ISO/IEC 27043:2015
(Main)Information technology — Security techniques — Incident investigation principles and processes
Information technology — Security techniques — Incident investigation principles and processes
ISO/IEC 27043:2015 provides guidelines based on idealized models for common incident investigation processes across various incident investigation scenarios involving digital evidence. This includes processes from pre-incident preparation through investigation closure, as well as any general advice and caveats on such processes. The guidelines describe processes and principles applicable to various kinds of investigations, including, but not limited to, unauthorized access, data corruption, system crashes, or corporate breaches of information security, as well as any other digital investigation. In summary, this International Standard provides a general overview of all incident investigation principles and processes without prescribing particular details within each of the investigation principles and processes covered in this International Standard. Many other relevant International Standards, where referenced in this International Standard, provide more detailed content of specific investigation principles and processes.
Technologies de l'information — Techniques de sécurité — Principes et processus d'investigation sur incident
L'ISO/IEC 27043:2015 fournit des lignes directrices concernant des modèles idéalisés pour des processus d'investigation des incidents communs à travers divers scénarios d'investigation sur incident impliquant des preuves numériques. Cela inclut des processus allant de la préparation antérieure à l'incident à la clôture de l'investigation, ainsi que tout conseil et mise en garde d'ordre général concernant de tels processus. Ces lignes directrices décrivent les processus et principes applicables à divers types d'investigations, comprenant, sans toutefois s'y limiter, l'accès non autorisé, la corruption des données, les défaillances du système ou les violations de sécurité des informations d'entreprise ainsi que toute autre investigation numérique. En résumé, l'ISO/IEC 27043:2015 fournit un aperçu général de tous les principes et processus d'investigation sur incident sans préconiser de détails particuliers dans chacun des principes et processus d'investigation couverts par l'ISO/IEC 27043:2015. De nombreuses autres Normes internationales pertinentes, lorsqu'elles sont citées en référence dans la présente Norme internationale, fournissent des contenus plus détaillés concernant des principes et processus d'investigation spécifiques.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27043
First edition
2015-03-01
Information technology — Security
techniques — Incident investigation
principles and processes
Technologies de l’information — Techniques de sécurité — Principes
d’investigation numérique et les processus
Reference number
©
ISO/IEC 2015
© ISO/IEC 2015
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2015 – All rights reserved
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Symbols and abbreviated terms . 3
5 Digital investigations . 4
5.1 General principles . 4
5.2 Legal principles . 4
6 Digital investigation processes . 5
6.1 General overview of the processes . 5
6.2 Classes of digital investigation processes . 5
7 Readiness processes . 7
7.1 Overview of the readiness processes . 7
7.2 Scenario definition process . 9
7.3 Identification of potential digital evidence sources process . 9
7.4 Planning pre-incident gathering, storage, and handling of data representing
potential digital evidence process .11
7.5 Planning pre-incident analysis of data representing potential digital evidence process .11
7.6 Planning incident detection process .11
7.7 Defining system architecture process .11
7.8 Implementing system architecture process .12
7.9 Implementing pre-incident gathering, storage, and handling of data representing
potential digital evidence process .12
7.10 Implementing pre-incident analysis of data representing potential digital
evidence process .12
7.11 Implementing incident detection process .12
7.12 Assessment of implementation process .13
7.13 Implementation of assessment results process .13
8 Initialization processes .13
8.1 Overview of initialization processes .13
8.2 Incident detection process .14
8.3 First response process.15
8.4 Planning process .15
8.5 Preparation process.15
9 Acquisitive processes .16
9.1 Overview of acquisitive processes .16
9.2 Potential digital evidence identification process .16
9.3 Potential digital evidence collection process .17
9.4 Potential digital evidence acquisition process .17
9.5 Potential digital evidence transportation process .17
9.6 Potential digital evidence storage and preservation process .17
10 Investigative processes .18
10.1 Overview of investigative processes .18
10.2 Potential digital evidence acquisition process .19
10.3 Potential digital evidence examination and analysis process .19
10.4 Digital evidence interpretation process .19
10.5 Reporting process .19
10.6 Presentation process .20
10.7 Investigation closure process .20
© ISO/IEC 2015 – All rights reserved iii
11 Concurrent processes .20
11.1 Overview of the concurrent processes .20
11.2 Obtaining authorization process .21
11.3 Documentation process .21
11.4 Managing information flow process .21
11.5 Preserving chain of custody process .21
11.6 Preserving digital evidence process .22
11.7 Interaction with physical investigation process.22
12 Digital investigation process model schema .22
Annex A (informative) Digital investigation processes: motivation for harmonization .24
Bibliography .28
iv © ISO/IEC 2015 – All rights reserved
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Details of any patent rights identified during the development of the document will be in the Introduction
and/or on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT), see the following URL: Foreword — Supplementary information.
The committee responsible for this document is ISO/IEC JTC 1, Information technology, Subcommittee
SC 27, Security techniques.
© ISO/IEC 2015 – All rights reserved v
Introduction
About this International Standard
This International Standard provides guidelines that encapsulate idealized models for common
investigation processes across various investigation scenarios. This includes processes from pre-incident
preparation up to and including returning evidence for storage or dissemination, as well as general advice
and caveats on processes and appropriate identification, collection, acquisition, preservation, analysis,
interpretation, and presentation of evidence. A basic principle of digital investigations is repeatability,
where a suitably skilled investigator has to be able to obtain the same result as another similarly skilled
investigator, working unde
...
NORME ISO/IEC
INTERNATIONALE 27043
Première édition
2015-03-01
Technologies de l’information —
Techniques de sécurité — Principes et
processus d’investigation sur incident
Information technology — Security techniques — Incident
investigation principles and processes
Numéro de référence
©
ISO/IEC 2015
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2015 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles et abréviations . 4
5 Investigations numériques . 4
5.1 Principes généraux . 4
5.2 Principes légaux . 4
6 Processus d’investigation numérique . 5
6.1 Vue d’ensemble des processus . 5
6.2 Classes de processus d’investigation numérique . 6
7 Processus de préparation . 8
7.1 Vue d’ensemble des processus de préparation . 8
7.2 Processus de définition du scénario .10
7.3 Processus d’identification des sources de preuves numériques éventuelles .10
7.4 Processus de planification de la collecte antérieure à l’incident, du stockage et du
traitement des données représentant des preuves numériques éventuelles .12
7.5 Processus de planification de l’analyse des données antérieure à l’incident
représentant des preuves numériques éventuelles .12
7.6 Processus de planification de la détection des incidents .12
7.7 Processus de définition de l’architecture du système .13
7.8 Processus de mise en œuvre de l’architecture du système .13
7.9 Processus de mise en œuvre de la collecte antérieure à l’incident, du stockage et
du traitement des données représentant des preuves numériques éventuelle.13
7.10 Processus de mise en œuvre de l’analyse antérieure à l’incident des données
représentant des preuves numériques éventuelles .13
7.11 Processus de mise en œuvre de la détection des incidents .14
7.12 Processus d’évaluation de la mise en œuvre .14
7.13 Processus de mise en œuvre des résultats d’évaluation .14
8 Processus d’initialisation .15
8.1 Vue d’ensemble des processus d’initialisation .15
8.2 Processus de détection des incidents .15
8.3 Processus de première réponse .16
8.4 Processus de planification .16
8.5 Processus de préparation .17
9 Processus d’acquisition .17
9.1 Vue d’ensemble des processus d’acquisition .17
9.2 Processus d’identification des preuves numériques éventuelles .18
9.3 Processus de collecte des preuves numériques éventuelles .19
9.4 Processus d’acquisition des preuves numériques éventuelles.19
9.5 Processus de transport des preuves numériques éventuelles .19
9.6 Processus de stockage et de préservation des preuves numériques éventuelles .19
10 Processus d’investigation .20
10.1 Vue d’ensemble des processus d’investigation .20
10.2 Processus d’acquisition des preuves numériques éventuelles.21
10.3 Processus d’examen et d’analyse des preuves numériques éventuelles .21
10.4 Processus d’interprétation des preuves numériques .22
10.5 Processus de consignation .22
10.6 Processus de présentation .23
© ISO/IEC 2015 – Tous droits réservés iii
10.7 Processus de clôture de l’investigation .23
11 Processus simultanés .23
11.1 Vue d’ensemble des processus simultanés .23
11.2 Processus d’obtention de l’autorisation .24
11.3 Processus de documentation .24
11.4 Processus de gestion du flux d’informations .24
11.5 Processus de préservation de la chaîne de contrôle.25
11.6 Processus de préservation des preuves numériques .25
11.7 Processus d’interaction avec l’investigation physique .25
12 Schéma du modèle du processus d’investigation numérique .25
Annexe A (informative) Processus d’investigation numérique: motif d’harmonisation .28
Bibliographie .31
iv © ISO/IEC 2015 – Tous droits réservés
Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l’ISO ou de l’IEC participent au développement de Normes internationales
par l’intermédiaire des comités techniques créés par l’organisation concernée afin de s’occuper des
domaines particuliers de l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent
dans des domaines d’intérêt commun. D’autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO et l’IEC, participent également aux travaux. Dans le domaine
des technologies de l’information, l’ISO et l’IEC ont créé un comité technique mixte, l’ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations
de brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’Organisation
mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien
suivant: www.iso.org/iso/fr/foreword.html.
Le comité responsable de ce document est l’ISO/IEC JTC 1, Technologies de l’information, sous-comité
SC 27, Techniques de sécurité.
© ISO/IEC 2015 – Tous droits réservés v
Introduction
À propos de la présente Norme internationale
La présente Norme internationale fournit des lignes directrices contenant des modèles idéalisés des
processus d’investigation communs à travers divers scénarios d’investigation. Elle inclut des processus
allant de la préparation antérieure à l’incident jusqu’au retour des preuves (inclus) pour stockage ou
diffusion, de même que des conseils et mises en garde d’ordre général concernant les processus ainsi
que l’identification, la collecte, l’acquisition, la préservation, l’analyse, l’interprétation et la présentation
appropriées des preuves. L’un des principes de base des investigations numériques est la répétabilité,
selon laquelle un investigateur doté du savoir-faire requis doit être en mesure d’obtenir le même résultat
qu’un autre investigateur doté d’un savoir-faire similaire, travaillant dans des conditions simi
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.