TCVN TIÊU CHUẨN QUỐC GIAmic.gov.vn/Upload_Moi/2018/TCVN-tap-hop-thu-thap-bao... · Web...
76
TCVN T I Ê U C H U Ẩ N Q U Ố C G I A TCVN XXXX:XXXX ISO/IEC 27037:2012 Xuất bản lần 1 CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN XÁC ĐỊNH, TẬP HỢP, THU NHẬN VÀ BẢO QUẢN CÁC BẰNG CHỨNG SỐ Information technology – Security techniques – Guidelines for identification, collection, acquisition, and preservation of digital evidence 3
Transcript of TCVN TIÊU CHUẨN QUỐC GIAmic.gov.vn/Upload_Moi/2018/TCVN-tap-hop-thu-thap-bao... · Web...
TCVN T I Ê U C H U Ẩ N Q U Ố C G I A
TCVN XXXX:XXXXISO/IEC 27037:2012
Xuất bản lần 1
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN XÁC ĐỊNH, TẬP HỢP, THU NHẬN VÀ
BẢO QUẢN CÁC BẰNG CHỨNG SỐInformation technology – Security techniques – Guidelines for identification, collection,
acquisition, and preservation of digital evidence
HÀ NỘI – 2018
3
TCVN XXXX:XXXX
Mục lục
1 Phạm vi áp dụng..............................................................................................................................5
2 Tài liệu viện dẫn.............................................................................................................................53 Thuật ngữ và định nghĩa...............................................................................................................64 Từ ngữ viết tắt................................................................................................................................95 Tổng quan.....................................................................................................................................11
5.1 Bối cảnh trong việc tập hợp bằng chứng số...........................................................................11
5.2 Các nguyên tắc của bằng chứng số.......................................................................................11
5.3 Các yêu cầu để xử lý bằng chứng số.....................................................................................12
5.3.1 Tổng quan.........................................................................................................................12
5.3.2 Khả năng đánh giá............................................................................................................12
5.3.3 Khả năng lặp lại................................................................................................................13
5.3.4 Khả năng tái tạo................................................................................................................13
5.3.5 Khả năng biện minh..........................................................................................................13
5.4 Quá trình xử lý bằng chứng số...............................................................................................14
5.4.1 Tổng quan.........................................................................................................................14
5.4.2 Xác định............................................................................................................................14
5.4.3 Tập hợp............................................................................................................................15
5.4.4 Thu nhận...........................................................................................................................15
5.4.5 Bảo quản..........................................................................................................................16
6 Các thành phần chính trong xác định, tập hợp, thu nhận và bảo quản bằng chứng số......176.1 Chuỗi giám sát bằng chứng (chain of custody).......................................................................17
6.2 Bảo vệ hiện trường tại vị trí xảy ra sự cố................................................................................18
6.2.1 Tổng quát..........................................................................................................................18
6.2.2 Nhân sự............................................................................................................................18
6.2.3 Bằng chứng số tiềm năng................................................................................................19
6.3 Vai trò và trách nhiệm.............................................................................................................19
6.4 Năng lực..................................................................................................................................20
6.5 Sử dụng hợp lý........................................................................................................................20
6.6 Lập tài liệu...............................................................................................................................21
6.7 Lời chỉ dẫn...............................................................................................................................22
6.7.1 Tổng quát..........................................................................................................................22
TCVN XXXX:XXXX
6.7.2 Bằng chứng số cụ thể......................................................................................................22
6.7.3 Nhân sự cụ thể.................................................................................................................23
6.7.4 Thời gian thực xảy ra sự cố..............................................................................................23
6.7.5 Thông tin chỉ dẫn khác.....................................................................................................23
6.8 Ưu tiên việc tập hợp và thu nhận............................................................................................24
6.9 Bảo quản bằng chứng số tiềm năng.......................................................................................25
6.9.1 Tổng quan.........................................................................................................................25
6.9.2 Bảo quản bằng chứng số tiềm năng................................................................................25
6.9.3 Đóng gói thiết bị kỹ thuật số và bằng chứng số tiềm năng...............................................25
6.9.4 Vận chuyển bằng chứng số tiềm năng.............................................................................27
7 Ví dụ về xác định, tập hợp, thu nhận và bảo quản...................................................................277.1 Máy tính, thiết bị ngoại vi và phương tiện lưu trữ số..............................................................27
7.1.1 Xác định............................................................................................................................27
7.1.2 Tập hợp............................................................................................................................30
7.1.3 Thu nhận...........................................................................................................................34
7.1.4 Bảo quản..........................................................................................................................39
7.2 Các thiết bị mạng....................................................................................................................39
7.2.1 Xác định............................................................................................................................39
7.2.2 Tập hợp, thu nhận và bảo quản.......................................................................................41
7.3 Tập hợp, thu nhận và bảo quản CCTV...................................................................................44
Phụ lục A (tham khảo): Mô tả các kỹ năng cốt lõi và năng lực của DEFR.......................................47Phụ lục B (tham khảo): Các yêu cầu về tài liệu tối thiểu cho việc chuyển giao bằng chứng........51Thư mục tài liệu tham khảo.....................................................................................................................52
2
TCVN XXXX:XXXX
Lời nói đầu
TCVN XXXX:XXXX hoàn toàn tương đương với ISO/IEC 27037:2012.
TCVN XXXX:XXXX do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn,
Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng
thẩm định, Bộ Khoa học và Công nghệ công bố.
TCVN XXXX:XXXX
4
TCVN XXXX:XXXX
T I Ê U C H U Ẩ N Q U Ố C G I A TCVN XXXX:XXXX
Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn xác định, tập hợp, thu nhận và bảo quản các bằng chứng số
Information technology – Security techniques – Guidelines for identification, collection,
acquisition, and preservation of digital evidence
1 Phạm vi áp dụng
Tiêu chuẩn này đưa ra hướng dẫn cho các hành động cụ thể trong xử lý bằng chứng số bao gồm xác
định, tập hợp, thu nhận và bảo quản bằng chứng số có thể có giá trị chứng cứ. Tiêu chuẩn này đưa ra
hướng dẫn cho các cá nhân về tình huống phổ biến trong quá trình xử lý bằng chứng số và hỗ trợ các
tổ chức về quy trình cần tuân thủ và tạo thuận lợi cho việc trao đổi bằng chứng số tiềm năng giữa các
tổ chức.
Tiêu chuẩn này đưa ra hướng dẫn cho các thiết bị và/hoặc các chức năng dưới đây thường được sử
dụng trong nhiều trường hợp:
- Phương tiện lưu trữ số được sử dụng trong máy tính tiêu chuẩn như ổ đĩa cứng, ổ đĩa mềm, ổ
quang học và ổ quang học magneto, thiết bị dữ liệu với chức năng tương tự.
- Điện thoại di động, các thiết bị hỗ trợ cá nhân (PDA), các thiết bị điện tử cá nhân (PED), các thẻ
nhớ;
- Hệ thống định vị di động;
- Máy ảnh kỹ thuật số và máy quay video (bao gồm CCTV);
- Máy tính tiêu chuẩn với các kết nối mạng;
- Các mạng dựa trên TCP/IP và các giao thức kỹ thuật số khác;
- Các thiết bị với các chức năng tương tự như trên.
CHÚ THÍCH 1: Danh sách các thiết bị trên là một danh sách thực tế và không đầy đủ.
CHÚ THÍCH: Trường hợp thực tế sẽ bao gồm các thiết bị trên mà tồn tại dưới các hình thức khác nhau. Ví dụ một hệ thống tự
động có thể gồm hệ thống định vị di động, lưu trữ dữ liệu và hệ thống cảm biến.
2 Tài liệu viện dẫn
Tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với tài liệu viện dẫn ghi năm công
bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên
bản mới nhất (bao gồm cả các sửa đổi, bổ sung).
TCVN XXXX:XXXX
TCVN ISO/IEC 17025:2007 (ISO/IEC 17025:2005), Yêu cầu chung về năng lực của các phòng thử
nghiệm và hiệu chuẩn.
TCVN ISO/IEC 17020 (ISO/IEC 17020), Đánh giá sự phù hợp - Yêu cầu đối với hoạt động của tổ chức
tiến hành giám định.
TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn
thông tin – Tổng quan và từ vựng.
ISO/TR 15801, Document management – Electronically stored information – Recommendations for
trustworthiness and reliability (Quản lý tài liệu - Thông tin lưu trữ điện tử - Các khuyến nghị về sự tin
cậy và độ tin cậy).
3 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN 11238, TCVN ISO/IEC 17020,
TCVN ISO/IEC 17025, ISO/TR 15801 và các thuật ngữ, định nghĩa sau:
3.1
Thu nhận (Acquisition)
Quá trình tạo ra một bản sao của dữ liệu bên trong một tập dữ liệu xác định.
CHÚ THÍCH: Sản phẩm của việc thu nhận là một bản sao bằng chứng số tiềm năng.
3.2
Không gian được phân bổ (allocated space)
Phân vùng trên phương tiện lưu trữ số bao gồm cả bộ nhớ chính, được sử dụng cho việc lưu trữ dữ
liệu, bao gồm cả dữ liệu đặc tả.
3.3Tập hợp (collection)
Quá trình thu nhận các mẫu vật lý có chứa bằng chứng số tiềm năng.
3.4
Thiết bị số (Digital device)
Thiết bị điện tử được sử dụng để xử lý hoặc lưu trữ dữ liệu số.
3.5
Bằng chứng số (Digital evidence)
Thông tin hoặc dữ liệu được lưu trữ hoặc truyền tải dưới dạng nhị phân mà có thể coi là tin cậy để làm
bằng chứng.
3.6
Bản sao bằng chứng số (digital evidence copy)
6
TCVN XXXX:XXXX
Bản sao của bằng chứng số được tạo ra để duy trì tính tin cậy của bằng chứng bằng thông qua việc
bao gồm cả bằng chứng số và cách thức xác minh, trong đó phương pháp xác minh hoặc được nhúng
hoặc độc lập với các công cụ được sử dụng để xác minh.
3.7
Người ứng phó đầu tiên bằng chứng số (Digital evidence First Responder)
DEFR
Cá nhân được ủy quyền, được đào tạo và có đủ khả năng hành động đầu tiên tại hiện trường sự cố để
thực hiện tập hợp và thu nhận bằng chứng số với trách nhiệm xử lý bằng chứng đó.
CHÚ THÍCH: Ủy quyền, đào tạo và trình độ chuyên môn là các yêu cầu cần thiết để tạo ra các bằng chứng số đáng tin cậy ,
nhưng có thể có hoàn cảnh cụ thể mà cá nhân không đáp ứng đầy đủ ba yêu cầu trên. Trong trường hợp này, cần xem xét
đến luật pháp, chính sách của tổ chức và trường hợp cụ thể.
3.8
Chuyên gia bằng chứng số (Digital Evidence Specialist)
Cá nhân có thể thực hiện các nhiệm vụ của một DEFR và có kiến thức chuyên sâu, kỹ năng và khả
năng để xử lý một loạt các vấn đề kỹ thuật.
CHÚ THÍCH: Một chuyên gia bằng chứng số có thể có thêm kỹ năng thích hợp, ví dụ, thu nhận dữ liệu từ mạng; thu nhận dữ
liệu từ RAM, có kiến thức về phần mềm hệ điều hành hoặc kiến thức về máy tính lớn (Mainframe).
3.9
Phương tiện lưu trữ số (Digital storage medium)
Thiết bị có thể ghi lại được dữ liệu số.
3.10
Cơ sở bảo quản bằng chứng số (evidence preservation facility)
Môi trường hoặc một vị trí an toàn nơi lưu trữ các bằng chứng được tập hợp và thu nhận
CHÚ THÍCH: Cơ sở bảo quản bằng chứng số không được để phơi nhiễm từ trường, bụi, độ rung, hơi nước hoặc bất kỳ yếu tố
môi trường khác (như nhiệt độ và độ ẩm khắc nghiệt) mà các yếu tố này có thể phá hủy các bằng chứng số tiềm năng chứa
trong phương tiện.
3.11
Giá trị băm (hash value)
Chuỗi các bit là đầu ra của một hàm băm.
3.12
Xác định (identification)
Quá trình bao gồm tìm kiếm, nhận dạng và lập tài liệu của bằng chứng số tiềm năng.
TCVN XXXX:XXXX
3.13
Tạo bản sao (imaging)
Quá trình của việc tạo một bản sao theo bit của phương tiện lưu trữ số
CHÚ THÍCH: Sao chép bit nhị phân cũng được gọi là sao chép vật lý
VÍ DỤ: Khi tạo bản sao một ổ cứng, DEFR cũng có thể sao chép dữ liệu đã bị xóa.
3.14
Thiết bị ngoại vi (peripheral)
Thiết bị được gắn vào một thiết bị số để mở rộng chức năng của thiết bị số.
3.15
Bảo quản (preservation)
Quá trình duy trì và bảo vệ tính toàn vẹn và/hoặc trạng thái gốc của bằng chứng số tiềm năng.
3.16
Tính tin cậy (reliability)
Thuộc tính về sự nhất quán trong hành vi dự kiến và kết quả
3.17
Tính lặp lại (Repeatability)
Thuộc tính của một quá trình được thực hiện để nhận được cùng kết quả kiểm thử trên cùng môi
trường kiểm thử (cùng máy tính, ổ cứng, chế độ vận hành...)
3.18
Tính tái tạo (Reproducibility)
Thuộc tính của một quá trình để nhận được cùng kết quả trên một môi trường kiểm thử khác (khác
máy tính, ổ cứng, người vận hành...)
3.19
Sự sửa đổi (Spoliation)
Hành động tạo ra hoặc cho phép thay đổi bằng chứng số tiềm năng làm giảm bớt giá trị của bằng
chứng số tiềm năng này.
3.20
Thời gian hệ thống (System time)
Thời gian được sinh ra bởi đồng hồ hệ thống và sử dụng bởi hệ điều hành, không phải thời gian tính
toán của hệ điều hành.
8
TCVN XXXX:XXXX
3.21
Giả mạo (Tampering)
Hành động cố ý tạo hoặc cho phép thay đổi bằng chứng số (nghĩa là sửa đổi có chủ ý hoặc có mục
đích).
3.22
Tem thời gian (time stamp)
Một tham số biến thiên theo thời gian đánh dấu một thời điểm trong một hệ tham chiếu thời gian thông
thường
[TCVN 7817-1:2007]
3.23
Không gian không được phân bổ (Unallocated space)
Phân vùng trên phương tiện lưu trữ số, bao gồm bộ nhớ chính, mà đã không được phân bổ bởi hệ
điều hành và khu vực này sẵn sàng để lưu trữ dữ liệu, bao gồm cả dữ liệu đặc tả.
3.24
Xác nhận tính hợp lệ (validation)
Sự xác nhận, thông qua việc cung cấp các bằng chứng khách quan, rằng các yêu cầu cho sử dụng với
mục đích cụ thể hoặc ứng dụng đã được đáp ứng đầy đủ.
3.25
Hàm xác minh (verification funtion)
Hàm được sử dụng để xác minh rằng hai bộ dữ liệu là đồng nhất
CHÚ THÍCH 1: Không có hai bộ dữ liệu đồng nhất tạo ra một kết quả so sánh đồng nhất từ một hàm xác minh.
CHÚ THÍCH 2: Các hàm xác minh thường được thực hiện bằng cách sử dụng các hàm băm như MD5, SHA1... nhưng các
phương pháp khác cũng có thể được sử dụng.
3.26
Dữ liệu dễ biến đổi (volatile data)
Dữ liệu đặc biệt dễ bị ảnh hưởng bởi thay đổi và có thể bị chỉnh sửa dễ dàng.
CHÚ THÍCH: Thay đổi có thể là việc tắt nguồn hay việc đưa qua một từ trường. Dữ liệu dễ biến đổi cũng bao gồm dữ liệu mà
thay đổi khi trạng thái hệ thống thay đổi. Ví dụ dữ liệu được lưu trữ trong RAM và các địa chỉ IP động.
4 Từ ngữ viết tắtChữ viết tắt Tiếng anh Tiếng việt
AVI Audio Video Interleave Phương tiện đa định dạng, có thể chứa âm
TCVN XXXX:XXXX
thanh, hình ảnh và dữ liệu.
CCTV Closed Circuit Television Truyền hình mạch kín
CD Compact Disk Đĩa quang
DNA Deoxyribonucleic Acid Phân tử mang thông tin di truyền mã hóa cho hoạt động sinh trưởng, phát triển, chuyên hóa chức năng và sinh sản của các sinh vật và nhiều loài virus.
DEFR Digital Evidence First Responder Người ứng phó đầu tiên bằng chứng số
DVD Digital Video/Versatile Disk Một loại định dạng lưu trữ đĩa quang, dùng để lưu trữ video và lưu trữ dữ liệu.
ESN Electronic Serial Number Số seri điện tử. Dùng cho các máy sử dụng công nghệ AMPS và CDMA
GPS Global Positioning System Hệ thống định vị toàn cầu
GSM Global System for Mobile Communication
Hệ thống thông tin di động toàn cầu
IMEI International Mobile Equipment Identity
Số nhận dạng thiết bị di động quốc tế
IP Internet Protocol Giao thức kết nối Internet
ISIRT Information Security Incident Response Team
Nhóm ứng cứu sự cố an toàn thông tin
LAN Local Area Network Mạng máy tính cục bộ
MD5 Message-Digest Algorithm 5 Thuật toán hàm băm MD5
MP3 MPEG Audio Layer 3 Một định dạng mã hóa cho kỹ thuật số âm thanh
MPEG Moving Picture Experts Group Nhóm các chuyên gia hình ảnh động
NAS Network Attached Storage Thiết bị lưu trữ gắn vào mạng
PDA Personal Digital Assistant Thiết bị kỹ thuật số hỗ trợ cá nhân
PED Personal Electronic Device Thiết bị điện tử cá nhân
PIN Personal Identification Number Mã số định danh cá nhân
PUK PIN Unlock Key Mã số mở khóa cá nhân
RAID Redundant Array of Independent Disks
Là hình thức ghép nhiều ổ đĩa cứng vật lý thành một hệ thống ổ đĩa cứng nhằm tăng tốc độ đọc ghi của dữ liệu hoặc tăng sự an toàn dữ liệu chứa trên ổ đĩa.
RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên
10
TCVN XXXX:XXXX
RFID Radio Frequency Identitication Nhận dạng qua tần số vô tuyến điện
SAN Storage Area Network Mạng lưu trữ, là một mạng được thiết kế để kết nối các máy chủ tới hệ thống lưu trữ dữ liệu, trong đó các máy chủ truy cập tới hệ thống lưu trữ
SHA Secure Hash Algorithm Thuật giải băm an toàn
SIM Subscriber Identity Module Thẻ dùng để nhận dạng thuê bao di động
USB Universal Serial Bus Chuẩn kết nối tuần tự đa dụng trong máy tính
UPS Uninterruptible Power Supply Bộ lưu điện
USIM Universal Subscriber Identity Module
Đơn vị nhận dạng thuê bao toàn cầu/Bộ nhận dạng trạm gốc của mạng di động thế hệ thứ 3 (UMTS)
UV Ultraviolet Bức xạ tử ngoại
Wi-Fi Wireless Fidelity Mạng không dây sử dụng sóng vô tuyến
DES Digital Evidence Specialists Chuyên gia bằng chứng số
5 Tổng quan
5.1 Bối cảnh trong việc tập hợp bằng chứng số
Bằng chứng số có thể được yêu cầu sử dụng trong một số kịch bản khác nhau mà mỗi kịch bản
này có sự cân bằng khác nhau giữa các tác nhân về chất lượng bằng chứng, thời điểm phân tích, việc
khôi phục dịch vụ và chi phí tập hợp bằng chứng số. Do đó, các tổ chức sẽ được yêu cầu có một quá
trình ưu tiên để xác định nhu cầu và cân bằng giữa chất lượng bằng chứng, thời điểm và việc khôi
phục dịch vụ trước khi DEFR thực hiện nhiệm vụ. Một quá trình ưu tiên gồm việc thực hiện một đánh
giá các tài liệu có sẵn nhằm quyết định giá trị bằng chứng có thể và trình tự mà các bằng chứng số
tiềm năng nên được tập hợp, thu nhận hoặc bảo quản. Việc ưu tiên được thực hiện nhằm giảm thiểu
tối đa rủi ro cho bằng chứng số tiềm năng có thể bị hư hỏng và tối đa hóa giá trị bằng chứng của bằng
chứng số được tập hợp.
5.2 Các nguyên tắc của bằng chứng số
Tại hầu hết các cơ quan và các tổ chức, bằng chứng số được quản lý bởi ba nguyên tắc chủ yếu:
mức độ liên quan, tính tin cậy và sự đầy đủ. Đó là ba nguyên tắc quan trọng trong tất cả các cuộc điều
tra. Bằng chứng số gọi là liên quan khi dùng để chứng minh hay bác bỏ một một yếu tố của trường hợp
cụ thể đang bị điều tra. Mặc dù định nghĩa chi tiết của “độ tin cậy” là khác nhau giữa các cơ quan
nhưng đều có nghĩa tổng quan về nguyên tắc được thống nhất trên diện rộng là “để đảm bảo rằng
bằng chứng số đúng là thứ mà nó giải nghĩa”. DEFR thường không cần tập hợp tất cả các dữ liệu hoặc
TCVN XXXX:XXXX
tạo ra một bản sao đầy đủ của bằng chứng số gốc. Ở nhiều cơ quan khái niệm “sự đầy đủ” nghĩa là
DEFR cần tập hợp đủ các bằng chứng số tiềm năng để thẩm tra hoặc điều tra đầy đủ các yếu tố của
vấn đề. Hiểu biết về khái niệm này là đặc biệt quan trọng đối với DEFR để xác định đúng các nỗ lực
cần ưu tiên khi quan tâm về vấn đề thời gian và chi phí.
CHÚ THÍCH: DEFR nên đảm bảo việc tập hợp các bằng chứng số tiềm năng phù hợp với luật pháp, quy định, yêu cầu trong
từng trường hợp cụ thể.
Tất cả các quy trình được sử dụng bởi DEFR và Chuyên gia bằng chứng số (Digital Evidence
Specialists – DES) cần được xác nhận tính hợp lệ trước khi thực hiện. Nếu việc xác nhận tính hợp lệ
đó được thực hiện ở bên ngoài thì DEFR hoặc DES nên xác minh rằng việc xác nhận là phù hợp với
mục đích sử dụng quy trình của họ và môi trường và hoàn cảnh mà các quy trình này sẽ được sử
dụng. DEFR hoặc DES cũng nên::
a) Lập tài liệu tất cả các hành động;
b) Quyết định và áp dụng một phương pháp cho việc thiết lập độ chính xác, độ tin cậy của bản sao
bằng chứng số tiềm năng so với bản gốc; và
c) Nhận biết rằng hành động bảo quản bằng chứng số tiềm năng không thể luôn là hành động không
có sự can thiệp.
5.3 Các yêu cầu để xử lý bằng chứng số
5.3.1 Tổng quan
Các nguyên tắc đặt ra tại 5.2 bên trên có thể được thỏa mãn như sau:
- Mức độ liên quan: Phải chứng minh được rằng tài liệu thu nhận được là có liên quan đến việc điều
tra. Tức là nó phải chứa các thông tin có giá trị hỗ trợ điều tra. Thông qua đánh giá và biện minh,
DEFR phải có khả năng mô tả các thủ tục đã thực hiện và giải thích làm thế nào mà ra quyết định
thu nhận mỗi hạng mục.
- Tính tin cậy: Tất cả các quá trình được sử dụng để xử lý các bằng chứng số tiềm năng phải có thể
được đánh giá và có tính lặp lại. Kết của của việc áp dụng các quá trình này phải có tính tái tạo.
- Sự đầy đủ: DEFR phải cân nhắc thu thập đủ các hạng mục để cho phép thực hiện điều tra một
cách đầy đủ. DEFR phải có thể, thông qua đánh giá và biện minh, đưa ra tổng số hạng mục đã
được cân nhắc và các thủ tục đã được thực hiện để quyết định số lượng và hạng mục nào cần thu
nhận.
CHÚ THÍCH: Các hạng mục có thể được thu nhận thông qua các hành động thu nhận và/hoặc tập hợp.
Có 04 khía cạnh trong việc xử lý bằng chứng số: khả năng đánh giá, khả năng biện minh, và khả năng
lặp lại hoặc khả năng tái tạo tùy thuộc vào hoàn cảnh cụ thể.
12
TCVN XXXX:XXXX
5.3.2 Khả năng đánh giá
Một người đánh giá độc lập hoặc những người được ủy quyền phải đánh giá được các hoạt động mà
DEFR và DES đã thực hiện. Điều này thực hiện thông qua việc lập tài liệu đầy đủ tất cả các hành động
đã thực hiện. DEFR và DES cần biện minh cho quá trình ra quyết định lựa chọn một chuỗi các hành
động cho trước. Các quy trình DEFR và DES thực hiện nên được chuẩn bị sẵn để các người đánh giá
độc lập xác định tính khoa học đầy đủ của phương pháp, kỹ thuật hoặc các thủ tục đã thực hiện.
5.3.3 Khả năng lặp lại
Khả năng lặp lại được thiết lập khi cùng kết quả kiểm thử được tạo ra trong những điều kiện sau đây:
- Sử dụng cùng phương pháp, thủ tục kiểm thử;
- Sử dụng cùng công cụ trong cùng điều kiện;
- Có thể lặp lại tại bất kỳ thời điểm nào sau phép kiểm thử gốc/ban đầu.
Một DEFR có kinh nghiệm và chuyên môn phù hợp cần có khả năng thực hiện tất cả các quá trình
được mô tả trong tài liệu và đi đến cùng một kết quả mà không cần hướng dẫn hoặc giải thích. DEFR
phải nhận biết rằng có thể có những trường hợp không thể lặp lại các thử nghiệm, vi dụ: khi một ổ
cứng đã được sao chép dữ liệu và được đưa sử dụng lại, hoặc khi một khoản mục có liên quan đến bộ
nhớ dễ biến động. Trong trường hợp này, DEFR nên đảm bảo quá trình thu nhận là đáng tin cậy.
5.3.4 Khả năng tái tạo
Khả năng tái tạo được thiết lập khi cùng kết quả kiểm thử được tạo ra trong các điều kiện sau:
- Sử dụng cùng phương pháp kiểm thử;
- Sử dụng các công cụ khác nhau và trong các điều kiện khác nhau;
- Có thể tái tạo được tại bất kỳ thời điểm nào sau phép kiểm thử gốc.
Nhu cầu cho việc tái tạo kết quả thay đổi tùy thuộc vào pháp lý và tình huống, vì thế DEFR hoặc cá
nhân thực hiện việc tái tạo cần phải được thông tin về các điều kiện áp dụng.
5.3.5 Khả năng biện minh
DEFR phải có khả năng biện minh tất các hành động và các phương pháp đã sử dụng trong xử lí bằng
chứng số. Các biện minh có thể đạt được bằng cách chứng minh rằng các quyết định là sự lựa chọn
tốt nhất để có được tất cả các bằng chứng số. DEFR hoặc DES khác cũng có thể chứng minh điều này
bằng cách tái tạo thành công hoặc xác minh các hành động và phương pháp đã sử dụng.
Tổ chức của cá nhân sẽ có lợi nhất nếu thuê một DEFR hoặc DES có kỹ năng và năng lực cơ bản như
được mô tả trong Phụ lục A của tiêu chuẩn này. Điều này đảm bảo rằng các quá trình và thủ tục đúng
đắn đã được thực hiện khi xử lý các bằng chứng số để đảm bảo việc bảo quản các bằng chứng số có
giá trị chứng cứ. Điều này cũng sẽ đảm bảo các tổ chức có thể sử dụng các bằng chứng số tiềm năng,
TCVN XXXX:XXXX
ví dụ trong thủ tục tuân thủ nghiêm ngặt hoặc trong việc tạo thuận lợi cho trao đổi bằng chứng số tiềm
năng giữa các cơ quan pháp luật.
CHÚ THÍCH: Năng lực mô tả trong Phụ lục A được giới hạn cho chức năng của DEFR, có liên kết với vai trò DES như xác
định trong Điều 3.8.
5.4 Quá trình xử lý bằng chứng số
5.4.1 Tổng quan
Mặc dù quá trình xử lý bằng chứng số đầy đủ bao gồm các hoạt động khác (ví dụ: trình bày, bác bỏ...),
phạm vi của tiêu chuẩn này chỉ liên quan đến quá trình xử lí ban đầu bao gồm xác định, tập hợp, thu
nhận và bảo quản bằng chứng số tiềm năng.
Bằng chứng số có thể rất dễ bị phá hủy. Nó có thể bị thay đổi, giả mạo, hoặc phá hủy do xử lý hoặc
thẩm tra không đúng cách. Người xử lý bằng chứng số nên có năng lực để xác định và quản lý các rủi
ro và hậu quả của tiến trình hành động tiềm năng khi xử lý bằng chứng số. Các lỗi do không xử lý thiết
bị số bằng phương pháp thích hợp có thể khiến các bằng chứng số tiềm năng chứa trong những thiết
bị số này không sử dụng được.
DEFR và DES nên thực hiện theo các thủ tục đã được lập tài liệu để đảm bảo sự toàn vẹn và độ tin
cậy của các bằng chứng số tiềm năng. Các thủ tục bao gồm các hướng dẫn xử lý nguồn bằng chứng
số tiềm năng và phải bao gồm các nguyên tắc cơ bản sau:
- Giảm tối đa việc xử lý các thiết bị số gốc hoặc bằng chứng số tiềm năng;
- Giải thích bất kỳ thay đổi và các hành động đã thực hiện (đến mức độ mà một chuyên gia có thế
hình thành ý kiến về độ tin cậy);
- Tuân thủ các quy tắc nội bộ về bằng chứng; và
- DEFR và DES không nên thực hiện những hành động vượt quá năng lực của họ.
Bằng việc tuân thủ các nguyên tắc cơ bản và các yêu cầu về xử lý bằng chứng số tiềm năng, bằng
chứng số sẽ được bảo quản. Đặc biệt trong trường hợp khi mà những thay đổi là không thể tránh khỏi,
tất cả các hành động và lý do thực hiện cần phải được lập tài liệu. Mỗi quá trình xử lý bằng chứng số,
ví dụ xác định, tập hợp, thu nhận và bảo quản được đề cập chi tiết hơn tại các Điều dưới đây.
5.4.2 Xác định
Bằng chứng số được thể hiện qua hai hình thức là vật lý và logic. Hình thức vật lý bao gồm biểu diễn
của dữ liệu trong một thiết bị hữu hình. Hình thức logic của các bằng chứng số tiềm năng chỉ các biểu
diễn ảo của dữ liệu trong một thiết bị.
Quá trình xác định liên quan đến việc tìm kiếm, nhận dạng và lập tài liệu cho bằng chứng số tiềm năng.
Quá trình xác định nên nhận dạng các phương tiện lưu trữ số và các thiết bị xử lí có thể chứa các bằng
chứng số tiềm năng liên quan đến sự cố. Quá trình này cũng bao gồm những hoạt động ưu tiên cho
việc tập hợp các bằng chứng dựa vào tính dễ biến động của chúng. Sự biến động của dữ liệu cần
14
TCVN XXXX:XXXX
được xác định để đảm bảo trình tự đúng của quá trình tập hợp và sao chép nhằm giảm thiểu thiệt hại
cho các bằng chứng và để có được các bằng chứng tốt nhất. Ngoài ra, quá trình xác định nên nhận
dạng khả năng có các bằng chứng số tiền năng ẩn. DEFR và DES nên biết rằng không phải tất cả các
loại phương tiện lưu trữ số nào cũng có thể dễ dàng xác định, ví dụ như điện toán đám mây, NAS và
SAN - tất cả những thứ đều thêm một thành phần ảo vào quá trình xác định.
DEFR nên thực hiện một cách có hệ thống việc tìm kiếm toàn toàn diện các hạng mục có thể chứa
đựng bằng chứng số tiềm năng. Các loại thiết bị số khác nhau có thể chứa đựng các bằng chứng số
tiềm năng có thể dễ dàng bị bỏ qua (ví dụ do kích thước nhỏ), bị che dấu hoặc bị lẫn lộn trong số các
hạng mục không liên quan.
Điều 6.1 và 6.6 cung cấp thêm các thông tin về chuỗi giám sát bằng chứng (chain of custody), đóng gói
và ghi nhãn các khía cạnh của xác định bằng chứng số. Điều 7 hướng dẫn cụ thể liên quan đến các
trường hợp cụ thể của xác định, tập hợp, thu nhận và bảo quản bằng chứng số.
5.4.3 Tập hợp
Khi đã xác định được các thiết bị số có thể chứa bằng chứng số tiềm năng, DEFR và DES nên quyết
định tập hợp hoặc thu nhận trong quá trình tiếp theo. Có một số yếu tố quyết định cho điều này và
được đề cập chi tiết tại Điều 7. Việc quyết định phải dựa trên trường hợp cụ thể.
Tập hợp là một tiến trình trong quá trình xử lý bằng chứng số, khi các thiết bị có thể chứa bằng chứng
số tiềm năng được di dời khỏi vị trí ban đầu và đưa đến phòng thí nghiệm hoặc môi trường có kiểm
soát khác, sau đó là thu nhận và phân tích. Các thiết bị có chứa bằng chứng số tiềm năng có thể ở một
trong hai trạng thái: Khi hệ thống bật nguồn hoặc khi hệ thống tắt nguồn. Các cách tiếp cận khác nhau
và công cụ khác nhau được yêu cầu tùy thuộc vào trạng thái của thiết bị. Các thủ tục nội bộ có thể áp
dụng cho các cách tiếp cận và công cụ được sử dụng cho quá trình tập hợp.
Quá trình này bao gồm việc lập tài liệu về toàn bộ cách tiếp cận, cũng như việc đóng gói các thiết bị
trước khi vận chuyển. Một điều quan trọng đối với DEFR và DES là phải tập hợp bất kỳ hạng mục nào
có thể liên quan đến thông tin bằng chứng số tiềm năng (ví dụ, giấy tờ có ghi mật khẩu, giá đỡ và các
bộ kết nối nguồn cho các thiết bị hệ thống nhúng). Bằng chứng số tiềm năng có thể bị mất hoặc hư
hỏng nếu không được bảo quản hợp lý. DEFR và DES nên áp dụng phương pháp tập hợp tốt nhất dựa
trên tình hình cụ thể, chi phí thời gian và lập tài liệu về quyết định sử dụng một phương pháp cụ thể.
CHÚ THÍCH 1: Việc tháo dời các phương tiện lưu trữ số không được khuyến khích và DEFR nên chắc chắn rằng họ có thẩm
quyền để tháo dời phương tiện lưu trữ, và nhận biết việc này là thích hợp và được phép.
CHÚ THÍCH 2: Chi tiết về các thiết bị kỹ thuật số không được tập hợp phải được lập tài liệu có kèm giải thích cho việc loại trừ
các thiết bị này, phù hợp với yêu cầu và thẩm quyền.
5.4.4 Thu nhận
Quá trình thu nhận liên quan đến việc tạo ra một bản sao bằng chứng số (ví dụ: toàn bộ một đĩa cứng,
một phân vùng, hoặc các tệp tin được lụa chọn) và lập tài liệu về các phương pháp được sử dụng và
các hoạt động đã thực hiện. DEFR nên áp dụng một phương pháp thu nhận phù hợp dựa trên tình
TCVN XXXX:XXXX
hình, chi phí và thời gian, và lập tài liệu về quyết định sử dụng một phương pháp cụ thể hoặc một công
cụ thích hợp.
Các phương pháp được sử dụng để thu nhận bằng chứng số tiềm năng nên được lập tài liệu rõ ràng,
chi tiết và có thể tái tạo hoặc thẩm tra bởi một DEFR có năng lực. Một DEFR hoặc DES nên thu nhận
bằng chứng số tiềm năng theo cách ít can thiệp nhất để tránh những thay đổi có thể. Để thực hiện quá
trình này, DEFR nên xem xét phương pháp thích hợp nhất để sử dụng. Nếu quá trình này tạo ra những
thay đổi không thể tránh khỏi cho dữ liệu số thì các hoạt động đã thực hiện phải được ghi lại trong tài
liệu để giải thích những thay đổi của dữ liệu.
Phương pháp thu nhận được sử dụng nên tạo ra một bản sao bằng chứng số của bằng chứng số tiềm
năng hoặc các thiết bị kỹ thuật số có thể chứa bằng chứng số tiềm năng. Cả nguồn gốc và bản sao
bằng chứng số cần được xác nhận với một hàm xác minh đã được chứng minh (độ chính xác được
chứng minh tại cùng thời điểm) được chấp nhận bởi cá nhân sẽ sử dụng bằng chứng. Nguồn gốc và
mỗi bản sao bằng chứng số nên tạo ra cùng một kết quả đầu ra của hàm xác minh.
Trong trường hợp quá trình xác minh không thể thực hiện được, ví dụ khi thu nhận một hệ thống đang
chạy, bản sao gốc sẽ chứa các phân vùng (sector) lỗi, hoặc thời gian thu nhận sẽ bị giới hạn. Trong
những trường hợp này, DEFR nên sử dụng phương pháp thu nhận tốt nhất có sẵn và có thể biện hộ
và chứng minh việc lựa chọn phương pháp này. Nếu bản sao không thể xác minh được, thì việc này
cần phải được lập tài liệu và biện hộ. Nếu cần thiết, phương pháp thu nhận được sử dụng có thể chứa
không gian lưu trữ đã phân bổ và không được phân bổ.
CHÚ THÍCH 1: Khi quá trình xác minh không thể thực hiện trên nguồn đầy đủ do lỗi ở nguồn, việc xác minh sẽ sử dụng các
bộ phận của nguồn có thể đọc được một cách tin cậy và sử dụng được.
Có thế có các trường hợp mà không thể hoặc không được phép tạo một bản sao bằng chứng số của
một nguồn bằng chứng như khi nguồn quá lớn. Trong trường hợp này, một DEFR có thể thực hiện thu
nhận một phân vùng logic chỉ nhắm vào các kiểu dữ liệu, thư mục hoặc vị trí cụ thể. Thông thường việc
này thực hiện trên một tệp tin và mức phân vùng. Trong suốt quá trình thu nhận logic, các tệp tin hiện
hành và không gian lưu trữ đã được phân bổ không chứa tệp tin của thiết bị lưu trữ số có thể được thu
nhận; các tệp tin bị xóa và không gian lưu trữ không được phân bổ có thể không được sao chép, tùy
thuộc vào phương pháp được sử dụng. Những trường hợp khác mà phương pháp này có thể hữu ích
là khi các hệ thống thực hiện nhiệm vụ trọng yếu mà không thể tắt hệ thống đó.
CHÚ THÍCH 2: Một vài cơ quan pháp luật có thể yêu cầu xử lý đặc biệt đối với dữ liệu, ví dụ: thực hiện niêm phong dữ liệu có
sự hiện diện chủ sở hữu dữ liệu đó. Việc niêm phong trên được thực hiện theo đúng yêu cầu về thủ tục và pháp luật.
16
TCVN XXXX:XXXX
5.4.5 Bảo quản
Bằng chứng số tiềm năng nên được bảo quản để chắc chắn rằng nó hữu ích trong việc điều tra. Việc
bảo vệ tính toàn vẹn của bằng chứng là rất quan trọng. Quá trình bảo quản bằng chứng số bao gồm
việc bảo vệ các bằng chứng số tiềm năng và các thiết bị số có thể chứa các bằng chứng số tiềm năng
khỏi bị giả mạo hoặc sửa đổi. Việc bảo quản nên được bắt đầu và duy trì trong suốt quá trình xử lý
bằng chứng số, bắt đầu từ việc xác định các thiết bị số chứa bằng chứng số tiềm năng.
Trong kịch bản tốt nhất không nên có sửa đổi tới dữ liệu hoặc các siêu dữ liệu liên kết với nó (ví dụ:
ngày tháng và các dấu thời gian). DEFR phải có thể chứng minh rằng bằng chứng đã chưa từng được
chỉnh sửa từ khi chúng được tập hợp hoặc thu nhận, hoặc cung cấp lý do và hành động đã được lập
tài liệu nếu có những thay đổi không thể tránh khỏi đã được tạo ra.
CHÚ THÍCH: Trong một vài trường hợp, tính bí mật của bằng chứng số tiềm năng được yêu cầu, hoặc là yêu cầu nghiệp vụ
hoặc là một yêu cầu pháp lý (ví dụ: tính riêng tư). Các bằng chứng số tiềm năng nên được bảo quản để bảo đảm sự bí mật
của dữ liệu.
6 Các thành phần chính trong xác định, tập hợp, thu nhận và bảo quản bằng chứng số
6.1 Chuỗi giám sát bằng chứng (chain of custody)
Trong bất cứ cuộc điều tra nào, DEFR nên có thể giải thích tất cả các dữ liệu và thiết bị đã thu nhận tại
thời điểm trong phạm vi giám sát của DEFR. Hồ sơ giám sát là tài liệu sắp xếp theo thứ tự các sự kiện
xác định sự di chuyển và việc xử lý của bằng chứng số tiềm năng. Hồ sơ này nên được lập từ quá
trình tập hợp hoặc thu nhận. Điều này thường được thực hiện bằng cách truy vết lịch sử của các hạng
mục từ thời điểm nó được đội điều tra xác định, tập hợp hoặc thu nhận cho đến trạng thái và vị trí hiện
tại.
Hồ sơ giám sát là tài liệu hoặc một loạt các tài liệu có liên quan ghi chi tiết về chuỗi giám sát và ghi lại
người chịu trách nhiệm xử lý các bằng chứng số, ở dạng dữ liệu số hoặc ở các dạng khác (như ghi
chép giấy). Mục đích của việc duy trì hồ sơ giám sát là để cho phép xác định việc truy cập và sự di
chuyển của bằng chứng số ở mỗi thời điểm xác định. Hồ sơ giám sát có thể bao gồm nhiều tài liệu, ví
dụ đối với bằng chứng số tiềm năng nên có một tài liệu ghi lại sự thu nhận dữ liệu số vào một thiết bị
cụ thể, sự di chuyển của thiết bị này và tài liệu ghi lại sự trích xuất hoặc sao chép bằng chứng số tiềm
năng sau đó để phân tích hoặc cho các mục đích khác. Hồ sơ giám sát nên có ít nhất các thông tin
dưới đây:
- Mã định danh duy nhất của bằng chứng;
- Người truy cập vào bằng chứng và thời gian, vị trí nơi truy cập;
- Người kiểm tra bằng chứng đưa vào và đưa ra khỏi cơ sở bảo quản bằng chứng và thời điểm nào;
- Tại sao các bằng chứng được kiểm tra (trường hợp nào và mục đích gì) và các cơ quan liên quan
(nếu có);
TCVN XXXX:XXXX
- Bất kỳ những thay đổi không thể tránh khỏi tới bằng chứng số, cũng như tên của cá nhân chịu
trách nhiệm và biện minh về việc xảy ra sự thay đổi.
Chuỗi giám sát bằng chứng nên được duy trì trong suốt vòng đời của bằng chứng và được bảo quản
trong một khoảng thời gian xác định sau thời gian sống của bằng chứng – khoảng thời gian này có thể
được thiết lập tùy theo cơ quan pháp luật tập hợp và áp dụng bằng chứng. Chuỗi giám sát này nên
được thiết lập từ thời điểm các thiết bị số và/hoặc các bằng chứng số tiềm năng được thu nhận và
không được để xâm hại.
CHÚ THÍCH: Một vài cơ quan pháp luật có thể có các yêu cầu đặc biệt đối với chuỗi giám sát. DEFR nên tuân thủ những yêu
cầu này.
6.2 Bảo vệ hiện trường tại vị trí xảy ra sự cố
6.2.1 Tổng quát
DEFR nên thực hiện các hành động để bảo vệ và bảo đảm an toàn cho vị trí của bằng chứng số tiềm
năng sớm nhất có thể khi họ đến hiện trường. Các hành động này nên hỗ trợ các nội dung sau đây, tùy
thuộc vào quy định nội bộ:
- Bảo vệ và kiểm soát khu vực chứa các thiết bị;
- Xác định người phụ trách vị trí này;
- Đảm bảo mọi người được đưa ra xa khỏi thiết bị và nguồn cung cấp;
- Lập tài liệu bất kỳ người nào đã tiếp cận vị trí và những người có thể có lý do để tham gia tại hiện
trường sự cố;
- Nếu thiết bị đang ở chế độ “BẬT” không được chuyển sang chế độ “TẮT” và nếu thiết bị đang ở
chế độ “TẮT” thì không được chuyển sang chế độ “BẬT”;
- Nếu có thể, lập tài liệu hiện trường (vẽ phác họa, chụp ảnh, quay video), tất cả thành phần và cáp
ở vị trí gốc của chúng. Nếu không có máy ảnh và máy quay camera cần vẽ phác họa hệ thống và
ghi nhãn các cổng, các cáp sao cho hệ thống có thể được xác nhận và sau này được dựng lại;
- Nếu được phép, tìm kiếm trong khu vực các hạng mục như giấy ghi chú, nhật ký, giấy tờ, các máy
tính xách tay, các phần cứng và phần mềm với các chi tiết quan trọng về thiết bị như mật khẩu và
mã PIN.
CHÚ THÍCH 1: Một vài cơ quan pháp luật có thể có các yêu cầu đặc biệt đối với việc tiếp nhận các bằng chứng ảnh và video.
DEFR nên tuân thủ các yêu cầu này.
CHÚ THÍCH 2: DEFR cần nhận thức được các bằng chứng số tiềm năng có thể không luôn ở các vị trí rõ ràng, ví dụ như
được lưu trữ phân bổ hoặc ảo hóa.
Đầu tiên DEFR nên nhận biết tất cả các rủi ro liên quan đến việc thực hiện các quá trình trong suốt
cuộc điều tra. Cần cân nhắc bảo vệ cá nhân và bảo vệ các bằng chứng số tiềm năng tại hiện trường
sự cố.
18
TCVN XXXX:XXXX
6.2.2 Nhân sự
Tiến hành đánh giá rủi ro liên quan đến an toàn nhân sự trước khi bắt đầu quá trình là rất quan trọng
do an toàn của các nhân viên liên quan trong quá trình này là đặc biệt quan trọng. Các vấn đề cần xem
xét trong đánh giá rủi ro đối với nhân sự bao gồm, nhưng không giới hạn như sau:
- Sẽ điều tra các cá nhân có mặt không? Nếu có mặt, họ có thiên hướng quá khích không?
- Thời gian nào trong ngày sẽ tiến hành hoạt động?
- Có thể cách ly hiện trường sự cố với người ngoài không?
- Có những loại vũ khí nào trong khu vực?
- Có mối nguy hại vật lý nào tới cá nhân hiện tại không?
- Có bất cứ điều gì trong vùng lân cận, bao gồm cả thiết bị, đã được cấu hình có thể gây ra thiệt hại
vật lý nếu xử lý một cách không phù hợp, ví dụ như một cái bẫy che giấu?
- Các hạng mục được tập hợp có bất kỳ khả năng gây ra thiệt hại tâm lý hoặc hành vi phạm tội
không?
- Hiện trường vụ việc có được coi là an toàn không?
- Khu vực xung quanh có tác động rủi ro tiềm tàng không?
6.2.3 Bằng chứng số tiềm năng
DEFR nên cẩn thận khi sử dụng một số công cụ để tập hợp hoặc thu nhận bằng chứng số tiềm năng.
Không tính toán rủi ro trước khi hành động có thể dẫn đến mất ít hoặc mất cả các bằng chứng số tiềm
năng do các công nghệ được áp dụng trong suốt quá trình tập hợp hoặc sao chép. Các rủi ro nên
được đánh giá để làm giảm các khiếu nại do hư hỏng.
Việc đánh giá rủi ro có liên quan đến việc ước lượng hệ thống các rủi ro và tác động tiềm năng chúng
đến điều tra bằng chứng số. Các khía cạnh cần quan tâm trong đánh giá rủi ro cho bằng chứng số tiềm
năng bao gồm nhưng không giới hạn những điều sau đây:
- Loại phương pháp tập hợp/thu nhận nào được áp dụng?
- Các thiết bị nào có thể cần đến tại hiện trường?
- Mức độ biến động của dữ liệu và thông tin liên quan đến bằng chứng số tiềm năng?
- Có thể có truy cập từ xa tới các thiết bị kỹ thuật số không và nó có đe dọa tới tính toàn vẹn của
bằng chứng không?
- Điều gì sẽ xảy ra nếu dữ liệu/thiết bị bị phá hủy?
- Dữ liệu có thể đã bị tấn công thỏa hiệp không?
- Các thiết bị kỹ thuật số có thể được cấu hình để phá hủy (ví dụ, sử dụng bom logic), làm hư hỏng
hoặc làm rối dữ liệu nếu tắt hoặc truy cập ở chế độ không được kiểm soát?
TCVN XXXX:XXXX
6.3 Vai trò và trách nhiệm
Vai trò của DEFR liên quan đến việc xác định, tập hợp, thu nhận và bảo quản bằng chứng số tiềm
năng tại hiện trường sự cố. Nó bao gồm cả việc viết báo cáo tập hợp và thu nhận nhưng không nhất
thiết phải báo cáo phân tích. Vai trò của DEFR cũng liên quan đến việc bảo đảm sự toàn vẹn và xác
thực của bằng chứng số tiềm năng. Để thực hiện được vai trò của mình, DEFR nên có kinh nghiệm, kỹ
năng và kiến thức phù hợp trong việc xử lý bằng chứng số tiềm năng. Điều này là rất quan trọng bởi
bằng chứng số tiềm năng có thể dễ dàng hư hỏng.
DEFR cũng có thể yêu cầu nhân viên hỗ trợ kỹ thuật trong lĩnh vực liên quan. Vai trò của DES liên
quan đến việc cung cấp hỗ trợ kỹ thuật cho DEFR trong việc xác định, tập hợp, thu nhận và bảo quản
bằng chứng số tiềm năng tại hiện trường sự cố. DES cung cấp kiến thức chuyên môn cho DEFR. Bảng
năng lực của DEFR (tại Phụ lục A) hướng dẫn xác định mức độ năng lực phù hợp của các DEFR.
CHÚ THÍCH: Trong hoàn cảnh xử lý sự cố mà có mặt ISIRT, vai trò của DEFR và/hoặc DES như là thành viên của đội ISIRT
được đề cập trong tiêu chuẩn TCVN 11239:2015.
6.4 Năng lực
DEFR và/hoặc DES nên có năng lực kỹ thuật và pháp luật thích hợp (ví dụ như liệt kê tại Phụ lục A) và
có thể chứng minh rằng họ được đào tạo đúng và có đủ hiểu biết về pháp luật và kỹ thuật để xử lý các
bằng chứng số tiềm năng một cách thích hợp. Điều này bao gồm hiểu biết về các quy trình và phương
pháp thích hợp cho xử lý các nguồn bằng chứng số tiềm năng. Việc đào tạo đầy đủ sẽ cho phép các
DEFR xử lý các thiết bị kỹ thuật số chứa các bằng chứng số tiềm năng. Việc có bộ công cụ tốt nhất sẽ
không bảo đảm được chất lượng của bằng chứng số nếu DEFR không có năng lực thực hiện các
nhiệm vụ.
Một số cơ quan pháp luật quy định cách thức các DEFR thiết lập trình độ chuyên môn của họ. Trách
nhiệm của các DEFR là đảm bảo chắc chắn họ được thông tin đúng đắn làm thế nào để thực hiện
đúng theo yêu cầu pháp lý. Khi được yêu cầu, DEFR và/hoặc DES nên chứng minh rằng họ có thẩm
quyền để xử lý các bằng chứng số tiềm năng sử dụng các công cụ và phương thức lựa chọn để thực
hiện nhiệm vụ. Sẽ là cần thiết để các DEFR có thể cung cấp bằng chứng trong khả năng của họ.
Một vài điều kiện tiên quyết cho DEFR được quy định như sau:
- Được huấn luyện đầy đủ để xử lý các thiết bị số trong phạm vi hoạt động điều tra;
- DEFR nên chứng minh và duy trì các kỹ năng, năng lực của họ cho các cơ quan thích hợp trong
lĩnh vực xử lý bằng chứng số tiềm năng có liên quan;
- Đây là trách nhiệm của các cá nhân và DEFR để chắc chắn họ được đào tạo đầy đủ các kỹ năng
và khả năng duy trì.
CHÚ THÍCH: Năng lực của một DEFR có thể khác nhau tùy theo cơ quan pháp luật.
20
TCVN XXXX:XXXX
6.5 Sử dụng hợp lý
Tránh bất kỳ hành động có thể dẫn đến việc sửa đổi của bằng chứng số tiềm năng được lưu trữ trong
các thiết bị số do hành động cố ý hoặc vô ý. Ví dụ tiếp xúc với từ trường có thể làm hỏng bằng chứng
số tiềm năng được lưu trong băng từ. DEFR không nên truy cập vào các thiết bị số, như tiến hành
dump bộ nhớ từ một thiết bị số đang chạy, trừ khi họ có năng lực theo yêu cầu và sử dụng các quy
trình đáng tin cậy và được xác minh hợp lệ.
Có một số trường hợp là phi thực tế để tập hợp hoặc thu nhận bằng chứng số tiềm năng. DEFR nên
xem xét những trường hợp sau đây:
- Nếu không được cho phép pháp lý hoặc ủy quyền để tập hợp các thiết bị số;
- Nếu có nghĩa vụ sử dụng các phương pháp khác (ví dụ để tránh gián đoạn việc kinh doanh);
- Nếu DEFR muốn bắt giữ các phương pháp thao tác của kẻ tình nghi trong sự lạm dụng của một
hệ thống;
- Nếu việc tập hợp hoặc thu nhận nên diễn ra bí mật, nếu được cơ quan có thẩm quyền cho phép;
- Nếu đây là một thiết bị kỹ thuật số với nhiệm vụ quan trọng không thể bị dừng;
- Nếu kích thước vật lý của thiết bị kỹ thuật số là quá lớn, chẳng hạn như một máy chủ tại một trung
tâm dữ liệu hoặc hệ thống RAID;
- Nếu đây là một thiết bị kỹ thuật số thiết yếu liên quan đến an toàn mà sẽ gây nguy hiểm đến tính
mạng nếu bị dừng;
- Nếu nó là một thiết bị kỹ thuật số đang phục vụ những bên không có liên can.
6.6 Lập tài liệu
Việc lập tài liệu là rất quan trọng khi xử lý các thiết bị số có thể chứa các bằng chứng số tiềm năng.
DEFR nên tuân thủ những điểm sau đây khi lập tài liệu:
- Mọi hoạt động thực hiện phải được ghi vào tài liệu. Điều này đảm bảo rằng không có thông tin nào
bị bỏ sót trong quá trình xác định, tập hợp, thu nhận và bảo quản. Điều này có thể hữu ích trong
cuộc điều tra xuyên biên giới khi mà bằng chứng số tiềm năng được tập hợp từ bên ngoài biên
giới có thể được truy vết.
- DEFR nên nhạy bén về thiết lập thời gian và ngày tháng nếu các thiết bị số đang được bật nguồn.
So sánh thời gian thiết lập với nguồn thời gian tin cậy. Các thiết lập thời gian phải được ghi vào tài
liệu và ghi chú nếu có sự khác biệt. Một số hệ thống yêu cầu nhiều sự tương tác người dùng để
lấy được các thiết lập ngày và giờ. DEFR nên thận trọng không được sửa đổi hệ thống. Chỉ những
nhân viên được đào tạo mới tiếp cận các thiết lập này.
- DEFR nên ghi tài liệu bất cứ gì có thể nhìn thấy được trên màn hình các thiết bị số như: chương
trình hoạt động và các tiến trình, cũng như tên thư mục đang mở. Việc ghi tài liệu nên bao gồm mô
TCVN XXXX:XXXX
tả của những gì nhìn thấy được do một số chương trình độc hại có thể giả dạng như một phần
mềm đã biết.
- Bất kỳ di chuyển của các thiết bị số nên được ghi vào tài liệu phù hợp với các yêu cầu nội bộ.
- Ghi tài liệu tất cả các nhận dạng duy nhất của các thiết bị số và các bộ phận liên kết như các số
serial và nhãn duy nhất.
Ví dụ về một bộ tài liệu tối thiểu về bằng chứng số tiềm năng để sự trao đổi giữa các cơ quan pháp luật
được trình bày trong Phụ lục B.
CHÚ THÍCH: Tham khảo điều khoản về quản lý tài liệu và quản lý hồ sơ của tiêu chuẩn TCVN ISO/IEC 17025:2007 để biết
thêm thông tin về lập tài liệu.
6.7 Lời chỉ dẫn
6.7.1 Tổng quát
Một việc cần thiết đối với DEFR và DES là được chỉ dẫn đầy đủ bởi cơ quan thích hợp trước khi thực
hiện các nhiệm vụ, trong khi tôn trọng các luật và các ràng buộc về tính bí mật (nghĩa là, cần hiểu
những điều cơ bản). Có một phiên chỉ dẫn chính thức là quan trọng để hiểu về sự cố, những gì mong
muốn hay không mong muốn trong quá trình điều tra, và nhắc nhở đối với các chứng cứ giả mạo hoặc
sửa đổi. Chỉ dẫn nên đủ để các thành viên có sự chuẩn bị tốt hoàn thành vai trò và trách nhiệm của họ,
đảm bảo trích xuất được các bằng chứng số tiềm năng phù hợp.
6.7.2 Bằng chứng số cụ thể
Một phiên chỉ dẫn tập trung hướng dẫn rõ ràng vào các bằng chứng số cụ thể là cần thiết để thông báo
cho các DEFR về chi tiết liên quan đến cuộc điều tra. Trong suốt phiên chỉ dẫn, DEFR và DES nên
được cung cấp thông tin có liên quan và các chỉ dẫn chi tiết về bằng chứng số tiềm năng cần được tập
hợp hoặc thu nhận. Các thông tin và chỉ dẫn này có thể bao gồm:
- Loại sự cố (nếu biết);
- Thời gian xảy ra sự cố (nếu biết);
- Kế hoạch điều tra (tập hợp và/hoặc thu nhận, hoạt động mạng đã biết, yêu cầu dữ liệu dễ biến đổi
đã biết...);
- Xem xét bằng chứng số tiềm năng được lưu trữ/vận chuyển ở đâu và như thế nào sau khi tập hợp
hoặc thu thận;
- Các công cụ cụ thể cần thiết để thu nhận các bằng chứng số tiềm năng;
- Các bằng chứng số tiềm năng liên quan đến loại điều tra cụ thể;
- Thiết bị và tài liệu hướng dẫn sử dụng có liên quan của các thiết bị kỹ thuật số;
22
TCVN XXXX:XXXX
- Nhắc nhở thành viên trong nhóm tắt các tính năng kết nối (Bluetooth, Wi-Fi, Hotspot) trên điện
thoại/máy tính của họ để họ không vô tình tương tác với các thiết bị kỹ thuật số, trừ điện thoại/máy
tính được sử dụng để phát hiện các kết nối;
- Tầm quan trọng của việc lập tài liệu trong suốt cuộc điều tra; và
- Quy định pháp luật hoặc các yếu tố khác có thể không cho phép tập hợp bất kỳ thiết bị hoặc bằng
chứng số tiềm năng;
Phiên chỉ dẫn cụ thể này có thể là một phần của phiên chỉ dẫn tổng quát được mô tả tại 6.7.1.
6.7.3 Nhân sự cụ thể
Một phiên chỉ dẫn tập trung hướng dẫn rõ ràng vào nhân sự cụ thể là cần thiết để thông báo các DEFR
về các khía cạnh liên quan đến các bên liên quan trong việc điều tra. Trong phiên chỉ dẫn, nhóm điều
tra sẽ được cung cấp các chỉ dẫn liên quan đến nhân sự. Các chỉ dẫn này có thể bao gồm:
- Sự phân công, vai trò trách nhiệm của đội điều tra tại hiện trường sự cố;
- Các cơ quan khác (nhân viên ý tế, nhà điều tra pháp y...) được dự kiến tham gia vào cuộc điều tra;
- Yêu cầu các thành viên trong nhóm không chấp nhận hỗ trợ kỹ thuật từ bất kỳ cá nhân trái phép;
- Yêu cầu các thành viên trong nhóm thực hiện theo các thủ tục chặt chẽ để giảm thiểu nguy cơ sửa
đổi bằng chứng số tiềm năng, chẳng hạn như tránh sử dụng bất kỳ công cụ hoặc vật liệu có thể
tạo ra hoặc phát ra tĩnh điện hoặc từ trường do các công cụ này có thể gây thiệt hại hoặc phá hủy
bằng chứng số tiềm năng.
Phiên chỉ dẫn cụ thể này có thể là một phần của phiên hướng dẫn tổng quát được mô tả tại 6.7.1
6.7.4 Thời gian thực xảy ra sự cố
Sẽ rất tốt nếu cuộc điều tra về một sự cố được lên kế hoạch trước, nhưng có những trường hợp (ví dụ
khi một sự cố đang phát triển và đang được ứng cứu trong thời gian thực) khi đó các kế hoạch có thể
không khả thi. Trong tình huống đó, đội điều tra nên được chỉ dẫn về chiến lược và chiến thuật ban đầu
cho cuộc điều tra và cho phép phát triển các chiến lược, chiến thuật mới để đáp ứng với điều kiện hiện
hành. Thông tin về sự cố, khi nó phát triển, cần được chia sẻ trong nhóm càng nhanh càng tốt để đảm
bảo rằng các quyết định hành động được đưa ra một cách hiệu quả và thích hợp cho sự biện minh.
6.7.5 Thông tin chỉ dẫn khác
Ngoài bằng chứng số và nhân sự, các thông tin quan trọng cần chỉ dẫn cho các nhóm điều tra bao
gồm:
- Chỉ định khu vực điều tra, bao gồm cả tên của tổ chức, địa chỉ và bản đồ vị trí (nếu có);
- Lệnh điều tra;
- Chi tiết về các lệnh tìm kiếm và trao quyền khác áp dụng đối với việc điều tra, bao gồm các giới
hạn tìm kiếm và thu giữ;
TCVN XXXX:XXXX
- Khía cạnh pháp lý và ý nghĩa;
- Khung thời gian điều tra;
- Thiết bị cần phải đưa đến hiện trường sự cố để điều tra;
- Thông tin hậu cần; và
- Xung đột về lợi ích tiềm năng.
DEFR nên tránh các tình huống mà có thể tạo ra các tố cáo. Một ví dụ là khi một DEFR sao chép một
máy tính mà không phải là máy tính khác (máy tính mà sau này chứa các bằng chứng bào chữa) dựa
trên một nhận thức được hình thành bởi các chỉ dẫn.
6.8 Ưu tiên việc tập hợp và thu nhận
Để ưu tiên cho việc tập hợp hoặc thu nhận bằng chứng số tiềm năng, DEFR bắt buộc phải hiểu lý do
của việc tập hợp và thu nhận bằng chứng số tiềm năng. Theo nguyên tắc chung, DEFR nên cố gắng
làm tăng số lượng dữ liệu được bảo quản bằng các hành động tập hợp và thu nhận. Tuy nhiên, có thể
cần phải ưu tiên cho các hạng mục theo tính biến đổi và/hoặc giá trị bằng chứng tiềm năng/có liên
quan. Các hạng mục có giá trị bằng chứng tiềm năng/có liên quan cao hầu hết chứa dữ liệu có liên
quan trực tiếp đến sự cố đang điều tra.
Quá trình ưu tiên theo tính biến đổi chỉ được áp dụng nếu như các tình huống cụ thể của vụ án đang
điều tra yêu cầu. Bằng chứng số tiềm năng có thể chia thành 2 loại: dễ biến đổi và không biến đổi. Dữ
liệu dễ biến đổi có thể dễ dàng bị phá hủy hoặc mất nếu như không áp dụng bảo vệ dữ liệu. Ví dụ, tháo
bỏ nguồn cung cấp từ thiết bị số có thể dẫn đến mất mát dữ liệu. Dữ liệu không biến đổi vẫn còn trên
các phương tiện ngay cả khi đã loại bỏ nguồn cung cấp. Do một số loại bằng chứng có thời gian sống
ngắn, bằng chứng số tiềm năng có thể dễ dàng bị giả mạo hoặc làm hỏng. Khi không rõ ràng về việc
thiết bị số có chứa bằng chứng số tiềm năng hay không, hoặc các hạng mục nào có liên quan nhiều
hơn so với hạng mục khác, có thể cần phải giám định chúng trước khi tập hợp bằng cách sử dụng một
quá trình quyết định mức ưu tiên. Các thiết bị kỹ thuật số được xem xét để tập hợp bao gồm, nhưng
không hạn chế: các thiết bị IT, phương tiện lưu trữ số, các hệ thống CCTV, các PED, các hệ thống tự
động, các hệ thống điều khiển và các thiết bị điện tử ứng biến. Cần thu nhận các bằng chứng số tiềm
năng dễ biến đổi nhất như RAM, phân vùng tạm (swap), các tiến trình đang chạy.. DEFR nên có một
kiến thức tốt để xác định mức ưu tiên theo tính biến đổi.
Sau khi xác định, DEFR nên:
- Ưu tiên các bằng chứng số có thể bị mất vĩnh viễn khi tháo bỏ nguồn điện;
- Hành động nhanh chóng để tập hợp và thu nhận các dữ liệu với các phương pháp được xác nhận;
CHÚ THÍCH: 1 Một vài dữ liệu dễ biến đổi có thể thay đổi do các yếu tố bao gồm, nhưng không giới hạn về, địa điểm, thời
gian và thay đổi các thiết bị kỹ thuật số xung quanh – cần đảm bảo những dữ liệu này được bảo quản trước khi di chuyển
thiết bị.
24
TCVN XXXX:XXXX
CHÚ THÍCH: 2 Các thiết bị số có chứa các bằng chứng số tiềm năng có thể là một nguồn của bằng chứng vật lý (ví dụ như
dấu vân tay, DNA,...). Các DEFR nên quan tâm không để hư hỏng những bằng chứng này và phối hợp với người tập hợp
bằng chứng có liên quan trước khi tiếp tục các hoạt động tiếp theo.
CHÚ THÍCH 3: Khi nghi ngờ các nội dung mã hóa hoặc phần mềm độc hại, cần xem xét các dữ liệu dễ biến đổi.
Trong những tình huống này, thời gian có thể là một yếu tố hạn chế trong suốt cuộc điều tra. Trong
những trường hợp này, sự ưu tiên nên được trao cho bằng chứng số tiềm năng được xác định là có
liên quan đến sự cố cụ thể.
6.9 Bảo quản bằng chứng số tiềm năng
6.9.1 Tổng quan
Trong bảo quản bằng chứng số tiềm năng đã thu nhận và các thiết bị số đã tập hợp trong quá trình
đóng gói, việc bảo đảm an toàn cho các hạng mục đã thu nhận theo cách loại trừ sự hủy hoại hoặc giả
mạo là rất quan trọng. Sự hủy hoại có thể là kết quả của suy giảm từ, suy giảm điện, nhiệt, phơi nhiễm
độ ẩm cao hoặc thấp, cũng như sốc hoặc chấn động. Sự giả mạo có thể kết quả của một hành động cố
ý làm thay đổi các bằng chứng số tiềm năng.
Do đó việc bảo vệ bằng chứng số tiềm năng một cách tốt nhất có thể là cực kỳ quan trọng, và việc sử
dụng dữ liệu nguyên bản càng ít càng tốt. Một điều rất quan trọng là DEFR phải thuần thuộc với các
yêu cầu đóng gói cụ thể theo các pháp lý có liên quan.
6.9.2 Bảo quản bằng chứng số tiềm năng
Tất cả các thiết bị số được sao chép và các bằng chứng số tiềm năng đã thu nhận nên được bảo vệ tốt
nhất có thể để tránh bị mất, giả mạo hoặc sửa đổi. Hành động quan trọng nhất trong quá trình bảo
quản là duy trì tính toàn vẹn và tính xác thực của bằng chứng số tiềm năng và chuỗi giám sát bằng
chứng.
Các thiết bị kỹ thuật số đã tập hợp và các bằng chứng số tiềm năng đã thu nhận nên được lưu trữ
trong một cơ sở bảo quản bằng chứng có áp dụng các kiểm soát an ninh vật lý như các hệ thống kiểm
soát truy cập, hệ thống giám sát hoặc các hệ thống phát hiện xâm nhập hoặc môi trường kiểm soát
khác cho việc bảo quản bằng chứng số. Mục đích chính của an ninh vật lý là bảo vệ và ngăn ngừa tổn
thất, thiệt hại và giả mạo, cũng như cho phép thực hiện hoạt động đánh giá.
Các thiết bị kỹ thuật số được tập hợp nên được bao bọc hoặc đặt trong các gói thích hợp với bản chất
của thiết bị để tránh hỏng hóc thiết bị kỹ thuật số trước khi vận chuyển đến các nơi khác. Việc bao gói
chống sốc có thể được sử dụng để tránh tổn hại vật lý cho các thành phần của thiết bị.
- DEFR nên cân nhắc tính nhạy cảm của các thiết bị số đối với tĩnh điện. Nếu có quan ngại, các thiết
bị phải được bảo đảm an toàn trong một túi chống tĩnh điện;
- Các khối thiết bị hệ thống chính và các máy tính xách tay nên bảo đảm an toàn trong thùng đựng
thích hợp để tránh sự giả mạo hoặc hư hỏng của bằng chứng số tiềm năng có thể đặt trong đó.
TCVN XXXX:XXXX
CHÚ THÍCH Sử dụng túi Faraday hoặc bao gói che chắn tần số vô tuyến có thể làm tăng sự cạn kiệt pin máy điện thoại di
động. Việc này có thể yêu cầu cấp nguồn bổ trợ cho thiết bị nằm trong túi, nếu nguồn lực cho phép.
6.9.3 Đóng gói thiết bị kỹ thuật số và bằng chứng số tiềm năng
6.9.3.1 Hành động cơ bản: Đóng gói của bằng chứng số tiềm năng
Các hành động cơ bản nên được thực hiện trừ khi có lý do chính đáng cho việc không thực hiện. Các
hành động này cũng được xem là các hành động tối thiểu phải thực hiện. Khi đóng gói, DEFR nên lưu
ý và thực hiện các hành động cơ bản sau đây:
- Không được chạm vào băng từ mà phải nhấc băng từ lên bằng vỏ bảo vệ của chúng hoặc tại các
khu vực được biết không chứa dữ liệu (ví dụ như cạnh của ổ đĩa quang học). Điều này chỉ được
làm khi DEFR đeo găng tay không có sợi tơ.
CHÚ THÍCH Các khu vực cụ thể của phương tiện lưu trữ được biết không chứa dữ liệu phụ thuộc vào các loại phương tiện
lưu trữ. Trách nhiệm của DEFR là phải biết công nghệ hiện tại và quen thuộc với việc xử lý phương tiện lưu trữ.
- Để đảm bảo định danh chính xác, DEFR nên ghi nhãn tất cả các bằng chứng số tiềm năng. Một
vài cơ quan pháp luật có yêu cầu cụ thể liên quan đến khuôn dạng ghi nhãn vật liệu bằng chứng.
DEFR nên quen thuộc và tuân thủ các yêu cầu áp dụng trong vấn đề thực tế. DEFR nên ghi nhãn
tất cả bằng chứng số tiềm năng, các thiết bị số được thu nhận và các bộ phận phần cứng có liên
kết bằng các nhãn chống làm giả. Nhãn không nên đặt trực tiếp trên các bộ phận cơ khí của thiết
bị kỹ thuật số và không nên bao phủ hoặc che đậy thông tin định danh quan trọng. Tất cả các bằng
chứng số tiềm năng trong các thiết bị đã tập hợp nên được thu nhận và lưu trữ theo cách đảm bảo
tính toàn vẹn của bằng chứng.
- Khi có thể, các thết bị số có các thành phần mở ra và dịch chuyển nên được niêm phong với nhãn
chống làm giả thích hợp với thiết bị và DEFR nên ký lên niêm phong.
- Thiết bị kèm pin gắn có dữ liệu dễ bị biến đổi nên được kiểm tra thường xuyên đảm bảo luôn có đủ
nguồn điện cung cấp.
- Xác định và bảo vệ các thiết bị kỹ thuật số chống lại các mối đe dọa tiềm năng trong một hộp chứa
phù hợp với bản chất thiết bị.
- Máy vi tính và các thiết bị kỹ thuật số nên được đóng gói theo cách ngăn chặn thiệt hại khi bị sốc,
rung động, nhiệt, tiếp xúc với tần số vô tuyến trong quá trình vận chuyển.
- Băng từ nên được lưu trữ trong các gói trơ về từ tính, chống tĩnh điện và không có hạt.
- Thiết bị kỹ thuật số cũng có thể chứa bằng chứng tiềm tàng, dấu vết hoặc bằng chứng sinh học.
Do vậy, các hành động thích hợp cần phải được thực hiện để bảo quản các bằng chứng số. Sao
chép bằng chứng số nên được thực hiện sau khi quá trình tập hợp bằng chứng tiềm tàng, dấu vết,
hoặc bằng chứng sinh học được thực hiện trên các thiết bị. Tuy nhiên quyết định ưu tiên tập hợp
bằng chứng nên được đánh giá kỹ càng để bảo quản bằng chứng này.
6.9.3.2 Hành động bổ sung: Đóng gói của bằng chứng số tiềm năng
26
TCVN XXXX:XXXX
Các hành động bổ sung được coi là hành động rất được khuyến nghị thực hiện. Trong khi đóng gói,
DEFR nên lưu ý các hành động bổ sung sau đây:
- Đeo găng tay không có sợi tơ và đảm bảo tay sạch và khô;
- Bảo vệ các thiết bị số khỏi ảnh hưởng của các nguồn điện từ (các thiết bị đàm thoại của cảnh sát,
các bộ loa, các máy quét X-ray). Môi trường đóng gói nên là nơi tĩnh điện;
- Môi trường đóng gói nên là nơi không có bụi, dầu mỡ và các chất ô nhiễm thúc đẩy oxy hóa và
ngưng tụ hơi ẩm;
- Giảm thiểu khả năng in xuyên qua (chuyển tín hiệu từ một vòng lặp của băng vào vòng lặp liền kề)
xảy ra khi băng được lưu trong thời gian dài mà không sử dụng, kết quả là tín hiệu chất lượng
kém;
- Trường hợp cần thiết, khu vực đóng gói nên là nơi không có tia UV. Tia UV có thể gây ra suy thoái
DNA hoặc phá hỏng một số loại phương tiện lưu trữ. DEFR nên xem xét liệu tia UV có gây ra rủi ro
cho bằng chứng số tiềm năng hay không trước khi chọn khu vực đóng gói.
- Các thiết bị số nên được bảo vệ rất kỹ khỏi sốc nhiệt.
6.9.4 Vận chuyển bằng chứng số tiềm năng
DEFR nên bảo quản các thiết bị kỹ thuật số đã tập hợp và các bằng chứng số tiềm năng đã thu nhận
trong quá trình vận chuyển. Các bằng chứng số tiềm năng không nên bị bỏ mặc trong quá trình vận
chuyển. DEFR nên duy trì chuỗi giám sát trong suốt quá trình vận chuyển để ngăn ngừa giả mạo hoặc
sửa đổi, và duy trì tính toàn vẹn và tính xác thực của các thiết bị kỹ thuật số và bằng chứng số tiềm
năng. Khuyến nghị sử dụng mã hóa nếu các bằng chứng số tiềm năng không được vận chuyển bởi
DEFR hoặc DES.
CHÚ THÍCH: DEFR nên đảm bảo rằng việc tập hợp thông tin nhạy cảm hoặc thông tin cá nhân cần tuân theo quy định của
pháp luật và các quy định về bảo vệ dữ liệu.
Trong khi đóng gói và vận chuyển, DEFR cần phải ý thức được sự hiện diện của phóng tĩnh điện có
thể phá hủy giá trị của các bằng chứng số tiềm năng. DEFR nên đảm bảo rằng các máy tính và các
thiết bị số được đóng gói một cách an toàn trong quá trình vận chuyển để ngăn chặn hư hỏng từ việc
sốc và rung động.
Quá trình vận chuyển nên chú ý đến môi trường thuận lợi và được kiểm soát. Mức độ hơi ẩm, độ ẩm
và nhiệt độ nên phù hợp cho các thiết bị số. Tránh giữ các bằng chứng số tiềm năng và các thiết bị số
trong các phương tiện vận chuyển trong thời gian kéo dài và tránh chúng khỏi sự hiện diện của tia UV.
Trong một số cơ quan pháp luật khi hoàn cảnh không cho phép, DEFR không thể đi cùng bằng chứng.
Trong trường hợp này, các cơ chế vận chuyển thích hợp và được ủy quyền có thể được sử dụng để
bảo đảm an ninh thích hợp của các bằng chứng trong quá trình vận chuyển. Tài liệu vận chuyển và xác
nhận tính toàn vẹn của bao gói là một phần của chuỗi giám sát bằng chứng.
TCVN XXXX:XXXX
7 Ví dụ về xác định, tập hợp, thu nhận và bảo quản
7.1 Máy tính, thiết bị ngoại vi và phương tiện lưu trữ số
7.1.1 Xác định
7.1.1.1 Tìm kiếm hiện trường sự cố vật lý và lập tài liệu
Trong bối cảnh của phần này, các máy tính được coi như những thiết bị số độc lập có thể nhận, xử lý,
lưu trữ dữ liệu và đưa ra kết quả. Những thiết bị máy tính này không được kết nối mạng nhưng có thể
được kết nối tới các thiết bị ngoại vi như máy in, máy scan, webcam, máy nghe nhạc MP3, hệ thống
GPS, các thiết bị RFID và các thiết bị tương tự. Một thiết bị kỹ thuật số có giao diện mạng, nhưng
không được kết nối tại thời điểm tập hợp hoặc thu nhận có thể được xem như (đối với các mục đích
của tiêu chuẩn này) là một máy tính độc lập. Khi máy tính có giao diện mạng nhưng không tìm thấy kết
nối rõ ràng, các hành động cần được thực hiện để xác định các thiết bị nào đã từng kết nối tới thiết bị
đó trong quá khứ.
Thông thường hiện trường sự cố sẽ chứa ngẫu nhiên nhiều loại phương tiện lưu trữ số. Phương tiện
lưu trữ số được sử dụng để lưu trữ dữ liệu từ các thiết bị kỹ thuật số và chúng khác nhau về dung
lượng bộ nhớ. Ví dụ về các phương tiện lưu trữ số bao gồm, nhưng không giới hạn tới các ổ đĩa cứng
di động cắm ngoài, ổ đĩa flash, đĩa CD , DVD, đĩa Blu-ray, đĩa mềm, băng từ và thẻ nhớ.
Trước khi thực hiện bất kỳ hành động thu nhận hoặc tập hợp nào, vấn đề an toàn của các bằng chứng
số tiềm năng cần phải được xem xét. Những khía cạnh này được mô tả tại 6.2.1 và 6.2.2. Tuy nhiên,
DEFR nên quan tâm đảm bảo rằng một thiết bị dường như là độc lập thì chưa từng được kết nối với
mạng. Nếu có nghi ngờ rằng một thiết bị dường như là độc lập đã được ngắt kết nối, cần xem xét để
xử lý nó như một thiết bị nối mạng để đảm bảo rằng các thành phần khác của mạng được xử lý một
cách chính xác. DEFR nên lưu ý và giải quyết tối thiểu những điều sau:
- DEFR nên ghi chép về loại và nhãn hiệu của bất kỳ thiết bị kỹ thuật số nào được sử dụng và xác
định tất cả các máy tính và thiết bị ngoại vi có thể cần được thu nhận hoặc tập hợp trong giai đoạn
ban đầu này. Số seri, số giấy phép và các dấu hiệu nhận dạng khác (bao gồm cả thiệt hại vật lý)
nên được ghi chép bất cứ nơi nào có thể.
- Tại giai đoạn xác định, trạng thái của các máy tính và thiết bị ngoại vi cần phải được duy trì nguyên
trạng. Nếu các máy tính hoặc thiết bị ngoại vi đã được tắt nguồn thì không được bật chúng. Nếu
các máy tính hoặc thiết bị ngoại vi đang được bật nguồn, DEFR không được tắt chúng đi nếu
không có thể làm hỏng các bằng chứng số tiềm năng.
- Nếu các máy tính đang được bật nguồn, DEFR nên chụp ảnh hoặc ghi chép lại những gì đang
hiển thị trên màn hình. Tài liệu được ghi chép nên có sự mô tả về những gì đang thấy thực tế (như
các vị trí cửa sổ, tiêu đề và nội dung).
- Một thiết bị có pin có thể chạy hết nguồn cần được sạc pin để đảm bảo thông tin không bị mất.
DEFR cần xác định và tập hợp các bộ sạc pin tiềm năng và cáp điện trong giai đoạn này.
28
TCVN XXXX:XXXX
- DEFR cũng nên có thể sử dụng một máy dò tín hiệu không dây để phát hiện và xác định các tín
hiệu không dây từ các thiết bị không dây có thể bị ẩn đi. Có thể có trường hợp không sử dụng máy
dò tín hiệu không dây do hạn chế về chi phí và thời gian và DEFR nên ghi chép lại điều này. Nếu
tìm thấy thiết bị, DEFR nên tiếp tục với quá trình xử lý bằng chứng như mô tả theo 7.2.2.2 của tiêu
chuẩn này. Trường hợp sử dụng quét chủ động (tức là phát quảng bá và / hoặc thăm dò) cho các
thiết bị mạng, các thiết bị quét nên được tắt cho đến khi có quyết định đánh giá khả năng thiết bị
có thể tương tác với các thiết bị khác tại hiện trường. Các thành viên nên nhớ rằng các thiết bị
nhất định tại hiện trường có thể phát hiện sự hiện diện của các thiết bị quét chủ động và việc sử
dụng quét chủ động có thể kích hoạt các hành động có thể làm hỏng bằng chứng số tiềm năng, và
có thể, trong các hoàn cảnh khắc nghiệt dẫn, đến việc kích hoạt bẫy che dấu.
CHÚ THÍCH 1: Ở một số cơ quan pháp luật, có thể được phép bật nguồn các thiết bị kỹ thuật số tại một hiện trường để xác
định sự liên quan của chúng đến cuộc điều tra nếu có nhiều thiết bị kỹ thuật số hiện diện. Điều này thực hiện trong việc cân
nhắc thời gian xử lý và chi phí có thể phát sinh nếu thu nhận được thiết bị kỹ thuật số không có liên quan. Nếu một thiết bị
được bật nguồn để đánh giá tại hiện trường, DEFR nên đảm bảo rằng các ghi chú kỹ lưỡng về các hành động đã thực hiện
được duy trì trong suốt quá trình.
CHÚ THÍCH 2: Trong việc bảo quản trạng thái nguồn của các thiết bị kỹ thuật số, cần xem xét kết quả quá trình phân tích liên
quan tới dữ liệu dễ biến đổi. Nếu đã quyết định rằng hầu hết các thông tin quan trọng là thông tin không dễ biến đổi trên đĩa
thì có thể chụp hình màn hình điều khiển và rút điện của hệ thống đang chạy. Nếu thấy có thông tin biến đổi trong bộ nhớ thì
việc quan trọng là giữ cho hệ thống bật nguồn và thực hiện thu nhận..
7.1.1.2 Tập hợp bằng chứng phi kỹ thuật số
DEFR nên xem xét việc tập hợp bằng chứng phi kỹ thuật số. Để làm được điều này trưởng nhóm nên
xác định các cá nhân chịu trách nhiệm cho các phương tiện tại hiện trường. Cá nhân này có thể cung
cấp thêm thông tin và tài liệu như mật khẩu cho các thiết bị kỹ thuật số và các chi tiết khác có liên
quan. DEFR cần phải ghi vào tài liệu tên và chữ ký của cá nhân này.
DEFR cũng có thể cần tập hợp một số bằng chứng bằng cách hỏi các cá nhân, những người có thể có
những thông tin hữu ích hoặc có liên quan về các bằng chứng số tiềm năng hoặc các thiết bị kỹ thuật
số được tập hợp. Bất kỳ câu trả lời nào cũng phải được ghi chép chính xác. Những cá nhân này có thể
bao gồm quản trị hệ thống, chủ sở hữu của thiết bị và người sử dụng máy tính và các thiết bị ngoại vi.
Trong thời gian tập hợp chứng cứ bằng lời nói này, DEFR có thể yêu cầu thông tin như các cấu hình
hệ thống và mật khẩu cho tài khoản quản trị. Thông tin bổ sung này có thể hữu ích trong giai đoạn
phân tích các bằng chứng số tiềm năng. Những cuộc hội thoại nên được ghi chép để đảm bảo rằng
các chi tiết là chính xác và các lời phát biểu đã được ghi vào tài liệu không thể bị thay đổi. DEFR cần
phải quen thuộc với các yêu cầu pháp lý có liên quan tới việc tập hợp bằng chứng phi kỹ thuật số.
7.1.1.3 Quá trình ra quyết định cho việc tập hợp hoặc thu nhận
Trong quyết định tập hợp một thiết bị kỹ thuật số hoặc thu nhận bằng chứng số tiềm năng, một số yếu
tố cần được xem xét bao gồm nhưng không giới hạn trong những điều sau:
- Biến đổi của các bằng chứng số tiềm năng đã được đề cập tại 5.4.2 và 6.8,
TCVN XXXX:XXXX
- Việc sử dụng mã hóa toàn bộ đĩa hoặc mã hóa dung lượng mà các mật khẩu hoặc khóa có thể
được lưu trú dưới dạng dữ liệu dễ biến đổi trong RAM, trên thẻ gắn ngoài, thẻ thông minh, thiết bị
hoặc phương tiện lưu trữ khác,
- Tính quan trọng của hệ thống đã được đề cập tại 5.4.4, 7.2.1.2 và 7.1.3.4,
- Yêu cầu pháp lý của cơ quan pháp luật, và
- Các tài nguyên, như kích thước lưu trữ được yêu cầu, sự sẵn sàng của nhân viên, các hạn chế về
thời gian.
Hình 1 minh họa tổng quan về quá trình ra quyết định thực hiện tập hợp hoặc sao chép.
Hình 1 - Hướng dẫn ra quyết định thực hiện tập hợp hoặc thu nhận các bằng chứng số tiềm năng
7.1.2 Tập hợp
7.1.2.1 Thiết bị kỹ thuật số bật nguồn7.1.2.1.1 Tổng quanDEFR có thể làm theo một số hướng dẫn tập hợp khi các thiết bị kỹ thuật số được bật nguồn. Không
phải tất cả các hướng dẫn đều lý tưởng và phù hợp cho bất kỳ trường hợp nào, một số hướng dẫn chỉ
thích hợp với các trường hợp cụ thể. Do đó, các hướng dẫn có thể được phân loại là hướng dẫn cơ
bản hoặc bổ sung. Các hành động cơ bản nên được áp dụng trong mọi tình huống, trong khi các hành
động bổ sung nên được áp dụng khi thích hợp và có thể áp dụng, tùy thuộc thiết bị và tình huống cụ
30
TCVN XXXX:XXXX
thể. Hình 2 minh họa hành động cơ bản và hành động bổ sung có thể áp dụng cho việc tập hợp thiết bị
kỹ thuật số bật nguồn.
Hình 2 - Hướng dẫn tập hợp thiết bị kỹ thuật số bật nguồn
Trách nhiệm của DEFR là phải hiểu biết công nghệ hiện tại và quen thuộc với các hướng dẫn xử lý
phương tiện lưu trữ.
7.1.2.1.2 Các hành động cơ bản: Tập hợp thiết bị kỹ thuật số bật nguồn
Các hành động cơ bản sau đây được DEFR tuân theo trong tất cả các trường hợp liên quan đến bằng
chứng số tiềm năng. Những hướng dẫn này áp dụng khi DEFR đã quyết định rằng một thiết bị kỹ thuật
số bật nguồn nên được tập hợp:
- Xem xét việc thu nhận các dữ liệu dễ biến đổi của các thiết bị kỹ thuật số và trạng thái hiện tại
trước khi ngắt điện hệ thống. Các khóa mã mật mã và dữ liệu quan trọng khác có thể lưu trú trong
bộ nhớ hoạt động, hoặc trong bộ nhớ không hoạt động mà chưa được làm rõ. Hãy xem xét thu
nhận logic khi mã hóa bị nghi ngờ. Trong trường hợp này, hãy nhớ rằng hệ điều hành máy chủ
đang chạy có thể không đáng tin cậy, do đó xem xét sử dụng các công cụ đáng tin cậy và được
xác nhận là phù hợp
- Cấu hình của thiết bị kỹ thuật số có thể quyết định liệu DEFR cần phải tắt thiết bị thông qua các thủ
tục quản trị thông thường, hay rút phích cắm của thiết bị khỏi ổ cắm. DEFR có thể cần phải tham
khảo ý kiến một DES để xác định phương pháp tốt nhất cho hoàn cảnh cụ thể đó. Nếu quyết định
TCVN XXXX:XXXX
đưa ra là rút phích cắm, DEFR cần phải loại bỏ các dây cấp nguồn bằng cách đầu tiên là loại bỏ
các đầu gắn với thiết bị kỹ thuật số và không phải là đầu gắn vào ổ cắm. Cần cẩn trọng vì một thiết
bị kết nối với một UPS có thể có dữ liệu bị thay đổi nếu rút dây nguồn cắm vào tường mà không
phải là thiết bị.
CHÚ THÍCH 1: Nếu ngắt điện cho một thiết bị kỹ thuật số đang bật nguồn, bất kỳ bằng chứng số tiềm năng lưu trữ trong bộ
lưu trữ được mã hóa sẽ không thể truy cập, trừ khi thu được các khóa giải mã. Dữ liệu trực tiếp có giá trị tiềm năng cũng có
thể bị mất, dẫn đến thiệt hại hoặc mất mát các giá trị của người dùng, chẳng hạn như dữ liệu của công ty hoặc các thiết bị kỹ
thuật số kiểm soát thiết bị y tế. Do vậy, DEFR nên đảm bảo rằng dữ liệu dễ biến đổi được tập hợp trước khi ngắt nguồn cung
cấp điện.
CHÚ THÍCH 2: Có các thiết bị phần cứng cho phép thiết bị bật nguồn được ngắt khỏi nguồn cung cấp và chuyển sang nối với
UPS di động mà không làm gián đoạn nguồn cấp cho thiết bị. Ngoài ra còn có các mouse-jiggler được sử dụng để ngăn chặn
kích hoạt trạng thái bảo vệ màn hình (screen-saver). Cả hai thiết bị này đều cung cấp các công cụ hữu ích khi làm việc với
một thiết bị bật nguồn có thể kích hoạt mã hóa. Khi tập hợp một thiết bị bật nguồn đòi hỏi nguồn nuôi được duy trì, việc đóng
gói và vận chuyển hệ thống một đang chạy cần phải giải quyết các vấn đề liên quan đến việc cung cấp làm mát, bảo vệ khỏi
sốc cơ học...
- Ghi nhãn, ngắt kết nối và bảo vệ tất cả các cáp từ thiết bị kỹ thuật số và ghi nhãn các cổng sao cho
hệ thống có thể được xây dựng lại ở giai đoạn sau.
- Dán băng niêm phong công tắc nguồn nếu cần thiết để ngăn chặn sự chuyển đổi trạng thái của
công tắc. Xem xét liệu trạng thái của công tắc đã được ghi lại trong tài liệu đúng chưa trước khi
dán niêm phong hoặc di chuyển.
7.1.2.1.3 Các hành động bổ sung: Tập hợp thiết bị kỹ thuật số bật nguồn
Sau đây là các hành động bổ sung có liên quan tùy thuộc vào cấu hình của các thiết bị kỹ thuật số cụ
thể:
- Nếu đây là một máy tính xách tay, cần đảm bảo dữ liệu dễ biến đổi đã được thu nhận trước khi
tháo pin. DEFR đầu tiên nên tháo pin cấp nguồn chính, thay vì nhấn nút nguồn của máy tính xách
tay để tắt nó. DEFR cũng nên lưu ý xem có bộ chuyển đổi nguồn không, và nếu có thì cần rút bỏ
bộ chuyển đổi nguồn sau khi pin được tháo bỏ.
CHÚ THÍCH 1: Hành động của việc nhấn nút nguồn trên một thiết bị kỹ thuật số có thể được cấu hình để khởi tạo một
kịch bản mà có thể thay đổi thông tin hoặc xóa thông tin từ hệ thống trước khi tắt hoặc để cảnh báo hệ thống được kết
nối mà một sự kiện không mong đợi xảy ra do đó chúng có thể xóa dữ liệu có giá trị về chứng cứ trước khi chúng được
xác định. Nó cũng có thể được cấu hình để kích hoạt một thiết bị gây thiệt hại vật lý tới DEFR, và các cá nhân khác có
mặt.
- Đặt niêm phong khe cắm đĩa mềm, nếu có.
- Hãy chắc chắn rằng khay ổ đĩa CD hoặc DVD được thu lại đúng vị trí, lưu ý các khay ổ đĩa này là
trống, chứa đĩa, hoặc không kiểm tra được; và niêm phong ổ đĩa đã được đóng để ngăn chặn nó
lại mở ra.
CHÚ THÍCH: Nếu bỏ sót bất kỳ phương tiện lưu trữ có thể khởi động ở bên trong thì sau đó khi máy được cấp điện nó có thể
khởi động từ thiết bị này thay vì ổ cứng (hoặc ổ đĩa chứa công cụ điều tra số) tùy thuộc vào các thiết lập trong BIOS của máy
tính.
32
TCVN XXXX:XXXX
DEFR nên tiến hành tập hợp bằng chứng phi kỹ thuật số thông qua luật tố tụng để đảm bảo rằng bất kỳ
bằng chứng số nào cũng được thừa nhận.
7.1.2.2 Thiết bị kỹ thuật số tắt nguồn7.1.2.2.1 Tổng quan
Các DEFR có thể làm theo một số hướng dẫn về việc tập hợp thiết bị kỹ thuật số được tắt nguồn.
Không phải tất cả các hành động trong các hướng dẫn này đều có liên quan trong mọi hoàn cảnh. Do
vậy cần phân biệt giữa những hành động áp dụng trong mọi trường hợp (các hành động cơ bản) và
những hành động chỉ có thể áp dụng trong một số trường hợp (các hành động bổ sung). Hình 3 minh
họa các hành động cơ bản và các hành động bổ sung có thể được áp dụng để tập hợp thiết bị kỹ thuật
số tắt nguồn.
Hình 3 - Hướng dẫn tập hợp thiết bị kỹ thuật số tắt nguồn
Trách nhiệm của DEFR là phải hiểu biết kỹ thuật hiện tại và quen thuộc với các hướng dẫn xử lý
phương tiện lưu trữ.
7.1.2.2.2 Các hành động cơ bản: Tập hợp thiết bị kỹ thuật số tắt nguồn
Sau đây là những hành động cơ bản được khuyến cáo cho việc tập hợp khi các thiết bị kỹ thuật số đã
tắt nguồn:
- Tháo các dây cấp nguồn bằng cách đầu tiên là loại bỏ các đầu gắn với thiết bị kỹ thuật số mà
không phải là đầu gắn vào ổ cắm.
TCVN XXXX:XXXX
- Ngắt kết nối và bảo vệ tất cả các cáp từ các thiết bị kỹ thuật số và ghi nhãn các cổng sao cho hệ
thống có thể được tái lắp ghép ở giai đoạn sau.
- Đặt niêm phong công tắc nguồn nếu cần thiết để ngăn chặn công tắc này thay đổi trạng thái. Xem
xét xem liệu trạng thái của công tắc đã được ghi vào tài liệu chính xác chưa trước khi niêm phong
hoặc di chuyển.
CHÚ THÍCH: Trong hầu hết các trường hợp, không được gỡ bỏ phương tiện lưu trữ khỏi các thiết bị kỹ thuật số cho đến khi
nó được thu nhận, do việc gỡ bỏ nó làm tăng nguy cơ gây thiệt hại hoặc gây nhầm lẫn nó với một phương tiện lưu trữ khác.
Thủ tục nội bộ về sự cần thiết để loại bỏ phương tiện lưu trữ từ các thiết bị kỹ thuật số cần được xây dựng và tuân theo.
7.1.2.2.3 Hành động bổ sung: Tập hợp thiết bị kỹ thuật số tắt nguồn
Sau đây là hành động bổ sung có liên quan đến việc tập hợp thiết bị kỹ thuật số đã tắt nguồn, tùy thuộc
vào cấu hình của các thiết bị kỹ thuật số cụ thể:
- Đầu tiên đảm bảo rằng máy tính xách tay đã thực sự được tắt nguồn do một số máy tính có thể ở
chế độ chờ. Hãy nhận biết rằng một số máy tính xách tay có thể đang được bật nguồn bằng cách
mở nắp. Sau đó tiến hành tháo nguồn pin chính khỏi máy tính xách tay.
- Nếu điều kiện hiện trường đòi hỏi các ổ đĩa cứng phải được tháo ra, DEFR nên cẩn thận tiếp đất
cho các thiết bị kỹ thuật số để ngăn chặn tĩnh điện làm hư ổ cứng. Nếu không, các ổ đĩa cứng
không nên được tháo ra tại hiện trường này. Ghi nhãn ổ đĩa cứng nghi ngờ và ghi chép tất cả các
chi tiết như kiểu, tên model, số serial và kích thước của ổ đĩa cứng.
- Đặt niêm phong tại khe cắm đĩa mềm, nếu có.
- Hãy chắc chắn rằng khay ổ CD hoặc DVD được thu lại đúng vị trí, lưu ý các khay ổ đĩa này là
trống, chứa ổ đĩa, hoặc không thể kiểm tra; niêm phong khe cắm ổ đã được đóng để ngăn chặn nó
mở ra.
CHÚ THÍCH: Nếu có bất kỳ phương tiện khởi động nào còn sót lại bên trong thì lần sau khi máy này được cấp điện, nó có thể
khởi động từ phương tiện này thay vì ổ cứng (hoặc ổ đĩa flash chứa công cụ điều tra số) tùy thuộc vào các thiết lập BIOS
trong máy tính.
7.1.3 Thu nhận
7.1.3.1 Các thiết bị kỹ thuật số bật nguồn7.1.3.1.1 Tổng quanBa kịch bản tồn tại trong khi thu nhận có thể cần phải được thực hiện: khi các thiết bị kỹ thuật số được
bật nguồn, khi các thiết bị kỹ thuật số được tắt nguồn và khi các thiết bị kỹ thuật số ở trạng thái bật
nhưng không thể tắt đi (chẳng hạn như các thiết bị kỹ thuật số làm nhiệm vụ quan trọng). Trong tất cả
các tình huống này, DEFR được yêu cầu để tạo một bản sao bằng chứng số chính xác của các thiết bị
lưu trữ được nghi ngờ chứa bằng chứng số tiềm năng.
Nếu như không thể tạo bản sao, có thể thu nhận các bản sao chính xác của các tập tin cụ thể bị nghi
ngờ chứa bằng chứng số tiềm năng. Lý tưởng nhất là cả bản sao chính được xác minh và bản sao làm
việc phải được tạo ra. Bản sao chính có thể không được sử dụng lại trừ khi nó được yêu cầu để xác
34
TCVN XXXX:XXXX
minh nội dung của bản sao làm việc hoặc tạo một bản sao làm việc thay thế bản sao làm việc đầu tiên
đã bị phá hủy.
DEFR có thể làm theo một số hướng dẫn để thu nhận bằng chứng khi các thiết bị kỹ thuật số được
phát hiện là đang bật nguồn. Không phải tất cả các hướng dẫn đều lý tưởng và phù hợp cho tất cả các
trường hợp. Một số hướng dẫn chỉ liên quan đến các trường hợp cụ thể. Do đó, các hướng dẫn có thể
được phân loại thành cơ bản hoặc bổ sung. Cần xem xét khả năng một hệ thống đang bật nguồn có
thể đang ở chế độ bảo vệ màn hình hoặc tự động khóa và sẽ có một tác động tới những nỗ lực thực
hiện để ngăn chặn chúng. Ví dụ, việc sử dụng phần mềm giả lập – mouse-jiggler sẽ yêu cầu một USB
nhập key vào registry và sẽ có các biến động xảy ra khi bất kỳ hành động nào được thực hiện. Sử
dụng phương pháp đáng tin cậy sẽ giảm thiểu các tác động của hành động như vậy. Hình 4 minh họa
các hành động cơ bản và hành động bổ sung áp dụng cho thu nhận bằng chứng từ thiết bị kỹ thuật số
bật nguồn.
Hình 4 - Hướng dẫn thu nhận bằng chứng từ thiết bị kỹ thuật số bật nguồn7.1.3.1.2 Các hành động cơ bản: Thu nhận bằng chứng từ thiết bị kỹ thuật số bật nguồnDưới đây là các hành động cơ bản DEFR cần thực hiện trong tất cả các trường hợp liên quan đến việc
thu nhận bằng chứng số tiềm năng từ các thiết bị kỹ thuật số bật nguồn:
- Đầu tiên, hãy xem xét thu nhậncác bằng chứng số tiềm năng có thể bị mất nếu thiết bị kỹ thuật số
bị tắt nguồn. Đây cũng được biết tới như là dạng dữ liệu dễ biến đổi như dữ liệu được lưu trữ trên
TCVN XXXX:XXXX
bộ nhớ RAM, các tiến trình đang chạy, các kết nối mạng và các thiết lập ngày/thời gian. Trong
những trường hợp cần thu nhận dữ liệu không dễ biến đổi từ các thiết bị đang chạy, nên xem xét
thực hiện thu nhận trên một hệ thống bật nguồn.
- Thực hiện thu nhận trực tiếp là cần thiết để thu nhận dữ liệu trực tiếp từ các thiết bị đang chạy.
Thu nhận trực tiếp dữ liệu dễ biến đổi trong bộ nhớ RAM có thể cho phép khôi phục các thông tin
có giá trị như tình trạng mạng, ứng dụng giải mã và các mật khẩu. Thu nhận trực tiếp có thể được
tiến hành trên giao diện điều khiển hoặc từ xa thông qua mạng. Các quy trình là khác nhau và yêu
cầu việc sử dụng các bộ công cụ khác nhau.
- DEFR không bao giờ nên tin tưởng vào các chương trình trên hệ thống. Vì lý do này, các công cụ
đáng tin cậy thu được bởi DEFR (các mã nhị phân tĩnh) được khuyến cáo bất cứ khi nào có thể.
DEFR nên có năng lực sử dụng các công cụ được xác nhận và có khả năng đánh giá ảnh hưởng
của các công cụ này trên hệ thống (ví dụ như sự dịch chuyển của các bằng chứng số tiềm năng,
nội dung của bộ nhớ được sao chép lại khi phần mềm được tải...). Tất cả các hành động đã thực
hiện và các kết quả thay đổi đối với bằng chứng số tiềm năng cần được lập tài liệu và hiểu rõ. Nếu
không thể xác định ảnh hưởng của các công cụ đối với hệ thống hoặc không thể quyết định chắc
chắn kết quả thay đổi thì tất cả các điều này cũng nên được ghi chép lại.
- Khi thu nhận dữ liệu dễ biến đổi DEFR nên chấp nhận sử dụng một bộ chứa tập tin logic những khi
có thể và ghi vào tài liệu giá trị băm của nó những khi nó chứa (các) tập tin dữ liệu dễ biến đổi. Khi
trường hợp này là không thể, một bộ chứa giống như một tập tin ZIP nên được sử dụng và sau đó
tập tin này nên được băm và giá trị được ghi lại. Các bộ chứa tệp tin kết quả nên được lưu trữ trên
một phương tiện lưu trữ số đã được chuẩn bị cho mục đích này, ví dụ như đã được định dạng.
- Thực hiện quá trình tạo bản sao của bộ lưu trữ dữ liệu không dễ biến đổi trực tiếp sử dụng một
công cụ tạo bản sao đã xác nhận hợp lệ. Bản sao kết quả bằng chứng số nên được lưu trữ trên
một phương tiện lưu trữ số đã được chuẩn bị cho mục đích này. Trong khi ưu tiên sử dụng một
phương tiện lưu trữ số mới, việc sử dụng các bản sao bằng chứng số từ các quá trình đã được
xác nhận sẽ đảm bảo tính toàn vẹn của dữ liệu khi được tái tạo lại. Vì vậy, một phương tiện lưu trữ
số đã được vệ sinh là đủ đáp ứng. Nếu bản sao phải được lưu trữ trong một bộ chứa tập tin logic,
DEFR nên đảm bảo rằng bản sao không thể bị hỏng hoặc bị phá hủy.
CHÚ THÍCH: Trong các tình huống mà thiết bị bị khóa cứng, truy cập vật lý có thể được tiến hành thông qua các phương tiện
khác được kích hoạt việc quyền truy cập trực tiếp vào bộ nhớ, ví dụ giao diện Firewire.
7.1.3.1.3 Các hành động bổ sung: Thu nhận bằng chứng từ thiết bị kỹ thuật số bật nguồnSau đây là các hành động bổ sung có liên quan đến việc thu nhận bằng chứng từ thiết bị kỹ thuật số tắt
nguồn, tùy thuộc vào cấu hình của các thiết bị kỹ thuật số cụ thể:
- Xem xét thu nhận dữ liệu dễ biến đổi trong RAM khi việc sử dụng mã hóa bị nghi ngờ. Đầu tiên
kiểm tra xem có phải trường hợp này hay không bằng cách kiểm tra các đĩa thô hoặc sử dụng một
số tiện ích phát hiện mã hóa. Nếu đúng là trường hợp này, hãy lưu ý rằng máy chủ trực tiếp điều
36
TCVN XXXX:XXXX
hành hệ thống có thể không đáng tin cậy và xem xét việc sử dụng các công cụ đáng tin cậy và đã
được xác nhận phù hợp.
- Sử dụng một nguồn thời gian đáng tin cậy và lập tài liệu thời gian thực hiện của từng hành động.
- Có thể thích hợp để kết hợp DEFR với các bằng chứng số tiềm năng đã thu nhận, sử dụng chữ ký
số, sinh trắc học và ghi hình.
CHÚ THÍCH: Hành động nhấn nút nguồn trên một thiết bị kỹ thuật số có thể được cấu hình để khởi động một đoạn mã (script)
mà có thể thay đổi thông tin và/hoặc xóa thông tin của hệ thống trước khi tắt hoặc để cảnh báo các hệ thống có kết nối đến
rằng một sự kiện không mong muốn đã xảy ra do đó chúng có thể xóa dữ liệu bằng chứng có giá trị trước khi chúng được xác
định. Nó cũng có thể được cấu hình để kích hoạt một thiết bị nhằm gây thiệt hại vật lý cho DEFR và các cá nhân khác có mặt.
7.1.3.2 Thiết bị kỹ thuật số tắt nguồn7.1.3.2.1 Tổng quanSẽ dễ dàng hơn trong xử lý một thiết bị kỹ thuật số tắt nguồn so với một thiết bị kỹ thuật số đang bật
nguồn vì không cần thu nhận các dữ liệu dễ biến đổi. Hình 5 minh họa các hành động có thể áp dụng
để thu nhận bằng chứng từ thiết bị kỹ thuật số tắt nguồn.
Hình 5 - Hướng dẫn thu nhận bằng chứng từ các thiết bị kỹ thuật số tắt nguồn
7.1.3.2.2 Thu nhận bằng chứng từ các thiết bị kỹ thuật số bị tắt nguồnSau đây là các hành động để thu nhận khi các thiết bị kỹ thuật số được tìm thấy ở trạng thái tắt nguồn:
- Đảm bảo rằng thiết bị thực sự là tắt nguồn.
- Nếu thích hợp, tháo gỡ các bộ lưu trữ khỏi các thiết bị kỹ thuật số đã tắt nguồn nếu nó chưa được
tháo. Ghi nhãn bộ lưu trữ như là bộ lưu trữ nghi ngờ và ghi chép tất cả các chi tiết như sự sắp đặt,
tên model, số serial và dung lượng bộ nhớ.
- Thực hiện quá trình tạo bản sao bằng cách sử dụng một công cụ tạo bản sao được xác nhận để
tạo ra một bản sao bằng chứng số của ổ đĩa nghi ngờ.
TCVN XXXX:XXXX
CHÚ THÍCH:Trong hầu hết các trường hợp, các phương tiện lưu trữ không nên được tháo gỡ khỏi các thiết bị kỹ thuật số cho
đến khi nó được thu nhận do việc tháo gỡ sẽ làm tăng nguy cơ phá hủy hoặc gây nhầm lẫn với phương tiện lưu trữ khác. Thủ
tục nội bộ về sự cần thiết để gỡ bỏ các ổ đĩa cứng cần được xây dựng và tuân theo.
7.1.3.3 Các thiết bị kỹ thuật số làm nhiệm vụ quan trọngTrong một số trường hợp, các thiết bị kỹ thuật số không thể bị tắt nguồn do tính chất quan trọng của hệ
thống. Những hệ thống như các máy chủ tại các trung tâm dữ liệu cũng có thể đang phục vụ khách
hàng không có liên can, các hệ thống giám sát, hệ thống y tế và nhiều hệ thống khác mà có thể bị ảnh
hưởng nghiêm trọng nếu chúng bị gián đoạn hoặc tắt nguồn. Nên dành sự quan tâm đặc biệt khi xử lý
các hệ thống như vậy.
Khi các thiết bị kỹ thuật số không thể bị tắt nguồn, tiến hành thu nhận trực tiếp và/hoặc từng phần, như
đã đề cập tại 7.1.3.1.2 và 7.1.3.4.
7.1.3.4 Thu nhận từng phầnThu nhận từng phần có thể được thực hiện vì nhiều lý do, chẳng hạn như:
- Hệ thống lưu trữ là quá lớn để có thể thu nhận (ví dụ máy chủ cơ sở dữ liệu);
- Một hệ thống rất quan trọng không thể tắt nguồn;
- Chỉ khi dữ liệu được lựa chọn để được thu nhận có chứa dữ liệu không liên quan khác trong cùng
hệ thống; hoặc
- Khi bị hạn chế bởi cơ quan pháp luật như có một lệnh tìm kiếm làm giới hạn phạm vi của việc thu
nhận.
Khi đã quyết định thu nhận từng phần, các hoạt động thu nhận nên bao gồm nhưng không giới hạn các
nội dung sau:
- Xác định (các) thư mục, (các) tập tin hoặc bất kỳ tùy chọn hệ thống thích hợp có liên quan để thu
nhận các dữ liệu mong muốn,
- Tiến hành thu nhận logic trên dữ liệu được xác định.
7.1.3.5 Phương tiện lưu trữ sốNhiều loại phương tiện lưu trữ số có thể được tìm thấy tại hiện trường sự cố. Thông thường đây là
những loại dữ liệu ít biến đổi nhất và có thể có mức ưu tiên tập hợp và thu nhận thấp nhất. Điều này
không có nghĩa là chúng không quan trọng bởi vì trong nhiều trường hợp, phương tiện lưu trữ số bên
ngoài chứa các bằng chứng mà các nhà phân tích đang tìm kiếm. DEFR cần phải đảm bảo những điều
sau đây:
- Kiểm tra và ghi chép các vị trí (ví dụ khay ổ đĩa, dây và đầu nối, khe cắm USB...), sự sắp đặt, kiểu
và số serial (nếu có) của từng phương tiện lưu trữ số được tìm thấy.
- Quyết định xem có tập hợp các phương tiện lưu trữ số được xác định hoặc tiến hành thu nhận
ngay tại hiện trường, quyết định phải dựa trên bản chất của sự cố và nguồn lực sẵn có. Khi tiến
38
TCVN XXXX:XXXX
hành thu nhận tại hiện trường các phương tiện lưu trữ số (chủ yếu đĩa cứng), xem minh họa tại
Hình 4.
- Nếu DEFR quyết định và được phép tập hợp phương tiện lưu trữ số, các phương tiện được tập
hợp nên được bao bọc hoặc đặt trong bao bì thích hợp.
- Ghi nhãn tất cả phương tiện lưu trữ số và bất kỳ bộ phận có liên quan với chúng. Các nhãn bằng
chứng không nên đặt trực tiếp trên các bộ phận cơ khí của phương tiện lưu trữ số, cũng không
nên bao phủ hoặc che lấp thông tin quan trọng như số serial, số model và số phần. Tất cả phương
tiện lưu trữ được tập hợp phải được thu nhận và được lưu trữ theo cách đảm bảo tính toàn vẹn
của các phương tiện đã tập hợp. Nếu có thể, bằng chứng nên được niêm phong bằng nhãn niêm
phong chống giả mạo và DEFR hoặc nhân viên phụ trách nên ký trên nhãn.
- Các phương tiện lưu trữ số đã tập hợp phải được lưu trữ trong một môi trường thích hợp để bảo
quản dữ liệu.
- Phương tiện lưu trữ số khác nhau có khả năng lưu trữ dữ liệu khác nhau. DEFR cần phải nhận
biết khoảng thời gian tối đa chấp nhận được quy định bởi cơ quan pháp luật, có liên quan đến khả
năng lưu trữ dữ liệu các phương tiện lưu trữ số.
7.1.4 Bảo quản
Sau khi quá trình thu nhận được hoàn thành, DEFR nên niêm phong các dữ liệu đã thu nhận bằng việc
sử dụng các hàm xác thực hoặc chữ ký số để xác định rằng các bản sao bằng chứng số là tương
đương với bản gốc. Ngoài ra, các khía cạnh an ninh yêu cầu các kiểm soát áp dụng các nguyên tắc
duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của các bằng chứng số tiềm năng. Để bảo vệ
chống lại sự sửa đổi, các khía cạnh về môi trường nên được giải quyết bằng các biện pháp thích hợp.
DEFR cần phải đảm bảo những điều sau đây:
- Sử dụng một hàm xác thực thích hợp để cung cấp bằng chứng cho thấy các tập tin sao chép
tương đương với bản gốc.
- Có thể thích hợp khi gắn DEFR với bằng chứng số tiềm năng đã thu nhận được, sử dụng chữ ký
số, sinh trắc học và chụp hình.
Tất cả các thiết bị kỹ thuật số đã được tập hợp cần phải được bảo quản một cách thích hợp. Các loại
thiết bị kỹ thuật số khác nhau có thể yêu cầu các phương pháp bảo quản khác nhau. Các bằng chứng
số tiềm năng cần được bảo quản trong suốt thời gian tồn tại của chúng, thời gian này có thể khác nhau
tùy theo cơ quan pháp luật và chính sách của tổ chức.
CHÚ THÍCH: Để thay thế cho niêm phong các dữ liệu đã thu nhận bằng các hàm xác thực hoặc chữ ký số, DEFR cũng có thể
sử dụng tính năng sinh trắc học. Sinh trắc học sử dụng các đặc tính vật lý và đặc điểm hành vi để xác định tính của một cá
nhân. Bằng cách gắn một tính năng sinh trắc học với bằng chứng thu nhận được, có thể đảm bảo rằng các bằng chứng
không thể được làm giả mạo mà không làm ảnh hưởng đến tính năng sinh trắc học.
TCVN XXXX:XXXX
7.2 Các thiết bị mạng
7.2.1 Xác định7.2.1.1 Tổng quanTrong bối cảnh của Điều này, các thiết bị mạng được coi là máy tính hoặc các thiết bị kỹ thuật số khác
được kết nối với một mạng ở cả hai chế độ có dây hoặc không dây. Các thiết bị được nối mạng này có
thể bao gồm máy tính lớn, máy chủ, máy tính để bàn, các điểm truy cập, thiết bị chuyển mạch, hub,
thiếu bị định tuyến, các thiết bị di động, PDA, PED, các thiết bị Bluetooth, hệ thống camera quan sát và
nhiều hơn nữa. Lưu ý rằng nếu các thiết bị kỹ thuật số được nối mạng, rất khó để xác định nơi lưu trữ
các bằng chứng số tiềm năng đang được tìm kiếm. Các dữ liệu có thể được đặt ở bất cứ đâu trên
mạng.
Việc xác định một thiết bị kỹ thuật số bao gồm các thành phần như logo nhà sản xuất, số serial, giá đỡ
và bộ chuyển đổi nguồn điện. DEFR có thể xem xét các khía cạnh sau như là đặc tính nhận dạng:
- Đặc điểm thiết bị: Sự sắp đặt và nhà sản xuất của một thiết bị kỹ thuật số đôi khi có thể được xác
định bởi các đặc điểm có thể quan sát được của nó, đặc biệt là nếu có các yếu tố thiết kế duy nhất
tồn tại.
- Giao diện thiết bị: Đầu nối nguồn điện thường là cụ thể cho một nhà sản xuất và hỗ trợ nhận dạng
một cách đáng tin cậy.
- Nhãn thiết bị: Đối với các thiết bị di động tắt nguồn, thông tin thu được từ bên trong khoang chứa
pin có thể cho nhiều thông tin, đặc biệt là khi kết hợp với một cơ sở dữ liệu thích hợp. Ví dụ, IMEI
là một số có 15 chữ số cho biết nhà sản xuất, chủng loại, và quốc gia phê duyệt cho các thiết bị
GSM; ESN là một định dạng 32 bit duy nhất được ghi lại trên một chip bảo mật trong một chiếc
điện thoại di động của các nhà sản xuất – 8-14 bit đầu tiên xác định các nhà sản xuất và các bit
còn lại xác định số serial được gán.
- Tra cứu ngược: Trong trường hợp điện thoại di động, nếu số điện thoại của chiếc điện thoại được
biết, việc tra cứu ngược có thể được sử dụng để xác định nhà điều hành mạng,
Do kích thước các thiết bị di động nhìn chung là nhỏ, DEFR cần phải đặc biệt quan tâm xác định tất cả
các loại thiết bị di động có thể có liên quan đến vụ án. DEFR cần phải bảo vệ hiện trường sự cố bị nghi
ngờ và đảm bảo rằng không có cá nhân nào loại bỏ điện thoại di động hoặc bất kỳ thiết bị kỹ thuật số
khác khỏi hiện trường. Thiết bị kỹ thuật số có thể chứa bằng chứng số nên được bảo vệ khỏi những
truy cập trái phép.
CHÚ THÍCH: Trong một số trường hợp, thông tin liên lạc không nên bị gián đoạn. Thông báo cho các cá nhân có thẩm quyền
về các vấn đề có thể (ví dụ: không cảnh báo các cá nhân không rõ về việc tắt thiết bị).
7.2.1.2 Tìm kiếm hiện trường sự cố vật lý và ghi chépTrước khi thực hiện thu nhận hoặc tập hợp, hiện trường sự cố nên được ghi chép một cách trực quan
bằng cách chụp ảnh, quay phim hoặc phác thảo hiện trường như khi mới xâm nhập. Lựa chọn phương
thức ghi chép cần phải được cân đối theo tình huống, chi phí, thời gian, nguồn lực sẵn có và các ưu
40
TCVN XXXX:XXXX
tiên. DEFR nên ghi chép tất cả các khoản mục khác tại hiện trường có thể chứa các dữ liệu có thể liên
quan tiềm năng như ghi chú nguệch ngoạc, các giấy ghi chú, nhật ký...
- DEFR nên ghi chép về kiểu, thương hiệu, model và số serial của bất kỳ thiết bị kỹ thuật số được
sử dụng và xác định tất cả các thiết bị kỹ thuật số cần được thu nhận hoặc tập hợp trong giai đoạn
ban đầu này. Tất cả các thiết bị di động và các sản phẩm liên quan của chúng như thẻ nhớ, thẻ
SIM, bộ sạc và nguồn gốc được tìm thấy tại hiện trường, số serial có liên quan của chúng và bất
kỳ đặc điểm nhận dạng nên được ghi chép và tập hợp, nếu được yêu cầu. Cũng cố gắng tìm bao
bì gốc của điện thoại di động; chúng có thể chứa các ghi chú với mã PIN và mã PUK.
- Nếu thiết bị được nối mạng, DEFR cần xác định các dịch vụ của các thiết bị để hiểu sự phụ thuộc
và để xác định tầm quan trọng của các thiết bị trong mạng trước khi quyết định ngắt kết nối thiết bị
từ mạng. Điều này rất quan trọng nếu các thiết bị đang phục vụ các chức năng quan trọng mà
không thể chấp nhận bất cứ thời gian chết nào hoặc để tránh sự phá hủy của các bằng chứng số
tiềm năng. Tuy nhiên, nếu xuất hiện các mối đe dọa trên mạng đối với các thiết bị, DEFR có thể
cần phải quyết định ngắt kết nối thiết bị với mạng để bảo vệ các bằng chứng số tiềm năng.
- Nếu các thiết bị nối mạng là một hệ thống CCTV, DEFR nên lưu ý số lượng camera được kết nối
với hệ thống, cũng như có những camera đang hoạt động sẵn. DEFR cũng nên ghi lại sự sắp đặt,
model và các thiết lập cơ bản của hệ thống như các thiết lập hiển thị, thiết lập bản ghi hiện tại và vị
trí lưu trữ sao cho nếu có sự thay đổi để tạo thuận lợi cho quá trình tập hợp hoặc thu nhận, thì sau
đó có thể đưa hệ thống trở lại tình trạng ban đầu của nó.
- Trạng thái của các thiết bị kỹ thuật số nên được duy trì như hiện trạng càng nhiều càng tốt. Nói
chung, nếu các thiết bị kỹ thuật số được tắt nguồn, DEFR không nên bật lên và nếu chúng đang
bật, các DEFR không nên tắt chúng đi... Điều này có thể ngăn chặn sự làm hỏng không cần thiết
các bằng chứng số tiềm năng. Một thiết bị có pin chạy yếu cần được sạc điện để đảm bảo thông
tin không bị mất. DEFR cần xác định phương tiện sạc tiềm năng và cáp trong suốt giai đoạn này.
Nếu một thiết bị được vận chuyển và được thẩm tra tại một ngày không xác định trong tương lai,
có thể thích hợp để chuyển sang chế độ tắt nguồn để giảm thiểu nguy cơ thiệt hại cho dữ liệu
chứa trong thiết bị.
- DEFR cũng nên xem xét việc sử dụng một máy dò tín hiệu không dây để phát hiện và xác định các
tín hiệu không dây từ các thiết bị không dây có thể đang được ẩn. Có thể có trường hợp mà máy
dò tín hiệu không dây không được sử dụng do giới hạn về chi phí và thời gian và DEFR nên ghi
chép lại điều này.
7.2.2 Tập hợp, thu nhận và bảo quản7.2.2.1 Tổng quanDEFR cần phải quyết định liệu có tập hợp hoặc thu nhận bằng chứng số tiềm năng từ các thiết bị kỹ
thuật số. Sự lựa chọn cần phải được cân đối theo tình huống, chi phí, thời gian, nguồn lực sẵn có và
mức độ ưu tiên.
TCVN XXXX:XXXX
Nếu DEFR quyết định ngắt kết nối các thiết bị, quá trình tập hợp hoặc thu nhận các bằng chứng số
tiềm năng sẽ làm theo như mô tả trong mục 5.4. Trong trường hợp các thiết bị không thể ngắt kết nối
với mạng do chức năng quan trọng của nó hay khả năng phá hủy các bằng chứng số tiềm năng, DEFR
nên tiến hành thu nhận trực tiếp trong khi các thiết bị duy trì kết nối vào mạng.
CHÚ THÍCH: Việc có các thủ tục chuẩn, hợp lý sử dụng các công cụ đã được xác thực, kết hợp với ghi chép tài liệu tốt và một
DEFR được đào tạo và có kinh nghiệm là rất quan trọng.
Tập hợp và thu nhận các bằng chứng số tiềm năng từ các thiết bị di động nối mạng rất phức tạp bởi vì
chúng có thể tồn tại ở nhiều trạng thái và các chế độ tương tác như Bluetooth, tần số vô tuyến điện,
màn hình chạm, và hồng ngoại. Thêm vào đó, các nhà sản xuất thiết bị di động khác nhau sử dụng các
loại hệ điều hành khác nhau, đòi hỏi các phương pháp thu nhận bằng chứng khác nhau. Ngoài ra còn
có một loạt thẻ nhớ được sử dụng với các thiết bị di động, và việc loại bỏ các thẻ nhớ trên các thiết bị
di động đang bật nguồn có thể gây trở ngại cho các tiến trình đang chạy.
Nói chung, các thiết bị di động như PDA và điện thoại di động cần phải được bật nguồn để thu nhận
các bằng chứng số tiềm năng. Các thiết bị này có thể liên tục thay đổi môi trường hoạt động của nó
trong khi bật, ví dụ, hẹn giờ đồng hồ có thể được cập nhật. Vấn đề có liên quan là hai bản sao bằng
chứng số của cùng một thiết bị có thể không vượt qua các hàm xác minh chuẩn như hàm băm. Trong
tình huống này, các hàm xác thực thay thế mà xác định được các lĩnh vực chung và/hoặc khác biệt có
thể là thích hợp hơn.
Điều quan trọng là DEFR không nên đưa các thiết bị Wi-Fi hoặc Bluetooth vào hiện trường mà có thể
thay đổi thông tin ghép nối trên các thiết bị chứng cứ tiềm năng. Điều này đặc biệt quan trọng nếu các
điều tra viên cần phải biết những thiết bị nào đã được kết nối.
Nếu DEFR quyết định đi theo một quá trình thu nhận, các thiết bị mạng cần được tiếp tục chạy để phân
tích thêm để xác định các thiết bị khác đã kết nối với các thiết bị mạng. DEFR nên xem xét khả năng
phá hoại của các nghi phạm thông qua một kết nối mạng đang hoạt động và quyết định hoặc là giám
sát hệ thống hoặc ngắt kết nối.
7.2.2.2 Hướng dẫn tập hợp thiết bị được kết nối mạngTrong một số trường hợp, có thể thích hợp khi giữ các thiết bị mạng ở trạng thái kết nối sao cho hoạt
động của chúng có thể được theo dõi và ghi lại bởi một DEFR và / hoặc DES được ủy quyền thích
hợp. Nếu việc này là không cần thiết, các thiết bị phải được tập hợp như mô tả dưới đây:
- DEFR nên cô lập các thiết bị khỏi mạng khi chắc chắn rằng không có dữ liệu liên quan sẽ bị ghi đè
bởi hành động này và không có trục trặc xảy ra trong các hệ thống quan trọng (chẳng hạn như hệ
thống quản lý cơ sở tại các bệnh viện). Điều này có thể được thực hiện bằng cách rút các kết nối
mạng có dây tới hệ thống điện thoại hoặc cổng mạng, hoặc vô hiệu hóa kết nối tới điểm truy cập
không dây.
- Trước khi rút dây mạng, DEFR nên theo dõi các kết nối tới các thiết bị kỹ thuật số và gắn nhãn các
cổng cho việc xây dựng lại toàn bộ mạng trong tương lai. Một thiết bị có thể có nhiều hơn một
42
TCVN XXXX:XXXX
phương thức giao tiếp. Ví dụ, một máy tính có thể có các mạng LAN, một modem không dây và
các thẻ điện thoại di động, PED, cũng có thể được kết nối tới mạng thông qua Wi-Fi, kết nối
Bluetooth hoặc kết nối mạng điện thoại di động. DEFR nên cố gắng để xác định tất cả các phương
thức giao tiếp và thực hiện các hoạt động thích hợp để bảo vệ chống lại sự phá hủy các bằng
chứng số tiềm năng.
- Lưu ý rằng, việc tháo nguồn điện từ các thiết bị mạng vào thời điểm này có thể phá hủy dữ liệu dễ
biến đổi như là các tiến trình đang chạy, kết nối mạng và dữ liệu được lưu trữ trong bộ nhớ. Hệ
điều hành máy chủ có thể không đáng tin cậy và báo cáo thông tin sai lệch. DEFR nên nắm bắt
thông tin này bằng cách sử dụng các phương pháp tin cậy đã được xác thực trước khi tháo nguồn
điện từ các thiết bị. Một khi DEFR đã chắc chắn rằng sẽ không có bằng chứng số tiềm năng bị
mất, các kết nối từ các thiết bị kỹ thuật số có thể được gỡ bỏ.
- Nếu việc tập hợp được ưu tiên hơn việc thu nhận và đã biết rằng thiết bị có chứa bộ nhớ dễ biến
đổi, thiết bị cần được tiếp tục nối với nguồn điện.
- Nếu thiết bị di động đã được tắt nguồn, cần đóng gói cẩn thận, niêm phong và ghi nhãn thiết bị.
Việc này nhằm tránh bất kỳ hoạt động vô tình hay cố ý của các phím hoặc nút. Để đề phòng,
DEFR cũng nên xem xét sử dụng lồng Faraday hay hộp che chắn.
- Trong một số trường hợp, các thiết bị di động nên được tắt nguồn khi tập hợp để tránh dữ liệu bị
thay đổi. Điều này có thể xảy ra thông qua các kết nối đi và đến hoặc các lệnh mà có thể phá hủy
các bằng chứng số tiềm năng.
- Sau đó, mỗi thiết bị kỹ thuật số có thể được xử lý thể nó là một thiết bị độc lập (tham khảo Điều
7.1) cho đến khi nó được thẩm tra. Trong khi thẩm tra, thiết bị kỹ thuật số nên được coi như một
thiết bị nối mạng.
CHÚ THÍCH: Có thể thực hiện một kiểu nối mạng sử dụng các thiết bị lưu trữ di động như các phương tiện truyền dẫn. DEFR
nên xem xét các thiết bị đang tập hợp có thể được sử dụng theo cách này hay không và tìm kiếm thông tin về các thiết bị khác
đã sử dụng thông tin theo kiểu nối mạng này.
7.2.2.3 Hướng dẫn cho việc thu nhận các thiết bị được kết nối mạngTrong tình huống mà các thiết bị được kết nối với một mạng, có một khả năng là các thiết bị được kết
nối với nhiều hơn một (1) mạng vật lý và/hoặc mạng ảo. Ví dụ, một thiết bị dường như có một (1) kết
nối mạng vật lý trong thực tế đang chạy mạng riêng ảo (VPN) và máy ảo với nhiều hơn một (1) địa chỉ
IP. Như vậy, trước khi ngắt kết nối các thiết bị mạng, DEFR nên tiến hành thu nhận logic các dữ liệu có
liên quan đến các kết nối mạng logic (ví dụ như kết nối Internet). Các dữ liệu liên quan bao gồm nhưng
không giới hạn cấu hình địa chỉ IP và bảng định tuyến.
Đối với một thiết bị mạng được yêu cầu tiếp tục bật nguồn, các thiết bị phải được ngăn chặn sự tương
tác với các mạng vô tuyến không dây bao gồm GPS. DEFR phải sử dụng phương thức được cho phép
bởi luật pháp địa phương để cô lập tín hiệu vô tuyến. Tuy nhiên nên cẩn thận để đảm bảo rằng thiết bị
có đủ nguồn điện, do các phương pháp cô lập có thể khiến cho thiết bị sử dụng thêm điện trong nỗ lực
liên hệ với một mạng. Phương pháp cô lập có thể bao gồm, nhưng không giới hạn, sau đây:
TCVN XXXX:XXXX
- Sử dụng thiết bị gây nhiễu có khả năng ngăn chặn truyền tải thông qua việc tạo ra sự can thiệp
mạnh mẽ khi phát ra tín hiệu gây nhiễu các thiết bị trong dải tần số tương tự dải tần mà các thiết bị
di động sử dụng.
CHÚ THÍCH 1: Sử dụng các thiết bị gây nhiễu có thể vi phạm các yêu cầu pháp lý trong một số cơ quan pháp luật.
CHÚ THÍCH 2: sử dụng các thiết bị gây nhiễu có thể ảnh hưởng tiêu cực đến hoạt động của các thiết bị điện tử như thiết bị y
tế.
- Sử dụng một khu vực làm việc được che chắn để tiến hành thẩm tra một cách an toàn tại một vị trí
cố định. Che chắn có thể được thực hiện cho toàn bộ khu vực làm việc hoặc thông qua việc thiết
lập một lều Faraday di động. Tuy nhiên đi cáp trong lều là vấn đề vì không có cách ly phù hợp
chúng có thể hoạt động như một ăng-ten, làm hỏng mục đích của lều. Các không gian làm việc
cũng có thể rất hạn chế.
- Sử dụng một khu vực làm việc được che chắn để tiến hành thẩm tra một cách an toàn tại một vị trí
cố định. Một không gian làm việc được che chắn tần số vô tuyến hoặc một container (lồng
Faraday) có thể được sử dụng để ngăn chặn các kết nối vào mạng.
CHÚ THÍCH 3: Tất cả các phương pháp ngăn chặn truy cập không dây vào mạng nên được xác nhận hợp lệ để sử dụng trên
các tần số thích hợp. Việc xác nhận tính hợp lệ này nên mở rộng tới các cáp đi qua nơi che chắn.
- Sử dụng một (U)SIM thay thế bắt chước định danh của thiết bị gốc và ngăn chặn truy cập mạng
bằng thiết bị. Các thẻ này có thể đánh lừa thiết bị để chấp nhận chúng như là (U)SIM gốc và cho
phép thực hiện thẩm tra một cách an toàn tại bất kỳ vị trí nào. (U)SIM nên được xác thực cho thiết
bị và mạng trước khi sử dụng.
- Vô hiệu hóa các dịch vụ mạng bằng cách sắp xếp với hãng dịch vụ di động và xác định chi tiết về
các dịch vụ được vô hiệu hóa (ví dụ các bộ nhận dạng thiết bị, bộ nhận dạng thuê bao, hoặc số
điện thoại). Tuy nhiên, những thông tin này không phải là luôn luôn có sẵn trong khi quá trình phối
hợp và xác nhận có thể gây chậm trễ.
DEFR có thể tiến hành thu nhận trực tiếp thiết bị di động trước khi tháo pin ra (ví dụ, truy cập vào thẻ
SIM). Điều này có thể được thực hiện để tránh mất thông tin quan trọng tiềm năng trong bộ nhớ RAM
của điện thoại hoặc để đẩy nhanh quá trình thẩm tra (ví dụ khi tin chắc thiết bị có thể được bảo vệ bởi
mã PIN và/hoặc mã PUK mà sẽ mất một số lượng đáng kể thời gian để thu thập).
CHÚ THÍCH 4: DEFR nên đảm bảo rằng các việc tập hợp và thu nhận các bằng chứng số tiềm năng là phù hợp với luật pháp
và các quy định của tổ chức theo yêu cầu dựa trên hoàn cảnh cụ thể
7.2.2.4 Hướng dẫn bảo quản thiết bị được kết nối mạngDo bản chất của các thiết bị kỹ thuật số và bằng chứng số tiềm năng, các hướng dẫn bảo quản các
thiết bị kết nối mạng cũng tương tự như việc bảo quản các máy tính, thiết bị ngoại vi và phương tiện
lưu trữ số. Tham khảo quy định tại 7.1.4 để được hướng dẫn chi tiết về bảo quản thiết bị.
44
TCVN XXXX:XXXX
7.3 Tập hợp, thu nhận và bảo quản CCTV
DEFR nên hiểu rằng cách tiếp cận trích xuất chuỗi video từ một hệ thống DVR CCTV dựa trên máy
tính hoặc nhúng là khác so với việc trích xuất bằng chứng số truyền thống từ một máy tính. Dưới đây
là những hướng dẫn cụ thể cho việc thu nhận các bằng chứng số tiềm năng từ hệ thống camera quan
sát:
- Trước khi bắt đầu quá trình thu nhận, đầu tiên DEFR nên xác định hệ thống có ghi nhận chuỗi
video quan tâm hay không. Sau đó, DEFR nên xác định khoảng thời gian của đoạn video được
yêu cầu và so sánh thời gian hệ thống với thời gian chính xác và ghi lại độ sai lệch. DEFR cũng
nên xác định các camera nào là cần thiết và liệu chúng có thể được thu nhận riêng rẽ hay không.
DEFR nên ghi lại việc sắp đặt và model của hệ thống. Thông tin này có thể được yêu cầu để tìm
phần mềm phát lại chính xác.
- DEFR nên thu nhận tất cả các bản ghi của camera có liên quan trong thời gian quan tâm để bảo
quản thông tin điều tra bổ sung có thể được xem xét sau này. DEFR nên ghi lại tất cả các camera
được kết nối với một hệ thống camera quan sát và xác định xem chúng đang kích hoạt ghi hình
hay không ghi hình.
DEFR nên xác định dung lượng lưu trữ hệ thống CCTV, cũng như khi nào hệ thống được dự kiến sẽ
ghi đè lên các thông tin video. Thông tin này sẽ cho phép DEFR biết chuỗi video sẽ được giữ lại trên
hệ thống bao lâu trước khi nó bị mất. Hành động phải được thực hiện để đảm bảo các chứng cứ không
được thay đổi. Đối với bằng chứng video kỹ thuật số, bảo vệ chống ghi cần được thực hiện đúng thời
điểm.
- Có một số tùy chọn mà DEFR có thể chọn để thu nhận bằng chứng số tiềm năng từ hệ thống
camera quan sát:
1) Thu nhận các tập tin video bằng cách ghi chúng vào đĩa CD/DVD/Blu-ray nhưng điều này có thể
không thực tế nếu các tập tin video là quá lớn.
2) Thu nhận các tập tin video bằng cách ghi chúng vào một phương tiện lưu trữ bên ngoài.
3) Thu nhận các tập tin video thông qua kết nối mạng. Điều này có thể được áp dụng nếu hệ thống
camera quan sát được trang bị một cổng mạng.
4) Sử dụng tính năng xuất ra của hệ thống camera quan sát tới các định dạng tập tin khác (thường là
MPEG hay AVI) là một phiên bản nén của các đoạn phim video. Điều này chỉ nên được sử dụng như
một phương pháp cuối cùng vì làm thay đổi dữ liệu gốc và luôn luôn loại bỏ chi tiết hình ảnh. Việc thẩm
tra dựa vào dữ liệu được giải nén không được khuyến cáo nếu dữ liệu gốc có sẵn để phân tích.
CHÚ THÍCH 1: Chất lượng của các cảnh quay video được xuất ra có thể không được tốt như các cảnh quay ban đầu.
5) Trường hợp không thể thu nhận trực tiếp một bản sao bằng chứng số của các tập tin trên thiết bị
ghi, DEFR hoặc DES nên cố gắng thu nhận một bản sao tương tự từ đầu ra tương tự trên các thiết bị
ghi ban đầu sử dụng một thiết bị ghi tương tự phù hợp.
TCVN XXXX:XXXX
- Sau khi hoàn tất việc thu nhận, tệp tin đã thu nhận phải được kiểm tra để xác nhận đã thu nhận
đúng tệp tin hay phần của tệp tin. Tệp tin cũng cần được kiểm tra với phần mềm chạy (cho các
định dạng tập tin thiết bị kỹ thuật số) để xác định khả năng chạy của nó trên các hệ thống khác -
hầu hết các hệ thống camera quan sát là độc quyền và việc chạy các tập tin có thể không nhất
thiết phải sử dụng phần mềm máy nghe nhạc khác. Phần mềm phát lại chính xác có thể có sẵn để
tải về từ hệ thống camera quan sát tại cùng một thời điểm của dữ liệu.
- Phương tiện lưu trữ số có chứa các tệp tin đã được thu nhận phải được xử lý như là bản sao bằng
chứng số chính. Nếu tập tin đã được tải về một máy tính xách tay hoặc thẻ nhớ/USB, thì một bản
sao chính lâu dài nên làm ra từ tập tin này sớm nhất có thể.
- Sau đó, DEFR nên khởi động lại hệ thống CCTV nếu nó đã được tắt nguồn. Điều này nên được
thực hiện với sự hiện diện của cá nhân được ủy quyền.
Trong những trường hợp mà việc thu nhận tại hiện trường là không thực tế, DEFR có thể phải quyết
định tập hợp các phương tiện lưu trữ số. Một phương pháp nhanh chóng là thay thế ổ đĩa cứng của hệ
thống camera quan sát với một ổ đĩa trống. Tuy nhiên, DEFR nên đánh giá một số rủi ro trước khi sử
dụng phương pháp này, chẳng hạn như khả năng tương thích của ổ cứng mới với hệ thống và khả
năng tương thích của ổ cứng được loại bỏ với các hệ thống khác để thẩm tra.
CHÚ THÍCH 2: Một số hệ thống có một ổ cứng di động trong một hộp, nhưng ổ cứng này có thể yêu cầu phần cứng của hệ
thống để phát lại.
Nếu không thể thực hiện được phương pháp nào nêu trên thì toàn bộ hệ thống camera quan sát cần
được gỡ ra khỏi hiện trường và quá trình thu nhận phải được thực hiện lại trong phòng thí nghiệm
pháp y. Đây là phương pháp cuối cùng của DEFR và giả định rằng có thể làm được vì một số hệ thống
camera quan sát là rất lớn và phức tạp. Một lần nữa, DEFR cần đánh giá rủi ro về pháp lý và bảo hiểm
trước khi tháo gỡ.
Do bản chất của các thiết bị kỹ thuật số và bằng chứng số tiềm năng, các hướng dẫn bảo quản hệ
thống camera quan sát là tương tự như việc bảo quản máy tính, thiết bị ngoại vi và phương tiện lưu trữ
số. Tham khảo quy định tại Điều 7.14 để được hướng dẫn về bảo quản hệ thống camera quan sát.
46
TCVN XXXX:XXXX
Phụ lục A
(Tham khảo)
Mô tả các kỹ năng cốt lõi và năng lực của DEFR
Bảng A.1 – Ví dụ về mô tả năng lực
TT Kỹ năng cốt lõi Mô tả các kỹ năng cốt lõi
Mô tả năng lực
Nhận thức (1) Kiến thức (2) Kỹ năng (3)
Xác định bằng
chứng số
Xác định đặc
trưng của thiết
bị kỹ thuật số,
các thành phần,
thông tin hỗ trợ
điều tra và luật
pháp liên quan
để xử lý bằng
chứng số tiềm
năng và tội
phạm máy tính
liên quan.
Xác định công
cụ cần thiết cho
việc tập hợp và
thu nhận dữ
liệu, và thiết bị
và đánh giá rủi
ro.
Người dùng IT
thông thường
và quản trị viên
trong nhiều loại
thiết bị IT và
thiết bị mạng;
Các thủ tục điều
tra tại hiện
trường vụ án;
Quyết định về
trạng thái của
thiết bị; giá trị
của thông tin
bằng chứng;
Thông tin và các
thiết bị liên quan
đến điều tra
mạng.
Nhật ký và cấu
hình hệ
thống/ứng
dụng;
Định danh của
nhật ký hệ
thống và ứng
dụng bao gồm:
nhật ký thư điện
tử, nhật ký web;
nhật ký truy
cập, tệp tin mật
khẩu, tệp tin
cấu hình hệ
thống, thông tin
địa chỉ IP máy
chủ;
chức năng và
sự phụ thuộc
của các thiết bị;
có hiểu biết về
tác động lên các
bằng chứng dễ
biến đổi và
không dễ biến
đổi
Phân tích đặc
biệt; biên dịch
nhật ký để phát
hiện xâm nhập
và xác định các
hệ thống khác
bị ảnh hưởng
(một vài cơ
quan pháp luật
yêu cầu xác
nhận có bằng
chứng trước khi
tập hợp); xác
định mật khẩu
cần cho các
thiết bị tương
ứng trước khi
tập hợp;
nhận dạng sơ
đồ mạng và các
cơ chế kiểm
soát truy cập để
hiểu rõ những
sự phụ thuộc;
liên kết những
địa chỉ IP và địa
chỉ MAC để xác
TCVN XXXX:XXXX
TT Kỹ năng cốt lõi Mô tả các kỹ năng cốt lõi
Mô tả năng lực
Nhận thức (1) Kiến thức (2) Kỹ năng (3)
nhận thiết bị
2 Tập hợp bằng
chứng số
Các yêu cầu về
công cụ và thực
hiện đóng gói
các bằng chứng
số, bảo vệ
chống lại các
mối đe dọa môi
trường. Lĩnh
vực kỹ năng
bao gồm kỹ
năng đảm bảo
thông tin
An toàn tập hợp
dữ liệu chung;
các nguyên tắc
và thiết kế các
công cụ cơ bản;
xác định các
phương pháp
tốt nhất của việc
tập hợp để bảo
quản tối đa
thông tin có liên
quan đến sự cố
Xây dựng và
thực hiện quá
trình tập hợp;
tập hợp bằng
chứng; tạo ra
các tài liệu bằng
chứng cứ; chuỗi
giám sát bằng
chứng; kiểm
soát chất lượng
của quá trình
tập hợp bằng
chứng; chất vấn
nghi ngờ
Tối ưu hóa quá
trình tập hợp;
lập tài liệu bằng
chứng không
thể thu nhận do
nhiều ràng
buộc;
tập hợp các
mật khẩu, khóa,
thiết bị bảo mật
và các thông tin
cần thiết khác
để tiến hành
phân tích tại
phòng thí
nghiệm
3 Thu nhận bằng
chứng số
Áp dụng các
yêu cầu của
việc thu nhận
các bằng chứng
số tiềm năng
theo dạng logic,
đảm bảo tính
lặp lại, đánh giá
được, tính tái
tạo và tính bảo
vệ. Lĩnh vực kỹ
năng bao gồm
thực hiện thu
nhận trên một
hệ thống bật
Hiểu được các
thông tin có sẵn
trong thiết bị số,
cơ sở dữ liệu,
tài liệu được tạo
ra từ hệ thống,
dữ liệu được
người dùng tạo
ra và dữ liệu dễ
biến đổi;
cấu trúc và thiết
bị hệ thống
Unix, Windows;
Biết cách làm
thế nào để xác
định các yêu
cầu lưu trữ;
thực hiện các
thủ tục thu nhận
bản sao (ví dụ:
thu nhận
phương tiện lưu
trữ số từng
phần và đầy
đủ);
việc thu nhận
được thực hiện
Khả năng tiến
hành thu nhận
các phương tiện
lưu trữ số bao
gồm đĩa RAID;
cơ sở dữ liệu,
các thiết bị và
thu nhỏ hóa các
thiết bị; hiểu biết
về phụ thuộc và
ảnh hưởng lên
các phương
pháp thu nhận
khác nhau
48
TCVN XXXX:XXXX
TT Kỹ năng cốt lõi Mô tả các kỹ năng cốt lõi
Mô tả năng lực
Nhận thức (1) Kiến thức (2) Kỹ năng (3)
nguồn, thu nhận
trên một hệ
thống tắt nguồn
và điều tra số
nhận thức về
tác động của dữ
liệu dễ biến đổi
trên hệ thống
bật nguồn, hệ
thống tắt nguồn;
tạo ra các giá trị
băm
4 Bảo quản bằng
chứng số
Áp dụng và
đánh giá các
yêu cầu về bảo
quản các bằng
chứng số tiềm
năng, hiểu các
yếu tố và các
thông số ảnh
hưởng đến độ
chính xác của
nó. Lĩnh vực kỹ
năng bao gồm
phương pháp
luận, duy trì
chuỗi giám sát
bằng chứng xử
lý các thiết bị
máy tính và xử
lý các thiết bị
lưu trữ số
Hiểu các yêu
cầu và các thủ
tục cho duy trì
chuỗi giám sát
chống lại các
yêu cầu trái
phép;
tác động môi
trường như độ
ẩm, nhiệt độ và
mức độ sốc đối
với các thiết bị
số;
hiểu các tùy
chọn đóng gói,
các yêu cầu vận
chuyển và bảo
quản
Kiến thức về tạo
các tài liệu đánh
giá bằng chứng;
xác định các
tham số cho tài
liệu;
đảm bảo an
toàn thông tin,
các lỗ hổng, mối
đe dọa và các
kiểm soát cho
bằng chứng số
Áp dụng các
biện pháp bảo
vệ bằng chứng
số trong các
thiết bị lớn hay
các thiết bị cầm
tay đã được thu
nhỏ;
thủ tục để lập
tài liệu chi tiết
bằng chứng
TCVN XXXX:XXXX
Bảng A.2 – Định nghĩa năng lực
1 Nhận thức - Nhận diện, xâc định - hỏi khi cần trợ giúp
2 Kiến thức – Thu được thông qua đào tạo hoặc làm việc theo nhóm. Đóng góp, tham gia – Làm
với sự trợ giúp
3 Kỹ năng – Kinh nghiệm đã được chứng minh thông qua ứng dụng trong môi trường làm việc.
Làm việc không được giám sát. Áp dụng, chứng minh – làm mà không cần trợ giúp
CHÚ THÍCH: Năng lực của một DEFR có thể thay đổi tùy theo cơ quan pháp luật.
50
TCVN XXXX:XXXX
Phụ lục B
(tham khảo)
Các yêu cầu về tài liệu tối thiểu cho việc chuyển giao bằng chứng
DEFR nên có khả năng giải thích các dữ liệu và thiết bị số đã được thu nhận tại mọi thời điểm khi họ
còn đang giám sát chúng. Để duy trì sự kiểm soát này, DEFR cần có đủ năng lực, được đào tạo và
được trao quyền thích hợp. Tuy nhiên, do luật nội bộ là một yếu tố quyết định khả năng DEFR tuân thủ
cả ba yêu cầu mong muốn này, năng lực của một DEFR có thể thay đổi tùy theo cơ quan pháp luật.
Kết quả là, yêu cầu về tài liệu cho việc chuyển giao bằng chứng số giữa các cơ quan pháp luật là khác
nhau theo các cơ quan pháp luật khác nhau.
Do đó, một tập tối thiểu các yêu cầu tài liệu cần được xác định để tạo thuận lợi cho việc trao đổi các
bằng chứng số tiềm năng giữa các cơ quan pháp luật. Yêu cầu này cần được xem xét với các điểm lập
tài liệu nêu tại Điều 6.6. Do tiêu chuẩn này không thay thế cho các yêu cầu pháp lý của các cơ quan
pháp luật, nó phục vụ như một hướng dẫn thực hành cho việc chuyển giao bằng chứng số tiềm năng
qua ranh giới giữa các cơ quan pháp luật.
Các tài liệu tối thiểu cần được trao đổi là:
- Tên và địa chỉ của cơ quan có liên quan;
- Tuyên bố về năng lực, trình độ đào tạo và sự trao quyền của DEFR;
- Mục đích của việc thẩm tra;
- Các hành động đã được thực hiện;
- Người nào đã làm gì và khi nào;
- Chuỗi giám sát liên quan tới việc điều tra;
- Danh sách mô tả các bằng chứng số tiềm năng và phương tiện lưu trữ số được tập hợp và thu nhận;
- Thông tin có liên quan tới các cuộc thẩm tra, kiểm tra hoặc điều tra đã được sử dụng để tạo ra các
bản sao bằng chứng.
Các yêu cầu cụ thể của cơ quan pháp luật có thể bao gồm:
- Xác nhận tư cách của nhân chứng chuyên gia nếu bằng chứng được coi là một ý kiến chuyên gia ; và
- Một lệnh của tòa xác định tài liệu nào cần được chuyển giao và lý do cho việc chuyển giao.
TCVN XXXX:XXXX
Thư mục tài liệu tham khảo
[1] ILAC-G19:2002. Guidelines for forensic science laboratories. Available from
www.ilac.org/documents/g19_2002.pdf
[2] IOCE G8 proposed principles for procedures relating to digital evidence. Avaible form:
http://ioce.org/core .php?ID=5
[3] ISO/IEC 15489:2001, Information and Documentation –Records Managent (Thông tin và tài
liệu hóa – Quản lý hồ sơ);
[4] TCVN ISO/IEC 17024:2003 (ISO/IEC 17024:2012) về Đánh giá sự phù hợp - Yêu cầu chung
đối với tổ chức chứng nhận năng lực cá nhân.
[5] TCVN ISO/IEC 17043:2011 (ISO/IEC 17043:2010), Đánh giá sự phù hợp – Yêu cầu chung
đói với thử nghiệm thành thạo
[6] TCVN ISO/IEC 27001, Công nghệ thông tin – Hệ thống quản lý an toàn thông tin - Các yêu
cầu
[7] TCVN ISO/IEC 27002, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản
lý an toàn thông tin
[8] ISO/IEC 24760-1, Information technology - Security techniques - A framework for indentity
management – Part1: Terminology and concepts (Công nghệ thông tin – Các kỹ thuật an toàn
– Khung quản lý định danh – Phần 1: Thuật ngữ và khái niệm)
[9] ISO/IEC 27031:2010, Information technology - Security techniques – Information security
incident management (Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý sự cố an toàn
thông tin).
[10] TCVN ISO 11239:2015, Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý sự cố an toàn
thông tin
[11] Forensic Science Society Academic Accreditation Standards & CPD. Available from:
http://www.forensic-science-societv.oro.uk
[12] Guidelines for evidence collection and archiving. Available from:
http://www.ietf.org/rfc/rfc3227.txt
[13] ISO/IEC 27037:2012, Information technology – Security techniques – Guidelines for
identification, collection, acquisition, and preservation of digital evidence (Hướng dẫn xác
định, tập hợp, thu nhận và bảo quản các bằng chứng số).
52
