Základy digitální forenziky

Aby byla analýza provedena v co nejlepším stavu, je nutné, aby byla správně provedena i konzervace a sběr. V této části budeme k úkonům na místě incidentu přistupovat stejně jako k úkonům na místě činu, protože v obou případech jsou zřejmé podobnosti, ale každý z nich bude mít nutně svá specifika a specifické rysy, které zde nebudeme zobrazovat.

INCIDENT

"Počítačový incident je přerušení nebo porucha kvality služby informačních technologií" Zdroj: Příručka "ITIL V3 - Provoz služeb" (OGC, 2007)

Aby došlo k incidentu, musí nutně dojít k narušení dostupnosti, pravosti, integrity a/nebo důvěrnosti údajů.

Právě sítě CSIRT (Computer Security Incident Response Team) umožňují shromažďovat údaje o počítačových incidentech, k čemuž vyvinuly společnou taxonomii (zdroj: https://www.redecsirt.pt/files/RNCSIRT_Taxonomia_v3.0.pdf) klasifikace incidentů, která je rozděluje podle dvou vektorů, podle typu incidentu a podle typu události.

Agentura ENISA rovněž rozvíjí a podporuje znalosti o osvědčených postupech při identifikaci a řízení incidentů a pravidelně na toto téma publikuje (viz https://www.enisa.europa.eu/publications/using-taxonomies-in-incident-prevention-detection).

Agentura ENISA v roce 2010 zveřejnila dokument "Incident Management Guide" (https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management), v němž klasifikuje incidenty do kategorií podle stupně jejich závažnosti, jak je uvedeno na obrázku 6.

Obrázek 6 - Klasifikace událostí

Zdroj: Průvodce řízením incidentů (ENISA 2010)