ISO 27037 поможет с доказательствами кибератаки, но не годится для суда

15 октября 2012 года Международной организацией по стандартизации (ISO – International Organization for Standardization, – ред.) был опубликован новый стандарт ISO/IEC 27037:2012 «Информационные технологии. Методы обеспечения безопасности. Руководство по идентификации, сбору, получению и обеспечению сохранности цифровых доказательств». Нормативный документ является руководством, то есть, содержит рекомендации для заинтересованных лиц по тому, как действовать в решении ряда конкретных проблем информационной безопасности. В первую очередь, ISO/IEC 27037:2012 адресован специалистам, отвечающим на предприятии за сбор и хранение цифровых доказательств, экспертам криминалистических лабораторий, организациям, которые предоставляют услуги по защите данных или проводят экспертизу со стороны обвиняемого в судебных делах по киберпреступлениям. Цифровое доказательство – это юридический термин. Его используют во многих странах, в том числе и в России. Это лишь один из трех возможных видов доказательств, которые применяют в судебном преследовании хакеров. Цифровые доказательства характеризует то, что информация, лежащая в их основе, была передана и хранится в электронной или магнитной форме. К другим видам доказательств «IT-виновности» относят, так называемые, «объекты данных» и материальные предметы. Они, в отличие от цифровых доказательств, имеют материальную форму – дискету или какой-либо другой современный носитель. Основное внимание в ISO/IEC 27037:2012 уделено именно вопросам, связанным с цифровыми доказательствами.

Вопрос о классификации цифровых доказательств – спорный. ISO/IEC 27037:2012 включает в это понятие информацию с жестких дисков, из мобильных телефонов, персональных цифровых секретарей (PDAs, – ред.), других персональных электронных устройств, карт памяти, мобильных навигационных систем, видеотехники (включая CCTV, – ред.), компьютера с сетевыми соединениями, сетями на основе TCP/IP. В тексте стандарта подчеркивается, что ISO/IEC 27037:2012 не предназначен для того, чтобы подменить собой какие-либо нормы законодательного регулирования в области информационной безопасности. Один из редакторов ISO/IEC 27037:2012, Дазлина Дауд, так прокомментировала содержание очередного нормативного документа ISO…

Цитата: ‘Цифровые доказательства по своей природе являются очень «хрупкими», так как они могут быть легко изменены, подделаны или уничтожены при неправильном обращении или вследствие недостаточной компетенции специалистов, проводящих экспертизу. Новый стандарт описывает гармонизированную на международном уровне и признанную авторитетными экспертами методологию для защиты целостности и подлинности доказательств’

ISO/IEC 27037:2012 уже получил некоторый отклик в российском экспертном сообществе. Насколько можно судить по российским блогам в сфере информационной безопасности, стандарт Международной организации по стандартизации хвалят за наличие удобных блок-схем, облегчающих работу. В записях нескольких специалистов содержатся рекомендации использовать ISO/IEC 27037:2012 только в том случае, если вы не собираетесь доводить дело до суда, так как данные собранные самостоятельно, будут приняты в расчет как ненадежные.

Стандарт ISO/IEC 27037 является дополнением к другим стандартам по обеспечению защиты информационных технологий, созданным в ISO: cтандарту ISO/IEC 27001 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасности. Требования», ISO/IEC 27002 «Информационные технологии. Методы обеспечения безопасности. Свод правил по управлению информационной безопасностью» и ISO/IEC 27032 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности». Надо сказать, что для российских предприятий проблема внедрения стандартов информационной безопасности становится все актуальнее. Если верить Всемирному обзору экономических преступлений, подготовленному организацией PricewaterhouseCoopers в сотрудничестве с Лондонской школой экономики, киберпреступления занимают третье место по частоте среди экономических преступлений России, уступая только незаконному присвоению активов и коррупции. Исследование было опубликовано в 2011 году.