ГОСТ Р ИСО/МЭК ТО 18044—2007
жебные помещения, а также соответствующий персонал. Каждое действие правовой экспертизы дол
жно быть полностью документировано, включая представление соответствующих фотографий,
составление отчетов об анализе результатов аудита, проверку журналов восстановления данных. Ква
лификация лица или лиц. проводившего(их) правовую экспертизу, должна быть документирована так
же. как результаты квалификационного тестирования. Необходимо также документировать любую дру
гую информацию, способную продемонстрировать объективность и логический характер правовой экс
пертизы. Все записи о самих инцидентах ИБ. деятельности, связанной с правовой экспертизой этих
инцидентов, и т. д.. а также соответствующие носители информациидолжны храниться в физически за
щищенной среде и контролироваться соответствующими процедурами для предотвращения доступа к
ним неавторизованныхлиц с целью модификации записей. Средства правовой экспертизы, основанные на
применении ИТ. должны точно соответствовать правовым нормам с целью исключения возможности
оспаривания этого соответствия в судебном порядке и. в то же время, в них должны учитываться все те
кущие изменения в технологиях. В физической среде ГРИИБ необходимо создавать необходимые усло
вия. гарантирующие неоспоримость обработки свидетельств. В любое время для обеспечения
реагирования на инцидент ИБ число персонала должно быть достаточным.
Со временем, несомненно, возникнет необходимость разработки требований к анализу свиде
тельств в контексте многообразия инцидентов ИБ. включая мошенничество, кражу и акты вандализма.
Следовательно, длясодействия ГРИИБ потребуется большее число средств, основанных на ИТ. ивспо
могательных процедур для раскрытия информации, скрытой в информационной системе, сервисе
и(или)сети. включая информацию, которая, на первый взгляд, кажется стертой, зашифрованной или по
врежденной. Эти средства должны учитывать все аспекты, связанные с известными типами инцидентов ИБ
(разумеется, они должны быть документированы в процедурах ГРИИБ).
В современных условиях в правовую экспертизу часто включают сложные среды с сетевой струк
турой, в которых расследование распространяется на всю операционную среду, включая множество
серверов (файловый сервер, серверы печати, связи, электронной почты и т. д.), а также средства уда
ленногодоступа. Существует много инструментальных средств, включая средства поиска текстов, про
граммное обеспечение формирования изображений и пакеты программ для правовой экспертизы.
Главной целью процедур правовой экспертизы является сохранение свидетельств в неприкосновен
ности. их проверка на предмет противостояния любым оспариваниям в суде и проведение правовой
экспертизы на точной копии исходных данных с тем. чтобы избежать сомнений в целостности исходных
носителей в ходе аналитической работы.
Общий процесс правовой экспертизы должен охватывать следующие виды деятельности:
- обеспечение защиты целевой системы, сервиса и (или) сети в процессе проведения правовой
экспертизы от превращения их в недоступные, изменения или от иной компрометации, включая введе
ние вирусов, и обеспечение защиты от воздействий или минимальных воздействий на их нормальную
работу;
- назначение приоритетов сбора доказательств, то есть рассмотрение их от наиболее до наиме
нее изменчивых (что в значительной степени зависит от характера инцидента ИБ);
- идентификация всех необходимыхфайлов в предметной системе, сервисе и (или) сети, включая
нормальные файлы, файлы, кажущиеся уничтоженными, но не являющиеся таковыми, файлы, защи
щенные паролем или иным образом, и зашифрованные файлы;
- восстановление как можно большего числа стертых файлов и других данных;
- раскрытие IP-адресов, имен хостов, сетевых маршрутов и информации Web-сайтов;
- извлечение содержимого скрытых, временных файлов и файлов подкачки, используемых как
программное обеспечение операционной системы, так и как прикладное программное обеспечение;
- доступ к содержимому программного обеспечения защищенных или зашифрованных файлов
(если это не запрещено законодательством);
- анализ всех возможно значимых данных, найденных в специальных (обычно недоступных) об
ластях памяти на дисках;
- анализ времени доступа к файлу, его создания и изменения;
- анализ журналов регистрации системы/сервиса/сети и приложений:
- определение деятельности пользователей и (или) приложений в системе/сервисе/сети:
- анализ электронной почты на наличие исходной информации и ее содержания;
- проведение проверок целостности файлов с целью обнаружения файлов, содержащих «Троян
ского коня», и файлов, изначально отсутствовавших в системе:
30