Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • 7.1 05 - Computação Forense - ISO27037

    Enviado por

    GeielleLemos
    24 visualizações12 páginas

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    24 visualizações12 páginas

    7.1 05 - Computação Forense - ISO27037

    Enviado por

    GeielleLemos

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 12

    Computação Forense e Investigação Digital

    NBRISO/IEC27037 de 12/2013
    Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

    PETTER ANDERSON LOPES


    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    Lida com o processo inicial de coleta e armazenamento de potencial evidência


    digital, não levando em conta o trabalho subsequente com a evidência, como
    sua análise, apresentação e disposição.

    Define e descreve os processos através dos quais as evidências são


    reconhecidas e identificadas, a documentação da cena do crime, a coleta e
    preservação das evidências e o empacotamento e transporte das evidências..
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    Na maioria das jurisdições e organizações as evidências digitais são regidas por


    três princípios fundamentais: relevância, confiabilidade e suficiência.

    Para a NBR ISO/IEC 27037 de 2012, os princípios estabelecidos devem seguir


    nas seguintes condições:
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    • Relevância: demostrar que o material adquirido é relevante para a investigação.


    • Confiabilidade: deve ser possível garantir que os processos utilizados na
    manipulação de evidências digitais sejam auditáveis e repetíveis.
    • Suficiência: material suficiente deve ser ou foi recolhido.
    • Auditabilidade: é preciso ser possível determinar se um método científico, técnica
    ou procedimento adequado foi seguido.
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    • Repetibilidade: é necessário garantir que qualquer especialista consiga


    chegar ao mesmo resultado repetindo os passos descritos. Caso em alguma
    circunstância não seja possível repetir o teste, o perito deve assegurar-se de
    que o processo de aquisição foi confiável.
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    • Reprodutibilidade: após o teste original, deve ser possível reproduzir a


    qualquer momento, garantindo a possibilidade de obter mesmos
    resultados utilizando-se do mesmo método de medição, no entanto,
    usando instrumentos diferentes e sob diferentes condições.
    • Justificabilidade: um especialista precisa ser capaz de justificar todas as
    ações e métodos utilizados.
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    Processo de investigação forense

    4 etapas: identificação, coleta, aquisição e preservação.

    Identificação: reconhecimento e documentação destas evidências, a coleta deve


    ocorrer de acordo com a volatilidade dos dados.

    Coleta: coletar as evidências identificadas, tomando as decisões baseado nas


    circunstâncias.
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    Processo de investigação forense


    Aquisição: Produzir uma cópia (normalmente bit a bit) do que foi obtido na coleta,
    qualquer alteração inevitável (somente se inevitável) nos dados digitais, as atividades
    realizadas devem ser documentadas para explicar as alterações. Neste momento o
    especialista deve gerar hash, tanto da cópia quanto da fonte original .

    Preservação: é preciso garantir que a prova não foi modificada desde que foi
    recolhida, a menos que haja justificativa para as mudanças, garantindo também o
    sigilo.
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    Cadeia de Custódia

    Os requisitos da cadeia de custódia foram ampliados na ISO27037 Standard. Estes


    requisitos se relacionam com a capacidade dos investigadores para explicar todas as
    provas adquiridas a partir do ponto em que estava sob sua custódia. Uma cadeia de
    custódia pode ser vista como um registro cronológico dos movimentos e
    manipulação de evidências.
    ISO27037 - DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    Cadeia de Custódia – é preciso conter

    • um identificador único;
    • um registro de quem acessou a evidência em que hora e local;
    • um registro de quem verificou a evidência dentro ou fora do armazenamento e por
    qual razão ou sob cuja autoridade;
    • um registro de quaisquer mudanças inevitáveis ​feitas na evidência, quem fez as
    mudanças e uma justificativa para apresentar as provas aos tribunais
    ISO27037 DIRETRIZES PARA IDENTIFICAÇÃO, COLETA, AQUISIÇÃO E PRESERVAÇÃO DE EVIDÊNCIA DIGITAL

    Referência

    https://www.researchgate.net/publication/283226153_Standard_ISO_270372
    012_and_Collection_of_Digital_Evidence_Experience_in_the_Czech_Republic

    https://www.iso27001security.com/html/27037.html

    Você também pode gostar