Generalne zasady:

• zachowanie dowodów na miejscu

• integralność danych

• protokołowanie

• wsparcie eksperckie

• przeszukanie

Osoba odpowiedzialna za zabezpieczenie materiału dowodowego nie powinna nigdy robić tego samotnie.

Żadne działanie podejmowane nie powinno zmieniać urządzeń elektronicznych albo mediów, które później mogą zostać wykorzystane w sądzie.

Nie wolno zmieniać konfiguracji sprzętu komputerowego albo oprogramowania.

Nie wolno dokonywać modyfikacji danych na nośnikach.

Protokół musi zawierać zapis wszystkich działań podejmowanych podczas zabezpieczania dowodu elektronicznego. Niezależna trzecia strona powinna być w stanie wykonać te działania i osiągnąć ten sam skutek.

Dokładnie zarejestrować wszystkie działania żeby zapewnić wartość dowodową w sądzie.

W pełni udokumentować działanie w związku z zatrzymaniem, przechowywaniem, składowaniem e-dowodu.

ERAZER WASHER - program do całkowitego czyszczenia dysków.

Jeśli przyjmujemy że e-dowody mogą mieć specyficzną postać to powinniśmy zadbać o wsparcie eksperckie.

W niektórych przypadkach do poszukiwania i zatrzymywania e-dowodów może być konieczne wsparcie wiedzy specjalistycznej.

Zabezpieczający musi być właściwie przeszkolony

Zabezpieczenie:

• zatrzymanie poprzez zatrzymanie zapasowych nośników (backupów)

• przez skopiowanie całych zawartości nośników (obrazy, klony)

• przez wybiórcze kopiowanie danych

Dokumentowanie oględzin:

• co jest przedmiotem

• czas, miejsce, warunki oględzin

• próba rozpoznania urządzeń nośników

• określić rodzaj i cechy indywidualizujące

• opis wyglądu i funkcjonowania

• zapytać o hasła systemu

• oświadczenia uczestników że widzieli co robimy i ich uwagi

• oznaczenie czasu

• podpisy uczestników