A ISO 27037 e as orientações para identificação, coleta, aquisição e preservação de indício digital



Exponho um resumo com os principais pontos de interesse da Norma ABNT ISO/IEC 27037:2013[i] orientações para identificação, coleta, aquisição e preservação de indício digital, sua leitura é indispensável a todos que pretendem atuar na área de investigação cibernética e Forense Digital.


A diretriz é padrão internacional para identificação, coleta, aquisição e preservação de evidências forenses digitais em todas as etapas no processo de investigação. Este preceito faz parte das 45 normas da família ISO 27000 – Gestão da Segurança da Informação. Sem dúvidas, uma das normas mais pertinentes para profissionais que seguem ou pretendem seguir carreira de perito forense.


No Brasil, estas normas são compostas pela sigla NBR. Elas são revistas e gerenciadas pela Associação Brasileira de Normas Técnicas (ABNT), podendo ser adquirida em sua integra através do site https://www.abntcatalogo.com.br/norma.aspx?ID=307273


ABNT NBR ISO/IEC 27037:2013


A Norma ABNT NBR ISO/IEC 27037:2013 tem por intuito padronizar o tratamento de indícios digitais, métodos esses fundamentais em uma investigação afim de resguardar a integridade da evidência digital – metodologia esta, que favorece para obtenção de sua admissibilidade, força probatória e relevância em processos judiciais ou disciplinares.

Esta norma garante que os indivíduos gerenciem o indício digital por meio de métodos práticos aceitáveis mundialmente, com o propósito de padronizar a investigação envolvendo aparatos digitais e/ou evidências digitais de maneira ordenada e imparcial, com o objetivo de preservar a sua integridade e autenticidade.

Indivíduos estes divididos em duas categorias:


Interventores: sujeito que possua conhecimento suficiente para auxiliar no manuseio da potencial evidência digital;


Especialistas: sujeito bastante experiente que possa garantir que a evidência digital possa ser efetivamente preservada;


A evidência digital tida na norma pode ser produzida através de diferentes tipos de dispositivos digitais, redes, computadores, smartphones, banco de dados, sistemas de CFTV, equipamentos periféricos, etc. Ela atribui-se a dados que já estão em formato digital.

Em decorrência à fragilidade da evidência digital, é necessário normatizar r o seu tratamento afim de garantir sua integridade e autenticidade. Os principais componentes que oferecem credibilidade à investigação são a metodologia aplicada durante o seu tratamento e as pessoas habilitadas na execução das atividades. A aplicação desta norma está em compatibilidade e com leis, regras e regulamentos internacionais, e é recomendado que ela não substitua exigências legais de qualquer jurisdição, em vez disso, ela deve servir de diretriz prática para qualquer procurador ou Especialista em investigações envolvendo potenciais evidências digitais. Considerando que os processos e atividades descritas nesta norma são medidas reativas usadas na investigação de um incidente depois de ocorrido.



FINALIDADE

A diretriz padroniza as atividades específicas no tratamento de evidências digitais que vão desde a identificação, coleta, aquisição e preservação de evidência digital que sejam capazes de possuir valor probatório, auxilia as organizações em suas metodologias disciplinares na facilitação de intercâmbio de evidências digitais entre jurisdições. A diretriz em geral considera os seguintes dispositivos e/ou funções que são utilizadas em várias circunstâncias: · Meios de armazenamento digitais usados em computadores, como HD, disquetes, CD/DVD, pen-drive; · Smartphones, Tablets, assistentes digitais pessoais (PDA), dispositivos eletrônicos pessoais (PED), cartões de memória; · Sistemas de navegação móveis (GPS); · Sistemas embarcados; · Câmeras digitais de vídeo e fotografias (incluindo CFTV); · Desktops, Notebooks; · Redes baseadas em TCP/IP e outros protocolos digitais, e · Dispositivos com funções semelhantes das descritas acima.

Indicio Digital Em regra, toda evidência digital válida é governada por três pilares fundamentais: Relevância: A evidência digital é vista como relevante quando se destina a provar ou refutar um elemento de um caso específico que está sendo investigado. Confiabilidade: Este vocábulo define a evidência digital quando “para garantir que a evidência digital seja o que pretende ser” Suficiência: O conceito de suficiência significa que a evidência digital seja suficiente para permitir que elementos questionados sejam devidamente examinados ou investigados. ANÁLISE DA EVIDÊNCIA DIGITAL São considerados quatro aspectos fundamentais no tratamento da evidência digital AUDITABILIDADE Possui o objetivo de determinar se o método científico, técnica ou o procedimento foi adequadamente seguido. É grandemente recomendado que os processos realizados sejam documentados para uma avaliação nas atividades realizadas. REPETIBILIDADE Este conceito é considerado quando os mesmos resultados de testes são produzidos utilizando os mesmos procedimentos e métodos de medição, utilizando os mesmos instrumentos e sob as mesmas condições; e pode ser repetido a qualquer tempo depois do teste original.

REPRODUTIBILIDADE

Este conceito é válido quando os mesmos resultados são produzidos utilizando diferentes instrumentos, diferentes condições; e a qualquer tempo. Exemplo: Comparando as strings de Hash.


JUSTIFICABILIDADE

Este conceito tem como objetivo justificar todas as ações e métodos utilizados para o tratamento da evidência digital. A justificativa pode será considerada demonstrando que a decisão foi a melhor escolha para