L'attività si basa sulle Linee Guida Internazionali ISO/IEC, che vengono sotto riportate integralmente.
Per le controversie in campo Civile e Penale.

Tutte le descrizioni dei vari Standard ISO descritti qui sotto sono stati recuperati in maniera integrale dalla seguente fonte Web: https://www.iso.org/obp/ui/

Prefazione


ISO (l'Organizzazione internazionale per la standardizzazione) e IEC (La Commmissione internazionale per l'Elettrotecnica) costituiscono il sistema specializzato per la standardizzazione mondiale.
Organismi nazionali che sono membri dell'ISO o dell'IEC partecipano allo sviluppo degli standard internazionali attraverso comitati tecnici istituiti dalla rispettiva organizzazione per trattare particolari settori dell'attività tecnica.
I comitati tecnici ISO e IEC collaborano in campi di reciproco interesse.
Prendono parte anche altre organizzazioni internazionali, governative e non governative, che hanno relazioni con ISO e IEC.
Nel campo della Tecnologia dell'Informazione, ISO e IEC hanno istituito un comitato tecnico congiunto, ISO/IEC JTC 1.
Le procedure utilizzate per sviluppare questo documento e quelle destinate alla sua ulteriore manutenzione sono descritte nelle "Direttive ISO/IEC, Parte 1" (vedi https://www.iso.org/directives).
In particolare, i diversi criteri di approvazione necessari per le diverse tipologie di documenti dovrebbero essere annotati.
Questo documento è stato redatto secondo le regole editoriali delle "Direttive ISO/IEC, Parte 2" (vedi https://www.iso.org/directives).
Si richiama l'attenzione sulla possibilità che alcuni degli elementi presenti in questo documento possano essere soggetti a diritti di brevetto.
ISO e IEC non possono essere ritenuti responsabili dell'identificazione di uno o di tutti questi diritti di brevetto.
I dettagli di eventuali diritti di brevetto identificati durante lo sviluppo del documento saranno presenti nell'Introduzione e/o sulla lista ISO delle dichiarazioni di brevetto (vedi https://www.iso.org/patents).
Qualsiasi nome commerciale utilizzato in questo documento è un'informazione fornita per comodità degli utenti e non costituisce un'approvazione.
Per una spiegazione sul significato di termini ed espressioni specifici dell'ISO relativi alla valutazione della conformità, nonché informazioni sull'adesione dell'ISO ai principi dell'OMC nelle barriere tecniche allo scambio (TBT), vedere il seguente URL: Prefazione - Informazioni supplementari.
Il comitato responsabile di questo documento è ISO/IEC JTC 1, Tecnologia dell'Informazione, sottocomitato SC 27, Tecniche di Sicurezza.

Introduzione


Informazioni al riguardo di questo standard internazionale


Questo standard internazionale fornisce linee guida che incapsulano modelli idealizzati per i comuni processi di indagine in vari scenari di indagine.
Ciò include i processi di preparazione del pre-incidente fino, e inclusa, alla restituzione delle prove per l'archiviazione o la diffusione, nonché consigli generali e avvertimenti sui processi e sull'identificazione, raccolta, acquisizione, conservazione, analisi, interpretazione e presentazione di prove.
Un principio fondamentale delle indagini digitali è la ripetibilità, dove un investigatore adeguatamente qualificato deve essere in grado di ottenere lo stesso risultato di un altro investigatore con competenze simili, lavorando in condizioni simili.
Questo principio è eccezionalmente importante per qualsiasi tipo di indagine.
Sono state fornite Linee Guida per molti processi di indagine per garantire che vi sia chiarezza e trasparenza nell'ottenere il risultato prodotto per ogni particolare processo.
La motivazione per fornire Linee Guida per i principi e i processi di indagine sugli incidenti viene fornita qui di seguito.
Le Linee Guida stabilite che coprono i principi e i processi di indagine sugli incidenti accelererebbero le indagini, perché fornirebbero un ordine comune degli eventi che un'indagine comporta.
L'utilizzo di Linee Guida stabilite consente una transizione graduale da un evento all'altro durante un'indagine.
Tali linee guida consentirebbero anche una formazione adeguata degli investigatori inesperti.
Le linee guida, inoltre, mirano a garantire flessibilità all'interno di un'indagine a causa del fatto che vi sono molti tipi diversi di indagini digitali.
I principi e i processi di indagine sugli incidenti armonizzati sono specificati e vengono fornite indicazioni su come i processi di indagine possono essere personalizzati in diversi scenari di indagine.
È necessario un modello di processo investigativo armonizzato anche in ambito Penale e Civile come in altri ambienti, come le violazioni aziendali della sicurezza delle informazioni e il recupero delle informazioni digitali da un dispositivo di archiviazione difettoso.
Le Linee Guida fornite forniscono indicazioni succinte sul processo esatto da seguire durante qualsiasi tipo di indagine digitale in modo tale che, se contestato, no dovrebbero sussistere dubbi sull'adeguatezza del processo di indagine seguito durante tale indagine.
Qualsiasi indagine digitale richiede un alto livello di competenza.
Le persone coinvolte nelle indagini devono essere competenti, competenti nei processi utilizzati e devono utilizzare processi convalidati (vedi ISO/IEC 27041) compatibili con le politiche e/o le leggi pertinenti nelle giurisdizioni applicabili.
Laddove si presenti la necessità di affidare un processo a una persona, tale persona si assumerà la responsabilità del processo.
Pertanto, una forte correlazione tra una responsabilità di processo e l'input di una persona determinerà l'esatto processo di indagine richiesto secondo i processi di indagine armonizzati forniti dalle Linee Guida presenti in questo Standard Internazionale.
Il presente Principio Internazionale è strutturato seguendo un approccio top-down.
Ciò significa che i principi e i processi di indagine vengono prima presentati a un livello elevato (astratto) prima di essere rifiniti con maggiori dettagli.
Ad esempio, una panoramica di alto livello dei principi di indagine e dei processi è fornita e presentata inizialmente in figure come "scatole nere", dove in seguito ciascuno dei processi di alto livello viene suddiviso in processi più piccoli (atomici).
Pertanto, una meno astratta e più dettagliata visione di tutti i principi e i processi di indagine viene mostrata verso la fine di questo Standard Internazionale.
La presente norma internazionale intende integrare altre norme e documenti che forniscono Linee Guida sull'indagine di, e alla preparazione di, incidenti relativi alla sicurezza delle informazioni.
Esso non è una guida approfondita, ma è una guida che fornisce una panoramica piuttosto ampia dell'intero processo di investigazione dell'incidente.
Questa guida stabilisce anche alcuni principi fondamentali che hanno lo scopo di garantire che gli strumenti, le tecniche e i metodi possono essere selezionati in modo appropriato e mostrati adatti allo scopo in caso di necessità.

Relazione con altri standard


Questa norma internazionale è destinata a completare altre norme e documenti che forniscono indicazioni sull'indagine e sulla preparazione per indagare sugli incidenti relativi alla sicurezza delle informazioni.
Non è una guida completa, ma stabilisce alcuni principi fondamentali che hanno lo scopo di garantire che gli strumenti, le tecniche e i metodi possono essere selezionati in modo appropriato e mostrati adatti allo scopo in caso di necessità.
La presente norma internazionale intende informare anche i decisori che devono determinare l'affidabilità delle prove digitali presentate a loro.
È applicabile alle organizzazioni che necessitano di proteggere, analizzare e presentare potenziali prove digitali.
È rilevante per gli organi decisionali che creano e valutano le procedure relative alle prove digitali, spesso come parte di un corpo più ampio di prove.
La presente norma internazionale descrive parte di un processo investigativo completo che include, ma non si limita, le seguenti aree tematiche:
Queste aree tematiche sono trattate, in parte, dai seguenti standard ISO/IEC.

La presente norma internazionale descrive i mezzi con cui, coloro che sono coinvolti nelle prime fasi di un'indagine, compresa la risposta iniziale, possono assicurare che sufficienti potenziali prove digitali siano catturate per consentire il corretto svolgimento delle indagini.
La presente norma internazionale fornisce le Linee Guida per attività specifiche coinvolte nella gestione delle prove digitali, che consistono nell'identificazione, nella collezione, nell'acquisizione e nella conservazione delle prove digitali che potrebbe esssere di particolare rilevanza.
La presente norma internazionale fornisce una guida agli individui in rispetto a situazioni comuni riscontrate durante il processo di gestione delle prove digitali e assiste le organizzazioni nelle loro procedure disciplinari e nella facilitizzazione dello scambio di prove digitali tra diverse giurisdizioni.
La presente norma internazionale fornisce una guida per i seguenti dispositivi e/o funzioni che vengono utilizzati in diverse situazioni:

  • Mezzi di archiviazione digitale utilizzati in computer standard come Hard Disk, Floppy Disk, Dischi Ottici e Magnetici, dispositivi di archiviazione dati con funzioni similari;
  • Telefoni mobili, Assistenti digitali personali (PDA), Dispositivi elettronici personali (PED), Memory Card;
  • Sistemi di Navigazione Mobile;
  • Videocamere Digitali (inclusi i CCTV);
  • Computer standard con connessioni di rete;
  • Reti basate sullo stack TCP/IP e altri protocoli digitali;
  • Dispositivi con funzioni similari come quelli sopra.
Nota 1: La lista dei dispositivi riportata qui sopra è una lista indicativa e non completa.
Nota 2: Circostanze che includano i dispositivi qui sopra esistenti in varie forme.
Per esempio, un sistema automobilistico potrebbe includere un sistema di navigazione mobile, un sistema di archiviazione dati e un sistema sensoriale.

Fonte: ISO/IEC 27037

È importante che i metodi e i processi implementati durante un'indagine possano essere dimostrati di essere adeguati.
Questo documento fornisce una guida su come dare una garanzia che i metodi e i processi soddisfano i requisiti dell'indagine e che siano stati adeguatamente testati.
Esso incorpora le migliori pratiche sulla definizione dei requisiti, sulla descrizione dei metodi, e sulla fornitura di prove che le implementazioni dei metodi possano dimostrare di soddisfare i requisiti.
Include la considerazione di come i test del fornitore e di terze parti possono essere utilizzati per assistere questo processo di garanzia.
Questo documento mira a:

  • Fornire una guida sulla cattura e l'analisi di requisiti funzionali e non funzionali relativi ad una indagine di incidente della Sicurezza delle Informazioni;
  • Dare una guida sull'utilizzo della convalida come mezzo di assicurazione dell'idonietà dei processi coinvolti nell'indagine;
  • Fornire una guida sulla valutazione dei livelli di convalida richiesti e delle prove richieste da un esercizio di convalida;
  • Fornire una guida su come i test esterni e la documentazione possono essere incorporati nel processo di convalidazione.

Fonte: ISO/IEC 27041

Questa norma internazionale descrive come metodi e processi da utilizzare durante un'indagine possono essere progettati e realizzati al fine di consentire una corretta valutazione di potenziali evidenze digitali, interpretazione delle prove digitali e segnalazione efficace dei risultati.
Anche i seguenti progetti ISO/IEC affrontano, in parte, le aree tematiche sopra identificate e possono portare alla pubblicazione delle norme pertinenti in un momento successivo alla pubblicazione della presente norma internazionale.
Questo Standard Internazionale fornisce una guida sull'analisi e l'interpretazione delle prove digitali in un modo tale per cui affronta problemi di continuità, validazione, di riproducibilità, di ripetibilità.
Esso incorpora le migliori pratiche sulla selezione, sul disegno e sulla implementaizone dei processi analitici e sulla registrazione di sufficienti informazioni per consentire tali processi di essere soggetti a scrutini indipendenti quando richiesto.
Esso fornisce una guida sui meccanismi appropriati atti a dimostrare l'efficienza e competenza del gruppo investigativo.
L'analisi e l'interpretazione di prove digitali possono essere un processo complesso.
In alcune circostanze, ci possono esssere svariati metodi che potrebbero essere applicati e ai membri del gruppo investigativo verrà richiesto di giustificare la loro selezione di un particolare processo e dimostrare come esso sia equivalente ad un altro processo utilizzato da altri investigatori.
In altre circostanze, gli investigatori potrebbero dovere adottare nuovi metodi per l'esaminazione delle prove digitali che non devono essere stati considerati in precedenza e dovrebbero essere in grado di dimostrare che il metodo prodotto è adatto allo scopo.
Applicazione di un particolare metodo può influenzare l'interpretazione delle prove digitali processate da tale metodo.
Le prove digitali disponibili possono influenzare la selezione dei metodi per future analisi delle prove digitali che sono già state acquisite.
Questo Standard Internazionale fornisce un'infrastruttura comune, per gli elmenti analitici e interpretazionali della gestione degli incidenti di sicurezza dei sistemi informativi, che potrebbe essere utilizzata per assistere l'implementazione di nuovi metodi e fornire uno standard comune per la produzione di prove digitali da tale attività.

Fonte: ISO/IEC 27042

Questo Standard Internazionale definisce i principi e i processi comuni chiave alla base dell'indagine di incidenti e fornisce un modello di infstrattura per tutte le fasi delle indagini.
I seguenti progetti ISO/IECT affrontano anche, in parte, le aree tematiche sopra identificate e possono portare alla pubblicazione di standard pertinenti in un qualche momento successivo alla pubblicazione di questo Standard Internazionale.
Questo Standard Internazionale fornisce le Linee Guida basate sui modellli idealizzati per i processi comuni di indagine sugli incidenti che attraversano vari scenari di indagine sugli incidenti riguardanti le prove digitali.
Esso include i processi che vanno dalla preparazione pre-incidente fino alla chiusura delle indagini, nonché ogni singolo consiglio e avvertenza generale su tali processi.
Le Linee Guida descrivono i processi e i principi applicabili alle varie tipologie di indagini, incluso, ma non limitato a, accessi non autorizzati, corruzione dei dati, interruzioni di sistema oppure violazioni aziendali della sicurezza delle informazioni, così come qualsiasi altra indagine digitale.
In sostanza, questo Standard Internazionale fornisce una panoramica generale di tutti i processi e i principi di indagine sugli incidenti senza prescrivere particolari dettagli all'interno di ciascuno processo e principio di indagine trattati da questo Standard Internazionale.

Fonte: ISO/IEC 27043

Esso tratta attività di scoperta elettronica, tra cui, a titolo esemplificativo ma non esaustivo, identificazione, conservazione, raccolta, elaborazione, revisione, analisi e produzione di informazioni archiviate elettronicamente (ESI).
In aggiunta, fornisce una guida sulle misure, che vanno dalla creazione iniziale di ESI fino alla sua disposizione finale, le quali possono essere intraprese da un'organizzazione per mitigare i rischi e le spese nel caso in cui la scoperta elettronica diventi un problema.
La scoperta elettronica spesso serve come guida per le indagini, nonché per le attività di acquisizione e di gestione delle prove.
In aggiunta, la sensibilità e la criticità dei dati alcune volte necessitano di protezioni come la sicurezza dell'archiviazione per proteggersi dalle violazioni dei dati.
Questo documento fornisce una guida sui metodi che un'organizzazione può pianificare e preparare per la scoperta elettronica dal punto di vista sia della tecnologia che dei processi.

Fonte: ISO/IEC 27050