Example: air traffic controller

Evidencia Digital - MINTIC Colombia 2020

Evidencia Digital Gu a No. 13 HISTORIA VERSI N FECHA CAMBIOS INTRODUCIDOS 28/03/2016 Generaci n De Primera Versi n De Documento TABLA DE CONTENIDO 2 1. DERECHOS DE AUTOR .. 6 2. AUDIENCIA .. 7 3. INTRODUCCI N .. 8 4. OBJETIVO GENERAL .. 9 5. GLOSARIO .. 10 6. CONSIDERACIONES INICIALES PARA LA CORRECTA EJECUCI N DE LA RECOLECCI N AN LISIS Y MANIPULACI N DE Evidencia Digital .. 11 7. METODOLOG A GENERAL DEL PROCEDIMIENTO DE Evidencia Digital .. 12 8. VERIFICACI N Y CONFIRMACI N DEL INCIDENTE .. 13 9. FASE I. AISLAMIENTO DE LA ESCENA .. 14 CADENA DE CUSTODIA.

estaciones forenses, dispositivos de backups, medios formateados y/o estériles, cámaras digitales, cinta y bolsas para evidencia, papel de burbuja, bolsas antiestáticas, cajas de cartón, rótulos o etiquetas etc….

Tags:

  Digital, Forense, Evidencia, Evidencia digital

Information

Domain:

Source:

Link to this page:

Please notify us if you found a problem with this document:

Other abuse

Transcription of Evidencia Digital - MINTIC Colombia 2020

1 Evidencia Digital Gu a No. 13 HISTORIA VERSI N FECHA CAMBIOS INTRODUCIDOS 28/03/2016 Generaci n De Primera Versi n De Documento TABLA DE CONTENIDO 2 1. DERECHOS DE AUTOR .. 6 2. AUDIENCIA .. 7 3. INTRODUCCI N .. 8 4. OBJETIVO GENERAL .. 9 5. GLOSARIO .. 10 6. CONSIDERACIONES INICIALES PARA LA CORRECTA EJECUCI N DE LA RECOLECCI N AN LISIS Y MANIPULACI N DE Evidencia Digital .. 11 7. METODOLOG A GENERAL DEL PROCEDIMIENTO DE Evidencia Digital .. 12 8. VERIFICACI N Y CONFIRMACI N DEL INCIDENTE .. 13 9. FASE I. AISLAMIENTO DE LA ESCENA .. 14 CADENA DE CUSTODIA.

2 15 . PROCEDIMIENTO OFICIAL DE LA FISCALIA PARA CADENA DE CUSTODIA 16 10. FASE II. IDENTIFICACI N DE FUENTES DE INFORMACI N, PASOS INICIALES DE ADQUISICI N DE INFORMACI N .. 17 IDENTIFICACI N DE POSIBLES FUENTES DE DATOS: .. 17 ADQUISICI N DE DATOS: .. 17 11. FASE III. RECOLECCI N Y EXAMINACI N DE INFORMACI N .. 19 CREACI N DEL ARCHIVO / BIT CORA DE HALLAZGOS (CADENA DE CUSTODIA) .. 19 IMAGEN DE DATOS .. 19 VERIFICACI N DE INTEGRIDAD DE LA IMAGEN .. 19 CREACI N DE UNA COPIA DE LA IMAGEN 19 ASEGURAMIENTO DE LA IMAGEN ORIGINAL SUMINISTRADA .. 19 REVISI N ANTIVIRUS Y VERIFICACI N DE LA INTEGRIDAD DE LA COPIA DE LA IMAGEN.

3 20 IDENTIFICACI N DE LAS PARTICIONES ACTUALES Y ANTERIORES .. 20 DETECCI N DE INFORMACI N EN LOS ESPACIOS ENTRE LAS PARTICIONES .. 20 DETECCI N DE UN HPA (HOST PROTECTED AREA) .. 20 IDENTIFICACI N DEL SISTEMA DE ARCHIVOS .. 20 RECUPERACI N DE LOS ARCHIVOS BORRADOS .. 21 RECUPERACI N DE INFORMACI N ESCONDIDA .. 21 IDENTIFICACI N DE ARCHIVOS EXISTENTES .. 21 IDENTIFICACI N DE ARCHIVOS PROTEGIDOS .. 21 CONSOLIDACI N DE ARCHIVOS POTENCIALMENTE ANALIZABLES .. 21 DETERMINACI N DEL SISTEMA OPERATIVO Y LAS APLICACIONES INSTALADAS .. 22 IDENTIFICACI N DE INFORMACI N DE TR FICO DE RED.

4 22 DEPURACI N DE ARCHIVOS BUENOS CONOCIDOS .. 22 CONSOLIDACI N DE ARCHIVOS SOSPECHOSOS .. 23 PRIMERA CLASIFICACI N DE ARCHIVOS .. 23 SEGUNDA CLASIFICACI N DE ARCHIVOS .. 23 RECOMENDACIONES PARA EXAMINACI N Y RECOLECCI N DE INFORMACI N .. 25 12. FASE IV. AN LISIS DE LA INFORMACI N .. 26 AN LISIS DE LA INFORMACI N PRIORITARIA.. 26 GENERACI N DE LISTADO DE ARCHIVOS COMPROMETIDOS CON EL CASO. 26 OBTENCI N DE LA L NEA DE TIEMPO DE LA Evidencia .. 26 GENERACI N DE INFORME FINAL.. 27 13. FASE V. REPORTE .. 28 14. RECOMENDACIONES GENERALES .. 29 15. BIBLIOGRAF A .. 30 1. DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de la Informaci n, con derechos reservados por parte del Ministerio de Tecnolog as de la Informaci n y las Comunicaciones, a trav s de la estrategia de Gobierno en L nea.

5 Todas las referencias a las pol ticas, definiciones o contenido relacionado, publicadas en la norma t cnica colombiana NTC ISO/IEC 27035 vigente, as como tambi n se toma como referencia la publicaci n especial de NIST SP800-86 (National Institute of Standards and Technology (Guide to Integrating Forensic Techniques into Incident Response). 2. AUDIENCIA Entidades p blicas de orden nacional y territorial, as como proveedores de servicios de Gobierno en L nea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de la informaci n en el marco de la Estrategia de Gobierno en L nea.)

6 3. INTRODUCCI N El presente documento da los lineamientos para realizar un proceso de inform tica forense adecuado, siendo a su vez un complemento al proceso de gesti n de incidentes de seguridad de la informaci n, ya que el enfoque de esta gu a est relacionado con los eventos de seguridad de la informaci n que pueden generar alg n impacto a los activos de informaci n. Esta gu a deber ser de conocimiento para todos los involucrados en un incidente de seguridad de la informaci n (desde el punto de contacto hasta el equipo de resoluci n del incidente ISIRT), teniendo en cuenta los roles en la Gu a de Gesti n De Incidentes.

7 Se recomienda que los lineamientos que se dan a continuaci n se empleen espec ficamente en la fase de an lisis, evaluaci n y decisi n de los incidentes, ya que en este punto a n no se realiza manipulaci n de la informaci n ni se afecta la integridad de la misma, permitiendo obtener la Evidencia necesaria adecuadamente. En la fase de an lisis, evaluaci n y decisi n se debe considerar si el evento o incidente amerita realizar un procedimiento de inform tica forense para recolectar Evidencia Digital para emprender alguna acci n de tipo legal, investigaci disciplinaria interna o aprendizaje.

8 Es importante haber realizado la lectura y entendimiento de la Gu a # 25 Gesti n de incidentes de seguridad de la informaci n , ya que la presente gu a aplica, solo si un incidente de seguridad de la informaci n se ha materializado en la entidad y se hace necesario la recopilaci n de Evidencia Digital , tambi n es importante recalcar que las instituciones como COLCERT y CCP son el punto de apoyo para realizar investigaciones de este tipo. 4. OBJETIVO GENERAL Indicar a las diferentes entidades del estado, como llevar a cabo una correcta identificaci n, recolecci n, an lisis y manipulaci n de datos en caso de alg n evento o incidente de seguridad que requiera de evidencias digitales para su investigaci n.

9 5. GLOSARIO Inform tica forense : Aplicaci n de la ciencia para la identificaci n, recolecci n, examen y an lisis de los datos, preservando correctamente su integridad, llevando a cabo a su vez una estricta cadena de custodia de la informaci n. Cadena De Custodia: Su objetivo principal es demostrar 3 aspectos: El primero, que la informaci n o Evidencia est intacta al momento de presentarse, segundo, que la hora y fecha en la que se hace entrega al proveedor o las autoridades sea exacta y tercero, que no fue manipulada o alterada mientras se encontraba en custodia del proveedor.

10 Informaci n Vol til: Datos de un determinado sistema que se pierden una vez dicho sistema es reiniciado o apagado. Host Protected Area (HPA): Conocido tambi n como hidden protected rea, se denomina de esta manera al espacio en un disco que no puede ser visibilizado por un sistema operativo. Slack Space: Es el espacio sobrante de un archivo que no alcanza a ocupar una unidad de almacenamiento asignada dentro de un sistema de archivos, es decir, que si un archivo pesa 20KB pero la unidad de almacenamiento es de 32KB, el espacio sobrante de 12KB se llamar slack space. Para los procedimientos de Evidencia forense , estos espacios pueden guardar informaci n de archivos borrados previamente entre otra informaci n.


Related search queries