ISO/IEC 27037:2012 Nueva norma para la Recopilación de Evidencias.

La actuación de campo de la recopilación de las evidencias es un actividad extremamente delicada y compleja.  La valía legal y técnica de las evidencias en la mayoría de ocasiones depende del proceso realizado en la recopilación y preservación de las mismas.

La norma ISO/IEC 27037:2012 “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence” viene a renovar a las ya antiguas directrices RFC 3227 estando las recomendaciones de la ISO 27037 más dirigidas  a dispositivos actuales y están más de acorde con el estado de la técnica actual.

Esta norma ISO 27037 está claramente orientada al procedimiento de la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, no entra en

la fase de Análisis de la evidencia.

Las tipologías de dispositivos y entornos tratados en la norma son los siguientes:

    • Equipos y medios de almacenamiento y dispositivos periféricos.
    • Sistemas críticos (alta exigencia de disponibilidad).
    • Ordenadores y dispositivos conectados en red.
    • Dispositivos móviles.
    • Sistema de circuito cerrado de televisión digital.

Los principios básicos en los que se basa la norma son:

Aplicación de Métodos

La evidencia digital debe ser adquirida del modo menos intrusivo posible tratando de preservar la originalidad de la prueba y en la medida de lo posible obteniendo copias de respaldo.

Proceso Auditable

Los procedimientos seguidos y la documentación generada deben haber sido validados y contrastados por las buenas prácticas profesionales. Se debe proporcionar trazas y evidencias de lo realizado y sus resultados.

Proceso Reproducible

Los métodos y procedimientos aplicados deben de ser reproducibles, verificables y argumentables al nivel de comprensión de los entendidos en la materia, quienes puedan dar validez y respaldo a las actuaciones realizadas.

Proceso Defendible

Las herramientas utilizadas deben de ser mencionadas y éstas deben de haber sido validadas y contrastadas en su uso para el fin en el cual se utilizan en la actuación.

Para cada tipología de dispositivo la norma divide la actuación o su tratamiento en tres procesos diferenciados como modelo genérico de tratamiento de las evidencias:

La identificación

Es el proceso de la identificación de la evidencia y consiste en localizar e identificar las potenciales informaciones o elementos de prueba en sus dos posibles estados, el físico y el lógico según sea el caso de cada evidencia.

La recolección y/o adquisición

Este proceso se define como la recolección de los dispositivos y la documentación (incautación y secuestro de los mismos) que puedan contener la evidencia que se desea recopilar o bien la adquisición y copia de la información existente en los dispositivos.

La conservación/preservación

La evidencia ha de ser preservada para garantizar su utilidad, es decir, su originalidad para que a posteriori pueda ser ésta admisible como elemento de prueba original e íntegra, por lo tanto, las acciones de este proceso están claramente dirigidas a conservar la Cadena de Custodia, la integridad y la originalidad de la prueba.

Nota: En mi libro “Peritaje Informático y Tecnológico” podréis encontrar la norma desarrollada y comentada en castellano.

Enlace a la norma:

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=44381

Anuncios

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Cadena de Custoria, Cursos y Formación, Divulgación, Estándares y normas, Todos y etiquetada , , , , , . Guarda el enlace permanente.