Podstawy informatyki śledczej
2. Zabezpieczanie i gromadzenie dowodów cyfrowych na miejscu przestępstwa/zdarzenia
Aby analiza została przeprowadzona w jak najlepszym stanie, konieczne będzie również prawidłowe wykonanie zabezpieczenia i zebrania. W tym rozdziale podejdziemy do działań na miejscu zdarzenia w taki sam sposób jak do działań na miejscu przestępstwa, gdyż w obu są oczywiste podobieństwa, ale każde z nich siłą rzeczy będzie miało swoją specyfikę i cechy szczególne, których nie będziemy tu przedstawiać.
INCYDENT
"Incydent komputerowy to przerwa lub awaria jakościowa w usłudze informatycznej" Źródło: Podręcznik "ITIL V3 - Funkcjonowanie usług" (OGC, 2007)
Aby zaistniał incydent, musi koniecznie dojść do naruszenia dostępności, autentyczności, integralności lub poufności danych.
To właśnie sieci Computer Security Incident Response Team (CSIRT) umożliwiają gromadzenie danych dotyczących incydentów komputerowych, w tym celu opracowały wspólną taksonomię (Źródło: https://www.redecsirt.pt/files/RNCSIRT_Taxonomia_v3.0.pdf) klasyfikacji incydentów, klasyfikując je za pomocą 2 wektorów, według typu incydentu i według typu zdarzenia.
ENISA również rozwijała i promowała wiedzę na temat dobrych praktyk w zakresie identyfikacji i zarządzania incydentami, regularnie publikując na ten temat (czytaj: https://www.enisa.europa.eu/publications/using-taxonomies-in-incident-prevention-detection).
ENISA w 2010 r. opublikowała dokument "Incident Management Guide" (https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management), w którym klasyfikuje incydenty na kategorie w zależności od stopnia ich ciężkości, co przedstawiono na rysunku 6.
Rysunek 6 - Klasyfikacja zdarzeń
Źródło: Incident Management Guide (ENISA 2010)