2.1.1.3 事故发生的时间 ○确认系统时钟的准确性
2.1.1.4 从事故发生到联系委托的时间,以及其间是否对事故进行处理
①了解突发事故的人物和人数 ②有无确保事故对象物
确保了的场合,记录确保对象物的日時、确保人(职务)、确保的场所、对确保时的对象物(及其周边)所采取的行为,对确保后的对象物的处理(有无)及其内容。
没有确保的场合,详细记录确保对象物(预定的)的时间和场所、确保的对象物(及其周边)的状态。
2.1.2 决定与突发事故有关的对象物(流程图参照图1) 2.1.2.1 针对对象物的信息收集和对象物的缩限 ①与突发事故有关的对象物的种类及数量 ●计算机(台式、笔记本型、服务器型)
●网络设备(路由器、防火墙、入侵检测系统、入侵防护系统) ●硬盘驱动器(以下、HDD)(容量/外设)
●存储媒体(CD / DVD / BD / FD / PD/ MO/各种闪存等) ●挥发性较高的对象物(内存) ●手机、智能手机 ●音乐播放器
●游戏机(W ii,NINTENDO DS,NINTENDO 3DS,PS3)
●IC录音机
●其它保障证据保全顺利进行的关联信息(周边机器●连接构成图等)
②与突发事故有关的对象物的状态(何时位于何处)
③与突发事故有关的对象物的使用起始时间和结束时间以及使用的频率。
④与突发事故有关的对象物的使用者和管理者
⑤有无周边设备和文档以便顺利进行与突发事故有关的对象物的证据保全
2.1.2.2 对象物的选定和优先顺序的安排 ①保全前对象物(设备)的选定及其理由
②(对象物是复数时)处理对象物的优先顺序及其理由 2.1.3 收集证据保全所需信息 2.1.3.1 对象物的信息
①对象物的形状、个数和物理状态
对象物的标记信息(厂家/型号/型号名称/序列号/扇区尺寸/总扇区数/存储容量)\\电缆的连接状况、跳线的设定状况、有无设定HPA、DCO等、有无通常环境下可以识别的物理破损和损伤。 ②硬盘〃存储媒体的存储容量,接口的状况
特别是在不把硬盘取出机壳,通过专用CD启动进行证据保全的场合, 光盘驱动器及USB / FireWire、网络连接端口的有无非常重要。
③是否进行安全设定
硬盘密码锁、硬盘整体加密和部分文件、文件夹加密、PC周边的钢缆制动器、柜子、IC卡等。
把握突发事故的内容 —突发事故的内容 —检测事故发生的经过 —事故发生的时间 —从事故发生到联系委托的时间,以及其间是否对事故进行处理 ↓
决定与突发事故有关的对象物 —针对对象物的信息收集和对象物的缩限 —对象物的选定和优先顺序的安排 ↓
收集证据保全所需信息 —对象物的信息 -对象物的形状、个数和物理状态 -硬盘〃存储媒体的存储容量,接口的状况 -是否进行安全设定 图1 表示本节作业内容的流程图
2.2事故响应已经着手场合的活动
2.2.1 确认与上述项目2.1有关的各种信息 ①与上述项目2.1有关的各种信息是否不足或过剩
②是否有人承认与上述项目2.1有关的各种信息的收集各种及结果或是否承认
2.2.2 确认访问之前的事故响应内容(是否拔掉电源等) 2.2.3 确认响应存在不足或过分场合的处理
①确认收集的信息〃项目内存在不足之处时,通过访问或信息收集进行补充。
②确认收集的信息〃项目内存在获取程序不适当之处时,在记录收集时实施的作业内容的基础上,根据适当的程序快速进行相关信息的收集。
③确认收集的信息〃项目内存在过分之处时,在听取收集该信息的基准及理由,认为不需要时删除该信息。 2.3 为了顺利进行事故响应而采取的行动 2.3.1 物理环境的确保
①确保拥有足够大的场所,以便容易发现和容易管理证据保全的对象物、用于证据保全的设备、工具和文件
②确保证据保全设备和工具充分运转的电力和插头等 ③确保只能用于事故响应作业的场所
通过上锁确保只有与事故响应有关的人员才能进入的场所(最好通过指纹认证〃IC卡认证进行出入管理)。
④在事故响应作业中离开现场(休息)时需要的采取的措施的实施 作业者的入退室记录、贵宾用IC卡的出借等 2.3.2 与有关组织的合作
①与法务部门负责人和信息系统负责人的合作 ②与系统设计者或管理者的关系构筑
例如在对结构复杂的系统整体或部分进行证据保全时 ③与内部监查〃系统审计负责人的合作 充分考虑和遵守委托单位的安全和隐私守则 ④关系人员的确保和无关人员的排除
在事故响应作业过程中应当确保无关的第三人不能参与的状况。又,在受托进行作业的场合,应当注意让委托单位的负责人在场。 ⑤与解析负责人的合作 3 对象物的收集〃取得〃保全 3.1 对象物状态的把握
○把握对象物存在现场的收集〃取得〃保全时的状况 〃放置对象物的场所、状态 〃确认管理者有无故意隐藏的情况
在设想的对象物的放置方法、收纳方法被认为处于不自然的状态的场
