Cyberprzestępczość
Generalne zasady:
-
zachowanie dowodów na miejscu
-
integralność danych
-
protokołowanie
-
wsparcie eksperckie
-
przeszukanie
Osoba odpowiedzialna za zabezpieczenie materiału dowodowego nie powinna nigdy robić tego samotnie.
Żadne działanie podejmowane nie powinno zmieniać urządzeń elektronicznych albo mediów, które później mogą zostać wykorzystane w sądzie.
Nie wolno zmieniać konfiguracji sprzętu komputerowego albo oprogramowania.
Nie wolno dokonywać modyfikacji danych na nośnikach.
Protokół musi zawierać zapis wszystkich działań podejmowanych podczas zabezpieczania dowodu elektronicznego. Niezależna trzecia strona powinna być w stanie wykonać te działania i osiągnąć ten sam skutek.
Dokładnie zarejestrować wszystkie działania żeby zapewnić wartość dowodową w sądzie.
W pełni udokumentować działanie w związku z zatrzymaniem, przechowywaniem, składowaniem e-dowodu.
ERAZER WASHER - program do całkowitego czyszczenia dysków.
Jeśli przyjmujemy że e-dowody mogą mieć specyficzną postać to powinniśmy zadbać o wsparcie eksperckie.
W niektórych przypadkach do poszukiwania i zatrzymywania e-dowodów może być konieczne wsparcie wiedzy specjalistycznej.
Zabezpieczający musi być właściwie przeszkolony
Zabezpieczenie:
-
zatrzymanie poprzez zatrzymanie zapasowych nośników (backupów)
-
przez skopiowanie całych zawartości nośników (obrazy, klony)
-
przez wybiórcze kopiowanie danych
Dokumentowanie oględzin:
-
co jest przedmiotem
-
czas, miejsce, warunki oględzin
-
próba rozpoznania urządzeń nośników
-
określić rodzaj i cechy indywidualizujące
-
opis wyglądu i funkcjonowania
-
zapytać o hasła systemu
-
oświadczenia uczestników że widzieli co robimy i ich uwagi
-
oznaczenie czasu
-
podpisy uczestników