Este estándar internacional proporciona una directriz para actividades específicas en el manejo de potencial evidencia digital; estos procesos son: identificación, recolección, adquisición y preservación de potencial evidencia digital. Se requieren estos procesos en una investigación la cual está diseñada para mantener la integridad de la evidencia digital – una metodología aceptable en obtener evidencia digital la cual contribuirá a ser admisible en acciones legales y disciplinarias como también en otras instancias requeridas. Este estándar internacional también proporciona una directriz general para la recolección de evidencia no digital la cual podría ser útil en la etapa de análisis de la potencial evidencia digital.

Este estándar internacional intenta proporcionar una directriz para aquellos individuos responsables de la identificación, recolección y preservación de potencial evidencia digital. Estos individuos incluyen (DEFRs) “Digital Evidence First Responders”, o Primeros Respondedores de Evidencia Digital, Especialistas en Evidencia Digital (DESs), especialistas en respuesta de incidentes y gerentes de laboratorios forenses. Este estándar internacional asegura el manejo de potencial evidencia digital en formas prácticas por los individuos responsables, para ser aceptable mundialmente, con el objetivo de facilitar una investigación involucrando dispositivos digitales y evidencia digital de una manera sistemática e imparcial mientras se preserva su integridad y autenticidad.

Este estándar internacional intenta informar a los tomadores de decisiones quienes necesitan determinar la confiabilidad de evidencia digital presentada a ellos. Esto se aplica hacia las organizaciones necesitadas de proteger, analizar y presentar potencial evidencia digital. Es relevante para cuerpos hacedores de políticas (órganos normativos) quienes crean y evalúan procedimientos relacionados a la evidencia digital, frecuentemente como parte de un cuerpo mayor de evidencia.

La potencial evidencia digital referida en este estándar internacional puede proceder desde diversos tipos de dispositivos digitales, redes, bases de datos, etc. Se refiere a los datos existentes en un formato digital. Este estándar internacional no intenta abarcar la conversión de datos analógicos en formato digital.

Debido a la fragilidad de la evidencia digital, es necesario realizar una metodología aceptable para asegurar la integridad y autenticidad de la potencial evidencia digital. Este estándar internacional no obliga a la utilización de métodos o herramientas particulares. Los componentes claves brindando credibilidad en la investigación son la metodología aplicada durante el proceso, y los individuos calificados para realizar las tareas especificadas en la metodología. Este estándar internacional no aborda la metodología para procedimientos legales, procedimientos disciplinarios, y otras acciones relacionadas al manejo de potencial evidencia digital, la cual está fuera del alcance de la identificación, recolección, adquisición y preservación.

La aplicación de este estándar internacional requiere el cumplimiento con las leyes nacionales, normas y regulaciones. No debe reemplazar requerimientos legales específicos de cualquier jurisdicción. En lugar de ello, debe servir como una directriz práctica para cualquier DEFR o DES en investigaciones involucrando potencial evidencia digital. No se extiende hacia el análisis de evidencia digital y no reemplaza requerimientos específicos de una jurisdicción pertinentes a cuestiones como la admisibilidad, peso de la evidencia, relevancia y otras limitaciones controladas judicialmente sobre el uso de potencial evidencia digital en los tribunales de justicia. Este estándar internacional puede ayudar a facilitar el intercambio de potencial evidencia digital entre jurisdicciones. Para mantener la integridad de evidencia digital, los usuarios de este estándar internacional requieren adaptarse y enmendar los procedimientos descritos en este estándar internacional de acuerdo con los requerimientos legales específico de una jurisdicción para la evidencia.

Aunque este estándar internacional no incluye una disposición forense, una disposición forense adecuada puede ayudar en gran magnitud a los procesos de identificación, recolección, adquisición, y preservación de la evidencia digital. La disposición forense es el logro de un nivel apropiado de la capacidad de una organización para ser capaz de identificar, recolectar, adquirir, preservar, proteger y analizar la evidencia digital. Mientras los procesos y actividades descritas en este estándar internacional son esencialmente medidas reactivas utilizadas para investigar un incidente después de suscitado, la disposición forense es un proceso proactivo de intentar planificar tales eventos.

Este estándar internacional complementa el ISO/IEC 27001 e ISO /IEC 27002, y en particular los requerimientos de control concernientes con la adquisición de potencial evidencia digital proporcionando una guía adicional de implementación. Adicionalmente, este estándar internacional podría tener aplicaciones en contextos independientes de ISO/IEC 27001 e ISO/IEC 27002. Este estándar internacional deberá ser leído en conjunción con otros estándares relacionados a la evidencia digital y la investigación de incidentes de seguridad de la información.

1. Alcance

Esta norma internacional proporciona una directriz para actividades específicas en el manejo de evidencia digital, lo cual es la identificación, recolección, adquisición y preservación de evidencia digital la cual puede tener valor como evidencia. Este estándar internacional proporciona una directriz para los individuos con respecto a las situaciones comunes encontradas a través del proceso en el manejo de evidencia digital y asiste a las organizaciones en sus procesos disciplinarios y en facilitar el intercambio de potencial evidencia digital entre jurisdicciones.

Este estándar internacional proporciona una directriz para los siguientes dispositivos y/o funciones los cuales son utilizados en varias circunstancias:

• Medios de almacenamiento digital utilizado en computadoras estándar como discos duros, discos flexibles, discos ópticos y magneto ópticos, dispositivos de datos con similares funciones.
• Teléfonos móviles, asistentes personales digitales (PDAs), dispositivos personales electrónicos (PEDs), tarjetas de memoria.
• Sistemas móviles de navegación
• Cámaras de video y digitales (incluyendo CCTV)
• Computadoras estándar con conexiones de red
• Redes basadas en TCP/IP y otros protocolos digitales
• Dispositivos con similares funciones como las anteriores

NOTA 1. La anterior lista de dispositivos es una lista indicativa y no es exhaustiva.

NOTA 2. Las circunstancias incluyen los anteriores dispositivos los cuales existen en diferentes formas. Por ejemplo, un sistema de automoción puede incluir sistema móvil de navegación, sistema de almacenamiento de datos y sensor.

2. Referencia de Normativa

Los siguientes documentos de referencia son indispensables para la aplicación de este documento. Para referencia de fechas, únicamente la edición citada se aplica. Para referencias sin fecha, la última edición del documento referencia (incluyendo cualquier enmienda) se aplica.

ISO/TR 15801, Document management — Information stored electronically — Recommendations for trustworthiness and reliability
ISO/IEC 17020, Conformity assessment — Requirements for the operation of various types of bodies performing inspection
ISO/IEC 17025:2005, General requirements for the competence of testing and calibration laboratories
ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary

Fuentes:

http://www.iso.org/iso/catalogue_detail?csnumber=44381
https://www.iso.org/obp/ui/#!iso:std:44381:en