Uma das principais referências internacionais para coleta de evidências digitais, a “RFC 3227 – Guidelines for Evidence Collection and Archiving”, agora traduzida para Português do Brasil (pt-br)
RFC 3227 – Diretrizes para Coleta e Arquivamento de Evidências
Melhores Práticas
IETF ORG. Publicado em 23 de janeiro de 2018.
Veja também outras referências aqui
RFC 3227 – Diretrizes para Coleta e Arquivamento de Evidências
Situação deste Memorando
Este documento especifica as Melhores Práticas Atuais da Internet para a Comunidade da Internet e solicita discussão e sugestões para melhorias. A distribuição deste memorando é ilimitada.
Resumo
Um “incidente de segurança”, conforme definido no “Internet Security Glossary”, RFC 2828, é um evento de sistema relevante para a segurança em que a política de segurança do sistema é infringida ou violada de outra forma. O objetivo deste documento é fornecer aos Administradores de Sistema diretrizes sobre a coleta e arquivamento de evidências relevantes para tal incidente de segurança.
Se a coleta de evidências for feita corretamente, é muito mais útil para deter o atacante, tendo uma chance muito maior de ser admissível no caso de uma acusação.
1 – Introdução
Um “incidente de segurança”, conforme definido em [RFC2828], é um evento de sistema relevante para a segurança no qual a política de segurança do sistema é infringida ou violada. O objetivo deste documento é fornecer aos Administradores de Sistema diretrizes sobre a coleta e o arquivamento de evidências relevantes para tal incidente de segurança. Não é nossa intenção insistir que todos os Administradores de Sistema sigam rigorosamente essas diretrizes sempre que tiverem um incidente de segurança. Em vez disso, queremos fornecer orientação sobre o que eles devem fazer se optarem por coletar e proteger as informações relacionadas a uma intrusão.
Essa coleção representa um esforço considerável por parte do Administrador do Sistema. Grandes progressos foram feitos nos últimos anos para acelerar a reinstalação do Sistema Operacional e para facilitar a reversão de um sistema para um estado “conhecido”, tornando assim a “opção fácil” ainda mais atrativa. Entretanto, pouco tem sido feito para fornecer maneiras fáceis de arquivar evidências (a opção difícil). Além disso, o aumento das capacidades de disco e memória e o uso mais difundido de táticas sigilosas e de cobertura de rastros pelos atacantes tem agravado o problema.
Se a coleta de evidências for feita corretamente, é muito mais útil para deter o atacante, tendo uma chance muito maior de ser admissível no caso de uma acusação.
Você deve usar essas diretrizes como base para formular os procedimentos de coleta das evidências do local e deve incorporar os procedimentos do seu local na documentação de Manipulação de Incidentes. As diretrizes neste documento podem não ser apropriadas em todas as jurisdições. Depois de formular os procedimentos de coleta de evidências do seu local, você deve ter a aplicação da lei para sua jurisdição confirmar que eles são adequados.
[toggles title=”Índice”]1 – Introdução 1.1 – Convenções usadas neste documento
2 – Princípios orientadores durante a coleta de evidências
2.1 – Ordem de Volatilidade
2.2 – Coisas para evitar
2.3 – Considerações de privacidade
2.4 – Considerações legais
3 – O Procedimento de coleta
3.1 – Transparência
3.2 – Etapas da coleta
4 – O Procedimento de arquivamento
4.1 – Cadeia de custódia
4.2 – Onde e como arquivar
5 – Ferramentas que você vai precisar
6 – Referências
7 – Agradecimentos
8 – Considerações de segurança
9 – Endereços dos autores
10 – Declaração de Direitos Autorais completa[/toggles]
Acesse o documento original completo aqui diretamente do IETF ORG
A tradução completa encontra-se no link www.academiadeforensedigital.com.br/rfc-3227-diretrizes-para-coleta-e-arquivamento-de-evidencias/