По сравнению с другими видами расследования преступлений внутри компании, область компьютерной криминалистики является относительно новой. К сожалению, многие ещё не до конца понимают, что означает термин "компьютерный форензик" и какие методы при этом используются.
В частности, встают вопросы по поводу разницы между извлечением данных и их анализом. Существует также путаница в отношении того, как эти две операции вписываются в процесс расследования.
В этой статье мы расскажем больше о компьютерном форензике и подробнее рассмотрим все его этапы.
Компьютерный форензик
Компьютерный форензик означает использование научно обоснованных и проверенных методов сохранения, сбора, проверки достоверности, идентификации, анализа, интерпретации, документирования и представления цифровых доказательств, полученных из цифровых источников, для облегчения или дальнейшего восстановления событий, признанных преступными. Он подразделяется на три этапа - идентификация, сохранение и анализ.
Идентификация
Эксперты повторяют процесс идентификации для каждого элемента в списке извлеченных данных. Они начинаются с определения типа товара. Если это не связано с запросом службы расследований, они просто помечают его как обработанный и продолжают работу. Если эксперт обнаруживает предмет, который является компрометирующим, но выходит за рамки первоначального ордера на обыск, рекомендуется, чтобы эксперт немедленно прекратил все действия, уведомил соответствующих лиц, включая заявителя, и ждал дальнейших инструкций. Точно так же, как при физическом обыске.
Например, правоохранительные органы могут изъять компьютер в поисках доказательств налогового мошенничества, но эксперт может обнаружить следы других правонарушений. После обнаружения улик, выходящих за рамки ордера, наиболее разумным решением будет прекратить обыск и попытаться расширить полномочия ордера, либо получить второй ордер.
Сохранение
Следователи начинают с определения того, имеется ли достаточная информация для продолжения работы. Они гарантируют, что имеется четкий запрос и что имеется достаточно данных, чтобы попытаться ответить на него. Если чего-то не хватает, они работают с заявителем, чтобы найти это. В противном случае комплаенс-отдел продолжит настройку процесса.
Первым шагом в любом расследовании является проверка всего аппаратного и программного обеспечения для обеспечения надлежащей работы. Сообщество криминалистов по-прежнему разделено во мнениях о том, как часто следует тестировать программное обеспечение и оборудование. Большинство людей согласны с тем, что организации должны проверять каждое программное и аппаратное обеспечение после его покупки и перед использованием. Они также должны провести повторное тестирование после любых обновлений, исправлений или реконфигурации.
Анализ
Следователи соединяют точки над i и рисуют полную картину для заявителя на этапе анализа. Эксперты отвечают на вопросы "кто", "что", "когда", "где" и "как" для каждого элемента в соответствующем списке данных. Они пытаются объяснить, какой пользователь или приложение создало, отредактировало, получило или отправило каждый элемент, а также как он появился. Эксперты также описывают, где они это обнаружили. Самое главное, они объясняют, почему вся эта информация важна и что она означает в контексте дела.
Следователи часто могут провести наиболее ценный анализ, проанализировав, когда произошли события, и создав временную шкалу, которая рассказывает связную историю. Они пытаются объяснить, когда был создан, доступен, изменен, получен, отправлен, просмотрен, удален и запущен каждый соответствующий элемент. Они наблюдают и объясняют серию событий, отмечая, какие события произошли одновременно.
Расследование преступлений внутри компании является важнейшей частью её стабильной деятельности – от случайности не застрахован никто. Мы в Национальной Ассоциации Комплаенс поможем Вам внедрить на своё предприятие комплаенс-систему и сможем провести процедуру форензика. Для консультации с нашим специалистом заполняйте форму внизу страницы или звоните по телефону горячей линии.
