ISO/IEC 27042:2015
(Main)Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence
Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence
ISO/IEC 27042:2015 provides guidance on the analysis and interpretation of digital evidence in a manner which addresses issues of continuity, validity, reproducibility, and repeatability. It encapsulates best practice for selection, design, and implementation of analytical processes and recording sufficient information to allow such processes to be subjected to independent scrutiny when required. It provides guidance on appropriate mechanisms for demonstrating proficiency and competence of the investigative team. Analysis and interpretation of digital evidence can be a complex process. In some circumstances, there can be several methods which could be applied and members of the investigative team will be required to justify their selection of a particular process and show how it is equivalent to another process used by other investigators. In other circumstances, investigators may have to devise new methods for examining digital evidence which has not previously been considered and should be able to show that the method produced is "fit for purpose". Application of a particular method can influence the interpretation of digital evidence processed by that method. The available digital evidence can influence the selection of methods for further analysis of digital evidence which has already been acquired. ISO/IEC 27042:2015 provides a common framework, for the analytical and interpretational elements of information systems security incident handling, which can be used to assist in the implementation of new methods and provide a minimum common standard for digital evidence produced from such activities.
Technologies de l'information — Techniques de sécurité — Lignes directrices pour l'analyse et l'interprétation des preuves numériques
L'ISO/IEC 27042:2015 fournit des préconisations concernant l'analyse et l'interprétation des preuves numériques d'une façon qui traite les problèmes de continuité, de validité, de reproductibilité et de répétabilité. Elle englobe les pratiques d'excellence sur la sélection, la conception et la mise en ?uvre des processus analytiques et de consignation des informations suffisantes pour permettre la soumission de tels processus à un examen approfondi indépendant, si nécessaire. Elle fournit des préconisations concernant des mécanismes adéquats de démonstration de l'aptitude et de la compétence de l'équipe d'investigation. L'analyse et l'interprétation des preuves numériques peuvent être un processus complexe. Dans certains cas, il peut exister plusieurs méthodes qui pourraient être appliquées et les membres de l'équipe d'investigation devront justifier leur sélection d'un processus donné et démontrer son équivalence par rapport à un autre processus utilisé par d'autres investigateurs. Dans d'autres cas, les investigateurs peuvent être obligés de concevoir de nouvelles méthodes d'examen des preuves numériques qui n'ont pas été envisagées auparavant et il convient qu'ils soient capables de démontrer que la méthode produite est «en adéquation avec l'application visée». L'application d'une méthode spécifique peut influer sur l'interprétation des preuves numériques traitées avec cette méthode. Les preuves numériques disponibles peuvent influer sur la sélection des méthodes pour l'analyse ultérieure des preuves numériques qui ont déjà été acquises. L'ISO/IEC 27042:2015 fournit un cadre commun, pour les éléments d'analyse et d'interprétation de la gestion des incidents de sécurité des systèmes d'information qui peut être utilisé pour faciliter la mise en ?uvre de nouvelles méthodes et fournir une norme commune minimale pour les preuves numériques produites à partir de telles activités.
General Information
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27042
First edition
2015-06-15
Information technology — Security
techniques — Guidelines for the
analysis and interpretation of digital
evidence
Technologies de l’information — Techniques de sécurité — Lignes
directrices pour l’analyse et l’interprétation de preuves numériques
Reference number
ISO/IEC 27042:2015(E)
©
ISO/IEC 2015
---------------------- Page: 1 ----------------------
ISO/IEC 27042:2015(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2015, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2015 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27042:2015(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Symbols and abbreviated terms . 4
5 Investigation . 4
5.1 Overview . 4
5.2 Continuity . 5
5.3 Repeatability and reproducibility. 5
5.4 Structured approach . 5
5.5 Uncertainty . 6
6 Analysis . 7
6.1 Overview . 7
6.2 General principles . 7
6.3 Use of tools . 8
6.4 Record keeping . 8
7 Analytical models . 8
7.1 Static analysis . 8
7.2 Live analysis . 8
7.2.1 Overview . 8
7.2.2 Live analysis of non-imageable and non-copyable systems . 9
7.2.3 Live analysis of imageable or copyable systems . 9
8 Interpretation . 9
8.1 General . 9
8.2 Accreditation of fact . . 9
8.3 Factors affecting interpretation .10
9 Reporting .10
9.1 Preparation .10
9.2 Suggested report content .10
10 Competence.11
10.1 Overview .11
10.2 Demonstration of competence .11
10.3 Recording competence .11
11 Proficiency .12
11.1 Overview .12
11.2 Mechanisms for demonstration of proficiency .12
Annex A (informative) Examples of Competence and Proficiency Specifications .13
Bibliography .14
© ISO/IEC 2015 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 27042:2015(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of information technology, ISO and IEC have established a joint technical committee,
ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for
the different types of document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Details of any patent rights identified during the development of the document will be in the Introduction
and/or on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 27, IT
Security techniques.
iv © ISO/IEC 2015 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 27042:2015(E)
Introduction
General
This International Standard provides guidance on the conduct of the analysis and interpretation of
potential digital evidence in order to identify and evaluate digital evidence which can be used to aid
understanding of an incident. The exact nature of the data and information making up the potential
digital evidence will depend on the nature of the incident and the digital evidence sources involved in
that incident.
When using this International Standard, the user assumes that the guidance given in ISO/IEC 27035-2
and ISO/IEC 27037:2012 has been followed and that all processes used are compatible with the guidance
1)
given in ISO/IEC 27043:2015 and ISO/IEC 27041 .
Relationship to other standards
This International Standard is intended to complement other standards and documents which give
guidance on the investigation of, and preparation to investigate, information security incidents. It is not a
comprehensive guide, but lays down certain fundamental principles which are intended to ensure that tools,
techniques, and methods can be selected appropriately and shown to be fit for purpose should the need arise.
This International Standard also intends to inform decision-makers that need to determine the
reliability of digital evidence presented to them. It is applicable to organizations needing to protect,
analyse, and present potential digital evidence. It is relevant to policy-making bodies that create and
evaluate procedures relating to digital evidence, often as part of a larger body of evidence.
This International Standard describes part of a comprehensive investigative process which includes, but
is not limited to, the following topic areas:
— incident management, including preparation, and planning for investigations;
— handling of digital evidence;
— use of, and issues caused by, redaction;
— intrusion prevention and detection systems, including information which can be obtained from
these systems;
— security of storage, including sanitization of storage;
— ensuring that investigative methods are fit for purpose;
— carrying out analysis and interpretation of digital evidence;
— understanding principles and processes of digital evidence investigations;
— security incident event management, including derivation of evidence from systems involved in
security incident event management;
— relationship between electronic discovery and other investigative methods, as well as the use of
electronic discovery techniques in other investigations;
— governance of investigations, including forensic investigations.
These topic areas are addressed, in part, by the following ISO/IEC standards.
— ISO/IEC 27037
1) To be published.
© ISO/IEC 2015 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/IEC 27042:2015(E)
This International Standard describes the means by which those involved in the early stages of an
investigation, including initial response, can assure that sufficient potential digital evidence is captured
to allow the investigation to proceed appropriately.
— ISO/IEC 27038
Some documents can contain information that must not be disclosed to some communities. Modified
documents can be released to these communities after an appropriate processing of the original
document. The process of removing information that is not to be disclosed is called “redaction”.
The digital redaction of documents is a relatively new area of document management practice, raising
unique issues and potential risks. Where digital documents are redacted, removed information must not
be recoverable. Hence, care needs to be taken so that redacted information is permanently removed from
the digital document (e.g. it must not be simply hidden within non-displayable portions of the document).
ISO/IEC 27038 specifies methods for digital redaction of digital documents. It also specifies requirements
for software that can be used for redaction.
— ISO/IEC 27040:2015
This International Standard provides detailed technical guidance on how organizations can define
an appropriate level of risk mitigation by employing a well-proven and consistent approach to the
planning, design, documentation, and implementation of data storage security. Storage security applies
to the protection (security) of information where it is stored and to the security of the information
being transferred across the communication links associated with storage. Storage security includes
the security of devices and media, the security of management activities related to the devices and
media, the security of applications and services, and security relevant to end-users during the lifetime
of devices and media and after end of use.
Security mechanisms like encryption and sanitization can affect one’s ability to investigate by
introducing obfuscation mechanisms. They have to be considered prior to and during the conduct of
an investigation. They can also be important in ensuring that storage of evidential material during and
after an investigation is adequately prepared and secured.
— ISO/IEC 27041
It is important that methods and processes deployed during an investigation can be shown to be
appropriate. This International Standard provides guidance on how to provide assurance that methods
and processes meet the requirements of the investigation and have been appropriately tested.
— ISO/IEC 27043:2015
This International Standard defines the key common principles and processes underlying the
investigation of incidents and provides a framework model for all stages of investigations.
The following ISO/IEC projects also address, in part, the topic areas identified above and can lead to the
publication of relevant standards at some time after the publications of this International Standard.
— ISO/IEC 27035 (all parts)
This is a three-part standard that provides organizations with a structured and planned approach to
the management of security incident management. It is composed of
— ISO/IEC 27035-1
This part presents basic concepts and phases of information security incident management. It combines
these concepts with principles in a structured approach to detecting, reporting, assessing, responding,
and applying lessons learned.
— ISO/IEC 27035-2
vi © ISO/IEC 2015 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/IEC 27042:2015(E)
This part presents the concepts to plan and prepare for incident response. The concepts, including
incident management policy and plan, incident response team establishment, and awareness briefing
and training, are based on the plan and prepare phase of the model presented in ISO/IEC 27035-1. This
part also covers the “Lessons Learned” phase of the model.
— ISO/IEC 27035-3
This part includes staff responsibilities and practical incident response activities across the organization.
Particular focus is given to the incident response team activities such including monitoring, detection,
analysis, and response activities for the collected data or security events.
2)
— ISO/IEC 27044
This provides guidelines to organizations in preparing to deploy security information and event
management processes/systems. In particular, it addresses the selection, deployment, and operations of
SIEM. It intends specifically to offer assistance in satisfying requirements of ISO/IEC 27001 regarding
the implementation of procedures and other controls capable of enabling prompt detection and response
to security incidents, to execute monitoring, and review procedures to properly identify attempted and
successful security breaches and incidents.
3)
— ISO/IEC 27050 (all parts)
This addresses activities in electronic discovery, including, but not limited to identification, preservation,
collection, processing, review, analysis, and production of electronically stored information (ESI).
In addition, it provides guidance on measures, spanning from initial creation of ESI through its final
disposition, which an organization can undertake to mitigate risk and expense should electronic
discovery become an issue. It is relevant to both non-technical and technical personnel involved in some
or all of the electronic discovery activities. It is important to note that this guidance is not intended to
contradict or supersede local jurisdictional laws and regulations.
Electronic discovery often serves as a driver for investigations, as well as evidence acquisition and
handling activities. In addition, the sensitivity and criticality of the data sometimes necessitate
protections like storage security to guard against data breaches.
— ISO/IEC 30121:2015
This International Standard provides a framework for governing bodies of organizations (including
owners, board members, directors, partners, senior executives, or similar) on the best way to prepare
an organization for digital investigations before they occur. This International Standard applies to the
development of strategic processes (and decisions) relating to the retention, availability, access, and
cost effectiveness of digital evidence disclosure. This International Standard is applicable to all types
and sizes of organizations. The International Standard is about the prudent strategic preparation for
digital investigation of an organization. Forensic readiness assures that an organization has made the
appropriate and relevant strategic preparation for accepting potential events of an evidential nature.
Actions can occur as the result of inevitable security breaches, fraud, and reputation assertion. In every
situation, information technology (IT) has to be strategically deployed to maximize the effectiveness of
evidential availability, accessibility, and cost efficiency
Figure 1 shows typical activities surrounding an incident and its investigation. The numbers shown in
this diagram (e.g. 27037) indicate the International Standards listed above and the shaded bars show
where each is most likely to be directly applicable or has some influence over the investigative process
(e.g. by setting policy or creating constraints). It is recommended, however, that all should be consulted
prior to, and during, the planning and preparation phases. The process classes shown are defined fully
in this International Standard and the activities identified match those discussed in more detail in
ISO/IEC 27035-2, and ISO/IEC 27037.
2) To be published.
3) To be published.
© ISO/IEC 2015 – All rights reserved vii
---------------------- Page: 7 ----------------------
ISO/IEC 27042:2015(E)
Figure 1 — Applicability of standards to investigation process classes and activities
viii © ISO/IEC 2015 – All rights reserved
---------------------- Page: 8 ----------------------
INTERNATIONAL STANDARD ISO/IEC 27042:2015(E)
Information technology — Security techniques — Guidelines
for the analysis and interpretation of digital evidence
1 Scope
This International Standard provides guidance on the analysis and interpretation of digital evidence
in a manner which addresses issues of continuity, validity, reproducibility, and repeatability. It
encapsulates best practice for selection, design, and implementation of analytical processes and
recording sufficient information to allow such processes to be subjected to independent scrutiny
when required. It provides guidance on appropriate mechanisms for demonstrating proficiency and
competence of the investigative team.
Analysis and interpretation of digital evidence can be a complex process. In some circumstances, there
can be several methods which could be applied and members of the investigative team will be required
to justify their selection of a particular process and show how it is equivalent to another process used
by other investigators. In other circumstances, investigators may have to devise new methods for
examining digital evidence which has not previously been considered and should be able to show that
the method produced is “fit for purpose”.
Application of a particular method can influence the interpretation of digital evidence processed by
that method. The available digital evidence can influence the selection of methods for further analysis
of digital evidence which has already been acquired.
This International Standard provides a common framework, for the analytical and interpretational
elements of information systems security incident handling, which can be used to assist in the
implementation of new methods and provide a minimum common standard for digital evidence
produced from such activities.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000:2013, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 27037:2012, Information technology — Security techniques — Guidelines for identification,
collection, acquisition and preservation of digital evidence
4)
ISO/IEC 27041 , Information technology -- Security techniques -- Guidance on assuring suitability and
adequacy of incident investigative method
3 Terms and definitions
For the purposes of this document, the terms and definitions in ISO/IEC 27000:2013 and the following apply.
4) To be published.
© ISO/IEC 2015 – All rights reserved 1
---------------------- Page: 9 ----------------------
ISO/IEC 27042:2015(E)
3.1
analysis
evaluation of potential digital evidence (3.15) in order to assess its relevance to the investigation
Note 1 to entry: Potential digital evidence (3.15), which is determined as having relevance, becomes digital
evidence (3.5).
Note 2 to entry: See also Figure 2.
3.2
client
person or organization on whose behalf the investigation is to be undertaken
3.3
competence
ability to apply knowledge and skills to achieve intended results
[SOURCE: ISO/IEC 17021:2011, 3.7]
3.4
contemporaneous notes
contemporaneous record
written record of actions taken and decisions made, produced at the same time or as soon afterwards as
is practically possible, as the actions and decisions it records
Note 1 to entry: In many jurisdictions, it is necessary for contemporaneous notes to be handwritten in non-
erasable in a tamper-evident notebook to assist with issues of non-repudiation and admissibility.
3.5
digital evidence
information or data, stored or transmitted in binary form which has been determined, through the
process of analysis, to be relevant to the investigation
Note 1 to entry: This should not be confused with legal digital evidence (3.14) or potential digital evidence (3.15).
Note 2 to entry: See also Figure 2.
[SOURCE: ISO/IEC 27037:2012, 3.5, modified – Note 1 and Note 2 to entry added, definition adapted
to distinguish between evidence relating to the incident under investigation and other non-relevant
information or data.]
3.6
emulate
accurately imitate, or perform in the same way as, another application or environment
3.7
examination
set of processes applied to identify and retrieve relevant potential digital evidence from one or more sources
3.8
evidence obfuscation
effect of an operation performed on potential digital evidence which results in the digital evidence being
hidden or obscured in some way
Note 1 to entry: This can be the result of a deliberate or coincidental action and can or cannot result in spoliation
of the digital evidence.
3.9
interpretation
synthesis of an explanation, within agreed limits, for the factual information about evidence resulting
from the set of examinations and analyses making up the investigation
2 © ISO/IEC 2015 – All rights reserved
---------------------- Page: 10 ----------------------
ISO/IEC 27042:2015(E)
3.10
investigation
application of examinations, analyses, and interpretation to aid understanding of an incident
3.11
investigative lead
person leading the investigation at a strategic level
3.12
investigative team
all persons involved directly in the conduct of the investigation
3.13
investigator
member of the investigative team, including the investigative lead (3.11)
3.14
legal digital evidence
digital evidence (3.5) which has been accepted into a judicial process
Note 1 to entry: See also Figure 2.
3.15
potential digital evidence
information or data, stored, or transmitted in binary form which has not yet been determined, through
the process of analysis, to be relevant to the investigation
Note 1 to entry: The process of analysis determines which of the potential digital evidence is digital evidence (3.5)
Note 2 to entry: See also Figure 2.
Figure 2 — Digital evidence status transitions
3.16
proficiency
ability of an investigative team to produce results equivalent to those of a different investigative team
given the same sources of potential digital evidence
3.17
repeatability
property of a process conducted to get the same test results on the same testing environment
Note 1 to entry: Same testing environment means the same computer, hard drive, mode of operation, etc.
© ISO/IEC 2015 – All rights reserved 3
---------------------- Page: 11 ----------------------
ISO/IEC 27042:2015(E)
[SOURCE: ISO/IEC 27037:2012, 3.17]
3.18
reproducibility
property of a process to get the same test results on a different testing environment
Note 1 to entry: Different testing environment means different computer, hard drive, operator, etc.
[SOURCE: ISO/IEC 27037:2012, 3.18]
3.19
spoliation
act of making or allowing change(s) to the potential digital evidence that diminishes its evidential value
[SOURCE: ISO/IEC 27037:2012, 3.19]
3.20
validation
confirmation, through the provision of objective evidence, that the requirements for a specific intended
use or application have been fulfilled
[SOURCE: ISO/IEC 27004:2009, 3.17]
3.21
verification
confirmation, through the provision of objective evidence, that specified requirements have been fulfilled
Note 1 to entry: Verification only provides assurance that a product conforms to its specification.
[SOURCE: ISO/IEC 27004:2009, 3.18, Modified – Original note was removed, Note 1 to entry has been added.]
3.22
verification function
function which is used to verify that two sets of data are identical
[SOURCE: ISO/IEC 27037:2012, 3.25, Modified – Notes were removed.]
3.23
work instruction
detailed descriptions of how to perf
...
NORME ISO/IEC
INTERNATIONALE 27042
Première édition
2015-06-15
Technologies de l’information —
Techniques de sécurité — Lignes
directrices pour l’analyse et
l’interprétation des preuves
numériques
Information technology — Security techniques — Guidelines for the
analysis and interpretation of digital evidence
Numéro de référence
ISO/IEC 27042:2015(F)
©
ISO/IEC 2015
---------------------- Page: 1 ----------------------
ISO/IEC 27042:2015(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2015 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/IEC 27042:2015(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles et abréviations . 5
5 Investigation . 5
5.1 Vue d’ensemble . 5
5.2 Continuité . 5
5.3 Répétabilité et reproductibilité . 5
5.4 Approche structurée . 5
5.5 Incertitude . 7
6 Analyse . 7
6.1 Vue d’ensemble . 7
6.2 Principes généraux . 7
6.3 Utilisation des outils. 8
6.4 Conservation des archives . 8
7 Modèles analytiques . 8
7.1 Analyse statique . 8
7.2 Analyse dynamique . 9
7.2.1 Vue d’ensemble . 9
7.2.2 Analyse dynamique de systèmes dont il ne peut être réalisé d’images ou
de copies . 9
7.2.3 Analyse dynamique de systèmes dont il peut être réalisé des images ou
des copies . 9
8 Interprétation .10
8.1 Généralités .10
8.2 Accréditation des faits .10
8.3 Facteurs affectant l’interprétation .10
9 Consignation .11
9.1 Préparation .11
9.2 Contenus de rapport suggérés .11
10 Compétence.12
10.1 Vue d’ensemble .12
10.2 Démonstration de la compétence .12
10.3 Consignation de la compétence .12
11 Aptitude .13
11.1 Vue d’ensemble .13
11.2 Mécanismes de démonstration de l’aptitude .13
Annexe A (informative) Exemples de spécifications relatives à la compétence et l’aptitude .14
Bibliographie .15
© ISO/IEC 2015 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/IEC 27042:2015(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l’ISO ou de l’IEC participent au développement de Normes internationales
par l’intermédiaire des comités techniques créés par l’organisation concernée afin de s’occuper des
domaines particuliers de l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent
dans des domaines d’intérêt commun. D’autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO et l’IEC, participent également aux travaux. Dans le domaine
des technologies de l’information, l’ISO et l’IEC ont créé un comité technique mixte, l’ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations
de brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’Organisation
mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien
suivant: www.iso.org/iso/fr/foreword.html.
Le comité responsable de ce document est l’ISO/IEC JTC 1, Technologies de l’information, sous-
comité SC 27, Techniques de sécurité.
iv © ISO/IEC 2015 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/IEC 27042:2015(F)
Introduction
Généralités
La présente Norme internationale fournit des préconisations concernant la réalisation de l’analyse
et de l’interprétation de preuves numériques éventuelles afin d’identifier et d’évaluer les preuves
numériques qui peuvent être utilisées pour comprendre un incident. La nature exacte des données et
des informations composant les preuves numériques éventuelles dépendra de la nature de l’incident et
des sources de preuves numériques impliquées dans cet incident.
Lors de l’utilisation de la présente Norme internationale, l’utilisateur prend pour hypothèse que
les préconisations fournies dans l’ISO/IEC 27035-2 et l’ISO/IEC 27037:2012 ont été suivies et que
tous les processus utilisés sont compatibles avec les préconisations de l’ISO/IEC 27043:2015 et de
1)
l’ISO/IEC 27041 .
Relation avec d’autres normes
La présente Norme internationale est destinée à compléter d’autres normes et documents donnant
des préconisations concernant l’investigation, et la préparation à l’investigation, sur des incidents
de sécurité de l’information. Elle ne constitue pas un guide exhaustif, mais édicte certains principes
fondamentaux visant à garantir que les outils, les techniques et les méthodes soient choisis de manière
appropriée et que leur adéquation avec l’application visée puisse être démontrée, le cas échéant.
La présente Norme internationale vise également à informer les décideurs devant déterminer la fiabilité
des preuves numériques qui leur sont soumises. Elle s’applique aux organismes devant protéger,
analyser et présenter des preuves numériques éventuelles. Elle est pertinente dans le contexte des
organismes en charge de l’établissement de politiques, qui créent et évaluent des modes opératoires en
rapport avec les preuves numériques, souvent dans le cadre d’un ensemble plus vaste de preuves.
La présente Norme internationale décrit une partie d’un processus d’investigation complet, portant
sans s’y limiter sur les thématiques suivantes:
— gestion des incidents, comprenant la préparation et la planification des investigations;
— traitement des preuves numériques;
— utilisation de l’expurgation et problèmes en découlant;
— systèmes de prévention et de détection des intrusions, comprenant les informations pouvant être
obtenues à partir de ces systèmes;
— sécurité du stockage, comprenant le nettoyage du stockage;
— vérification de l’adéquation avec l’application visée des méthodes d’investigation;
— analyse et interprétation des preuves numériques;
— connaissance des principes et processus liés à l’investigation des preuves numériques;
— gestion des événements d’incident de sécurité, comprenant l’établissement de preuve à partir de
systèmes impliqués dans la gestion des événements d’incident de sécurité;
— relation entre la découverte électronique et les autres méthodes d’investigation, et utilisation des
techniques de découverte électronique dans d’autres investigations;
— gouvernance des investigations, comprenant les investigations forensiques.
Ces thématiques sont couvertes partiellement dans les normes ISO/IEC suivantes:
— ISO/IEC 27037;
1) Publication en attente
© ISO/IEC 2015 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/IEC 27042:2015(F)
La présente Norme internationale décrit les moyens par lesquels les personnes impliquées dans les
premières phases d’une investigation, comprenant la réponse initiale, peuvent s’assurer que des preuves
numériques éventuelles suffisantes sont recueillies pour permettre de poursuivre l’investigation de
manière appropriée.
— ISO/IEC 27038;
Certains documents peuvent contenir des informations dont il ne faut pas qu’elles soient divulguées
auprès de certaines communautés. Des documents modifiés peuvent être diffusés auprès de ces
communautés, après un traitement approprié du document d’origine. Le processus consistant à
supprimer les informations à ne pas divulguer est intitulé l’«expurgation».
L’expurgation numérique des documents est un domaine relativement récent des pratiques de
gestion documentaire, qui soulève des problèmes spécifiques et pose des risques potentiels. Lors
de l’expurgation de documents numériques, il faut que les informations supprimées ne soient pas
récupérables. Dès lors, il est nécessaire de prendre des précautions pour que les informations expurgées
soient supprimées définitivement du document numérique (par exemple il ne faut pas qu’elles soient
simplement masquées dans des parties non affichables du document).
La norme ISO/IEC 27038 spécifie les méthodes d’expurgation numérique de documents numériques.
Elle spécifie également les exigences concernant les logiciels utilisables pour l’expurgation.
— ISO/IEC 27040:2015;
La présente Norme internationale donne des préconisations techniques détaillées concernant la manière
dont les organismes peuvent définir un niveau approprié d’atténuation du risque grâce à l’emploi d’une
approche reconnue et cohérente de la planification, la conception, la documentation et la mise en œuvre
de la sécurité de stockage des données. La sécurité du stockage s’applique à la protection (la sécurité)
des informations là où elles sont stockées et à la sécurité des informations transférées au moyen des
liaisons de communication associées au stockage. La sécurité du stockage comprend la sécurité des
dispositifs et des supports, la sécurité des activités de management associées aux dispositifs et aux
supports, la sécurité des applications et des services et la sécurité relative aux utilisateurs finaux
pendant la durée de vie de leurs dispositifs et supports et après la fin de leur utilisation.
Les mécanismes de sécurité tels que le chiffrement et le nettoyage peuvent affecter la capacité
d’investigation d’une personne en mettant en place des mécanismes d’obfuscation. Ils doivent être
pris en compte en amont et au cours d’une investigation. Ils peuvent également être importants pour
s’assurer que le stockage des matériaux probatoires, au cours et en aval d’une investigation, soit préparé
et sécurisé de manière adéquate.
— ISO/IEC 27041;
Il est important de pouvoir démontrer que les méthodes et processus déployés au cours d’une
investigation sont appropriés. La présente Norme internationale fournit des préconisations concernant
la façon de s’assurer que des méthodes et processus satisfont aux exigences de l’investigation et ont été
soumises à essai de façon appropriée.
— ISO/IEC 27043:2015;
La présente Norme internationale définit les grands principes et processus communs sous-jacents à
une investigation sur incident, et fournit un modèle cadre pour toutes les phases des investigations.
Les projets ISO/IEC suivants couvrent également en partie les thématiques identifiées ci-dessus
et peuvent conduire à la publication de normes pertinentes, suite à la publication de la présente
Norme internationale.
— ISO/IEC 27035 (toutes les parties);
Cette norme en trois parties fournit aux organismes une approche structurée et planifiée de la gestion
des incidents de sécurité. Elle se compose des parties suivantes.
— ISO/IEC 27035-1;
vi © ISO/IEC 2015 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/IEC 27042:2015(F)
Cette partie présente les concepts de base et les phases de la gestion des incidents de sécurité de
l’information. Elle combine ces concepts à des principes selon une approche structurée de détection,
consignation, évaluation, réponse et application des enseignements tirés.
— ISO/IEC 27035-2;
Cette partie présente les concepts à planifier et à préparer dans le cadre de la réponse aux incidents.
Ces concepts, comprenant la politique et le plan de gestion des incidents, la constitution de l’équipe de
réponse aux incidents, et les réunions d’information et la formation de sensibilisation, sont basés sur
la phase de planification et de préparation du modèle présenté dans l’ISO/IEC 27035-1. Cette partie
couvre également la phase du modèle intitulée «Enseignements tirés».
— ISO/IEC 27035-3;
Cette partie couvre les responsabilités du personnel et les activités pratiques de réponse aux incidents
pour l’ensemble de l’organisme. Une attention particulière est accordée aux activités de l’équipe de
réponse aux incidents, comprenant les activités de surveillance, de détection, d’analyse et de réponse
menées sur les données recueillies ou les événements de sécurité.
2)
— ISO/IEC 27044 ;
Elle fournit des lignes directrices aux organismes concernant la préparation du déploiement des
informations de sécurité et des processus/systèmes de gestion des événements. Elle traite notamment
de la sélection, du déploiement et des opérations de gestion d’évènements et d’informations de sécurité
(SIEM). Elle vise spécifiquement à offrir une assistance pour satisfaire aux exigences de l’ISO/IEC 27001
concernant la mise en œuvre de modes opératoires et d’autres contrôles en mesure de permettre une
détection et une réponse rapides aux incidents de sécurité, pour exécuter un contrôle et des modes
opératoires de revue en vue d’identifier de façon adéquate les violations et incidents de sécurité avortés
et réussis.
3)
— ISO/IEC 27050 (toutes les parties) ;
Ce projet couvre les activités liées à la découverte électronique, comprenant sans s’y limiter
l’identification, la préservation, la collecte, le traitement, la revue, l’analyse et la production de stockage
électronique d’informations (ESI). Il fournit en outre des préconisations concernant les mesures, allant
de la création initiale d’ESI à leur élimination finale, qu’un organisme peut prendre pour atténuer les
risques et réduire les dépenses, s’il s’avère que la découverte électronique devient problématique.
Il concerne à la fois les membres du personnel associés à des fonctions techniques et non techniques,
impliqués dans tout ou partie des activités de découverte électronique. Il est important de noter que
ces préconisations ne se destinent pas à contredire ou se substituer aux législations et réglementations
locales.
La découverte électronique constitue souvent un vecteur pour les investigations, ainsi que les activités
d’acquisition et de traitement de preuves. En outre, la sensibilité et la criticité des données nécessitent
parfois des protections telles que la sécurité du stockage, pour se prémunir contre les violations de
données.
— ISO/IEC 30121:2015;
La présente Norme internationale fournit un cadre pour les organes de gouvernance des organismes
(comprenant les propriétaires, les membres du conseil d’administration, les directeurs, les partenaires,
les cadres dirigeants ou des fonctions similaires), sur la meilleure façon de préparer un organisme
aux investigations numériques avant leur occurrence. La présente Norme internationale s’applique au
développement de processus (et de décisions) stratégiques concernant la conservation, la disponibilité,
l’accès et l’efficience économique de la divulgation de preuves numériques. Elle s’applique aux organismes
de tous types et de toutes tailles. Elle concerne la préparation stratégique avisée d’un organisme à
l’investigation numérique. La préparation à l’approche forensique garantit qu’un organisme a engagé
2) Publication en attente
3) Publication en attente
© ISO/IEC 2015 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO/IEC 27042:2015(F)
une préparation stratégique appropriée et pertinente pour donner son aval concernant des événements
potentiels de nature probatoire. Des actions peuvent se produire suite à d’inévitables violations de
sécurité, fraudes et revendications quant à la réputation. Dans chaque situation, les technologies de
l’information (TI) doivent être déployées de manière stratégique afin d’optimiser la disponibilité des
preuves, leur accessibilité et leur efficience économique.
La Figure 1 représente les activités types liées à un incident et à l’investigation s’y rapportant. Les
références représentées dans la figure (par exemple 27037) désignent les Normes internationales
répertoriées ci-dessus; les barres grisées représentent les classes/activités auxquelles chacune
d’elles est la plus susceptible d’être directement applicable ou sur lesquelles chacune d’elles exerce
une certaine influence sur le processus d’investigation (par exemple en stipulant une politique ou en
instaurant des contraintes). Il convient cependant qu’elles soient toutes consultées en amont et au cours
des phases de planification et de préparation. Les classes de processus qui sont représentées font l’objet
d’une définition complète dans cette Norme internationale et les activités identifiées correspondent à
celles évoquées plus en détail dans l’ISO/IEC 27035-2 et l’ISO/IEC 27037.
viii © ISO/IEC 2015 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO/IEC 27042:2015(F)
Figure 1 — Applicabilité des normes aux activités et classes des processus d’investigation
© ISO/IEC 2015 – Tous droits réservés ix
---------------------- Page: 9 ----------------------
NORME INTERNATIONALE ISO/IEC 27042:2015(F)
Technologies de l’information — Techniques de sécurité
— Lignes directrices pour l’analyse et l’interprétation des
preuves numériques
1 Domaine d’application
La présente Norme internationale fournit des préconisations concernant l’analyse et l’interprétation des
preuves numériques d’une façon qui traite les problèmes de continuité, de validité, de reproductibilité et
de répétabilité. Elle englobe les pratiques d’excellence sur la sélection, la conception et la mise en œuvre
des processus analytiques et de consignation des informations suffisantes pour permettre la soumission
de tels processus à un examen approfondi indépendant, si nécessaire. Elle fournit des préconisations
concernant des mécanismes adéquats de démonstration de l’aptitude et de la compétence de l’équipe
d’investigation.
L’analyse et l’interprétation des preuves numériques peuvent être un processus complexe. Dans certains
cas, il peut exister plusieurs méthodes qui pourraient être appliquées et les membres de l’équipe
d’investigation devront justifier leur sélection d’un processus donné et démontrer son équivalence par
rapport à un autre processus utilisé par d’autres investigateurs. Dans d’autres cas, les investigateurs
peuvent être obligés de concevoir de nouvelles méthodes d’examen des preuves numériques qui n’ont
pas été envisagées auparavant et il convient qu’ils soient capables de démontrer que la méthode
produite est «en adéquation avec l’application visée».
L’application d’une méthode spécifique peut influer sur l’interprétation des preuves numériques traitées
avec cette méthode. Les preuves numériques disponibles peuvent influer sur la sélection des méthodes
pour l’analyse ultérieure des preuves numériques qui ont déjà été acquises.
La présente Norme internationale fournit un cadre commun, pour les éléments d’analyse et
d’interprétation de la gestion des incidents de sécurité des systèmes d’information qui peut être utilisé
pour faciliter la mise en œuvre de nouvelles méthodes et fournir une norme commune minimale pour
les preuves numériques produites à partir de telles activités.
2 Références normatives
Les documents ci-après, dans leur intégralité ou non, sont des références normatives indispensables à
l’application du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’applique (y compris les éventuels
amendements).
ISO/IEC 27000:2013, Technologies de l’information — Techniques de sécurité — Systèmes de management
de la sécurité de l’information — Vue d’ensemble et vocabulaire
ISO/IEC 27037:2012, Technologies de l’information — Techniques de sécurité — Lignes directrices pour
l’identification, la collecte, l’acquisition et la préservation de preuves numériques
4)
ISO/IEC 27041 , Technologies de l’information — Techniques de sécurité — Préconisations concernant la
garantie d’aptitude à l’emploi et d’adéquation des méthodes d’investigation sur incident
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO/IEC 27000:2013 ainsi
que les suivants s’appliquent.
4) Publication en attente
© ISO 2015 – Tous droits réservés 1
---------------------- Page: 10 ----------------------
ISO/IEC 27042:2015(F)
3.1
analyse
évaluation des preuves numériques éventuelles (3.15) afin d’évaluer leur pertinence quant à l’investigation
Note 1 à l’article: Les preuves numériques éventuelles (3.15), déterminées comme étant pertinentes, deviennent
des preuves numériques (3.5).
Note 2 à l’article: Voir aussi la Figure 2.
3.2
client
personne ou organisme pour le compte duquel l’investigation doit être menée
3.3
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
[SOURCE: ISO/IEC 17021:2011, 3.7]
3.4
notes simultanées
consignation simultanée
consignation par écrit des actions et décisions prises, intervenant en même temps que ces actions et
décisions ou suivant leur occurrence, dès lors que cela est possible dans la pratique
Note 1 à l’article: De nombreuses juridictions exigent que les notes simultanées soient écrites à la main, à l’encre
non effaçable et dans un carnet doté d’un système de témoin d’intégrité, afin de mieux lutter contre les problèmes
de non-répudiation et de recevabilité.
3.5
preuves numériques
informations ou données, stockées ou transmises sous forme binaire, qui ont été déterminées via le
processus d’analyse comme étant pertinentes pour l’investigation
Note 1 à l’article: Il convient de ne pas les confondre avec les preuves numériques légales (3.14) ou les preuves
numériques éventuelles (3.15).
Note 2 à l’article: Voir aussi la Figure 2.
[SOURCE: ISO/IEC
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.