ISO IEC 27042-2015 Information technology - Security techniques - Guidelines for the analysis and interpretation of digital evidence《信息技术 安全技术 数字证据的分析和解释指南》.pdf

《ISO IEC 27042-2015 Information technology - Security techniques - Guidelines for the analysis and interpretation of digital evidence《信息技术 安全技术 数字证据的分析和解释指南》.pdf》由会员分享，可在线阅读，更多相关《ISO IEC 27042-2015 Information technology - Security techniques - Guidelines for the analysis and interpretation of digital evidence《信息技术 安全技术 数字证据的分析和解释指南》.pdf（26页珍藏版）》请在麦多课文档分享上搜索。

1、Technologies de linformation Techniques de scurit Lignes directrices pour lanalyse et linterprtation des preuves numriques Information technology Security techniques Guidelines for the analysis and interpretation of digital evidence NORME INTERNATIONALE ISO/IEC 27042 Premire dition 2015-06-15 Numro

2、de rfrence ISO/IEC 27042:2015(F) ISO/IEC 2015 DOCUMENT PROTG PAR COPYRIGHT ISO/IEC 2015, Publi en Suisse Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun procd, lectronique ou mc

3、anique, y compris la photocopie, laffichage sur linternet ou sur un Intranet, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO ladresse ci-aprs ou au comit membre de lISO dans le pays du demandeur. ISO copyright office Ch. de Blandonnet 8 CP 401 CH-1214 Vernier,

4、 Geneva, Switzerland Tel. +41 22 749 01 11 Fax +41 22 749 09 47 copyrightiso.org www.iso.orgISO/IEC 27042:2015(F)ii ISO/IEC 2015 Tous droits rservs ISO/IEC 27042:2015(F)Avant-propos iv Introduction v 1 Domaine dapplication . 1 2 Rfrences normatives . 1 3 T ermes et dfinitions . 1 4 Symboles et abrvi

5、ations . 5 5 Investigation . 5 5.1 Vue densemble . 5 5.2 Continuit 5 5.3 Rptabilit et reproductibilit 5 5.4 Approche structure 5 5.5 Incertitude 7 6 Analyse 7 6.1 Vue densemble . 7 6.2 Principes gnraux 7 6.3 Utilisation des outils. 8 6.4 Conservation des archives 8 7 Modles analytiques . 8 7.1 Analy

6、se statique . 8 7.2 Analyse dynamique . 9 7.2.1 Vue densemble . 9 7.2.2 Analyse dynamique de systmes dont il ne peut tre ralis dimages ou de copies . 9 7.2.3 Analyse dynamique de systmes dont il peut tre ralis des images ou des copies . 9 8 Interprtation .10 8.1 Gnralits .10 8.2 Accrditation des fai

7、ts .10 8.3 Facteurs affectant linterprtation 10 9 Consignation 11 9.1 Prparation .11 9.2 Contenus de rapport suggrs 11 10 Comptence.12 10.1 Vue densemble 12 10.2 Dmonstration de la comptence 12 10.3 Consignation de la comptence .12 11 Aptitude 13 11.1 Vue densemble 13 11.2 Mcanismes de dmonstration

8、de laptitude .13 Annexe A (informative) Ex emples de spcifications r elati v es la c ompt enc e et laptitude .14 Bibliographie .15 ISO/IEC 2015 Tous droits rservs iii Sommaire Page ISO/IEC 27042:2015(F) Avant-propos LISO (Organisation internationale de normalisation) et lIEC (Commission lectrotechni

9、que internationale) forment le systme spcialis de la normalisation mondiale. Les organismes nationaux membres de lISO ou de lIEC participent au dveloppement de Normes internationales par lintermdiaire des comits techniques crs par lorganisation concerne afin de soccuper des domaines particuliers de

10、lactivit technique. Les comits techniques de lISO et de lIEC collaborent dans des domaines dintrt commun. Dautres organisations internationales, gouvernementales et non gouvernementales, en liaison avec lISO et lIEC, participent galement aux travaux. Dans le domaine des technologies de linformation,

11、 lISO et lIEC ont cr un comit technique mixte, lISO/IEC JTC 1. Les procdures utilises pour laborer le prsent document et celles destines sa mise jour sont dcrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des diffrents critres dapprobation requis pour les dif

12、frents types de documents ISO. Le prsent document a t rdig conformment aux rgles de rdaction donnes dans les Directives ISO/IEC, Partie 2 (voir www. iso.org/directives). Lattention est appele sur le fait que certains des lments du prsent document peuvent faire lobjet de droits de proprit intellectue

13、lle ou de droits analogues. LISO et lIEC ne sauraient tre tenues pour responsables de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant les rfrences aux droits de proprit intellectuelle ou autres droits analogues identifis lors de llaboration du docum

14、ent sont indiqus dans lIntroduction et/ou dans la liste des dclarations de brevets reues par lISO (voir www.iso.org/brevets). Les appellations commerciales ventuellement mentionnes dans le prsent document sont donnes pour information, par souci de commodit, lintention des utilisateurs et ne sauraien

15、t constituer un engagement. Pour une explication de la signification des termes et expressions spcifiques de lISO lis lvaluation de la conformit, ou pour toute information au sujet de ladhsion de lISO aux principes de lOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au co

16、mmerce (OTC), voir le lien suivant: www.iso.org/iso/fr/foreword.html. Le comit responsable de ce document est lISO/IEC JTC 1, Technologies de linformation, sous- comit SC 27, Techniques de scurit.iv ISO/IEC 2015 Tous droits rservs ISO/IEC 27042:2015(F) Introduction Gnralits La prsente Norme internat

17、ionale fournit des prconisations concernant la ralisation de lanalyse et de linterprtation de preuves numriques ventuelles afin didentifier et dvaluer les preuves numriques qui peuvent tre utilises pour comprendre un incident. La nature exacte des donnes et des informations composant les preuves num

18、riques ventuelles dpendra de la nature de lincident et des sources de preuves numriques impliques dans cet incident. Lors de lutilisation de la prsente Norme internationale, lutilisateur prend pour hypothse que les prconisations fournies dans lISO/IEC 27035-2 et lISO/IEC 27037:2012 ont t suivies et

19、que tous les processus utiliss sont compatibles avec les prconisations de lISO/IEC 27043:2015 et de lISO/IEC 27041 1) . Relation avec dautres normes La prsente Norme internationale est destine complter dautres normes et documents donnant des prconisations concernant linvestigation, et la prparation

20、linvestigation, sur des incidents de scurit de linformation. Elle ne constitue pas un guide exhaustif, mais dicte certains principes fondamentaux visant garantir que les outils, les techniques et les mthodes soient choisis de manire approprie et que leur adquation avec lapplication vise puisse tre d

21、montre, le cas chant. La prsente Norme internationale vise galement informer les dcideurs devant dterminer la fiabilit des preuves numriques qui leur sont soumises. Elle sapplique aux organismes devant protger, analyser et prsenter des preuves numriques ventuelles. Elle est pertinente dans le contex

22、te des organismes en charge de ltablissement de politiques, qui crent et valuent des modes opratoires en rapport avec les preuves numriques, souvent dans le cadre dun ensemble plus vaste de preuves. La prsente Norme internationale dcrit une partie dun processus dinvestigation complet, portant sans s

23、y limiter sur les thmatiques suivantes: gestion des incidents, comprenant la prparation et la planification des investigations; traitement des preuves numriques; utilisation de lexpurgation et problmes en dcoulant; systmes de prvention et de dtection des intrusions, comprenant les informations pouva

24、nt tre obtenues partir de ces systmes; scurit du stockage, comprenant le nettoyage du stockage; vrification de ladquation avec lapplication vise des mthodes dinvestigation; analyse et interprtation des preuves numriques; connaissance des principes et processus lis linvestigation des preuves numrique

25、s; gestion des vnements dincident de scurit, comprenant ltablissement de preuve partir de systmes impliqus dans la gestion des vnements dincident de scurit; relation entre la dcouverte lectronique et les autres mthodes dinvestigation, et utilisation des techniques de dcouverte lectronique dans dautr

26、es investigations; gouvernance des investigations, comprenant les investigations forensiques. Ces thmatiques sont couvertes partiellement dans les normes ISO/IEC suivantes: ISO/IEC 27037; 1) Publication en attente ISO/IEC 2015 Tous droits rservs v ISO/IEC 27042:2015(F) La prsente Norme international

27、e dcrit les moyens par lesquels les personnes impliques dans les premires phases dune investigation, comprenant la rponse initiale, peuvent sassurer que des preuves numriques ventuelles suffisantes sont recueillies pour permettre de poursuivre linvestigation de manire approprie. ISO/IEC 27038; Certa

28、ins documents peuvent contenir des informations dont il ne faut pas quelles soient divulgues auprs de certaines communauts. Des documents modifis peuvent tre diffuss auprs de ces communauts, aprs un traitement appropri du document dorigine. Le processus consistant supprimer les informations ne pas d

29、ivulguer est intitul lexpurgation. Lexpurgation numrique des documents est un domaine relativement rcent des pratiques de gestion documentaire, qui soulve des problmes spcifiques et pose des risques potentiels. Lors de lexpurgation de documents numriques, il faut que les informations supprimes ne so

30、ient pas rcuprables. Ds lors, il est ncessaire de prendre des prcautions pour que les informations expurges soient supprimes dfinitivement du document numrique (par exemple il ne faut pas quelles soient simplement masques dans des parties non affichables du document). La norme ISO/IEC 27038 spcifie

31、les mthodes dexpurgation numrique de documents numriques. Elle spcifie galement les exigences concernant les logiciels utilisables pour lexpurgation. ISO/IEC 27040:2015; La prsente Norme internationale donne des prconisations techniques dtailles concernant la manire dont les organismes peuvent dfini

32、r un niveau appropri dattnuation du risque grce lemploi dune approche reconnue et cohrente de la planification, la conception, la documentation et la mise en uvre de la scurit de stockage des donnes. La scurit du stockage sapplique la protection (la scurit) des informations l o elles sont stockes et

33、 la scurit des informations transfres au moyen des liaisons de communication associes au stockage. La scurit du stockage comprend la scurit des dispositifs et des supports, la scurit des activits de management associes aux dispositifs et aux supports, la scurit des applications et des services et la

34、 scurit relative aux utilisateurs finaux pendant la dure de vie de leurs dispositifs et supports et aprs la fin de leur utilisation. Les mcanismes de scurit tels que le chiffrement et le nettoyage peuvent affecter la capacit dinvestigation dune personne en mettant en place des mcanismes dobfuscation

35、. Ils doivent tre pris en compte en amont et au cours dune investigation. Ils peuvent galement tre importants pour sassurer que le stockage des matriaux probatoires, au cours et en aval dune investigation, soit prpar et scuris de manire adquate. ISO/IEC 27041; Il est important de pouvoir dmontrer qu

36、e les mthodes et processus dploys au cours dune investigation sont appropris. La prsente Norme internationale fournit des prconisations concernant la faon de sassurer que des mthodes et processus satisfont aux exigences de linvestigation et ont t soumises essai de faon approprie. ISO/IEC 27043:2015;

37、 La prsente Norme internationale dfinit les grands principes et processus communs sous-jacents une investigation sur incident, et fournit un modle cadre pour toutes les phases des investigations. Les projets ISO/IEC suivants couvrent galement en partie les thmatiques identifies ci-dessus et peuvent

38、conduire la publication de normes pertinentes, suite la publication de la prsente Norme internationale. ISO/IEC 27035 (toutes les parties); Cette norme en trois parties fournit aux organismes une approche structure et planifie de la gestion des incidents de scurit. Elle se compose des parties suivan

39、tes. ISO/IEC 27035-1;vi ISO/IEC 2015 Tous droits rservs ISO/IEC 27042:2015(F) Cette partie prsente les concepts de base et les phases de la gestion des incidents de scurit de linformation. Elle combine ces concepts des principes selon une approche structure de dtection, consignation, valuation, rpon

40、se et application des enseignements tirs. ISO/IEC 27035-2; Cette partie prsente les concepts planifier et prparer dans le cadre de la rponse aux incidents. Ces concepts, comprenant la politique et le plan de gestion des incidents, la constitution de lquipe de rponse aux incidents, et les runions din

41、formation et la formation de sensibilisation, sont bass sur la phase de planification et de prparation du modle prsent dans lISO/IEC 27035-1. Cette partie couvre galement la phase du modle intitule Enseignements tirs. ISO/IEC 27035-3; Cette partie couvre les responsabilits du personnel et les activi

42、ts pratiques de rponse aux incidents pour lensemble de lorganisme. Une attention particulire est accorde aux activits de lquipe de rponse aux incidents, comprenant les activits de surveillance, de dtection, danalyse et de rponse menes sur les donnes recueillies ou les vnements de scurit. ISO/IEC 270

43、44 2) ; Elle fournit des lignes directrices aux organismes concernant la prparation du dploiement des informations de scurit et des processus/systmes de gestion des vnements. Elle traite notamment de la slection, du dploiement et des oprations de gestion dvnements et dinformations de scurit (SIEM).

44、Elle vise spcifiquement offrir une assistance pour satisfaire aux exigences de lISO/IEC 27001 concernant la mise en uvre de modes opratoires et dautres contrles en mesure de permettre une dtection et une rponse rapides aux incidents de scurit, pour excuter un contrle et des modes opratoires de revue

45、 en vue didentifier de faon adquate les violations et incidents de scurit avorts et russis. ISO/IEC 27050 (toutes les parties) 3) ; Ce projet couvre les activits lies la dcouverte lectronique, comprenant sans sy limiter lidentification, la prservation, la collecte, le traitement, la revue, lanalyse

46、et la production de stockage lectronique dinformations (ESI). Il fournit en outre des prconisations concernant les mesures, allant de la cration initiale dESI leur limination finale, quun organisme peut prendre pour attnuer les risques et rduire les dpenses, sil savre que la dcouverte lectronique de

47、vient problmatique. Il concerne la fois les membres du personnel associs des fonctions techniques et non techniques, impliqus dans tout ou partie des activits de dcouverte lectronique. Il est important de noter que ces prconisations ne se destinent pas contredire ou se substituer aux lgislations et rglementations locales. La dcouverte lectronique constitue souvent un vecteur pour les investigations, ainsi que les activ