Готовится сейчас в ISO новый стандарт — ISO 27037 «Information technology — Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence», посвященный описанию и систематизации процесса сбора доказательств во время расследования компьютерных инцидентов. Стандарт конечно высокоуровневый (как и все стандарты ISO) и уступает сугубо практическим рекомендациям МинЮста США и CERT/CC, но все-таки это международный стандарт, устанавливающий общий язык для всех специалистов.
Преимуществом является использование блок-схем, упрощающих последовательность действий в тех или иных ситуациях, которые могут возникнуть при сборе доказательств. Хотя надо понимать, что эти рекомендации применимы только в том случае, если вы не планируете доводить дело до суда. В этом случае самостоятельно собранные доказательства не будут восприняты судом, как законно полученные ;-(
А в России этот стандарт когда-нибудь действовать будет?
Как национальный? Вполне может быть.
А есть ли смысл в таком стандарте, если всё равно нельзя нести собранное в суд?
2securityinform
а что, часто дело доводится до суда чтоли?
Ну во-первых, данный стандарт может использоваться и правоохранителями. Во-вторых, вам ничто не мешает собирать данные ВМЕСТЕ с правоохранителями, чтобы придать доказательствам юридическую силу. И самое главное — не каждая компания ставит перед собой цель доводить дело до суда. Многим нужно просто предотвратить повтор инцидента или покарать нарушителя своими силами. Суд нужен, если вы хотите возместить ущерб, но в России — это редкая практика.
"Для себя" и без стандартов прекрасно собирают, о чем говорит наш многолетний опыт.