TCVN: CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN -HƯỚNG DẪN XÁC ĐỊNH, TẬP HỢP, THU THẬP VÀ BẢO QUẢN CÁC BẰNG CHỨNG SỐ

Các thủ tục bao gồm các hướng dẫn xử lý nguồn bằng chứngsố tiềm năng và phải bao gồm các nguyên tắc cơ bản sau: - Giảm tối đa việc xử lý các thiết bị số gốc hoặc bằng chứng số tiềm năng;

Bối cảnh trong việc tập hợp bằng chứng số

Bằng chứng số có thể được yêu cầu sử dụng trong một số kịch bản khác nhau mà mỗi kịch bản này có sự cân bằng khác nhau giữa các tác nhân về chất lượng bằng chứng, thời điểm phân tích, việc khôi phục dịch vụ và chi phí tập hợp bằng chứng số Do đó, các tổ chức sẽ được yêu cầu có một quá trình ưu tiên để xác định nhu cầu và cân bằng giữa chất lượng bằng chứng, thời điểm và việc khôi phục dịch vụ trước khi DEFR thực hiện nhiệm vụ Một quá trình ưu tiên gồm việc thực hiện một đánh giá các tài liệu có sẵn nhằm quyết định giá trị bằng chứng có thể và trình tự mà các bằng chứng số tiềm năng nên được tập hợp, thu thập hoặc bảo quản Việc ưu tiên được thực hiện nhằm giảm thiểu tối đa rủi ro cho bằng chứng số tiềm năng có thể bị hư hỏng và tối đa hóa giá trị bằng chứng của bằng chứng số được tập hợp.

Các nguyên tắc của bằng chứng số

Tại hầu hết các cơ quan và các tổ chức, bằng chứng số được quản lý bởi ba nguyên tắc chủ yếu: mức độ liên quan, tính tin cậy và sự đầy đủ Đó là ba nguyên tắc quan trọng trong tất cả các cuộc điều tra Bằng chứng số gọi là liên quan khi dùng để chứng minh hay bác bỏ một một yếu tố của trường hợp cụ thể đang bị điều tra Mặc dù định nghĩa chi tiết của “độ tin cậy” là khác nhau giữa các cơ quan nhưng đều có nghĩa tổng quan về nguyên tắc được thống nhất trên diện rộng là “để đảm bảo rằng bằng chứng số đúng là thứ mà nó giải nghĩa” DEFR thường không cần tập hợp tất cả các dữ liệu hoặc tạo ra một bản sao đầy đủ của bằng chứng số gốc Ở nhiều cơ quan khái niệm “sự đầy đủ” nghĩa là DEFR cần tập hợp đủ các bằng chứng số tiềm năng để thẩm tra hoặc điều tra đầy đủ các yếu tố của vấn đề Hiểu biết về khái niệm này là đặc biệt quan trọng đối với DEFR để xác định đúng các nỗ lực cần ưu tiên khi quan tâm về vấn đề thời gian và chi phí.

CHÚ THÍCH: DEFR nên đảm bảo việc tập hợp các bằng chứng số tiềm năng được thực hiện phù hợp với luật pháp, quy định và yêu cầu liên quan đến từng trường hợp cụ thể Quá trình thu thập cần xác định phạm vi, phương pháp và thời điểm phù hợp nhằm đảm bảo tính hợp lệ, xác thực và có thể chấp nhận của bằng chứng số trong các quy trình phân tích và tố tụng Đồng thời, DEFR cần duy trì hồ sơ đầy đủ, bảo vệ tính toàn vẹn của dữ liệu và tuân thủ các chuẩn bảo mật để bảo vệ quyền riêng tư và an toàn thông tin.

Tất cả các quy trình được DEFR và DES sử dụng đều phải được xác nhận tính hợp lệ trước khi thực hiện Nếu việc xác nhận tính hợp lệ được tiến hành ở bên ngoài, DEFR hoặc DES nên xác minh rằng quá trình xác nhận phù hợp với mục đích sử dụng quy trình và với môi trường, hoàn cảnh mà các quy trình này sẽ được áp dụng DEFR hoặc DES cũng nên: lập tài liệu đầy đủ mọi hành động đã thực hiện; quyết định và áp dụng một phương pháp để thiết lập độ chính xác và độ tin cậy của bản sao bằng chứng số tiềm năng so với bản gốc; và nhận biết rằng hành động bảo quản bằng chứng số tiềm năng không phải lúc nào cũng là hành động không có sự can thiệp.

Các yêu cầu để xử lý bằng chứng số

Tổng quan

Các nguyên tắc đặt ra tại 5.2 bên trên có thể được thỏa mãn như sau:

- Mức độ liên quan: Phải chứng minh được rằng tài liệu thu thập được là có liên quan đến việc điều tra Tức là nó phải chứa các thông tin có giá trị hỗ trợ điều tra Thông qua đánh giá và biện minh, DEFR phải có khả năng mô tả các thủ tục đã thực hiện và giải thích làm thế nào mà ra quyết định thu thập mỗi hạng mục.

Tính tin cậy là yếu tố then chốt trong xử lý bằng chứng số: mọi quy trình được sử dụng để xử lý bằng chứng số tiềm năng phải có thể được đánh giá và có tính lặp lại Kết quả của việc áp dụng các quy trình này phải có tính tái tạo, bảo đảm tính khách quan và khả năng kiểm chứng của quá trình điều tra.

- Sự đầy đủ: DEFR phải cân nhắc thu thập đủ các hạng mục để cho phép thực hiện điều tra một cách đầy đủ DEFR phải có thể, thông qua đánh giá và biện minh, đưa ra tổng số hạng mục đã được cân nhắc và các thủ tục đã được thực hiện để quyết định số lượng và hạng mục nào cần thu thập.

CHÚ THÍCH: Các hạng mục có thể được thu nhận thông qua các hành động thu thập và/hoặc tập hợp.

Có 4 khía cạnh trong việc xử lý bằng chứng số: khả năng đánh giá, khả năng biện minh, và khả năng lặp lại hoặc khả năng tái tạo tùy thuộc vào hoàn cảnh cụ thể.

Khả năng đánh giá

Đánh giá viên độc lập hoặc những người được ủy quyền phải có khả năng đánh giá các hoạt động mà DEFR và DES đã thực hiện, điều này có thể đạt được bằng việc lập một tài liệu đầy đủ ghi nhận mọi hành động đã triển khai DEFR và DES nên có thể biện minh cho quá trình ra quyết định bằng cách trình bày một chuỗi các hành động đã được xác định trước Các quy trình thực hiện của DEFR và DES cần được chuẩn bị sẵn để các đánh giá viên độc lập có thể xác định tính khoa học đầy đủ của phương pháp, kỹ thuật hoặc thủ tục đã áp dụng.

Khả năng lặp lại

Khả năng lặp lại được thiết lập khi cùng kết quả kiểm thử được tạo ra trong những điều kiện sau đây:

- Sử dụng cùng phương pháp, thủ tục kiểm thử;

- Sử dụng cùng công cụ trong cùng điều kiện;

- Có thể lặp lại tại bất kỳ thời điểm nào sau phép kiểm thử gốc/ban đầu.

Một DEFR có kinh nghiệm và chuyên môn phù hợp cần có khả năng thực hiện tất cả các quá trình được mô tả trong tài liệu và đi đến cùng một kết quả mà không cần hướng dẫn hoặc giải thích DEFR phải nhận biết rằng có thể có những trường hợp không thể lặp lại các thử nghiệm, vi dụ: khi một ổ cứng đã được sao chép dữ liệu và được đưa sử dụng lại, hoặc khi một khoản mục có liên quan đến bộ nhớ dễ biến động Trong trường hợp này, DEFR nên đảm bảo quá trình thu thập là đáng tin cậy.

Khả năng tái tạo

Khả năng tái tạo được thiết lập khi cùng kết quả kiểm thử được tạo ra trong các điều kiện sau:

- Sử dụng cùng phương pháp kiểm thử;

- Sử dụng các công cụ khác nhau và trong các điều kiện khác nhau;

- Có thể tái tạo được tại bất kỳ thời điểm nào sau phép kiểm thử gốc/ban đầu.

Nhu cầu tái tạo kết quả phụ thuộc vào khung pháp lý và tình huống cụ thể, vì vậy DEFR hoặc cá nhân thực hiện việc tái tạo cần được cung cấp đầy đủ thông tin về các điều kiện áp dụng để bảo đảm tính hợp lệ, tuân thủ các quy định và đạt được kết quả mong muốn.

Khả năng biện minh

DEFR phải có khả năng biện minh tất các hành động và các phương pháp đã sử dụng trong xử lí bằng chứng số Các biện minh có thể đạt được bằng cách chứng minh rằng các quyết định là sự lựa chọn tốt nhất để có được tất cả các bằng chứng số DEFR hoặc DES khác cũng có thể chứng minh điều này bằng cách tái tạo thành công hoặc xác minh các hành động và phương pháp đã sử dụng.

Tổ chức sẽ đạt được lợi ích lớn nhất khi thuê một DEFR hoặc DES có kỹ năng và năng lực cơ bản như mô tả trong Phụ lục A của tiêu chuẩn này Điều này đảm bảo các quy trình và thủ tục xử lý bằng chứng số được thực hiện đúng đắn, từ đó bảo quản các bằng chứng số có giá trị chứng cứ Đồng thời, đội ngũ DEFR hoặc DES như vậy sẽ giúp tổ chức có thể khai thác các bằng chứng số tiềm năng cho các thủ tục tuân thủ nghiêm ngặt và tạo điều kiện thuận lợi cho trao đổi bằng chứng số giữa các cơ quan pháp luật.

CHÚ THÍCH: Năng lực mô tả trong Phụ lục A được giới hạn cho chức năng của DEFR, có liên kết với vai trò DES như xác định trong Điều 3.8.

Quá trình xử lý bằng chứng số

Tổng quan

Mặc dù quá trình xử lý bằng chứng số đầy đủ bao gồm các hoạt động khác (ví dụ: trình bày, bác bỏ ), phạm vi của tiêu chuẩn này chỉ liên quan đến quá trình xử lí ban đầu bao gồm xác định, tập hợp, thu thập và bảo quản bằng chứng số tiềm năng.

Bằng chứng số có thể rất dễ bị phá hủy Nó có thể bị thay đổi, giả mạo, hoặc phá hủy do xử lý hoặc thẩm tra không đúng cách Người xử lý bằng chứng số nên có năng lực để xác định và quản lý các rủi ro và hậu quả của tiến trình hành động tiềm năng khi xử lý bằng chứng số Các lỗi do không xử lý thiết bị số bằng phương pháp thích hợp có thể khiến các bằng chứng số tiềm năng chứa trong những thiết bị số này không sử dụng được.

DEFR và DES nên thực hiện theo các thủ tục đã được lập tài liệu để đảm bảo sự toàn vẹn và độ tin cậy của các bằng chứng số tiềm năng Các thủ tục này bao gồm các hướng dẫn xử lý nguồn bằng chứng số tiềm năng và phải tuân thủ các nguyên tắc cơ bản được xây dựng để đảm bảo tính xác thực, tính nhất quán và khả năng tái hiện của dữ liệu trong mọi giai đoạn từ thu thập, phân tích đến lưu trữ và trình bày kết quả.

- Giảm tối đa việc xử lý các thiết bị số gốc hoặc bằng chứng số tiềm năng;

- Giải thích bất kỳ thay đổi và các hành động đã thực hiện (đến mức độ mà một chuyên gia có thế hình thành ý kiến về độ tin cậy);

- Tuân thủ các quy tắc nội bộ về bằng chứng; và

- DEFR và DES không nên thực hiện những hành động vượt quá năng lực của họ.

Việc tuân thủ các nguyên tắc cơ bản và các yêu cầu về xử lý bằng chứng số giúp bảo đảm tính bảo quản và tính toàn vẹn của bằng chứng trong mọi tình huống Khi có sự thay đổi không thể tránh khỏi, mọi hành động và lý do thực hiện đều được ghi chép đầy đủ để đảm bảo chứng cứ có thể xác thực và được sử dụng hợp lệ Quá trình xử lý bằng chứng số, bao gồm xác định, tập hợp, thu thập và bảo quản, được trình bày chi tiết ở các điều liên quan ở phần dưới.

Xác định

Bằng chứng số được thể hiện qua hai hình thức cơ bản: vật lý và logic Hình thức vật lý là các biểu diễn của dữ liệu tồn tại trên các thiết bị hữu hình như phần cứng và phương tiện lưu trữ Ngược lại, hình thức logic của bằng chứng số là các biểu diễn ảo của dữ liệu được xử lý và lưu trữ trong hệ thống máy tính, thể hiện sự hiện diện và hoạt động của dữ liệu trong môi trường số khi cần thiết.

Quá trình xác định liên quan đến việc tìm kiếm, nhận dạng và lập tài liệu cho bằng chứng số tiềm năng. Quá trình xác định nên nhận dạng các phương tiện lưu trữ số và các thiết bị xử lí có thể chứa các bằng chứng số tiềm năng liên quan đến sự cố Quá trình này cũng bao gồm những hoạt động ưu tiên cho việc tập hợp các bằng chứng dựa vào tính dễ biến động của chúng Sự biến động của dữ liệu cần được xác định để đảm bảo trình tự đúng của quá trình tập hợp và sao chép nhằm giảm thiểu thiệt hại cho các bằng chứng và để có được các bằng chứng tốt nhất Ngoài ra, quá trình xác định nên nhận dạng khả năng có các bằng chứng số tiền năng ẩn DEFR và DES nên biết rằng không phải tất cả các loại phương tiện lưu trữ số nào cũng có thể dễ dàng xác định, ví dụ như điện toán đám mây, NAS và SAN - tất cả những thứ đều thêm một thành phần ảo vào quá trình xác định

DEFR nên thực hiện việc tìm kiếm toàn diện và có hệ thống các hạng mục có thể chứa đựng bằng chứng số tiềm năng, vì các loại thiết bị số khác nhau có thể chứa đựng bằng chứng quan trọng và dễ bị bỏ sót do kích thước nhỏ, sự che khuất hoặc nhầm lẫn với các hạng mục không liên quan Điều 6.1 và 6.6 cung cấp thêm thông tin về chuỗi giám hộ (chain of custody), quy trình đóng gói và ghi nhãn các khía cạnh liên quan đến nhận diện bằng chứng số Điều 7 đưa ra hướng dẫn cụ thể liên quan tới các trường hợp đặc thù về xác định, tập hợp, thu thập và bảo quản bằng chứng số.

Tập hợp

Khi các thiết bị số được xác định có thể chứa bằng chứng số tiềm năng, DEFR và DES nên quyết định tập hợp hoặc thu thập trong các bước tiếp theo Có một số yếu tố quyết định cho quyết định này và được đề cập chi tiết tại Điều 7 Quyết định này phải dựa trên trường hợp cụ thể.

Tập hợp là một quá trình trong quá trình xử lý bằng chứng số, khi các thiết bị có thể chứa bằng chứng số tiềm năng được di dời khỏi vị trí ban đầu và đưa đến phòng thí nghiệm hoặc môi trường có kiểm soát khác, sau đó là thu thập và phân tích Các thiết bị có chứa bằng chứng số tiềm năng có thể ở một trong hai trạng thái: Khi hệ thống bật nguồn hoặc khi hệ thống tắt nguồn Các cách tiếp cận khác nhau và công cụ khác nhau được yêu cầu tùy thuộc vào trạng thái của thiết bị Các thủ tục nội bộ có thể áp dụng cho các cách tiếp cận và công cụ được sử dụng cho quá trình tập hợp.

Quá trình này gồm lập tài liệu toàn diện về cách tiếp cận và đóng gói thiết bị trước khi vận chuyển Đối với DEFR và DES, việc tập hợp mọi hạng mục có thể liên quan đến thông tin chứng cứ số tiềm năng là rất quan trọng, ví dụ như giấy tờ có ghi mật khẩu, giá đỡ và các bộ kết nối nguồn cho các thiết bị hệ thống nhúng Thông tin chứng cứ số có thể bị mất hoặc hư hỏng nếu không được bảo quản hợp lý, vì vậy DEFR và DES nên áp dụng phương pháp tập hợp tốt nhất dựa trên tình huống cụ thể, cân nhắc chi phí thời gian và lập tài liệu về quyết định sử dụng một phương pháp cụ thể để đảm bảo tính toàn vẹn của dữ liệu.

Ghi chú 1 cho biết việc tháo dời các phương tiện lưu trữ số là không được khuyến khích; DEFR nên đảm bảo họ có thẩm quyền tháo dời các phương tiện lưu trữ và nhận diện được rằng hành động này là phù hợp và được phép.

Chú thích 2 nêu rõ rằng chi tiết về các thiết bị kỹ thuật số không được tập hợp phải được lập thành tài liệu có kèm giải thích cho việc loại trừ những thiết bị này, đảm bảo tuân thủ đúng yêu cầu và thẩm quyền liên quan.

Thu thập

Quá trình thu thập chứng cứ số liên quan đến việc tạo ra một bản sao bằng chứng số, có thể là toàn bộ một đĩa cứng, một phân vùng hoặc các tập tin được lựa chọn, và đồng thời ghi nhận đầy đủ các phương pháp đã áp dụng và các hoạt động đã thực hiện DEFR nên áp dụng một phương pháp thu thập phù hợp với tình huống, cân nhắc chi phí và thời gian, đồng thời lập tài liệu chi tiết về quyết định sử dụng một phương pháp hoặc công cụ thích hợp nhằm đảm bảo tính toàn vẹn của dữ liệu, khả năng kiểm chứng và tuân thủ các yêu cầu pháp lý và chuẩn mực an toàn thông tin.

Phương pháp thu thập bằng chứng số tiềm năng phải được lập tài liệu đầy đủ, chi tiết và có thể tái tạo hoặc thẩm tra bởi một DEFR có năng lực Các DEFR hoặc DES nên thực hiện quá trình thu thập theo cách ít can thiệp nhất có thể để tránh gây ra những thay đổi không mong muốn đối với dữ liệu số Để thực hiện quy trình tối ưu, DEFR nên cân nhắc kỹ lưỡng phương pháp phù hợp nhất và áp dụng biện pháp thích hợp; nếu quá trình này gây ra những thay đổi không thể tránh khỏi đối với dữ liệu, toàn bộ hoạt động đã thực hiện phải được ghi lại trong tài liệu để giải thích sự biến đổi dữ liệu.

Phương pháp thu thập được sử dụng nên tạo ra một bản sao bằng chứng số của bằng chứng số tiềm năng hoặc các thiết bị kỹ thuật số có thể chứa bằng chứng số tiềm năng Cả nguồn gốc và bản sao bằng chứng số cần được xác nhận với một hàm xác minh đã được chứng minh (độ chính xác được chứng minh tại cùng thời điểm) được chấp nhận bởi cá nhân sẽ sử dụng bằng chứng Nguồn gốc và mỗi bản sao bằng chứng số nên tạo ra cùng một kết quả đầu ra của hàm xác minh.

Trong trường hợp quá trình xác minh không thể thực hiện được, ví dụ khi thu thập một hệ thống đang chạy, bản sao gốc sẽ chứa các sector lỗi, hoặc thời gian thu thập sẽ bị hạn chế Trong những trường hợp này, DEFR nên sử dụng phương pháp thu thập tốt nhất có sẵn và có thể biện hộ và chứng minh việc lựa chọn phương pháp này Nếu bản sao không thể xác minh được, thì việc này cần phải được lập tài liệu và biện hộ Nếu cần thiết, phương pháp thu thập được sử dụng nên có thể chứa không gian lưu trữ đã phân bổ và không được phân bổ

CHÚ THÍCH 1: Khi quá trình xác minh không thể thực hiện trên nguồn đầy đủ do lỗi ở nguồn, việc xác minh sẽ sử dụng các bộ phận của nguồn có thể đọc được một cách tin cậy và sử dụng được.

Trong các trường hợp nguồn bằng chứng số quá lớn khiến việc sao chép toàn bộ không khả thi hoặc không được phép, DEFR có thể thu thập một phân vùng logic nhắm vào các kiểu dữ liệu, thư mục hoặc vị trí cụ thể, và thao tác này thường được thực hiện ở mức tệp tin và mức phân vùng Trong quá trình thu thập, các tệp tin hiện có và không gian lưu trữ đã được cấp phát mà không chứa dữ liệu của nguồn lưu trữ số có thể được thu thập; các tệp tin bị xóa và không gian lưu trữ không được cấp phát có thể không được sao chép, tùy thuộc vào phương pháp được sử dụng Những trường hợp khác mà phương pháp này hữu ích là khi các hệ thống thực hiện nhiệm vụ trọng yếu mà không thể tắt hệ thống đó.

CHÚ THÍCH 2 cho biết một số cơ quan pháp luật có thể yêu cầu xử lý đặc biệt đối với dữ liệu, ví dụ thực hiện niêm phong dữ liệu có sự hiện diện của chủ sở hữu dữ liệu đó Việc niêm phong được thực hiện đúng theo yêu cầu về thủ tục và pháp luật.

Bảo quản

Bằng chứng số tiềm năng nên được bảo quản một cách cẩn thận để đảm bảo tính hữu ích của nó trong điều tra Việc bảo vệ tính toàn vẹn của bằng chứng số là yếu tố then chốt để ngăn chặn giả mạo hoặc sửa đổi Quá trình bảo quản bằng chứng số bao gồm việc bảo vệ các bằng chứng số tiềm năng và các thiết bị số có thể chứa bằng chứng khỏi bị can thiệp Việc bảo quản nên bắt đầu và được duy trì xuyên suốt quá trình xử lý bằng chứng số, bắt đầu từ việc xác định các thiết bị số chứa bằng chứng tiềm năng.

Trong kịch bản tối ưu, không nên có sự sửa đổi đối với dữ liệu hoặc siêu dữ liệu liên quan (ví dụ ngày tháng và dấu thời gian) DEFR phải có thể chứng minh rằng bằng chứng chưa từng bị chỉnh sửa kể từ khi được tập hợp hoặc thu thập, hoặc cung cấp lý do và các hành động đã được lập hồ sơ nếu có những thay đổi không thể tránh khỏi đã được thực hiện.

CHÚ THÍCH: Trong một vài trường hợp, tính bí mật của bằng chứng số tiềm năng được yêu cầu, hoặc là yêu cầu nghiệp vụ hoặc là một yêu cầu pháp lý (ví dụ: tính riêng tư) Các bằng chứng số tiềm năng nên được bảo quản để bảo đảm sự bí mật của dữ liệu.

6 Các thành phần chính trong xác định, tập hợp, thu thập và bảo quản bằng chứng số

Chuỗi canh giữ bằng chứng (chain of custody)

Trong mọi cuộc điều tra, DEFR nên có thể giải thích mọi dữ liệu và thiết bị được thu thập tại thời điểm canh giữ Hồ sơ canh giữ, hay chuỗi bằng chứng, là tài liệu sắp xếp theo trình tự các sự kiện nhằm xác định sự di chuyển và quá trình xử lý của bằng chứng số tiềm năng Hồ sơ này nên được hình thành từ quá trình tập hợp và thu thập dữ liệu, thường bằng cách truy vết lịch sử của các hạng mục từ thời điểm nó được đội điều tra xác định, tập hợp hoặc thu thập cho đến trạng thái và vị trí hiện tại.

Hồ sơ canh giữ là tài liệu hoặc một loạt các tài liệu có liên quan ghi chi tiết về chuỗi canh giữ và ghi lại người chịu trách nhiệm xử lý các bằng chứng số, ở dạng dữ liệu số hoặc ở các dạng khác (như ghi chép giấy) Mục đích của việc duy trì hồ sơ canh giữ là để cho phép xác định việc truy cập và sự di chuyển của bằng chứng số ở mỗi thời điểm xác định Hồ sơ canh giữ có thể bao gồm nhiều tài liệu, ví dụ đối với bằng chứng số tiềm năng nên có một tài liệu ghi lại sự thu thập dữ liệu số vào một thiết bị cụ thể, sự di chuyển của thiết bị này và tài liệu ghi lại sự trích xuất hoặc sao chép bằng chứng số tiềm năng sau đó để phân tích hoặc cho các mục đích khác Hồ sơ canh giữ nên có ít nhất các thông tin dưới đây:

- Mã xác định duy nhất cho bằng chứng;

- Người truy cập vào bằng chứng và thời gian, vị trí nơi truy cập;

- Người kiểm tra bằng chứng đưa vào và đưa ra khỏi cơ sở bảo quản bằng chứng và thời điểm nào;

- Tại sao các bằng chứng được kiểm tra (trường hợp nào và mục đích gì) và các cơ quan liên quan (nếu có);

- Bất kỳ những thay đổi không thể tránh khỏi tới bằng chứng số, cũng như tên của cá nhân chịu trách nhiệm và biện minh về việc xảy ra sự thay đổi.

Chuỗi canh giữ bằng chứng nên được duy trì suốt vòng đời của bằng chứng và được bảo quản trong một khoảng thời gian xác định sau thời gian sống của bằng chứng; khoảng thời gian này có thể được thiết lập dựa trên các quy định của cơ quan pháp luật liên quan đến việc thu thập và áp dụng bằng chứng Chuỗi canh giữ nên bắt đầu từ thời điểm các thiết bị số và/hoặc bằng chứng số tiềm năng được thu thập và phải được đảm bảo không bị xâm hại để bảo toàn tính toàn vẹn và độ tin cậy của chứng cứ trong quá trình điều tra.

CHÚ THÍCH : Một vài cơ quan pháp luật có thể có các yêu cầu đặc biệt đối với chuỗi canh giữ DEFR nên tuân thủ những yêu cầu này.

Phong tỏa/bảo vệ hiện trường tại vị trí xảy ra sự cố

Tổng quát

DEFR nên thực hiện các hành động nhằm bảo vệ và bảo đảm an toàn cho vị trí của bằng chứng số tiềm năng ngay khi họ đến hiện trường Các hành động này cần phù hợp với quy định nội bộ và được thiết kế để tối ưu hóa việc bảo vệ dữ liệu số, duy trì tính toàn vẹn của bằng chứng và hỗ trợ quá trình điều tra khi có thể thu thập và phân tích thông tin liên quan.

- Bảo vệ và kiểm soát khu vực chứa các thiết bị;

- Xác định cá nhân phụ trách vị trí này;

- Đảm bảo mọi người được đưa ra xa khỏi thiết bị và nguồn cung cấp;

- Lập tài liệu bất kỳ cá nhân nào đã tiếp cận vị trí và những người có thể có lý do để tham gia tại hiện trường sự cố;

Thiết bị ở chế độ BẬT không được chuyển sang chế độ TẮT, và ngược lại khi thiết bị đang ở chế độ TẮT cũng không được chuyển sang chế độ BẬT Quy định này duy trì trạng thái hoạt động của thiết bị và ngăn ngừa các thao tác chuyển đổi nhầm lẫn hoặc vô tình Việc không cho phép chuyển đổi giữa hai trạng thái BẬT và TẮT giúp người dùng nhận biết rõ trạng thái hiện tại của thiết bị và tăng tính ổn định cho hệ thống.

Trong trường hợp có thể, hãy lập tài liệu hiện trường đầy đủ bằng cách vẽ phác họa, chụp ảnh và quay video, ghi lại tất cả thành phần và cáp ở đúng vị trí gốc Nếu không có máy ảnh và máy quay, cần phác họa hệ thống và ghi nhãn rõ các cổng, các cáp để hệ thống có thể được xác nhận và sau này tái dựng một cách chính xác.

Trong trường hợp được cho phép, thực hiện tìm kiếm trong khu vực chứa các hạng mục như giấy ghi chú, nhật ký, giấy tờ, máy tính xách tay, và các thiết bị phần cứng cũng như phần mềm để nắm bắt các chi tiết quan trọng liên quan đến thiết bị, ví dụ mật khẩu và mã PIN.

CHÚ THÍCH 1 cho biết một số cơ quan pháp luật có thể đặt ra các yêu cầu đặc biệt liên quan đến việc tiếp nhận bằng chứng là ảnh và video DEFR nên tuân thủ đầy đủ các yêu cầu này để đảm bảo tính hợp lệ và giá trị của nguồn tư liệu, đồng thời tăng tính minh bạch và tuân thủ quy định pháp lý liên quan đến thu thập, lưu trữ và trình bày bằng chứng hình ảnh và video Việc thực hiện đúng chuẩn giúp đảm bảo tính xác thực của chứng cứ và thuận lợi cho quá trình xét xử; vì vậy DEFR cần rà soát và áp dụng các hướng dẫn tiếp nhận phù hợp với định dạng, chất lượng và ghi chú nguồn gốc để tối ưu cho quá trình xử lý vụ việc.

CHÚ THÍCH 2: DEFR cần nhận thức rằng bằng chứng số tiềm năng có thể không nằm ở các vị trí rõ ràng, vì chúng có thể được lưu trữ phân bổ hoặc ảo hóa Đầu tiên, DEFR nên nhận biết tất cả các rủi ro liên quan đến việc thực hiện các quá trình trong suốt cuộc điều tra và cần cân nhắc biện pháp bảo vệ cá nhân cũng như bảo vệ các bằng chứng số tiềm năng tại hiện trường sự cố.

Nhân sự

Tiến hành đánh giá rủi ro liên quan đến an toàn nhân sự trước khi bắt đầu quá trình là rất quan trọng do an toàn của các nhân viên liên quan trong quá trình này là đặc biệt quan trọng Các vấn đề cần xem xét trong đánh giá rủi ro đối với nhân sự bao gồm, nhưng không giới hạn như sau:

- Sẽ điều tra các cá nhân có mặt không? Nếu có mặt, họ có thiên hướng quá khích không?

- Thời gian nào trong ngày sẽ tiến hành hoạt động?

- Có thể cách ly hiện trường sự cố với người ngoài không?

- Có những loại vũ khí nào trong khu vực ?

- Có mối nguy hại vật lý nào tới cá nhân hiện tại không?

Trong khu vực lân cận có thể có bất cứ thứ gì được cấu hình sẵn, kể cả thiết bị, có thể gây thiệt hại vật lý nếu bị xử lý không đúng cách Điều này bao gồm các rủi ro từ hệ thống được kích hoạt hoặc các thiết bị có thể gây hại khi có sự can thiệp trái phép, ví dụ như một bẫy ẩn Để giảm thiểu nguy cơ, cần nhận diện và đánh giá các mối nguy, tuân thủ nguyên tắc an toàn và quy trình vận hành chuẩn, và tìm kiếm sự hỗ trợ của chuyên gia khi cần kiểm tra khu vực xung quanh.

- Các hạng mục được tập hợp có bất kỳ khả năng gây ra thiệt hại tâm lý hoặc hành vi phạm tội không?

- Hiện trường vụ việc có được coi là an toàn không?

- Khu vực xung quanh có tác động rủi ro tiềm tàng không?

Bằng chứng số tiềm năng

DEFR nên cẩn thận khi sử dụng một số công cụ để tập hợp hoặc thu thập bằng chứng số tiềm năng. Không tính toán rủi ro trước khi hành động có thể dẫn đến mất ít hoặc mất cả các bằng chứng số tiềm năng do các công nghệ được áp dụng trong suốt quá trình tập hợp hoặc sao chép Các rủi ro nên được đánh giá để làm giảm các khiếu nại do hư hỏng.

Đánh giá rủi ro trong điều tra bằng chứng số là quá trình ước lượng hệ thống các rủi ro và xác định tác động tiềm năng của chúng lên toàn bộ chu trình thu thập, phân tích và bảo quản bằng chứng số Các yếu tố cần xem xét khi đánh giá rủi ro cho bằng chứng số tập trung vào nhận diện nguồn rủi ro, ước lượng xác suất xảy ra và mức độ ảnh hưởng, đánh giá khả năng phát hiện, kiểm soát và phục hồi rủi ro, cũng như tính phù hợp của các biện pháp an toàn, quy trình quản lý và hồ sơ audit Việc tích hợp đánh giá rủi ro vào quy trình điều tra nhằm nâng cao tính toàn vẹn và xác thực của bằng chứng số, tối ưu hóa quyết định điều tra và tăng cường sự chuẩn bị cho các tình huống tiềm ẩn trong điều tra số.

- Loại phương pháp tập hợp/thu thập nào được áp dụng?

- Các thiết bị nào có thể cần đến tại hiện trường?

- Mức độ biến động của dữ liệu và thông tin liên quan đến bằng chứng số tiềm năng?

- Có thể có truy cập từ xa tới các thiết bị kỹ thuật số không và nó có đe dọa tới tính toàn vẹn của bằng chứng không?

- Điều gì sẽ xảy ra nếu dữ liệu/thiết bị bị phá hủy?

- Dữ liệu có thể bị hư hỏng không?

- Các thiết bị kỹ thuật số có thể được cấu hình để phá hủy (ví dụ, sử dụng bom logic), làm hư hỏng hoặc làm rối dữ liệu nếu tắt hoặc truy cập ở chế độ không được kiểm soát?

Vai trò và trách nhiệm

DEFR có vai trò xác định, tập hợp, thu thập và bảo quản bằng chứng số tiềm năng tại hiện trường sự cố, bao gồm viết báo cáo tập hợp và thu thập nhưng không nhất thiết phải báo cáo phân tích, đồng thời đảm bảo sự toàn vẹn và xác thực của bằng chứng số tiềm năng; để thực hiện hiệu quả công việc, DEFR cần có kinh nghiệm, kỹ năng và kiến thức phù hợp trong xử lý bằng chứng số tiềm năng, vì bằng chứng số dễ bị hư hỏng.

DEFR cũng có thể yêu cầu nhân viên hỗ trợ kỹ thuật trong các lĩnh vực liên quan Vai trò của DES là liên kết bằng chứng số tiềm năng tại hiện trường sự cố DES cung cấp kiến thức chuyên môn cho DEFR Bảng năng lực của DEFR (tại Phụ lục A) hướng dẫn xác định mức độ năng lực phù hợp của các DEFR.

CHÚ THÍCH: Trong hoàn cảnh xử lý sự cố mà có mặt ISIRT, vai trò của DEFR và/hoặc DES như là thành viên của đội ISIRT được đề cập trong tiêu chuẩn TCVN 11239:2015.

Năng lực

DEFR và/hoặc DES nên có năng lực kỹ thuật và pháp luật thích hợp (ví dụ như liệt kê tại Phụ lục A) và có thể chứng minh rằng họ được đào tạo đúng và có đủ hiểu biết về pháp luật và kỹ thuật để xử lý các bằng chứng số tiềm năng một cách thích hợp Điều này bao gồm hiểu biết về các quy trình và phương pháp thích hợp cho xử lý các nguồn bằng chứng số tiềm năng Việc đào tạo đầy đủ sẽ cho phép các DEFR xử lý các thiết bị kỹ thuật số chứa các bằng chứng số tiềm năng Việc có bộ công cụ tốt nhất sẽ không bảo đảm được chất lượng của bằng chứng số nếu DEFR không có năng lực thực hiện các nhiệm vụ.

Một số cơ quan pháp luật quy định cách DEFR thiết lập trình độ chuyên môn và năng lực của họ Nhiệm vụ của DEFR là đảm bảo họ nhận được thông tin đúng đắn về cách thực hiện đúng theo yêu cầu pháp lý Khi được yêu cầu, DEFR và/hoặc DES nên chứng minh thẩm quyền để xử lý các bằng chứng số tiềm năng bằng cách sử dụng các công cụ và phương thức được lựa chọn để thực thi nhiệm vụ, và DEFR cần có khả năng cung cấp bằng chứng liên quan đến phạm vi trách nhiệm của mình.

Một vài điều kiện tiên quyết cho DEFR được quy định như sau:

- Được huấn luyện đầy đủ để xử lý các thiết bị số trong phạm vi hoạt động điều tra.

DEFR nên liên tục chứng minh và duy trì các kỹ năng, năng lực của mình trước các cơ quan thích hợp trong lĩnh vực xử lý bằng chứng số tiềm năng có liên quan Việc thể hiện một cách nhất quán các kỹ năng này sẽ tăng độ tin cậy, đảm bảo tuân thủ chuẩn mực pháp lý và tiêu chuẩn nghề nghiệp, đồng thời nâng cao hiệu quả xử lý các tình huống liên quan đến bằng chứng số Để duy trì sự phù hợp và cạnh tranh, DEFR cần được đào tạo định kỳ, cập nhật công nghệ mới, đảm bảo an toàn dữ liệu và thiết lập các tiêu chuẩn chất lượng nhằm bảo vệ tính xác thực và giá trị của bằng chứng số trong mọi quá trình điều tra và phân tích.

- Đây là trách nhiệm của các cá nhân và DEFR để chắc chắn họ được đào tạo đầy đủ các kỹ năng và khả năng duy trì.

CHÚ THÍCH: Năng lực của một DEFR có thể khác nhau tùy theo cơ quan pháp luật.

Sử dụng hợp lý

Tránh mọi hành động có thể sửa đổi hoặc làm mất bằng chứng số được lưu trữ trên các thiết bị số do tác động cố ý hay vô ý Ví dụ, tiếp xúc với từ trường có thể làm hỏng bằng chứng số lưu trữ trên băng từ và các phương tiện lưu trữ khác DEFR không nên truy cập vào các thiết bị số hoặc dump bộ nhớ từ thiết bị đang chạy, trừ khi có yêu cầu hợp pháp và chỉ dùng các quy trình đáng tin cậy, được xác minh và chuẩn hóa nhằm đảm bảo tính toàn vẹn của bằng chứng số.

Có một số trường hợp là phi thực tế để tập hợp hoặc thu thập bằng chứng số tiềm năng DEFR nên xem xét những trường hợp sau đây:

- Nếu không được cho phép pháp lý hoặc ủy quyền để tập hợp các thiết bị số;

- Nếu có nghĩa vụ sử dụng các phương pháp khác (ví dụ để tránh gián đoạn việc kinh doanh);

- Nếu DEFR muốn bắt giữ các phương pháp thao tác của kẻ tình nghi trong sự lạm dụng của một hệ thống;

- Nếu việc tập hợp hoặc thu thập nên diễn ra bí mật, nếu được cơ quan có thẩm quyền cho phép;

- Nếu đây là một thiết bị kỹ thuật số với nhiệm vụ quan trọng không thể bị dừng;

Trong hệ sinh thái CNTT hiện nay, kích thước vật lý của thiết bị kỹ thuật số ảnh hưởng trực tiếp đến cách bố trí và vận hành hệ thống, đặc biệt khi các thiết bị như máy chủ đặt tại trung tâm dữ liệu hoặc hệ thống RAID có kích thước lớn Những thiết bị như vậy đòi hỏi không gian rack rộng, nguồn điện và hệ thống làm mát mạnh, từ đó làm tăng chi phí vận hành và khiến việc mở rộng khi nhu cầu tăng lên trở nên khó khăn hơn Để tối ưu hiệu suất và chi phí, các doanh nghiệp thường cân nhắc tối giản hóa kích thước bằng cách chọn máy chủ gắn rack hiệu suất cao, lưu trữ đám mây, ảo hóa, hoặc chuyển sang các mô hình edge computing nhằm giảm bớt phụ thuộc vào cơ sở dữ liệu tại chỗ Việc lên kế hoạch dựa trên kích thước vật lý của thiết bị giúp tối ưu hóa không gian, tiết kiệm năng lượng và tăng tính linh hoạt cho hạ tầng CNTT.

- Nếu đây là một thiết bị kỹ thuật số thiết yếu liên quan đến an toàn mà sẽ gây nguy hiểm đến tính mạng nếu bị dừng;

- Nếu nó là một thiết bị kỹ thuật số đang phục vụ những bên không có liên can.

Lập tài liệu

Việc lập tài liệu đầy đủ và chính xác là nền tảng khi xử lý các thiết bị số có thể chứa bằng chứng số tiềm năng; để đảm bảo tính toàn vẹn, khả năng thừa nhận trong tố tụng và tuân thủ pháp lý, DEFR nên tuân thủ các nguyên tắc cơ bản sau khi lập tài liệu: mô tả rõ trạng thái ban đầu của thiết bị và nguồn dữ liệu; ghi lại thời gian, người thực hiện và phương pháp lấy dữ liệu; lưu trữ và sao lưu dữ liệu an toàn, kiểm tra tính nguyên vẹn của dữ liệu và chuỗi sự kiện; ghi lại mọi thao tác và chuỗi truy cập dữ liệu để có bằng chứng có thể truy dấu; bảo mật và quản lý quyền truy cập; tham chiếu và tuân thủ các chuẩn, hướng dẫn và quy định liên quan đến chứng cứ số và quản lý tài liệu nhằm tăng tính thuyết phục của hồ sơ.

Mọi hoạt động liên quan đến quá trình nhận diện, tập hợp, thu thập và bảo quản thông tin phải được ghi chép đầy đủ vào tài liệu nhằm đảm bảo không bỏ sót dữ liệu và tăng tính minh bạch của quy trình Việc ghi nhận chi tiết giúp bảo toàn tính toàn vẹn của dữ liệu và tạo nền tảng cho việc truy vết, tra cứu và xác minh bằng chứng số khi cần thiết Đặc biệt trong điều tra xuyên biên giới, hồ sơ được tổ chức và lưu trữ có hệ thống cho phép các bằng chứng số thu thập từ các nguồn bên ngoài biên giới dễ dàng truy xuất và xác thực, tăng hiệu quả của quá trình điều tra.

- DEFR nên nhạy bén về thiết lập thời gian và ngày tháng nếu các thiết bị số đang được bật nguồn.

Việc so sánh thời gian thiết lập với nguồn thời gian tin cậy giúp đảm bảo đồng bộ hệ thống và độ chính xác của dữ liệu Tất cả các thiết lập thời gian phải được ghi vào tài liệu và kèm theo ghi chú khi có sự khác biệt so với nguồn tin cậy Một số hệ thống yêu cầu mức độ tương tác của người dùng để thu thập và xác nhận ngày giờ, do đó cần quy trình rõ ràng DEFR nên thận trọng và không được sửa đổi hệ thống; chỉ những nhân viên được đào tạo mới được tiếp cận các thiết lập này.

DEFR nên ghi lại mọi nội dung có thể nhìn thấy trên màn hình các thiết bị số, bao gồm các chương trình đang hoạt động, các tiến trình hệ thống và tên thư mục đang mở, nhằm xây dựng một hồ sơ hoạt động dễ tra cứu Việc ghi chú cần mô tả đầy đủ những gì quan sát được, vì một số chương trình độc hại có thể giả danh như phần mềm hợp pháp để qua mặt hệ thống bảo mật và gây nhầm lẫn trong quá trình phân tích.

- Bất kỳ di chuyển của các thiết bị số nên được ghi vào tài liệu phù hợp với các yêu cầu nội bộ.

- Ghi tài liệu tất cả các nhận dạng duy nhất của các thiết bị số và các bộ phận liên kết như các số serial và nhãn duy nhất.

Đây là một ví dụ về bộ tài liệu tối thiểu về bằng chứng số tiềm năng được thiết kế để hỗ trợ sự trao đổi giữa các cơ quan pháp luật, và được trình bày trong Phụ lục B Bộ tài liệu tập trung vào các thành phần thiết yếu như nguồn dữ liệu, phương pháp thu thập, lưu trữ, tính toàn vẹn và chu trình chứng cứ số, nhằm đảm bảo tính khả kiểm chứng và dễ phối hợp giữa các cơ quan Phụ lục B cung cấp khung tham chiếu rõ ràng để chuẩn hóa quy trình thu thập và trao đổi bằng chứng số, đáp ứng các yêu cầu pháp lý và tiêu chuẩn chất lượng thông tin.

CHÚ THÍCH: Để hiểu rõ về quản lý tài liệu và quản lý hồ sơ, tham khảo các điều khoản liên quan trong tiêu chuẩn ISO/IEC 17025:2005 để có thêm thông tin về lập tài liệu Các quy định này chỉ rõ cách tổ chức, lưu trữ và truy xuất tài liệu, nhằm đảm bảo tính nhất quán và khả năng truy cập của hệ thống quản lý chất lượng và hồ sơ kỹ thuật.

Lời chỉ dẫn

Tổng quát

Đối với DEFR và DES, việc được chỉ dẫn đầy đủ bởi cơ quan có thẩm quyền trước khi thực hiện nhiệm vụ là bắt buộc, đồng thời phải tôn trọng các luật và ràng buộc về tính bí mật để hiểu rõ những điều căn bản Có một phiên chỉ dẫn chính thức được xem là công cụ quan trọng giúp nắm bắt sự cố, nhận diện mục tiêu mong muốn hoặc không mong muốn trong quá trình điều tra, và nhắc nhở về nguy cơ chứng cứ giả mạo hoặc sửa đổi Các hướng dẫn này phải đủ rõ ràng để các thành viên có sự chuẩn bị tốt, đảm bảo họ thực hiện đúng vai trò và trách nhiệm, đồng thời có thể khai thác các bằng chứng số tiềm năng một cách phù hợp.

Bằng chứng số cụ thể

Trong một phiên chỉ dẫn tập trung, nội dung cần nêu rõ các bằng chứng số cụ thể và cách thức thông báo cho DEFR về chi tiết liên quan đến cuộc điều tra Suốt phiên, DEFR và DES nên được cung cấp đầy đủ thông tin liên quan cùng các chỉ dẫn chi tiết về các bằng chứng số tiềm năng cần tập hợp hoặc thu thập, nhằm đảm bảo tính đầy đủ và khả năng sử dụng của dữ liệu trong quá trình điều tra Các thông tin và chỉ dẫn này có thể bao gồm danh mục các bằng chứng số cần thu thập, phương pháp thu thập và bảo quản để duy trì tính nguyên vẹn, thời hạn và người chịu trách nhiệm, cũng như các tiêu chí kiểm tra đảm bảo xác thực và nguồn gốc dữ liệu, nhằm tối ưu hóa hiệu quả làm việc và tuân thủ quy định liên quan.

- Loại sự cố (nếu biết);

- Thời gian xảy ra sự cố (nếu biết);

- Kế hoạch điều tra (tập hợp và/hoặc thu thập, hoạt động mạng đã biết, yêu cầu dữ liệu dễ biến đổi đã biết );

- Xem xét bằng chứng số tiềm năng được lưu trữ/vận chuyển ở đâu và như thế nào sau khi tập hợp hoặc thu thập;

- Các công cụ cụ thể cần thiết để thu thập các bằng chứng số tiềm năng;

- Các bằng chứng số tiềm năng liên quan đến loại điều tra cụ thể;

- Thiết bị và tài liệu hướng dẫn sử dụng có liên quan của các thiết bị kỹ thuật số;

Để tăng cường an toàn và tập trung, nhắc nhở các thành viên trong nhóm tắt Bluetooth hoặc Wi‑Fi trên điện thoại và máy tính của họ, trừ những thiết bị được dùng để phát hiện các kết nối Việc tắt các kết nối không cần thiết giúp mọi người không vô tình tương tác với các thiết bị kỹ thuật số và giảm thiểu nhiễu mạng trong buổi làm việc Chỉ để bật Bluetooth hoặc Wi‑Fi trên các thiết bị phục vụ cho việc phát hiện kết nối, nhằm đảm bảo an toàn thông tin, bảo mật và hiệu suất làm việc tốt hơn.

- Tầm quan trọng của việc lập tài liệu trong suốt cuộc điều tra; và

- Quy định pháp luật hoặc các yếu tố khác có thể không cho phép tập hợp bất kỳ thiết bị hoặc bằng chứng số tiềm năng;

Phiên chỉ dẫn cụ thể này có thể là một phần của phiên chỉ dẫn tổng quát được mô tả tại 6.7.1.

Nhân sự cụ thể

Một phiên chỉ dẫn tập trung hướng đến nhân sự cụ thể, nhằm thông báo cho các DEFR về các khía cạnh liên quan đến các bên liên quan trong quá trình điều tra Trong phiên chỉ dẫn, nhóm điều tra sẽ được cung cấp các chỉ dẫn liên quan đến nhân sự, bao gồm vai trò và trách nhiệm của từng thành viên, nguyên tắc bảo mật và quyền được biết, yêu cầu về thu thập và xử lý dữ liệu, hướng dẫn tiết lộ thông tin và các quy trình liên quan đến thời hạn, báo cáo và escalation, cùng với các biện pháp an toàn và không trả thù Những chỉ dẫn này giúp tăng cường sự phối hợp giữa các bên liên quan, đảm bảo tính minh bạch và tuân thủ các quy định liên quan đến điều tra và quản lý thông tin nhạy cảm.

- Sự phân công, vai trò trách nhiệm của đội điều tra tại hiện trường sự cố;

- Các cơ quan khác (nhân viên ý tế, nhà điều tra pháp y ) được dự kiến tham gia vào cuộc điều tra;

- Yêu cầu các thành viên trong nhóm không chấp nhận hỗ trợ kỹ thuật từ bất kỳ cá nhân trái phép;

Để giảm thiểu nguy cơ sửa đổi bằng chứng số và đảm bảo tính toàn vẹn của dữ liệu, các thành viên trong nhóm phải thực hiện các thủ tục nghiêm ngặt Việc tuân thủ quy trình giúp ngăn ngừa mọi tác động lên bằng chứng số và hạn chế rủi ro từ các công cụ hoặc vật liệu có thể tạo ra hoặc phát ra tĩnh điện hoặc từ trường Vì vậy, tránh sử dụng những thiết bị hoặc vật liệu có khả năng gây hư hỏng hoặc phá hủy bằng chứng số tiềm năng là một phần quan trọng của quản lý chứng cứ số.

Phiên chỉ dẫn cụ thể này có thể là một phần của phiên hướng dẫn tổng quát được mô tả tại 6.7.1

Thời gian thực xảy ra sự cố

Sẽ rất tốt nếu cuộc điều tra về một sự cố được lên kế hoạch trước, nhưng có những trường hợp (ví dụ khi một sự cố đang phát triển và đang được ứng cứu trong thời gian thực) khi đó các kế hoạch có thể không khả thi Trong tình huống đó, đội điều tra nên được chỉ dẫn về chiến lược và chiến thuật ban đầu cho cuộc điều tra và cho phép phát triển các chiến lược, chiến thuật mới để đáp ứng với điều kiện hiện hành Thông tin về sự cố, khi nó phát triển, cần được chia sẻ trong nhóm càng nhanh càng tốt để đảm bảo rằng các quyết định hành động được đưa ra một cách hiệu quả và thích hợp cho sự biện minh.

Thông tin chỉ dẫn khác

Ngoài bằng chứng số và nhân sự, các thông tin quan trọng cần chỉ dẫn cho các nhóm điều tra bao gồm:

- Chỉ định khu vực điều tra, bao gồm cả tên của tổ chức, địa chỉ và bản đồ vị trí (nếu có);

- Chi tiết về các lệnh tìm kiếm và trao quyền khác áp dụng đối với việc điều tra, bao gồm các giới hạn tìm kiếm và thu giữ;

- Khía cạnh pháp lý và ý nghĩa;

- Khung thời gian điều tra;

- Thiết bị cần phải đưa đến hiện trường sự cố để điều tra;

- Thông tin hậu cần; và

- Xung đột về lợi ích tiềm năng.

DEFR nên tránh các tình huống có thể dẫn đến cáo buộc pháp lý hoặc ảnh hưởng đến uy tín Ví dụ điển hình là việc một DEFR sao chép một máy tính và nhắm tới máy tính khác có thể chứa bằng chứng bào chữa trong tương lai; hành động này được hình thành từ nhận thức dựa trên các chỉ dẫn được đưa ra.

Ưu tiên việc tập hợp và thu thập

Để ưu tiên cho việc tập hợp và thu thập bằng chứng số tiềm năng, DEFR cần nắm rõ lý do và mục tiêu của việc thu thập bằng chứng liên quan Theo nguyên tắc chung, DEFR nên tăng khối lượng dữ liệu được bảo quản qua các hành động tập hợp và thu thập, nhằm tối đa hóa dữ liệu có giá trị cho điều tra sự cố Tuy nhiên, có thể cần ưu tiên các hạng mục dựa trên mức biến đổi và/hoặc giá trị bằng chứng tiềm năng hoặc có liên quan, nhằm tập trung vào những dữ liệu mang ý nghĩa lớn nhất cho quá trình điều tra Những hạng mục có giá trị bằng chứng tiềm năng/có liên quan cao thường chứa dữ liệu liên quan trực tiếp đến sự cố đang được điều tra.

Quá trình ưu tiên theo tính biến đổi chỉ được áp dụng nếu như các tình huống cụ thể của vụ án đang điều tra yêu cầu Bằng chứng số tiềm năng có thề chia thành 2 loại: dễ biến đổi và không biến đổi Dữ liệu dễ biến đổi có thể dễ dàng bị phá hủy hoặc mất nếu như không áp dụng bảo vệ dữ liệu Ví dụ, tháo bỏ nguồn cung cấp từ thiết bị số có thể dẫn đến mất mát dữ liệu Dữ liệu không biến đổi vẫn còn trên các phương tiện ngay cả khi đã loại bỏ nguồn cung cấp Do một số loại bằng chứng có thời gian sống ngắn, bằng chứng số tiềm năng có thể dễ dàng bị giả mạo hoặc làm hỏng Khi không rõ ràng về việc thiết bị số có chứa bằng chứng số tiềm năng hay không, hoặc các hạng mục nào có liên quan nhiều hơn so với hạng mục khác, có thể cần phải giám định chúng trước khi tập hợp bằng cách sử dụng một quá trình quyết định mức ưu tiên Các thiết bị kỹ thuật số được xem xét để tập hợp bao gồm, nhưng không hạn chế: các thiết bị IT, phương tiện lưu trữ số, các hệ thống CCTV, các PED, các hệ thống tự động, các hệ thống điều khiển và các thiết bị điện tử ứng biến Cần thu thập các bằng chứng số tiềm năng dễ biến đổi nhất như RAM, vùng swap, các tiến trình đang chạy DEFR nên có một kiến thức tốt để xác định mức ưu tiên theo tính biến đổi.

Sau khi xác định, DEFR nên:

- Ưu tiên các bằng chứng số có thể bị mất vĩnh viễn khi tháo bỏ nguồn điện;

- Hành động nhanh chóng để tập hợp và thu thập các dữ liệu với các phương pháp được xác nhận;

CHÚ THÍCH 1: Một vài dữ liệu dễ biến đổi có thể thay đổi do các yếu tố bao gồm, nhưng không giới hạn về, địa điểm, thời gian và thay đổi các thiết bị kỹ thuật số xung quanh – cần đảm bảo những dữ liệu này được bảo quản trước khi di chuyển thiết bị.

CHÚ THÍCH 2 nêu rằng các thiết bị số chứa bằng chứng số tiềm năng có thể là nguồn của bằng chứng vật lý, như dấu vân tay và DNA Các DEFR nên tránh làm hỏng những bằng chứng này và phối hợp với người tập hợp bằng chứng có liên quan trước khi tiếp tục các hoạt động tiếp theo.

CHÚ THÍCH 3: Khi nghi ngờ các nội dung mã hóa hoặc phần mềm độc hại, cần xem xét các dữ liệu dễ biến đổi

Trong những tình huống này, thời gian có thể là yếu tố hạn chế xuyên suốt quá trình điều tra Vì vậy, ưu tiên nên được dành cho các bằng chứng số tiềm năng có liên quan trực tiếp đến sự cố cụ thể nhằm đẩy nhanh quá trình xác minh và nâng cao tính xác thực của thông tin được thu thập.

Bảo quản bằng chứng số tiềm năng

Tổng quan

Trong bảo quản bằng chứng số tiềm năng đã thu thập và các thiết bị số đã tập hợp trong quá trình đóng gói, việc bảo đảm an toàn cho các hạng mục đã thu thập theo cách loại trừ sự hủy hoại hoặc giả mạo là rất quan trọng Sự hủy hoại có thể là kết quả của suy giảm từ, suy giảm điện, nhiệt, phơi nhiễm độ ẩm cao hoặc thấp, cũng như sốc hoặc chấn động Sự giả mạo có thể kết quả của một hành động cố ý làm thay đổi các bằng chứng số tiềm năng.

Việc bảo vệ chứng cứ số tiềm năng ở mức tối ưu là vô cùng quan trọng, và việc sử dụng dữ liệu nguyên bản càng ít càng tốt để bảo toàn tính xác thực của chứng cứ DEFR phải thuần thuộc với các yêu cầu đóng gói dữ liệu cụ thể theo các quy định pháp lý liên quan.

Bảo quản bằng chứng số tiềm năng

Mọi thiết bị số được sao lưu và các bằng chứng số tiềm năng thu thập được cần được bảo vệ ở mức tối ưu để ngăn ngừa mất mát, giả mạo hoặc sửa đổi Yếu tố then chốt trong quá trình bảo quản là duy trì tính toàn vẹn và tính xác thực của bằng chứng số tiềm năng cũng như đảm bảo chuỗi canh giữ bằng chứng được duy trì liên tục.

Các thiết bị kỹ thuật số hình thành nguồn chứng cứ tiềm năng và các bằng chứng số này được lưu trữ tại cơ sở bảo quản bằng chứng có áp dụng kiểm soát an ninh vật lý như hệ thống kiểm soát truy cập, hệ thống giám sát, hệ thống phát hiện xâm nhập và các môi trường được kiểm soát khác nhằm bảo quản bằng chứng số an toàn và nguyên vẹn Mục đích chính của an ninh vật lý là bảo vệ và ngăn ngừa mất mát, thiệt hại và giả mạo dữ liệu, đồng thời tạo điều kiện cho các hoạt động đánh giá, xác thực và tra cứu nguồn gốc của bằng chứng số trong quá trình điều tra.

Các thiết bị kỹ thuật số được tập hợp nên được bao bọc hoặc đặt trong các gói thích hợp với bản chất của thiết bị để tránh hỏng hóc thiết bị kỹ thuật số trước khi vận chuyển đến các nơi khác Việc bao gói chống sốc có thể được sử dụng để tránh tổn hại vật lý cho các thành phần của thiết bị.

DEFR nên cân nhắc mức độ nhạy cảm của các thiết bị số đối với tĩnh điện và áp dụng các biện pháp bảo vệ phù hợp Nếu xuất hiện quan ngại về rủi ro phóng tĩnh, các thiết bị phải được bảo đảm an toàn bằng cách đóng gói và để trong túi chống tĩnh điện nhằm ngăn ngừa hư hỏng và đảm bảo an toàn trong quá trình vận chuyển hoặc lưu trữ.

- Các khối thiết bị hệ thống chính và các máy tính xách tay nên bảo đảm an toàn trong thùng đựng thích hợp để tránh sự giả mạo hoặc hư hỏng của bằng chứng số tiềm năng có thể đặt trong đó.

Chú thích: Việc sử dụng túi Faraday hoặc bao bọc che chắn tần số vô tuyến có thể làm tăng mức tiêu thụ pin của điện thoại di động, và điều này có thể đòi hỏi cấp nguồn bổ trợ cho thiết bị nằm trong túi nếu nguồn lực cho phép.

Đóng gói thiết bị kỹ thuật số và bằng chứng số tiềm năng

6.9.3.1 Hành động cơ bản: Đóng gói của bằng chứng số tiềm năng

Các hành động cơ bản nên được thực hiện trừ khi có lý do chính đáng cho việc không thực hiện Các hành động này cũng được xem là các hành động tối thiểu phải thực hiện Khi đóng gói, DEFR nên lưu ý và thực hiện các hành động cơ bản sau đây:

Trong quá trình xử lý băng từ, không được chạm trực tiếp vào băng từ mà phải nhấc băng từ lên bằng vỏ bảo vệ của chúng hoặc tại các khu vực được biết không chứa dữ liệu, ví dụ như cạnh của ổ đĩa quang học; điều này chỉ được thực hiện khi DEFR đeo găng tay không có sợi tơ.

Các khu vực cụ thể trên phương tiện lưu trữ có thể không chứa dữ liệu và sự khác biệt này phụ thuộc vào loại phương tiện lưu trữ được sử dụng Trách nhiệm của DEFR là nắm bắt công nghệ hiện tại và quen thuộc với quy trình xử lý các phương tiện lưu trữ để đảm bảo quản lý dữ liệu hiệu quả và an toàn.

Để đảm bảo định danh chính xác, DEFR nên ghi nhãn tất cả bằng chứng số tiềm năng và tuân thủ các yêu cầu ghi nhãn do cơ quan pháp luật quy định DEFR cần làm quen với các quy định áp dụng trong thực tế và ghi nhãn đầy đủ các bằng chứng số, các thiết bị số được thu thập và các bộ phận phần cứng liên kết bằng nhãn chống giả Nhãn không nên đặt trực tiếp trên các bộ phận cơ khí của thiết bị kỹ thuật số và cũng không được che khuất hoặc che đậy thông tin định danh quan trọng Tất cả bằng chứng số tiềm năng trong các thiết bị đã thu thập cần được thu thập và lưu trữ theo cách đảm bảo tính toàn vẹn của bằng chứng.

Khi có thể, các thiết bị số có các thành phần mở ra và dịch chuyển nên được niêm phong bằng nhãn chống làm giả thích hợp cho từng thiết bị Nhãn chống làm giả này giúp đảm bảo tính xác thực và ngăn ngừa tráo đổi hoặc giả mạo DEFR nên ký lên niêm phong để xác nhận sự kiện đóng gói và tăng cường truy xuất nguồn gốc cùng tuân thủ các yêu cầu an toàn.

- Thiết bị kèm pin gắn có dữ liệu dễ bị biến đổi nên được kiểm tra thường xuyên đảm bảo luôn có đủ nguồn điện cung cấp.

Xác định và bảo vệ các thiết bị kỹ thuật số khỏi các mối đe dọa tiềm ẩn bằng cách đánh giá đặc tính và yêu cầu bảo mật từng thiết bị, đồng thời chọn một hộp chứa phù hợp với bản chất thiết bị để tối ưu hóa sự an toàn Quá trình này bắt đầu bằng việc nhận diện các mối nguy có thể ảnh hưởng đến dữ liệu và vận hành, từ rò rỉ dữ liệu đến hỏng hóc phần cứng, sau đó áp dụng các biện pháp bảo vệ tương ứng Lựa chọn hộp chứa cần đảm bảo về kích thước, vật liệu, khả năng cách nhiệt và chống tia lửa, sao cho phù hợp với đặc điểm và môi trường hoạt động của thiết bị Việc xác định đúng loại thiết bị và cách bảo vệ giúp tăng cường an ninh thông tin, kéo dài tuổi thọ thiết bị và duy trì hiệu suất ở mức tối ưu.

- Máy vi tính và các thiết bị kỹ thuật số nên được đóng gói theo cách ngăn chặn thiệt hại khi bị sốc, rung động, nhiệt, tiếp xúc với tần số vô tuyến trong quá trình vận chuyển.

- Băng từ nên được lưu trữ trong các gói trơ về từ tính, chống tĩnh điện và không có hạt.

- Thiết bị kỹ thuật số cũng có thể chứa bằng chứng tiềm tàng, dấu vết hoặc bằng chứng sinh học.

Để bảo quản bằng chứng số một cách hiệu quả, cần thực hiện các hành động phù hợp nhằm duy trì tính toàn vẹn của dữ liệu Việc sao chép bằng chứng số nên được thực hiện sau khi hoàn tất quá trình tập hợp các bằng chứng tiềm tàng, dấu vết hoặc bằng chứng sinh học trên thiết bị, nhằm đảm bảo quá trình sao chép không làm hỏng dữ liệu gốc Tuy nhiên, quyết định ưu tiên tập hợp bằng chứng nên được đánh giá kỹ lưỡng để bảo quản an toàn cho bằng chứng này, và các biện pháp bảo mật cũng cần được xem xét để ngăn ngừa sự thay đổi hoặc mất mát dữ liệu trong quá trình điều tra.

6.9.3.2 Hành động bổ sung: Đóng gói của bằng chứng số tiềm năng

Các hành động bổ sung được coi là hành động rất được khuyến nghị thực hiện Trong khi đóng gói, DEFR nên lưu ý các hành động bổ sung sau đây:

- Đeo găng tay không có sợi tơ và đảm bảo tay sạch và khô;

Để bảo vệ các thiết bị số khỏi ảnh hưởng của nguồn điện từ các thiết bị như đàm thoại của cảnh sát, bộ loa và máy quét X-quang, cần thiết lập một môi trường đóng gói an toàn và chống tĩnh điện Việc sử dụng vật liệu chống tĩnh điện, bao bọc kỹ lưỡng và sắp xếp thiết bị theo quy trình chuẩn giúp giảm nhiễu điện và nguy cơ phóng điện trong quá trình vận chuyển và lưu trữ Tuân thủ các tiêu chuẩn đóng gói tĩnh điện sẽ tăng độ ổn định, an toàn và hiệu suất của thiết bị số.

- Môi trường đóng gói nên là nơi không có bụi, dầu mỡ và các chất ô nhiễm thúc đẩy oxy hóa và ngưng tụ hơi ẩm;

Để giảm thiểu hiện tượng in xuyên qua (cross-talk) trên băng, cần quan tâm đến điều kiện bảo quản và thời gian lưu trữ Hiện tượng này xảy ra khi băng được lưu trữ dài ngày mà không có hoạt động sử dụng, khiến tín hiệu có thể chuyển từ vòng lặp này sang vòng lặp liền kề và dẫn tới chất lượng tín hiệu kém Đảm bảo lưu trữ ở nhiệt độ và độ ẩm ổn định, tránh căng quá chặt hay để băng quá lỏng, và thực hiện kiểm tra tín hiệu định kỳ để phát hiện sớm sự suy giảm Bằng cách tối ưu hóa bảo quản và vận hành hệ thống, người dùng có thể giảm thiểu in xuyên qua và duy trì chất lượng tín hiệu của băng ở mức tốt nhất.

Trong trường hợp cần thiết, khu vực đóng gói nên được bố trí ở nơi không có tia UV để ngăn ngừa suy thoái DNA và hư hại các phương tiện lưu trữ Tia UV có thể làm giảm chất lượng DNA và gây hỏng các loại phương tiện lưu trữ, do đó DEFR nên đánh giá kỹ lưỡng rủi ro mà tia UV có thể tạo ra cho bằng chứng số tiềm năng trước khi chọn khu vực đóng gói.

- Các thiết bị số nên được bảo vệ rất kỹ khỏi sốc nhiệt.

Vận chuyển bằng chứng số tiềm năng

DEFR nên bảo quản các thiết bị kỹ thuật số đã tập hợp và các bằng chứng số tiềm năng thu thập được trong quá trình vận chuyển, nhằm duy trì tính toàn vẹn và tính xác thực của chúng Các bằng chứng số tiềm năng không nên bị bỏ mặc trong quá trình vận chuyển, và DEFR nên duy trì chuỗi canh giữ suốt toàn bộ quá trình để ngăn ngừa giả mạo hoặc sửa đổi Khuyến nghị sử dụng mã hóa được đề xuất cho các bằng chứng số tiềm năng khi chúng không được vận chuyển bởi DEFR hoặc DES.

CHÚ THÍCH: DEFR nên đảm bảo rằng việc tập hợp thông tin nhạy cảm hoặc thông tin cá nhân cần tuân theo quy định của pháp luật và các quy định về bảo vệ dữ liệu.

Trong khi đóng gói và vận chuyển, DEFR cần phải ý thức được sự hiện diện của phóng tĩnh điện có thể phá hủy giá trị của các bằng chứng số tiềm năng DEFR nên đảm bảo rằng các máy tính và các thiết bị số được đóng gói một cách an toàn trong quá trình vận chuyển để ngăn chặn hư hỏng từ việc sốc và rung động.

Quá trình vận chuyển nên chú ý đến môi trường thuận lợi và được kiểm soát Mức độ hơi ẩm, độ ẩm và nhiệt độ nên phù hợp cho các thiết bị số Tránh giữ các bằng chứng số tiềm năng và các thiết bị số trong các phương tiện vận chuyển trong thời gian kéo dài và tránh chúng khỏi sự hiện diện của tia UV.

Ở một số cơ quan pháp luật, khi hoàn cảnh không cho phép, DEFR không thể đi cùng bằng chứng Trong trường hợp này, các cơ chế vận chuyển thích hợp và được ủy quyền có thể đảm bảo an ninh cho bằng chứng trong quá trình vận chuyển Tài liệu vận chuyển và xác nhận tính toàn vẹn của bao gói là một phần của chuỗi canh giữ bằng chứng.

7 Ví dụ về xác định, tập hợp, thu thập và bảo quản

Máy tính, thiết bị ngoại vi và phương tiện lưu trữ số

Xác định

7.1.1.1 Tìm kiếm hiện trường sự cố vật lý và lập tài liệu

Trong khuôn khổ phần này, máy tính được xem như thiết bị số độc lập có khả năng nhận, xử lý và lưu trữ dữ liệu cũng như đưa ra kết quả Những máy tính này có thể hoạt động mà không cần kết nối mạng, nhưng vẫn có thể kết nối với các thiết bị ngoại vi như máy in, máy quét, webcam, máy nghe nhạc MP3, hệ thống GPS, thiết bị RFID và các thiết bị tương tự Một thiết bị kỹ thuật số có giao diện mạng nhưng không được kết nối tại thời điểm tập hợp hoặc thu thập có thể được xem là một máy tính độc lập cho mục đích của tiêu chuẩn này Khi máy tính có giao diện mạng nhưng không có kết nối rõ ràng, cần thực hiện các biện pháp để xác định các thiết bị đã từng kết nối tới máy tính đó trong quá khứ.

Thông thường, hiện trường sự cố sẽ chứa nhiều loại phương tiện lưu trữ số khác nhau, được dùng để lưu trữ dữ liệu từ các thiết bị kỹ thuật số và có dung lượng bộ nhớ đa dạng Ví dụ về các loại phương tiện lưu trữ số bao gồm ổ đĩa cứng di động gắn ngoài, ổ đĩa flash, đĩa CD, DVD, đĩa Blu-ray, đĩa mềm, băng từ và thẻ nhớ.

Trước khi thực hiện bất kỳ hành động thu thập hoặc tập hợp bằng chứng số nào, cần xem xét toàn diện các yếu tố an toàn liên quan đến bằng chứng tiềm năng, các khía cạnh này được mô tả tại 6.2.1 và 6.2.2 Tuy nhiên, DEFR nên đảm bảo rằng một thiết bị trông như độc lập thực sự chưa từng được kết nối với mạng; nếu có nghi ngờ rằng một thiết bị độc lập đã bị ngắt kết nối, nó nên được xem xét xử lý như một thiết bị nối mạng để đảm bảo các thành phần mạng khác được xử lý đúng cách DEFR nên lưu ý và giải quyết tối thiểu các yếu tố an toàn và quản lý thiết bị trong quá trình thu thập để duy trì tính toàn vẹn của bằng chứng và tuân thủ các quy trình.

DEFR nên ghi chép rõ ràng loại và nhãn hiệu của mọi thiết bị kỹ thuật số được sử dụng và xác định các máy tính cùng với thiết bị ngoại vi có thể cần được thu thập hoặc tập hợp trong giai đoạn ban đầu Số serial, số giấy phép và các dấu hiệu nhận dạng khác, kể cả thiệt hại vật lý, nên được ghi chép ở mọi nơi có thể để bảo đảm theo dõi và quản lý thiết bị một cách hiệu quả.

Trong giai đoạn xác định, trạng thái của các máy tính và thiết bị ngoại vi phải được giữ nguyên như hiện trạng để bảo toàn bằng chứng số Nếu máy tính hoặc thiết bị ngoại vi đã ở chế độ tắt nguồn, không được bật lại Nếu chúng đang hoạt động, DEFR không được tắt nguồn để tránh làm hỏng các bằng chứng số tiềm năng.

Khi các máy tính đang bật nguồn, DEFR nên chụp ảnh màn hình hoặc ghi chú lại toàn bộ những gì đang hiển thị Tài liệu ghi chú cần mô tả rõ ràng thực tế trên màn hình, bao gồm vị trí các cửa sổ, tiêu đề và nội dung hiển thị, nhằm đảm bảo dữ liệu có thể được tái tạo và kiểm tra sau này.

Một thiết bị dùng pin có thể cạn nguồn, vì vậy cần được sạc pin để đảm bảo thông tin không bị mất Ở giai đoạn này, DEFR cần xác định và tập hợp các bộ sạc pin tiềm năng cùng cáp điện để sẵn sàng đáp ứng khi nguồn pin cạn.

DEFR nên có thể sử dụng máy dò tín hiệu không dây để phát hiện và xác định các tín hiệu từ các thiết bị không dây có thể bị ẩn đi; trong những trường hợp hạn chế về chi phí và thời gian khiến không thể sử dụng máy dò tín hiệu không dây, DEFR nên ghi nhận và ghi chép lại điều này Nếu tìm thấy thiết bị, DEFR nên tiếp tục với quá trình xử lý bằng chứng theo mô tả tại 7.2.2.2 của tiêu chuẩn này Trường hợp sử dụng quét chủ động cho các thiết bị mạng, các thiết bị quét nên được tắt cho đến khi có quyết định đánh giá khả năng thiết bị có thể tương tác với các thiết bị khác tại hiện trường Các thành viên nên nhớ rằng một số thiết bị tại hiện trường có thể phát hiện sự hiện diện của các thiết bị quét chủ động và việc sử dụng quét chủ động có thể kích hoạt các hành động có thể làm hỏng bằng chứng số tiềm năng, và có thể, trong các hoàn cảnh khắc nghiệt, dẫn đến việc kích hoạt bẫy che dấu.

CHÚ THÍCH 1: Ở một số cơ quan pháp luật, có thể được phép bật nguồn các thiết bị kỹ thuật số tại một hiện trường để xác định sự liên quan của chúng đến cuộc điều tra nếu có nhiều thiết bị kỹ thuật số hiện diện Điều này thực hiện trong việc cân nhắc thời gian xử lý và chi phí có thể phát sinh nếu thu thập được thiết bị kỹ thuật số không có liên quan Nếu một thiết bị được bật nguồn để đánh giá tại hiện trường, DEFR nên đảm bảo rằng các ghi chú kỹ lưỡng về các hành động đã thực hiện được duy trì trong suốt quá trình.

Trong việc bảo quản trạng thái nguồn của các thiết bị kỹ thuật số, cần xem xét kết quả phân tích liên quan tới dữ liệu dễ biến đổi Nếu kết luận cho thấy phần lớn thông tin quan trọng là thông tin không dễ biến đổi trên đĩa, có thể chụp hình màn hình của bảng điều khiển và rút điện hệ thống đang chạy Ngược lại, nếu phát hiện thông tin biến đổi trong bộ nhớ, điều quan trọng là giữ cho hệ thống vẫn bật nguồn và thực hiện thu thập dữ liệu.

7.1.1.2 Tập hợp bằng chứng phi kỹ thuật số

DEFR nên xem xét tập hợp chứng cứ phi kỹ thuật số tại hiện trường và trưởng nhóm cần xác định người chịu trách nhiệm cho các phương tiện tại hiện trường Những cá nhân này có thể cung cấp thêm thông tin và tài liệu liên quan, bao gồm mật khẩu cho các thiết bị kỹ thuật số và các chi tiết khác có liên quan Để đảm bảo tính đầy đủ và xác thực, DEFR ghi lại trong tài liệu tên và chữ ký của người chịu trách nhiệm.

DEFR cũng có thể tập hợp bằng chứng bằng cách phỏng vấn trực tiếp các cá nhân có thể có thông tin hữu ích hoặc liên quan đến các bằng chứng số tiềm năng hoặc các thiết bị kỹ thuật số được tập hợp Tất cả các câu trả lời nên được ghi chép chính xác để đảm bảo tính toàn vẹn của chứng cứ Các cá nhân này có thể gồm quản trị hệ thống, chủ sở hữu thiết bị và người sử dụng máy tính và các thiết bị ngoại vi Trong quá trình thu thập chứng cứ bằng lời nói, DEFR có thể yêu cầu thông tin như các cấu hình hệ thống và mật khẩu cho tài khoản quản trị — tuy nhiên mọi thông tin phải tuân thủ quy định pháp lý và bảo mật Thông tin bổ sung có thể hữu ích cho giai đoạn phân tích các bằng chứng số tiềm năng, và các cuộc hội thoại nên được ghi chép để đảm bảo chi tiết chính xác và các lời phát biểu không bị thay đổi DEFR cần quen thuộc với các yêu cầu pháp lý liên quan tới việc tập hợp bằng chứng phi kỹ thuật số.

7.1.1.3 Quá trình ra quyết định cho việc tập hợp hoặc thu thập

Trong quyết định tập hợp một thiết bị kỹ thuật số hoặc thu thập bằng chứng số tiềm năng, một số yếu tố cần được xem xét bao gồm nhưng không giới hạn trong những điều sau:

- Biến đổi của các bằng chứng số tiềm năng đã được đề cập tại 5.4.2 và 6.8,

Việc triển khai mã hóa toàn bộ đĩa hoặc mã hóa dung lượng nhằm bảo vệ dữ liệu, tuy nhiên các mật khẩu hoặc khóa có thể được lưu trữ ở dạng dữ liệu dễ biến đổi trong RAM và trên các phương tiện lưu trữ khác như thẻ gắn ngoài, thẻ thông minh hoặc thiết bị lưu trữ, khiến chúng có thể bị lộ nếu bảo mật không được quản lý đúng cách.

- Tính quan trọng của hệ thống đã được đề cập tại 5.4.4, 7.2.1.2 và 7.1.3.4,

- Yêu cầu pháp lý của cơ quan pháp luật, và

- Các tài nguyên, như kích thước lưu trữ được yêu cầu, sự sẵn sàng của nhân viên, các hạn chế về thời gian.

Hình 1 minh họa tổng quan về quá trình ra quyết định thực hiện tập hợp hoặc sao chép.

Thiêt bị số được bật không?

Các yếu tố để xem xét sưu tập hoặc thu thập

Thiết bị số được bật không?

Bộ sưu tập các thiết bị số được bật -mục con

Bộ sưu tập các thiết bị số được bật -mục con 7.1.2.2(hình 3)

Sự thu được của các thiết bị số được bật - mục con 7.1.3.1(hình 4)

Sự thu được của các thiết bị số được bật -mục con 7.1.3.2(hình 5)

Nếu quyết định sưu tập Nếu quyết định thu thập

Hình 1 - Hướng dẫn ra quyết định thực hiện tập hợp hoặc thu thập các bằng chứng số tiềm năng

Tập hợp

7.1.2.1 Thiết bị kỹ thuật số bật nguồn

DEFR có thể thực hiện một tập hợp hướng dẫn khi các thiết bị kỹ thuật số được bật nguồn Không phải mọi hướng dẫn đều phù hợp cho mọi trường hợp; một số hướng dẫn chỉ phù hợp với những tình huống cụ thể Vì vậy, hướng dẫn được chia thành hai loại: cơ bản và bổ sung Các hành động cơ bản nên được áp dụng ở mọi tình huống, trong khi các hành động bổ sung chỉ nên được áp dụng khi thích hợp và có thể, tùy thuộc vào loại thiết bị và hoàn cảnh Hình 2 minh hoạ các hành động cơ bản và bổ sung có thể áp dụng cho quá trình tập hợp thiết bị kỹ thuật số bật nguồn.

Nó có dễ thay đổi hoặc dữ liệu trực tiếp yêu cầu từ thiếu bị không?

Perform a normal system shutdown nhãn, ngắt kết nối và đảm bảo tất cả các cáp và cổng thiết bị, và nơi đi qua công tắc điện

Loai bỏ các nguồn năng lượng trực tiếp từ thiết bị cho dù từ pin chính hoặc tất cả

Xử lý các phương tiện truyền thông bổ sung theo hướng dẫn cụ thể phương tiện truyền thông

Có phương tiện truyền thông khác có liên quan không?

Các dữ liệu có dược tổ chức trên thiết bị ổn định không? Ví dụ có bị mất mát hoặc mất điện đột ngột không

Dừng lại có không có có không không

Các hoạt động cơ sỏ

Hình 2 - Hướng dẫn tập hợp thiết bị kỹ thuật số bật nguồn

Trách nhiệm của DEFR là phải hiểu biết công nghệ hiện tại và quen thuộc với các hướng dẫn xử lý phương tiện lưu trữ.

7.1.2.1.2 Các hành động cơ bản: Tập hợp thiết bị kỹ thuật số bật nguồn

Các hành động cơ bản sau đây được DEFR tuân theo trong tất cả các trường hợp liên quan đến bằng chứng số tiềm năng Những hướng dẫn này áp dụng khi DEFR đã quyết định rằng một thiết bị kỹ thuật số bật nguồn nên được tập hợp:

Xem xét thu thập dữ liệu dễ biến đổi của các thiết bị kỹ thuật số và trạng thái hiện tại trước khi ngắt điện hệ thống Các khóa mã mật mã và dữ liệu quan trọng có thể nằm lại trong bộ nhớ RAM đang hoạt động hoặc ở các vùng bộ nhớ không hoạt động chưa được làm rõ, vì vậy cần xác định phạm vi và phương thức thu thập Khi mã hóa bị nghi ngờ, hãy xem xét các cách tiếp cận thu thập dữ liệu phù hợp để bảo đảm tính liên tục của thông tin Lưu ý rằng hệ điều hành máy chủ đang chạy có thể không đáng tin cậy, do đó nên ưu tiên các công cụ đáng tin cậy và được xác nhận là phù hợp với môi trường hoạt động của hệ thống.

Cấu hình của thiết bị kỹ thuật số có thể quyết định DEFR nên tắt thiết bị qua các thủ tục quản trị thông thường hay rút phích cắm khỏi ổ cắm DEFR có thể cần tham khảo ý kiến của một DES để xác định phương án tối ưu cho hoàn cảnh cụ thể Nếu quyết định rút phích cắm, DEFR cần tháo dây cấp nguồn bằng cách đầu tiên tháo các đầu cắm gắn lên thiết bị kỹ thuật số và không phải là các đầu gắn vào ổ cắm Cần cẩn trọng vì một thiết bị kết nối với UPS có thể có dữ liệu bị thay đổi nếu rút dây nguồn từ tường thay vì rút nguồn từ thiết bị.

CHÚ THÍCH 1: Nếu ngắt điện cho một thiết bị kỹ thuật số đang bật nguồn, bất kỳ bằng chứng số tiềm năng lưu trữ trong bộ lưu trữ được mã hóa sẽ không thể truy cập, trừ khi thu được các khóa giải mã Dữ liệu trực tiếp có giá trị tiềm năng cũng có thể bị mất, dẫn đến thiệt hại hoặc mất mát các giá trị của người dùng, chẳng hạn như dữ liệu của công ty hoặc các thiết bị kỹ thuật số kiểm soát thiết bị y tế Do vậy, DEFR nên đảm bảo rằng dữ liệu dễ biến đổi được thu thập trước khi ngắt nguồn cung cấp điện.

Có các thiết bị phần cứng cho phép thiết bị đang hoạt động được ngắt khỏi nguồn điện chính và kết nối với UPS di động mà không làm gián đoạn nguồn cấp, đồng thời có các thiết bị mouse-jiggler nhằm ngăn chặn kích hoạt màn hình bảo vệ (screen-saver) Hai loại thiết bị này cung cấp các công cụ hữu ích khi làm việc với một thiết bị bật nguồn có thể kích hoạt mã hóa Khi lắp ráp một hệ thống đòi hỏi nguồn nuôi liên tục, quá trình đóng gói và vận chuyển hệ thống đang chạy cần giải quyết các vấn đề liên quan đến làm mát và bảo vệ khỏi sốc cơ học.

- Ghi nhãn, ngắt kết nối và bảo vệ tất cả các cáp từ thiết bị kỹ thuật số và ghi nhãn các cổng sao cho hệ thống có thể được xây dựng lại ở giai đoạn sau.

- Dán băng niêm phong công tắc nguồn nếu cần thiết để ngăn chặn sự chuyển đổi trạng thái của công tắc Xem xét liệu trạng thái của công tắc đã được ghi lại trong tài liệu đúng chưa trước khi dán niêm phong hoặc di chuyển.

7.1.2.1.3 Các hành động bổ sung: Tập hợp thiết bị kỹ thuật số bật nguồn

Sau đây là các hành động bổ sung có liên quan tùy thuộc vào cấu hình của các thiết bị kỹ thuật số cụ thể:

Đối với một máy tính xách tay, cần đảm bảo dữ liệu dễ biến đổi đã được sao lưu đầy đủ trước khi tháo pin DEFR nên tháo pin cấp nguồn chính trước, thay vì nhấn nút nguồn để tắt máy, nhằm ngắt nguồn điện an toàn DEFR cũng nên lưu ý xem có bộ chuyển đổi nguồn đi kèm không, và nếu có thì rút bỏ bộ chuyển đổi nguồn sau khi pin đã tháo.

Nhấn nút nguồn trên một thiết bị kỹ thuật số có thể khởi tạo một kịch bản tấn công có thể thay đổi hoặc xóa thông tin trong hệ thống trước khi tắt nguồn và có thể cảnh báo các hệ thống liên kết khi một sự kiện không mong đợi xảy ra, dẫn tới mất mát dữ liệu có giá trị hoặc làm hỏng chứng cứ trước khi được nhận diện Kịch bản này cũng có thể được cấu hình để kích hoạt một thiết bị gây thiệt hại vật lý đến DEFR và những người có mặt.

- Đặt niêm phong khe cắm đĩa mềm, nếu có.

Hãy chắc chắn khay ổ đĩa CD hoặc DVD được thu lại đúng vị trí Lưu ý các khay ổ đĩa có thể trống, chứa đĩa, hoặc ở trạng thái không kiểm tra được; sau khi đóng, ổ đĩa nên được niêm phong để ngăn ngừa việc mở ra.

Chú ý: Nếu bỏ sót bất kỳ phương tiện lưu trữ có thể khởi động ở bên trong máy, khi cấp nguồn máy có thể boot từ thiết bị này thay vì ổ cứng hoặc ổ đĩa chứa công cụ điều tra số, tùy thuộc vào các thiết lập BIOS của máy tính.

DEFR nên tiến hành tập hợp bằng chứng phi kỹ thuật số thông qua các thủ tục tố tụng để đảm bảo mọi bằng chứng số được thừa nhận Việc kết hợp bằng chứng phi kỹ thuật số trong quá trình pháp lý giúp củng cố tính xác thực của dữ liệu số và làm rõ cơ sở pháp lý cho việc chấp nhận các chứng cứ số trong xét xử.

7.1.2.2 Thiết bị kỹ thuật số tắt nguồn

DEFR có thể tuân theo một tập hợp hướng dẫn nhằm tập hợp các thiết bị kỹ thuật số ở trạng thái tắt nguồn Không phải mọi hành động trong các hướng dẫn này đều có liên quan trong mọi hoàn cảnh; do vậy cần phân biệt giữa các hành động áp dụng trong mọi trường hợp, được gọi là các hành động cơ bản, và các hành động chỉ có thể áp dụng trong một số trường hợp, được gọi là các hành động bổ sung Hình 3 minh họa rõ ràng sự khác biệt giữa các hành động cơ bản và các hành động bổ sung có thể được áp dụng để tập hợp thiết bị kỹ thuật số tắt nguồn.

Các thiết bị có dựa trên nguồn pin không?

Để đảm bảo an toàn khi làm việc với thiết bị điện, hãy ngắt nguồn năng lượng trực tiếp khỏi thiết bị và ngắt kết nối mọi cáp và cổng, đồng thời xác định rõ vị trí công tắc điện để khu vực làm việc không còn nguồn điện đang cấp và giảm thiểu nguy cơ điện giật.

Loại bỏ nguồn năng lượng và pin

Loại bỏ ổ đĩa cứng (nếu hoàn cảnh cho phép)

Nhãn ổ đĩa cứng và tài liệu tất cả các chi tiết

Xử lý các phương tiện truyền thông bổ sung theo hướng dẫn cụ thể phương tiện truyền thông có phương tiện truyền thông khác tham gia không?

Dừng lại không có không có

Các hoạt động cơ sở

Hình 3 - Hướng dẫn tập hợp thiết bị kỹ thuật số tắt nguồn

Trách nhiệm của DEFR là phải hiểu biết kỹ thuật hiện tại và quen thuộc với các hướng dẫn xử lý phương tiện lưu trữ.

7.1.2.2.2 Các hành động cơ bản: Tập hợp thiết bị kỹ thuật số tắt nguồn

Sau đây là những hành động cơ bản được khuyến cáo cho việc tập hợp khi các thiết bị kỹ thuật số đã tắt nguồn:

- Tháo các dây cấp nguồn bằng cách đầu tiên là loại bỏ các đầu gắn với thiết bị kỹ thuật số mà không phải là đầu gắn vào ổ cắm.

Thu thập

7.1.3.1 Các thiết bị kỹ thuật số bật nguồn

Trong quá trình thu thập bằng chứng số, có ba kịch bản có thể cần thực hiện: khi các thiết bị kỹ thuật số đang bật nguồn, khi chúng đang tắt nguồn, và khi các thiết bị ở trạng thái bật nhưng không thể tắt đi (ví dụ như các thiết bị thực hiện nhiệm vụ quan trọng) Trong mọi tình huống này, DEFR được yêu cầu tạo ra một bản sao bằng chứng số chính xác của các thiết bị lưu trữ được cho là chứa bằng chứng số tiềm năng.

Nếu như không thể tạo bản sao, có thể thu thập các bản sao chính xác của các tập tin cụ thể bị nghi ngờ chứa bằng chứng số tiềm năng Lý tưởng nhất là cả bản sao chính được xác minh và bản sao làm việc phải được tạo ra Bản sao chính có thể không được sử dụng lại trừ khi nó được yêu cầu để xác minh nội dung của bản sao làm việc hoặc tạo một bản sao làm việc thay thế bản sao làm việc đầu tiên đã bị phá hủy.

DEFR có thể thực hiện theo một số hướng dẫn để thu thập bằng chứng khi thiết bị kỹ thuật số đang bật nguồn Không phải tất cả các hướng dẫn đều lý tưởng hoặc phù hợp cho mọi trường hợp; chúng có thể được phân loại thành cơ bản hoặc bổ sung tùy hoàn cảnh Cần xem xét khả năng một hệ thống đang bật nguồn có thể ở chế độ bảo vệ màn hình hoặc tự động khóa, vì điều này ảnh hưởng tới nỗ lực thu thập bằng chứng Ví dụ, một số phương pháp mô phỏng hoạt động có thể gây biến động khi có bất kỳ hành động nào được thực thi Việc sử dụng chiến lược đáng tin cậy sẽ giảm thiểu các tác động như vậy Hình 4 minh họa các hành động cơ bản và hành động bổ sung áp dụng cho thu thập bằng chứng từ thiết bị kỹ thuật số bật nguồn.

Có phải dữ liệu trực tiếp yêu cầu từ thiết bị không?

Thực hiện kiểm tra đĩa sử dụng các tiện ích phát hiện mật mã

Có sử dụng mật mã không?

Nó có phải là dữ liệu dễ thay đổi yêu cầu từ thiết bị?

Thực hiện thu thập trực tiếp dữ liệu dễ bị thay đổi

Is non- volatile required from the device

Thực hiện thu thập trực tiếp dữ liệu không dễ thay đổi từ một thiết bị đang chạy

Dữ liệu yêu cầu seal(nếu có)

Hệ thông có thể bị thu không?

Chuyển đến hình 2 Dừng lại

Các hoạt động bổ sung

Các họa động cơ sở có không không có có không có không có không

Hình 4 - Hướng dẫn thu thập bằng chứng từ thiết bị kỹ thuật số bật nguồn

7.1.3.1.2 Các hành động cơ bản: Thu thập bằng chứng từ thiết bị kỹ thuật số bật nguồn

Trong mọi trường hợp liên quan đến việc thu thập bằng chứng số từ các thiết bị kỹ thuật số đang bật nguồn, DEFR thực hiện các hành động cơ bản nhằm bảo đảm tính xác thực và toàn vẹn của dữ liệu, đồng thời ghi nhận đầy đủ trạng thái, nguồn gốc và chuỗi sự kiện liên quan để phục vụ cho quá trình phân tích và chứng cứ pháp lý.

Đầu tiên, xem xét thu thập các bằng chứng số có thể bị mất nếu thiết bị kỹ thuật số bị tắt nguồn, tức dữ liệu dễ biến đổi như dữ liệu lưu trên RAM, các tiến trình đang chạy, các kết nối mạng và các thiết lập ngày giờ Trong các trường hợp cần thu thập dữ liệu không dễ biến đổi từ thiết bị đang hoạt động, nên xem xét thực hiện thu thập trên một hệ thống đang bật để bảo toàn dữ liệu.

Thu thập dữ liệu trực tiếp từ các thiết bị đang hoạt động là phương pháp thiết yếu để lấy được thông tin ở mức thời gian thực, trong đó dữ liệu từ RAM có thể cho thấy biến động nhanh và hỗ trợ chẩn đoán hiệu quả, cùng với các thông tin như trạng thái mạng và hoạt động của ứng dụng giúp đánh giá hiệu suất hệ thống Quá trình thu thập có thể thực hiện qua giao diện điều khiển tại chỗ hoặc từ xa qua mạng, tùy thuộc vào cấu trúc hệ thống và mục tiêu đánh giá Các quy trình và công cụ hỗ trợ sẽ khác nhau theo từng ngữ cảnh triển khai, đòi hỏi lựa chọn phù hợp để đảm bảo an toàn và tuân thủ bảo mật dữ liệu.

DEFR không bao giờ nên tin tưởng vào các chương trình trên hệ thống, vì vậy các công cụ đáng tin cậy được DEFR thu được từ các mã nhị phân tĩnh được khuyến nghị sử dụng khi có thể DEFR nên có năng lực sử dụng các công cụ được xác nhận và có khả năng đánh giá ảnh hưởng của các công cụ này lên hệ thống, ví dụ như sự dịch chuyển của bằng chứng số tiềm năng và nội dung của bộ nhớ bị sao chép lại khi phần mềm được tải Tất cả các hành động đã thực hiện và các kết quả thay đổi đối với bằng chứng số tiềm năng cần được lập tài liệu và hiểu rõ Nếu không thể xác định ảnh hưởng của công cụ đối với hệ thống hoặc không thể quyết định chắc chắn kết quả thay đổi thì tất cả những điều này cũng nên được ghi chép lại.

Khi thu thập dữ liệu DEFR dễ biến đổi, nên ưu tiên dùng một bộ chứa tập tin logic để chứa và ghi lại giá trị băm của các tập tin dữ liệu dễ biến đổi, nhằm đảm bảo tính toàn vẹn và khả năng kiểm tra sau này Khi việc này không thể, một bộ chứa tương tự tệp ZIP nên được dùng, sau đó toàn bộ nội dung được băm và ghi nhận giá trị băm Các bộ chứa kết quả cần được lưu trên phương tiện lưu trữ số đã được chuẩn bị cho mục đích này, ví dụ như đã được định dạng phù hợp.

Quá trình tạo bản sao của bộ lưu trữ dữ liệu không biến đổi được thực hiện bằng công cụ sao chép đã xác nhận hợp lệ, và bản sao bằng chứng số được lưu trữ trên phương tiện lưu trữ số đã chuẩn bị cho mục đích này Ưu tiên sử dụng phương tiện lưu trữ số mới để tăng tính an toàn, đồng thời việc sao chép bằng chứng số từ các quá trình đã được xác thực sẽ đảm bảo tính toàn vẹn của dữ liệu khi được phục hồi hoặc tái tạo Vì vậy, một phương tiện lưu trữ số đã được vệ sinh là đủ đáp ứng yêu cầu Nếu bản sao phải được lưu trữ trong một bộ chứa tập tin logic, DEFR cần đảm bảo rằng bản sao không thể bị hỏng hoặc bị phá hủy.

CHÚ THÍCH: Trong các tình huống mà thiết bị bị khóa cứng, truy cập vật lý có thể được tiến hành thông qua các phương tiện khác được kích hoạt việc quyền truy cập trực tiếp vào bộ nhớ, ví dụ giao diện Firewire.

7.1.3.1.3 Các hành động bổ sung: Thu thập bằng chứng từ thiết bị kỹ thuật số bật nguồn

Các hành động bổ sung liên quan đến việc thu thập bằng chứng từ thiết bị kỹ thuật số tắt nguồn phụ thuộc vào cấu hình cụ thể của từng thiết bị và bao gồm bảo toàn trạng thái thiết bị, sao chép dữ liệu toàn phần theo bit, và ghi lại đầy đủ các yếu tố liên quan; quá trình này phải có sự cho phép hợp pháp, tuân thủ chuỗi bảo quản (chain of custody) và các quy định pháp lý để đảm bảo tính hợp lệ của bằng chứng Việc tắt nguồn giúp ngăn ngừa ghi đè dữ liệu và tối ưu hóa điều kiện thu thập, trong khi xác thực tính toàn vẹn dữ liệu bằng các hàm băm trước và sau sao chép đảm bảo dữ liệu không bị tráo đổi Các yếu tố cấu hình như loại lưu trữ ( HDD, SSD, eMMC), mức mã hóa dữ liệu và phương thức kết nối sẽ ảnh hưởng đến lựa chọn công cụ và phương pháp thu thập, do đó cần có kế hoạch và tài liệu ghi nhận rõ ràng.

- Xem xét thu thập dữ liệu dễ biến đổi trong RAM khi việc sử dụng mã hóa bị nghi ngờ Đầu tiên kiểm tra xem có phải trường hợp này hay không bằng cách kiểm tra các đĩa thô hoặc sử dụng một số tiện ích phát hiện mã hóa Nếu đúng là trường hợp này, hãy lưu ý rằng máy chủ trực tiếp điều hành hệ thống có thể không đáng tin cậy và xem xét việc sử dụng các công cụ đáng tin cậy và đã được xác nhận phù hợp.

- Sử dụng một nguồn thời gian đáng tin cậy và lập tài liệu thời gian thực hiện của từng hành động

- Có thể thích hợp để kết hợp DEFR với các bằng chứng số tiềm năng đã thu thập, sử dụng chữ ký số, sinh trắc học và ghi hình.

CHÚ THÍCH: Hành động nhấn nút nguồn trên một thiết bị kỹ thuật số có thể được cấu hình để khởi động một đoạn mã (script) mà có thể thay đổi thông tin và / hoặc xóa thông tin của hệ thống trước khi tắt hoặc để cảnh báo các hệ thống có kết nối đến rằng một sự kiện không mong muốn đã xảy ra do đó chúng có thể xóa dữ liệu bằng chứng có giá trị trước khi chúng được xác định Nó cũng có thể được cấu hình để kích hoạt một thiết bị nhằm gây thiệt hại vật lý cho DEFR và các cá nhân khác có mặt.

7.1.3.2 Thiết bị kỹ thuật số tắt nguồn

Sẽ dễ dàng hơn trong xử lý một thiết bị kỹ thuật số tắt nguồn so với một thiết bị kỹ thuật số đang bật nguồn vì không cần thu thập các dữ liệu dễ biến đổi Hình 5 minh họa các hành động có thể áp dụng để thu thập bằng chứng từ thiết bị kỹ thuật số tắt nguồn.

Loại bỏ các nguồn lưu trữ từ thiết bị(nếu chưa được loại bỏ)

Chuẩn bị đĩa mục tiêu

Tiến hành hình ảnh hóa của ổ đĩa lưu trữ Đĩa mục tiêu seal

Hình 5 - Hướng dẫn thu thập bằng chứng từ các thiết bị kỹ thuật số tắt nguồn

7.1.3.2.2 Thu thập bằng chứng từ các thiết bị kỹ thuật số tắt nguồn

Sau đây là các hành động để thu thập khi các thiết bị kỹ thuật số được tìm thấy ở trạng thái tắt nguồn:

- Đảm bảo rằng thiết bị thực sự là tắt nguồn.

Trong trường hợp thích hợp, tháo gỡ các bộ lưu trữ khỏi các thiết bị kỹ thuật số đã tắt nguồn nếu chúng chưa được tháo trước đó Ghi nhãn bộ lưu trữ là 'bộ lưu trữ nghi ngờ' và ghi chép đầy đủ các chi tiết liên quan như cách sắp đặt, tên model, số serial và dung lượng bộ nhớ để đảm bảo tính nhất quán và thuận tiện cho quá trình kiểm tra và phân tích sau này.

Bảo quản

Sau khi quá trình thu thập kết thúc, DEFR nên niêm phong dữ liệu thu thập được bằng các hàm xác thực hoặc chữ ký số để xác nhận sự tương đương giữa bản sao bằng chứng số và bản gốc Các khía cạnh an ninh đòi hỏi áp dụng các kiểm soát duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của các bằng chứng số tiềm năng, đồng thời các biện pháp liên quan đến môi trường cần được giải quyết bằng các biện pháp thích hợp để ngăn ngừa sự sửa đổi Do đó, DEFR cần đảm bảo rằng các nguyên tắc bảo mật được triển khai đầy đủ và các biện pháp quản lý môi trường phù hợp được áp dụng nhằm bảo vệ tính xác thực, an toàn và sẵn sàng của bằng chứng số trong suốt chu trình thu thập, lưu trữ và xử lý.

- Sử dụng một hàm xác thực thích hợp để cung cấp bằng chứng cho thấy các tập tin sao chép tương đương với bản gốc.

- Có thể thích hợp khi gắn DEFR với bằng chứng số tiềm năng đã thu thập được, sử dụng chữ ký số, sinh trắc học và chụp hình.

Toàn bộ thiết bị kỹ thuật số được tập hợp lại cần được bảo quản đúng cách bằng các phương pháp phù hợp với từng loại thiết bị; các biện pháp này nhằm đảm bảo an toàn và toàn vẹn dữ liệu Các bằng chứng số tiềm năng phải được bảo quản suốt thời gian tồn tại của chúng, thời hạn lưu giữ có thể khác nhau tùy quy định của cơ quan pháp luật và chính sách của tổ chức.

CHÚ THÍCH: Để thay thế cho niêm phong các dữ liệu đã thu thập bằng các hàm xác thực hoặc chữ ký số, DEFR cũng có thể sử dụng tính năng sinh trắc học Sinh trắc học sử dụng các đặc tính vật lý và đặc điểm hành vi để xác định tính của một cá nhân Bằng cách gắn một tính năng sinh trắc học với bằng chứng thu thập được, có thể đảm bảo rằng các bằng chứng không thể được làm giả mạo mà không làm ảnh hưởng đến tính năng sinh trắc học.

Các thiết bị mạng