보안 + 인증 : 컴퓨터 법의학 및 사고 응답 - 인형

컴퓨터 법의학 은 일어난 일을 파악하고 누가 책임이 있는지 알아 내고 합법적으로 수집하는 조사를 수행합니다. 컴퓨터 범죄 사건에 사용하기위한 인정 가능한 증거.

조사와 밀접히 관련되어 있지만 조사와는 분명히 다른 것은 사건 대응입니다. 조사의 목적은 일어난 일을 결정하고 책임자를 결정하며 증거를 수집하는 것입니다. 인시던트 대응 은 어떤 일이 일어 났는지 결정하고, 손상을 포함하고 평가하며 정상 작동을 복구합니다.

조사 수행

컴퓨터 범죄 수사는 컴퓨터 범죄 또는 사건의보고가있을 때 즉시 시작되어야합니다. 처음에는 사전 조사에서 달리 결정할 때까지 컴퓨터 범죄 조사로 처리해야합니다. 조사 과정에서 수행해야 할 일반적인 단계는 다음과 같습니다.

탐지 및 포함:

조기 발견은 성공적인 조사에 중요합니다. 안타깝게도 수동적 또는 사후 대응 탐지 기술 (예: 감사 추적 및 우연한 발견)은 컴퓨터 범죄에서 일반적으로 일반적이며 차가운 증거를 남깁니다. 봉쇄는 더 이상의 손실이나 피해를 최소화하는 데 필수적입니다.

• 경영진에게 통보:

경영진은 가능한 빨리 조사를 통보 받아야합니다. 조사에 대한 지식은 가능한 한 소수의 사람들에게만 국한되어야하며 알아야 할 필요가 있어야합니다. 조사에 대한 민감한 통신이 가로 채지 않도록하기 위해 대역 외 통신 방법 (직접보고)을 사용해야합니다.

• 사전 조사 시작: 이것은 범죄가 실제로 발생했는지 여부를 판단하는 데 필요합니다. 대부분의 사건은 범죄 행위가 아니라 정직한 실수입니다. 이 단계에는 다음이 포함됩니다. • 불만 또는 신고 검토
• • 손상 검사 • 증인 인터뷰

• 로그 조사

• 추가 조사 요구 사항 식별

공개 결정 시작:

결정할 가장 중요한 것은 범죄 또는 사건의 공개가 법으로 요구되는지 여부입니다.다음으로 공개가 필요한지 여부를 결정하십시오. 이것은 조직의 홍보 또는 공무원과 조정되어야합니다.

조사 수행:

• • 용의자를 확인하십시오.
• 여기에는 조직 내부자 및 외부인이 포함됩니다. 잠재적 인 용의자를 결정하거나 제거하는 데 도움이되는 표준 discriminator는 MOM 테스트입니다. 용의자가 동기를 부여했는지, 기회를 얻었으며, 범죄를 저지를 수 있습니까?

• 잠재적 증인을 확인하십시오. 인터뷰 대상자와 인터뷰 대상자를 결정합니다. 조사에 대한 잠재적 인 용의자를 경계하지 않도록주의하십시오. 증인 진술서에서 사실이 아닌 의견을 얻는 것에 중점을 둡니다.

• 수색과 압수 준비. 여기에는 수색 또는 압수 할 시스템 및 증거의 유형 식별, 수색 및 압수 팀원 (CIRT) 지정 및 교육, 적절한 수색 영장 (필요한 경우) 획득 및 제공, 시스템의 잠재적 위험 결정 수색 및 압수 노력 중.

보고 결과: 증거를 포함한 조사 결과는 경영진에게보고하고 적절한 법 집행 공무원이나 검사에게 넘겨야합니다. 증거

• 증거 는 논쟁중인 사실을 확인 또는 해소하기 위해 법원에 제출 된 정보입니다. 사건을 뒷받침 할 수있는 충분한 증거가없는 경우 사건을 재판에 회부 할 수 없습니다. 따라서 증거를 적절하게 수집하는 것은 조사자에게 가장 중요하고 어려운 과제 중 하나입니다.

증거의 유형

법원에 제출할 수있는 법적 증거의 출처는 일반적으로 네 가지 주요 범주 중 하나에 속합니다. 직접 증거:

이것은 구술 증언 또는 특정 사실이나 이슈를 증명하거나 반박하는 증인의 다섯 가지 감각 (목격자 계정)을 통해 수집 된 정보.

실제 또는 실제 증거:

• 다음과 같은 실제 범죄의 유형 객체입니다. • 도구 및 무기 • 도난당한 재산 또는 손상된 재산
• • 비주얼 또는 오디오 감시 테이프 컴퓨터 범죄로 인한 신체적 증거는 거의 없습니다.

문서 증거:

컴퓨터 범죄 사건에서 제시되는 대부분의 증거는 다음과 같은 증거 자료이다.

• 업무 기록의 원본 및 사본

• 컴퓨터 생성 및 컴퓨터 저장 기록
• • 설명서 • 정책

• 표준

• 절차

• 로그 파일 > 컴퓨터 기록을 포함한 비즈니스 기록은 전통적으로 대부분의 법원에서 소문이 난 증거로 간주됩니다. 그 이유는 이러한 기록을 정확하고 신뢰할 수있는 것으로 입증 할 수 없기 때문입니다. 검찰이 컴퓨터 범죄 사건에서 극복해야 할 가장 큰 장애물 중 하나는 컴퓨터 기록을 증거로 인정하는 것입니다.

증명 증거.

법원의 사건 이해를 돕기 위해 사용됩니다. 의견은 증거로서 간주되며 다음 중 하나 일 수 있습니다: • 전문가:

개인적인 전문 지식과 사실에 근거 함

•

없음:
• 사실만을 근거로 함 증거에는 모델, 시뮬레이션, 차트 및 삽화가 포함됩니다.앞의 주요 범주 중 적어도 하나에 속할 수있는 다른 유형의 증거는

최상의 증거: 원래의 변경되지 않은 증거를 포함한다. 법원에서는 2 차 증거보다 선호합니다. 컴퓨터에서 추출한 데이터는 최선의 증거 규칙을 충족하며 일반적으로 법원 소송 절차에 소개 될 수 있습니다. 2 차 증거:

증거의 사본 또는 사본 (예: ) • 테이프 백업 • 스크린 캡처

• 사진

입증 된 증거 ​​:

• 제시된 다른 증거를 뒷받침하거나 입증한다. 한 경우에. 결론적 인 증거:
명백하고 반박 할 수없는: 총.
• 증거의 증거: 다른 사건과 직접적으로 또는 결론적으로 연결될 수는 없지만 합리적인 추론이 가능한 관련 사실. 증거의 허용 가능성

컴퓨터 생성 증거는 종종 쉽게 조작, 변경 또는 변조 될 수 있으며 쉽고 일반적으로 이해되지 않기 때문에 이러한 유형의 증거는 대개 법원에서 용의성이 있다고 간주됩니다.

관련성:

사건과 관련 있고 중요한 사실을 입증하거나 반증하는 경향이 있어야합니다.

• 신뢰할 수있는: 증거로 제시되는 것은 원래 수집 된 것이고 증거 자체는 신뢰할 만하다는 것이 합리적으로 증명되어야합니다. 이것은 적절한 증거 처리와 양육권 체인을 통해 부분적으로 수행됩니다.
• 법적으로 허용: 법적 수단을 통해 획득해야합니다. 합법적으로 허용되지 않는 증거에는 다음 수단을 통해 얻은 증거가 포함될 수 있습니다.
• • 불법 수색 및 압수:

법 집행 요원은 사전 법원 명령을 받아야합니다. 그러나 감독자 또는 시스템 관리자와 같은 법 집행 담당자가 일부 상황에서 승인 된 검색을 수행 할 수 있습니다.

•

도청 또는 도청 불법:

• 도청 또는 전화 도청을 실시하는 사람은 사전에 법원 명령을 받아야합니다. •
• 함정이나 유혹: 함정
• 은 누군가가 저지하려는 의도가없는 범죄를 저지를 수 있도록 격려합니다. 반대로, 유혹

은 이미 누군가가 이미 범죄를 저지른 후에 누군가를 약간의 증거 (당신이 원한다면 벌꿀 냄비)로 끌어 당긴다. 유혹은 반드시 불법은 아니지만 윤리적 인 주장을 제기하고 법정에서 인정 될 수 없습니다. • 강제:

강제 진술이나 고백은 법적으로 허용되지 않습니다. • 허가되지 않거나 부적절한 모니터링:

능동적 인 모니터링은 적절한 방식으로 승인되고 실시되어야한다. 사용자는 모니터링 대상이 될 수 있음을 통보 받아야합니다.