắt nguồn.
- Nếu thích hợp, tháo gỡ các bộ lưu trữ khỏi các thiết bị số đã tắt nguồn nếu nó chưa được tháo. Ghi nhãn bộ lưu trữ như là bộ lưu trữ nghi ngờ và ghi chép tất cả các chi tiết như sự sắp đặt, tên model, số serial và dung lượng bộ nhớ.
- Thực hiện quá trình tạo bản sao bằng cách sử dụng một công cụ tạo bản sao được xác nhận để tạo ra một bản sao bằng chứng số của ổ đĩa nghi ngờ.
CHÚ THÍCH: Trong hầu hết các trường hợp, các phương tiện lưu trữ không nên được tháo gỡ khỏi các thiết bị số cho đến khi nó được thu nhận do việc tháo gỡ sẽ làm tăng nguy cơ phá hủy hoặc gây nhầm lẫn với phương tiện lưu trữ khác. Thủ tục nội bộ về sự cần thiết để gỡ bỏ các ổ đĩa cứng cần được xây dựng và tuân theo.
7.1.3.3 Các thiết bị số làm nhiệm vụ quan trọng
Trong một số trường hợp, các thiết bị số không thể bị tắt nguồn do tính chất quan trọng của hệ thống. Những hệ thống như các máy chủ tại các trung tâm dữ liệu cũng có thể đang phục vụ khách hàng không có liên can, các hệ thống giám sát, các hệ thống y tế và nhiều hệ thống khác có thể bị ảnh hưởng nghiêm trọng nếu chúng bị gián đoạn hoặc tắt nguồn. Nên dành sự quan tâm đặc biệt khi xử lý các hệ thống như vậy.
Khi các thiết bị số không thể bị tắt nguồn, tiến hành thu nhận trực tiếp và/hoặc từng phần, như đã đề cập tại 7.1.3.1.2 và 7.1.3.4.
7.1.3.4 Thu nhận từng phần
Thu nhận từng phần có thể được thực hiện vì nhiều lý do, chẳng hạn như:
- Hệ thống lưu trữ là quá lớn để có thể thu nhận (ví dụ máy chủ cơ sở dữ liệu);
- Một hệ thống rất quan trọng không thể tắt nguồn;
- Chỉ khi dữ liệu đã chọn để thu nhận có chứa dữ liệu không liên quan khác trong cùng hệ thống; hoặc
- Khi bị hạn chế bởi cơ quan pháp luật như có một lệnh tìm kiếm làm giới hạn phạm vi của việc thu nhận.
Khi đã quyết định thu nhận từng phần, các hoạt động thu nhận nên bao gồm nhưng không giới hạn các nội dung sau:
- Xác định (các) thư mục, (các) tập tin hoặc bất kỳ tùy chọn hệ thống thích hợp có liên quan để thu nhận các dữ liệu mong muốn,
- Tiến hành thu nhận logic trên dữ liệu được xác định.
7.1.3.5 Phương tiện lưu trữ số
Nhiều loại phương tiện lưu trữ số có thể được tìm thấy tại hiện trường sự cố. Thông thường đây là những loại dữ liệu ít biến đổi nhất và có thể có mức ưu tiên tập hợp và thu nhận thấp nhất. Điều này không có nghĩa là chúng không quan trọng bởi vì trong nhiều trường hợp, phương tiện lưu trữ số bên ngoài chứa các bằng chứng mà các nhà phân tích đang tìm kiếm. DEFR cần phải đảm bảo những điều sau đây:
- Kiểm tra và ghi chép các vị trí (ví dụ khay ổ đĩa, dây và đầu nối, khe cắm USB...), sự sắp đặt, kiểu và số serial (nếu có) của từng phương tiện lưu trữ số được tìm thấy.
- Quyết định xem có tập hợp các phương tiện lưu trữ số được xác định hoặc tiến hành thu nhận ngay tại hiện trường, quyết định phải dựa trên bản chất của sự cố và nguồn lực sẵn có. Khi tiến hành thu nhận tại hiện trường các phương tiện lưu trữ số (chủ yếu đĩa cứng), xem minh họa tại Hình 4.
- Nếu DEFR quyết định và được phép tập hợp phương tiện lưu trữ số, các phương tiện được tập hợp nên được bao bọc hoặc đặt trong bao bì thích hợp.
- Ghi nhãn tất cả phương tiện lưu trữ số và bất kỳ bộ phận có liên quan với chúng. Các nhãn bằng chứng không nên đặt trực tiếp trên các bộ phận cơ khí của phương tiện lưu trữ số, cũng không nên bao phủ hoặc che lấp thông tin quan trọng như số serial, số model và số phần. Tất cả phương tiện lưu trữ đã tập hợp phải được thu nhận và được lưu trữ theo cách đảm bảo tính toàn vẹn của các phương tiện đã tập hợp. Nếu có thể, bằng chứng nên được niêm phong bằng nhãn niêm phong chống giả mạo và DEFR hoặc nhân viên phụ trách nên ký trên nhãn.
- Các phương tiện lưu trữ số đã tập hợp phải được lưu trữ trong một môi trường thích hợp để bảo quản dữ liệu.
- Các phương tiện lưu trữ số khác nhau có khả năng lưu trữ dữ liệu khác nhau. DEFR cần phải nhận biết khoảng thời gian tối đa chấp nhận được quy định bởi cơ quan pháp luật, có liên quan đến khả năng lưu trữ dữ liệu các phương tiện lưu trữ số.
7.1.4 Bảo quản
Sau khi quá trình thu nhận được hoàn thành, DEFR nên niêm phong các dữ liệu đã thu nhận bằng việc sử dụng các hàm xác thực hoặc chữ ký số để xác định rằng các bản sao bằng chứng số là tương đương với bản gốc. Ngoài ra, các khía cạnh an ninh yêu cầu các kiểm soát áp dụng các nguyên tắc duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của các bằng chứng số tiềm năng. Để bảo vệ chống lại sự sửa đổi, các khía cạnh về môi trường nên được giải quyết bằng các biện pháp thích hợp. DEFR cần phải đảm bảo những điều sau đây:
- Sử dụng một hàm xác thực thích hợp để cung cấp bằng chứng cho thấy các tập tin sao chép tương đương với bản gốc.
- Có thể thích hợp khi gắn DEFR với bằng chứng số tiềm năng đã thu nhận, sử dụng chữ ký số, sinh trắc học và chụp hình.
Tất cả các thiết bị số đã được tập hợp cần phải được bảo quản một cách thích hợp. Các loại thiết bị số khác nhau có thể yêu cầu các phương pháp bảo quản khác nhau. Các bằng chứng số tiềm năng cần được bảo quản trong suốt thời gian tồn tại của chúng, thời gian này có thể khác nhau tùy theo cơ quan pháp luật và chính sách của tổ chức.
CHÚ THÍCH: Để thay thế cho niêm phong các dữ liệu đã thu nhận bằng các hàm xác thực hoặc chữ ký số, DEFR cũng có thể sử dụng tính năng sinh trắc học. Sinh trắc học sử dụng các đặc tính vật lý và đặc điểm hành vi để xác định định danh của một cá nhân. Bằng cách gắn một tính năng sinh trắc học với bằng chứng thu nhận được, có thể đảm bảo rằng các bằng chứng không thể được làm giả mạo mà không làm ảnh hưởng đến tính năng sinh trắc học.
7.2 Các thiết bị mạng
7.2.1 Xác định
7.2.1.1 Tổng quan
Trong bối cảnh của Điều này, các thiết bị mạng được coi là máy tính hoặc các thiết bị số khác được kết nối với một mạng ở cả hai chế độ có dây hoặc không dây. Các thiết bị được nối mạng này có thể bao gồm máy tính lớn, máy chủ, máy tính để bàn, các điểm truy cập, thiết bị chuyển mạch, hub, thiết bị định tuyến, các thiết bị di động, PDA, PED, các thiết bị Bluetooth, hệ thống camera quan sát và nhiều hơn nữa. Lưu ý rằng nếu các thiết bị số được nối mạng, rất khó để xác định nơi lưu trữ các bằng chứng số tiềm năng đang được tìm kiếm. Các dữ liệu có thể được đặt ở bất cứ đâu trên mạng.
Việc xác định một thiết bị số bao gồm các thành phần như logo nhà sản xuất, số serial, giá đỡ và bộ chuyển đổi nguồn điện. DEFR có thể xem xét các khía cạnh sau như là đặc tính nhận dạng:
- Đặc điểm thiết bị: cấu tạo và nhà sản xuất của một thiết bị số đôi khi có thể được xác định bởi các đặc điểm có thể quan sát được của nó, đặc biệt là nếu có các yếu tố thiết kế duy nhất tồn tại.
- Giao diện thiết bị: Đầu nối nguồn điện thường là cụ thể cho một nhà sản xuất và hỗ trợ nhận dạng một cách đáng tin cậy.
- Nhãn thiết bị: Đối với các thiết bị di động tắt nguồn, thông tin thu được từ bên trong khoang chứa pin có thể cho nhiều thông tin, đặc biệt là khi kết hợp với một cơ sở dữ liệu thích hợp. Ví dụ, IMEI là một số có 15 chữ số cho biết nhà sản xuất, chủng loại, và quốc gia phê duyệt cho các thiết bị GSM; ESN là một định dạng 32 bit duy nhất được ghi lại trên một chip bảo mật trong một chiếc điện thoại di động của các nhà sản xuất - 8-14 bit đầu tiên xác định các nhà sản xuất và các bít còn lại xác định số serial được gán.
- Tra cứu ngược: Trong trường hợp điện thoại di động, nếu số điện thoại của chiếc điện thoại được biết, việc tra cứu ngược có thể được sử dụng để xác định nhà điều hành mạng,
Do kích thước các thiết bị di động nhìn chung là nhỏ, DEFR cần phải đặc biệt quan tâm xác định tất cả các loại thiết bị di động có thể có liên quan đến vụ án. DEFR cần phải bảo vệ hiện trường sự cố bị nghi ngờ và đảm bảo rằng không có cá nhân nào loại bỏ điện thoại di động hoặc bất kỳ thiết bị số khác khỏi hiện trường. Thiết bị số có thể chứa bằng chứng số nên được bảo vệ khỏi những truy cập trái phép.
CHÚ THÍCH: Trong một số trường hợp, thông tin liên lạc không nên bị gián đoạn. Thông báo cho các cá nhân có thẩm quyền về các vấn đề có thể xảy ra (ví dụ: đã không cảnh báo các cá nhân không rõ về việc tắt thiết bị).
7.2.1.2 Tìm kiếm hiện trường sự cố vật lý và ghi chép
Trước khi thực hiện thu nhận hoặc tập hợp, hiện trường sự cố nên được ghi chép một cách trực quan bằng cách chụp ảnh, quay phim hoặc phác thảo hiện trường như khi mới xâm nhập. Lựa chọn phương thức ghi chép cần phải được cân đối theo tình huống, chi phí, thời gian, nguồn lực sẵn có và các ưu tiên. DEFR nên ghi chép tất cả các khoản mục khác tại hiện trường có thể chứa các dữ liệu có thể liên quan tiềm năng như ghi chú nguệch ngoạc, các giấy ghi chú, nhật ký...
- DEFR nên ghi chép về kiểu, thương hiệu, model và số serial của bất kỳ thiết bị số được sử dụng và xác định tất cả các thiết bị số cần được thu nhận hoặc tập hợp trong giai đoạn ban đầu này. Tất cả các thiết bị di động và các sản phẩm liên quan của chúng như thẻ nhớ, thẻ SIM, bộ sạc và nguồn gốc được tìm thấy tại hiện trường, số serial có liên quan của chúng và bất kỳ đặc điểm nhận dạng nên được ghi chép và tập hợp, nếu được yêu cầu. Cũng cố gắng tìm bao bì gốc của điện thoại di động: chúng có thể chứa các ghi chú với mã PIN và mã PUK.
- Nếu thiết bị được nối mạng, DEFR cần xác định các dịch vụ của các thiết bị để hiểu sự phụ thuộc và để xác định tầm quan trọng của các thiết bị trong mạng trước khi quyết định ngắt kết nối thiết bị từ mạng. Điều này rất quan trọng nếu các thiết bị đang phục vụ các chức năng quan trọng mà không thể chấp nhận bất cứ thời gian chết nào hoặc để tránh sự phá hủy của các bằng chứng số tiềm năng. Tuy nhiên, nếu xuất hiện các mối đe dọa trên mạng đối với các thiết bị, DEFR có thể cần phải quyết định ngắt kết nối thiết bị với mạng để bảo vệ các bằng chứng số tiềm năng.
- Nếu các thiết bị nối mạng là một hệ thống CCTV, DEFR nên lưu ý số lượng camera được kết nối với hệ thống, cũng như có những camera đang hoạt động sẵn. DEFR cũng nên ghi lại sự sắp đặt, model và các thiết lập cơ bản của hệ thống như các thiết lập hiển thị, thiết lập bản ghi hiện tại và vị trí lưu trữ sao cho nếu phải thay đổi để tạo thuận lợi cho quá trình tập hợp hoặc thu nhận, thì sau đó có thể đưa hệ thống trở lại tình trạng ban đầu của nó.
- Trạng thái của các thiết bị số nên được duy trì như hiện trạng càng nhiều càng tốt. Nói chung, nếu các thiết bị số được tắt nguồn, DEFR không nên bật lên và nếu chúng đang bật, các DEFR không nên tắt chúng đi... Điều này có thể ngăn chặn sự làm hỏng không cần thiết các bằng chứng số tiềm năng. Một thiết bị có pin chạy yếu cần được sạc điện để đảm bảo thông tin không bị mất. DEFR cần xác định phương tiện sạc tiềm năng và cáp trong suốt giai đoạn này. Nếu một thiết bị được vận chuyển và được thẩm tra tại một ngày không xác định trong tương lai, có thể thích hợp để chuyển sang chế độ tắt nguồn để giảm thiểu nguy cơ thiệt hại cho dữ liệu chứa trong thiết bị.
- DEFR cũng nên xem xét việc sử dụng một máy dò tín hiệu không dây để phát hiện và xác định các tín hiệu không dây từ các thiết bị không dây có thể đang được ẩn. Có thể có trường hợp máy dò tín hiệu không dây không được sử dụng do giới hạn về chi phí và thời gian và DEFR nên ghi chép lại điều này.
7.2.2 Tập hợp, thu nhận và bảo quản
7.2.2.1 Tổng quan
DEFR cần phải quyết định liệu có tập hợp hoặc thu nhận bằng chứng số tiềm năng từ các thiết bị số. Sự lựa chọn cần phải được cân đối theo tình huống, chi phí, thời gian, nguồn lực sẵn có và mức độ ưu tiên.
Nếu DEFR quyết định ngắt kết nối các thiết bị, quá trình tập hợp hoặc thu nhận các bằng chứng số tiềm năng sẽ làm theo như mô tả trong điều 5.4. Trong trường hợp các thiết bị không thể ngắt kết nối với mạng do chức năng quan trọng của nó hay khả năng phá hủy các bằng chứng số tiềm năng, DEFR nên tiến hành thu nhận trực tiếp trong khi các thiết bị duy trì kết nối vào mạng.
CHÚ THÍCH: Việc có các thủ tục chuẩn, hợp lý sử dụng các công cụ đã được xác thực, kết hợp với tài liệu ghi chép tốt và DEFR được đào tạo và có kinh nghiệm là rất quan trọng.
Tập hợp và thu nhận các bằng chứng số tiềm năng từ các thiết bị di động nối mạng rất phức tạp bởi vì chúng có thể tồn tại ở nhiều trạng thái và các chế độ tương tác như Bluetooth, tần số vô tuyến điện, màn hình chạm, và hồng ngoại. Thêm vào đó, các nhà sản xuất thiết bị di động khác nhau sử dụng các loại hệ điều hành khác nhau, đòi hỏi các phương pháp thu nhận bằng chứng khác nhau. Ngoài ra còn có một loạt thẻ nhớ được sử dụng với các thiết bị di động, và việc loại bỏ các thẻ nhớ trên các thiết bị di động đang bật nguồn có thể gây trở ngại cho các tiến trình đang chạy.
Nói chung, các thiết bị di động như PDA và điện thoại di động cần phải được bật nguồn để thu nhận các bằng chứng số tiềm năng. Các thiết bị này có thể liên tục thay đổi môi trường hoạt động của nó trong khi bật, ví dụ, hẹn giờ đồng hồ có thể được cập nhật, vấn đề có liên quan là hai bản sao bằng chứng số của cùng một thiết bị có thể không vượt qua các hàm xác minh chuẩn như hàm băm. Trong tình huống này, các hàm xác thực thay thế mà xác định được các lĩnh vực chung và/hoặc khác biệt có thể là thích hợp hơn.
Điều quan trọng là DEFR không nên đưa các thiết bị Wi-Fi hoặc Bluetooth vào hiện trường mà có thể thay đổi thông tin ghép nối trên các thiết bị chứng cứ tiềm năng. Điều này đặc biệt quan trọng nếu người điều tra cần phải biết những thiết bị nào đã được kết nối.
Nếu DEFR quyết định theo một quá trình thu nhận, các thiết bị mạng cần được giữ cho tiếp tục chạy để phân tích thêm và xác định các thiết bị khác đã kết nối với các thiết bị mạng. DEFR nên xem xét khả năng phá hoại của các nghi phạm thông qua một kết nối mạng đang hoạt động và quyết định hoặc giám sát hệ thống hoặc là ngắt kết nối.
7.2.2.2 Hướng dẫn tập hợp thiết bị được kết nối mạng
Trong một số trường hợp, có thể thích hợp khi giữ các thiết bị mạng ở trạng thái kết nối sao cho hoạt động của chúng có thể được theo dõi và ghi lại bởi một DEFR và / hoặc DES được ủy quyền thích hợp. Nếu việc này là không cần thiết, các thiết bị phải được tập hợp như mô tả dưới đây:
- DEFR nên cô lập các thiết bị khỏi mạng khi chắc chắn rằng không có dữ liệu liên quan sẽ bị ghi đè bởi hành động này và không có trục trặc xảy ra trong các hệ thống quan trọng (chẳng hạn như hệ thống quản lý cơ sở tại các bệnh viện). Điều này có thể được thực hiện bằng cách rút các kết nối mạng có dây nối tới hệ thống điện thoại hoặc cổng mạng, hoặc vô hiệu hóa kết nối tới điểm truy cập không dây.
- Trước khi rút dây mạng, DEFR nên theo dõi các kết nối tới các thiết bị số và gắn nhãn các cổng cho việc xây dựng lại toàn bộ mạng trong tương lai. Một thiết bị có thể có nhiều hơn một phương thức giao tiếp. Ví dụ, một máy tính có thể có các mạng LAN, một modem không dây và các thẻ điện thoại di động, PED, cũng có thể được kết nối tới mạng thông qua Wi-Fi, kết nối Bluetooth hoặc kết nối mạng điện thoại di động. DEFR nên cố gắng để xác định tất cả các phương thức giao tiếp và thực hiện các hoạt động thích hợp để bảo vệ chống lại sự phá hủy các bằng chứng số tiềm năng.
- Lưu ý rằng, việc tháo nguồn điện khỏi các thiết bị mạng vào thời điểm này có thể phá hủy dữ liệu dễ biến đổi như là các tiến trình đang chạy, kết nối mạng và dữ liệu được lưu trữ trong bộ nhớ. Hệ điều hành máy chủ có thể không đáng tin cậy và báo cáo thông tin sai lệch. DEFR nên nắm bắt thông tin này bằng cách sử dụng các phương pháp tin cậy đã được xác thực trước khi thảo nguồn điện khỏi các thiết bị. Một khi DEFR đã chắc chắn rằng sẽ không có bằng chứng số tiềm năng bị mất, các kết nối từ các thiết bị số có thể được gỡ bỏ.
- Nếu việc tập hợp được ưu tiên hơn việc thu nhận và đã biết rằng thiết bị có chứa bộ nhớ dễ biến đổi, thiết bị cần được tiếp tục nối với nguồn điện.
- Nếu thiết bị di động đã được tắt nguồn, cần đóng gói cẩn thận, niêm phong và ghi nhãn thiết bị. Việc này nhằm tránh bất kỳ hoạt động vô tình hay cố ý của các phím hoặc nút. Để đề phòng, DEFR cũng nên xem xét sử dụng lồng Faraday hay hộp che chắn.
- Trong một số trường hợp, các thiết bị di động nên được tắt nguồn khi tập hợp để tránh dữ liệu bị thay đổi. Điều này có thể xảy ra thông qua các kết nối đi và đến hoặc các lệnh mà có thể phá hủy các bằng chứng số tiềm năng.
- Sau đó, mỗi thiết bị số có thể được xử lý như thể nó là một thiết bị độc lập (tham khảo Điều 7.1) cho đến khi nó được thẩm tra. Trong khi thẩm tra, thiết bị số nên được coi như một thiết bị nối mạng.
CHÚ THÍCH: Có thể thực hiện một kiểu nối mạng sử dụng các thiết bị lưu trữ di động như các phương tiện truyền dẫn. DEFR nên xem xét các thiết bị đang tập hợp có thể được sử dụng theo cách này hay không và tìm kiếm thông tin về các thiết bị khác đã sử dụng thông tin theo kiểu nối mạng này.
7.2.2.3 Hướng dẫn cho việc thu nhận các thiết bị được kết nối mạng
Trong tình huống mà các thiết bị được kết nối với một mạng, có một khả năng là các thiết bị được kết nối với nhiều hơn một (1) mạng vật lý và/hoặc mạng ảo. Ví dụ, một thiết bị dường như có một (1) kết nối mạng vật lý trong thực tế đang chạy mạng riêng ảo (VPN) và máy ảo với nhiều hơn một (1) địa chỉ IP. Như vậy, trước khi ngắt kết nối các thiết bị mạng, DEFR nên tiến hành thu nhận logic các dữ liệu có liên quan đến các kết nối mạng logic (ví dụ như kết nối Internet). Các dữ liệu liên quan bao gồm nhưng không giới hạn cấu hình địa chỉ IP và bảng định tuyến.
Đối với một thiết bị mạng được yêu cầu tiếp tục bật nguồn, các thiết bị phải được ngăn chặn sự tương tác với các mạng vô tuyến không dây bao gồm GPS. DEFR phải sử dụng phương thức được cho phép bởi luật pháp địa phương để cô lập tín hiệu vô tuyến. Tuy nhiên nên cẩn thận để đảm bảo rằng thiết bị có đủ nguồn điện, do các phương pháp cô lập có thể khiến cho thiết bị sử dụng thêm điện trong nỗ lực liên hệ với một mạng. Phương pháp cô lập có thể bao gồm, nhưng không giới hạn, sau đây:
- Sử dụng thiết bị gây nhiễu có khả năng ngăn chặn truyền tải thông qua việc tạo ra sự can thiệp mạnh mẽ khi phát ra tín hiệu gây nhiễu các thiết bị trong dải tần số tương tự dải tần mà các thiết bị di động sử dụng.
CHÚ THÍCH 1: Sử dụng các thiết bị gây nhiễu có thể vi phạm các yêu cầu pháp lý trong một số cơ quan pháp luật.
CHÚ THÍCH 2: Sử dụng các thiết bị gây nhiễu có thể ảnh hưởng tiêu cực đến hoạt động của các thiết bị điện tử như thiết bị y tế.
- Sử dụng một khu vực làm việc được che chắn để tiến hành thẩm tra một cách an toàn tại một vị trí cố định. Che chắn có thể được thực hiện cho toàn bộ khu vực làm việc hoặc thông qua việc thiết lập một lều Faraday di động. Tuy nhiên đi cáp trong lều là vấn đề vì không có cách ly phù hợp chúng có thể hoạt động như một ăng-ten, làm hỏng mục đích của lều. Các không gian làm việc cũng có thể rất hạn chế.
- Sử dụng một khu vực làm việc được che chắn để tiến hành thẩm tra một cách an toàn tại một vị trí cố định. Một không gian làm việc được che chắn tần số vô tuyến hoặc một container (lồng Faraday) có thể được sử dụng để ngăn chặn các kết nối vào mạng.
CHÚ THÍCH 3: Tất cả các phương pháp ngăn chặn truy cập không dây vào mạng nên được xác nhận hợp lệ để sử dụng trên các tần số thích hợp. Việc xác nhận tính hợp lệ này nên mở rộng tới các cáp đi qua nơi che chắn.
- Sử dụng một (U)SIM thay thế bắt chước định danh của thiết bị gốc và ngăn chặn truy cập mạng bằng thiết bị. Các thẻ này có thể đánh lừa thiết bị để chấp nhận chúng như là (U)SIM gốc và cho phép thực hiện thẩm tra một cách an toàn tại bất kỳ vị trí nào. (U)SIM nên được xác thực cho thiết bị và mạng trước khi sử dụng.
- Vô hiệu hóa các dịch vụ mạng bằng cách dàn xếp với nhà cung cấp dịch vụ di động và xác định chi tiết về các dịch vụ được vô hiệu hóa (ví dụ các bộ nhận dạng thiết bị, bộ nhận dạng thuê bao, hoặc số điện thoại). Tuy nhiên, những thông tin này không phải là luôn luôn có sẵn trong khi quá trình phối hợp và xác nhận có thể gây chậm trễ.
DEFR có thể tiến hành thu nhận trực tiếp thiết bị di động trước khi tháo pin ra (ví dụ, truy cập vào thẻ SIM). Điều này có thể được thực hiện để tránh mất thông tin quan trọng tiềm năng trong bộ nhớ RAM của điện thoại hoặc để đẩy nhanh quá trình thẩm tra (ví dụ khi tin chắc thiết bị có thể được bảo vệ bởi mã PIN và/hoặc mã PUK mà sẽ mất khá nhiều thời gian để thu thập).
CHÚ THÍCH 4: DEFR nên đảm bảo rằng việc tập hợp và thu nhận các bằng chứng số tiềm năng là phù hợp với luật pháp và các quy định của địa phương theo yêu cầu dựa trên hoàn cảnh cụ thể
7.2.2.4 Hướng dẫn bảo quản thiết bị được kết nối mạng
Do bản chất của các thiết bị số và bằng chứng số tiềm năng, các hướng dẫn bảo quản các thiết bị kết nối mạng cũng tương tự như việc bảo quản các máy tính, thiết bị ngoại vi và phương tiện lưu trữ số. Tham khảo quy định tại 7.1.4 để được hướng dẫn chi tiết về bảo quản thiết bị.
7.3 Tập hợp, thu nhận và bảo quản CCTV
DEFR nên hiểu rằng cách tiếp cận trích xuất chuỗi video từ một hệ thống DVR CCTV dựa trên máy tính hoặc nhúng là khác so với việc trích xuất bằng chứng số truyền thống từ một máy tính. Dưới đây là những hướng dẫn cụ thể cho việc thu nhận các bằng chứng số tiềm năng từ hệ thống camera quan sát:
- Trước khi bắt đầu quá trình thu nhận, đầu tiên DEFR nên xác định hệ thống có ghi nhận chuỗi video quan tâm hay không. Sau đó, DEFR nên xác định khoảng thời gian của đoạn video được yêu cầu và so sánh thời gian hệ thống với thời gian chính xác và ghi lại độ sai lệch. DEFR cũng nên xác định các camera nào là cần thiết và liệu chúng có thể được thu nhận riêng rẽ hay không. DEFR nên ghi lại việc cấu tạo và model của hệ thống. Thông tin này có thể được yêu cầu để tìm phần mềm phát lại chính xác.
- DEFR nên thu nhận tất cả các bản ghi của camera có liên quan trong thời gian quan tâm để bảo quản thông tin điều tra bổ sung có thể được xem xét sau này. DEFR nên ghi lại tất cả các camera đã được kết nối với một hệ thống CCTV và xác định xem chúng đang kích hoạt ghi hình hay không ghi hình.
DEFR nên xác định dung lượng lưu trữ hệ thống CCTV, cũng như khi nào hệ thống được dự kiến sẽ ghi đè lên các thông tin video. Thông tin này sẽ cho phép DEFR biết chuỗi video sẽ được giữ lại trên hệ thống bao lâu trước khi nó bị mất. Hành động phải được thực hiện để đảm bảo các chứng cứ không được thay đổi. Đối với bằng chứng video số, bảo vệ chống ghi cần được thực hiện đúng thời điểm.
- Có một số tùy chọn mà DEFR có thể chọn để thu nhận bằng chứng số tiềm năng từ các hệ thống CCTV:
1) Thu nhận các tập tin video bằng cách ghi chúng vào đĩa CD/DVD/Blu-ray nhưng điều này có thể không thực tế nếu các tập tin video là quá lớn.
2) Thu nhận các tập tin video bằng cách ghi chúng vào một phương tiện lưu trữ bên ngoài.
3) Thu nhận các tập tin video thông qua kết nối mạng. Điều này có thể được áp dụng nếu hệ thống camera quan sát được trang bị một cổng mạng.
4) Sử dụng tính năng xuất ra của hệ thống CCTV tới các định dạng tập tin khác (thường là MPEG hay AVI) là một phiên bản nén của các đoạn phim video. Điều này chỉ nên được sử dụng như một phương pháp cuối cùng vì nén làm thay đổi dữ liệu gốc và luôn luôn loại bỏ chi tiết hình ảnh. Việc thẩm tra dựa vào dữ liệu được giải nén không được khuyến cáo nếu dữ liệu gốc có sẵn để phân tích.
CHÚ THÍCH 1: Chất lượng của các cảnh quay video được xuất ra có thể không được tốt như các cảnh quay ban đầu.
5) Trường hợp không thể thu nhận trực tiếp một bản sao bằng chứng số của các tập tin trên thiết bị ghi, DEFR hoặc DES nên cố gắng thu nhận một bản sao tương tự từ đầu ra tương tự trên các thiết bị ghi ban đầu sử dụng một thiết bị ghi tương tự phù hợp.
- Sau khi hoàn tất việc thu nhận, tệp tin đã thu nhận phải được kiểm tra để xác nhận đã thu nhận đúng tệp tin hay phần của tệp tin. Tệp tin cũng cần được kiểm tra với phần mềm chạy (cho các định dạng tập tin thiết bị số) để xác định khả năng chạy của nó trên các hệ thống khác - hầu hết các hệ thống CCTV là độc quyền và việc chạy các tập tin có thể không nhất thiết phải sử dụng phần mềm phát lại khác. Phần mềm phát lại chính xác có thể có sẵn để tải về từ hệ thống camera quan sát tại cùng một thời điểm của dữ liệu.
- Phương tiện lưu trữ số có chứa các tệp tin đã được thu nhận phải được xử lý như là bản sao bằng chứng số chính. Nếu tập tin đã được tải về một máy tính xách tay hoặc thẻ nhớ/USB, thì một bản sao chính lâu dài nên được làm ra từ tập tin này sớm nhất có thể.
- Sau đó, DEFR nên khởi động lại hệ thống CCTV nếu nó đã được tắt nguồn. Điều này nên được thực hiện với sự hiện diện của cá nhân được ủy quyền.
Trong những trường hợp mà việc thu nhận tại hiện trường là không thực tế, DEFR có thể phải quyết định tập hợp các phương tiện lưu trữ số. Một phương pháp nhanh chóng là thay thế ổ đĩa cứng của hệ thống CCTV với một ổ đĩa trống. Tuy nhiên, DEFR nên đánh giá một số rủi ro trước khi sử dụng phương pháp này, chẳng hạn như khả năng tương thích của ổ cứng mới với hệ thống và khả năng tương thích của ổ cứng được loại bỏ với các hệ thống khác để thẩm tra.
CHÚ THÍCH 2: Một số hệ thống có ổ cứng di động trong hộp, nhưng ổ cứng này có thể yêu cầu phần cứng của hệ thống để phát lại.
Nếu không thể thực hiện được phương pháp nào nêu trên thì toàn bộ hệ thống CCTV cần được gỡ ra khỏi hiện trường và quá trình thu nhận phải được thực hiện lại trong phòng thí nghiệm pháp y. Đây là phương pháp cuối cùng của DEFR và giả định rằng có thể làm được vì một số hệ thống CCTV là rất lớn và phức tạp. Một lần nữa, DEFR cần đánh giá rủi ro về pháp lý và bảo hiểm trước khi tháo gỡ.
Do bản chất của các thiết bị số và bằng chứng số tiềm năng, các hướng dẫn bảo quản hệ thống CCTV là tương tự như việc bảo quản máy tính, thiết bị ngoại vi và phương tiện lưu trữ số. Tham khảo quy định tại Điều 7.14 để được hướng dẫn về bảo quản hệ thống CCTV.
Phụ lục A
(Tham khảo)
Mô tả các kỹ năng cốt lõi và năng lực của DEFR
Bảng A.1 - Ví dụ về mô tả năng lực
TT | Các kỹ năng cốt lõi | Mô tả các kỹ năng cốt lõi | Mô tả năng lực | ||
|
|
| Nhận thức (1) | Kiến thức (2) | Kỹ năng (3) |
1 | Xác định bằng chứng số | Xác định đặc trưng của thiết bị số, các thành phần, thông tin hỗ trợ điều tra và luật pháp liên quan để xử lý bằng chứng số tiềm năng và tội phạm máy tính liên quan. Xác định công cụ cần thiết cho việc tập hợp và thu nhận dữ liệu, và thiết bị và đánh giá rủi ro. | Người dùng công nghệ thông tin thông thường và quản trị viên trong nhiều loại thiết bị công nghệ thông tin và thiết bị mạng; Các thủ tục điều tra tại hiện trường vụ án; Quyết định về trạng thái của thiết bị; giá trị của thông tin bằng chứng; Thông tin và các thiết bị liên quan đến điều tra mạng. | Nhật ký và cấu hình hệ thống/ứng dụng; Định danh của nhật ký hệ thống và ứng dụng bao gồm: nhật ký thư điện tử, nhật ký web; nhật ký truy cập, tệp tin mật khẩu, tệp tin cấu hình hệ thống, thông tin địa chỉ IP máy chủ; chức năng và sự phụ thuộc của các thiết bị; có hiểu biết về tác động lên các bằng chứng dễ biến đổi và không dễ biến đổi | Phân tích đặc biệt; biên dịch nhật ký để phát hiện xâm nhập và xác định các hệ thống khác bị ảnh hưởng (một số cơ quan pháp luật yêu cầu xác nhận về việc có bằng chứng trước khi tập hợp); xác định mật khẩu cần cho các thiết bị tương ứng trước khi tập hợp; nhận dạng sơ đồ mạng và các cơ chế kiểm soát truy cập để hiểu rõ những sự phụ thuộc; liên kết những địa chỉ IP và địa chỉ MAC để xác nhận thiết bị |
2 | Tập hợp bằng chứng số | Các yêu cầu về công cụ và thực hiện đóng gói các bằng chứng số, bảo vệ chống lại các mối đe dọa môi trường. Lĩnh vực kỹ năng bao gồm kỹ năng đảm bảo thông tin | An toàn tập hợp dữ liệu chung; các nguyên tắc và thiết kế các công cụ cơ bản; xác định các phương pháp tốt nhất của việc tập hợp để bảo quản tối đa thông tin có liên quan đến sự cố | Xây dựng và thực hiện quá trình tập hợp; tập hợp bằng chứng; tạo ra các tài liệu bằng chứng cứ; chuỗi giám sát bằng chứng; kiểm soát chất lượng của quá trình tập hợp bằng chứng; chất vấn nghi ngờ | Tối ưu hóa quá trình tập hợp; lập tài liệu bằng chứng không thể thu nhận do nhiều ràng buộc; tập hợp các mật khẩu, khóa, thiết bị bảo mật và các thông tin cần thiết khác để tiến hành phân tích tại phòng thí nghiệm |
3 | Thu nhận bằng chứng số | Áp dụng các yêu cầu của việc thu nhận các bằng chứng số tiềm năng theo dạng logic, đảm bảo tính lặp lại, đánh giá được, tính tái tạo và tính bảo vệ. Lĩnh vực kỹ năng bao gồm thực hiện thu nhận trên một hệ thống đang bật nguồn, thu nhận trên một hệ thống đang tắt nguồn và điều tra số | Hiểu được các thông tin có sẵn trong thiết bị số, cơ sở dữ liệu, tài liệu được tạo ra từ hệ thống, dữ liệu được người dùng tạo ra và dữ liệu dễ biến đổi; cấu trúc và thiết bị hệ thống Unix, Windows; nhận thức về tác động của dữ liệu dễ biến đổi | Biết cách làm thế nào để xác định các yêu cầu lưu trữ; thực hiện các thủ tục thu nhận bản sao (ví dụ: thu nhận phương tiện lưu trữ số từng phần và đầy đủ); việc thu nhận được thực hiện trên hệ thống đang bật nguồn, hệ thống đang tắt nguồn; tạo ra các giá trị băm | Khả năng tiến hành thu nhận các phương tiện lưu trữ số bao gồm đĩa RAID; cơ sở dữ liệu, các thiết bị và trang bị thu nhỏ; hiểu biết về sự phụ thuộc và ảnh hưởng lên các phương pháp thu nhận khác nhau |
4 | Bảo quản bằng chứng số | Áp dụng và đánh giá các yêu cầu về bảo quản các bằng chứng số tiềm năng, hiểu các yếu tố và các thông số ảnh hưởng đến độ chính xác của nó. Lĩnh vực kỹ năng bao gồm phương pháp luận, duy trì chuỗi giám sát, bằng chứng, xử lý các thiết bị máy tính và xử lý các thiết bị lưu trữ số | Hiểu các yêu cầu và các thủ tục cho duy trì chuỗi giám sát chống lại các yêu cầu trái phép; tác động môi trường như độ ẩm, nhiệt độ và mức độ sốc đối với các thiết bị số; hiểu các tùy chọn đóng gói, các yêu cầu vận chuyển và bảo quản | Kiến thức về tạo các tài liệu đánh giá bằng chứng; xác định các tham số cho tài liệu; đảm bảo an toàn thông tin, các lỗ hổng, mối đe dọa và các kiểm soát cho bằng chứng số | Áp dụng các biện pháp bảo vệ bằng chứng số trong các thiết bị lớn hay các thiết bị cầm tay đã được thu nhỏ; thủ tục để lập tài liệu chi tiết bằng chứng |
Bảng A.2 - Định nghĩa năng lực
1 | Nhận thức - Nhận diện, xác định - hỏi khi cần trợ giúp |
2 | Kiến thức - Thu được thông qua đào tạo hoặc làm việc theo nhóm. Đóng góp, tham gia - Làm với sự trợ giúp |
3 | Kỹ năng - Kinh nghiệm đã được chứng minh thông qua ứng dụng trong môi trường làm việc. Làm việc không được giám sát. Áp dụng, chứng minh - làm mà không cần trợ giúp |
CHÚ THÍCH: Năng lực của một DEFR có thể thay đổi tùy theo cơ quan pháp luật.
Phụ lục B
(Tham khảo)
Các yêu cầu về tài liệu tối thiểu cho việc chuyển giao bằng chứng
DEFR nên có khả năng giải thích các dữ liệu và thiết bị số đã được thu nhận tại mọi thời điểm khi họ còn đang giám sát chúng. Để duy trì sự kiểm soát này, DEFR cần có đủ năng lực, được đào tạo và được trao quyền thích hợp. Tuy nhiên, do luật nội bộ là một yếu tố quyết định khả năng DEFR tuân thủ cả ba yêu cầu mong muốn này, năng lực của một DEFR có thể thay đổi tùy theo cơ quan pháp luật. Kết quả là, yêu cầu về tài liệu cho việc chuyển giao bằng chứng số giữa các cơ quan pháp luật là khác nhau theo các cơ quan pháp luật khác nhau.
Do đó, một tập tối thiểu các yêu cầu tài liệu cần được xác định để tạo thuận lợi cho việc trao đổi các bằng chứng số tiềm năng giữa các cơ quan pháp luật. Yêu cầu này cần được xem xét với các điểm lập tài liệu nêu tại Điều 6.6. Do tiêu chuẩn này không thay thế cho các yêu cầu pháp lý của các cơ quan pháp luật, nỏ phục vụ như một hướng dẫn thực hành cho việc chuyển giao bằng chứng số tiềm năng qua ranh giới giữa các cơ quan pháp luật.
Các tài liệu tối thiểu cần được trao đổi là:
- Tên và địa chỉ của cơ quan có liên quan;
- Tuyên bố về năng lực, trình độ đào tạo và sự trao quyền của DEFR;
- Mục đích của việc thẩm tra;
- Các hành động đã được thực hiện;
- Người nào đã làm gì và khi nào;
- Chuỗi giám sát liên quan tới việc điều tra;
- Danh sách mô tả các bằng chứng số tiềm năng và phương tiện lưu trữ số được tập hợp và thu nhận;
- Thông tin có liên quan tới các cuộc thẩm tra, kiểm tra hoặc điều tra đã được sử dụng để tạo ra các bản sao bằng chứng.
Các yêu cầu cụ thể của cơ quan pháp luật có thể bao gồm:
- Xác nhận tư cách của nhân chứng chuyên gia nếu bằng chứng được coi là một ý kiến chuyên gia;
- Một lệnh của tòa xác định tài liệu nào cần được chuyển giao và lý do cho việc chuyển giao.
Thư mục tài liệu tham khảo
[1] ILAC-G 19:2002. Guidelines for forensic science laboratories. Available from www.ilac.org/documents/g19_2002.pdf
[2] IOCE G8 proposed principles for procedures relating to digital evidence. Avaible form: http://loce.org/core.php?ID=5
[3] ISO/IEC 15489:2001, Information and Documentation - Records Managent (Thông tin và tài liệu hóa - Quản lý hồ sơ)
[4] TCVN ISO/IEC 17024:2003 (ISO/IEC 17024:2012), Đánh giá sự phù hợp - Yêu cầu chung đối với tổ chức chứng nhận năng lực cá nhân
[5] TCVN ISO/IEC 17043:2011 (ISO/IEC 17043:2010), Đánh giá sự phù hợp - Yêu cầu chung đối với thử nghiệm thành thạo
[6] TCVN ISO/IEC 27001, Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu
[7] TCVN ISO/IEC 27002, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin
[8] ISO/IEC 24760-1, Information technology - Security techniques - A framework for indentity management - Part 1: Terminology and concepts (Công nghệ thông tin - Các kỹ thuật an toàn - Khung quản lý định danh - Phần 1: Thuật ngữ và khái niệm)
[9] ISO/IEC 27031:2011, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn sẵn sàng về công nghệ thông tin và truyền thông cho liên tục nghiệp vụ)
[10] TCVN ISO 11239:2015 (ISO/IEC 27035:2011), Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố an toàn thông tin
[11] Forensic Science Society Academic Accreditation Standards & CPD. Available from: http://www.forensic-science-societv.oro.uk
[12] Guidelines for evidence collection and archiving. Available from: http://www.ietf.org/rfc/rfc3227.txt
Mục lục
Lời nói đầu
Lời giới thiệu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Kí hiệu và viết tắt
5 Tổng quan
5.1 Bối cảnh trong việc tập hợp bằng chứng số
5.2 Các nguyên tắc của bằng chứng số
5.3 Các yêu cầu đối với xử lý bằng chứng số
5.4 Quá trình xử lý bằng chứng số
6 Các thành phần chính trong xác định, tập hợp, thu nhận và bảo quản bằng chứng số
6.1 Chuỗi giám sát bằng chứng
6.2 Bảo vệ hiện trường tại vị trí xảy ra sự cố
6.3 Vai trò và trách nhiệm
6.4 Năng lực
6.5 Sử dụng hợp lý
6.6 Lập tài liệu
6.7 Tóm tắt
6.8 Ưu tiên việc tập hợp và thu nhận
6.9 Bảo quản bằng chứng số tiềm năng
7 Ví dụ về xác định, tập hợp, thu nhận và bảo quản
7.1 Máy tính, thiết bị ngoại vi và phương tiện lưu trữ số
7.2 Các thiết bị mạng
7.3 Tập hợp, thu nhận và bảo quản CCTV
Phụ lục A (Tham khảo) Mô tả các kỹ năng cốt lõi và năng lực của DEFR
Phụ lục B (Tham khảo) Các yêu cầu về tài liệu tối thiểu cho việc vận chuyển giao bằng chứng
Thư mục tài liệu tham khảo
Click Tải về để xem toàn văn Tiêu chuẩn Việt Nam nói trên.