Документация
Документация, которая требуется системному администратору и специалисту по компьютерно-технической экспертизе, должна быть очень подробной. Требуется задокументировать не только собранные доказательства, но также способы и средства их получения. В документации, относящейся к инциденту, должны использоваться согласованные правила именования данных компьютерно-технической экспертизы. На штампе должны быть указаны время, дата и личность сотрудника, выполняющего компьютерно-техническую экспертизу. Зафиксируйте в документе как можно больше информации о произошедшем инциденте. Лучше всего письменно зафиксировать всю последовательность действий по сбору информации.
Даже если вы не являетесь системным администратором или сотрудником компьютерно-технической экспертизы, умение подробно документировать выполняемую работу — полезный навык. При обнаружении незаконной деятельности на компьютере и в сети, где вы работаете в данный момент, задокументируйте по меньшей мере следующую информацию:
- Исходная причина доступа к компьютеру или к сети
- Дата и время
- Подключенные к компьютеру периферийные устройства
- Все сетевые подключения
- Физическое местоположение компьютера
- Обнаруженные незаконные материалы
- Незаконная деятельность, свидетелем который вы стали (или о которой вы подозреваете)
- Какие процедуры вы выполняли на компьютере или в сети
Оперативным сотрудникам важно знать, какие действия были или не были предприняты. Ваша документация может стать частью доказательств в судебном преследовании преступления. При внесении добавлений или изменений в эту документацию чрезвычайно важно проинформировать об этом все заинтересованные стороны.
Учет хранения вещественных доказательств
Чтобы доказательства были приняты, их подлинность должна быть удостоверена. Системный администратор может дать показания относительно собранных доказательств. Он также должен быть способен указать способ сбора доказательств, место их физического хранения и лиц, имевших к ним доступ в период между их сбором и предъявлением в суде. Этот процесс называется учетом хранения вещественных доказательств. Для доказательства сохранности вещественных доказательств оперативные сотрудники проводят на месте процедуры документирование для отслеживания собранных материалов. Эти процедуры также позволяют предотвратить фальсификацию доказательств и гарантировать их целостность.
Включение процедур компьютерно-технической экспертизы в план безопасности компьютера и сети обеспечит целостность данных. Эти процедуры позволяют перехватить необходимые данные в случае нарушений безопасности в сети. Обеспечение жизнеспособности и целостности перехваченных данных поможет в преследовании злоумышленника.