ISO IEC 27037 Bilgi Teknolojisi - Güvenlik Teknikleri - Dijital Delillerin Tanımlanması, Toplanması, Edinilmesi ve Korunması

Uluslararası Standardizasyon Örgütü (ISO) tarafından yayınlanan “ISO IEC 27037 Bilgi teknolojisi - Güvenlik teknikleri - Dijital delillerin tanımlanması, toplanması, edinilmesi ve korunmasına ilişkin yönergeler“ standardı, dijital delillerin işlenmesinde belirli faaliyetler için kılavuz niteliğindedir. Bunlar, delil değeri taşıyabilecek dijital delillerin tanımlanması, toplanması, edinilmesi ve korunmasıdır. Bu standart, dijital delil işleme sürecinde karşılaşılan yaygın durumlar konusunda bireylere rehberlik sağlar ve kuruluşların disiplin prosedürlerinde ve yargı bölgeleri arasında olası dijital delillerin değişimini kolaylaştırmalarında yardımcı olur.

Bu standart, çeşitli durumlarda kullanılan şu cihazlar veya işlevler için kılavuz niteliğindedir:

• Sabit diskler, disketler, optik ve manyeto optik diskler gibi standart bilgisayarlarda kullanılan dijital depolama ortamları, benzer işlevlere sahip veri aygıtları.
• Cep telefonları, kişisel dijital asistanlar, kişisel elektronik aygıtlar (PED’ler), hafıza kartları.
• Mobil navigasyon sistemleri.
• Dijital fotoğraf ve video kameralar (CCTV dahil).
• Ağ bağlantılı standart bilgisayarlar.
• TCP/IP ve diğer dijital protokollere dayalı ağlar.
• Bu sayılanlara benzer işlevlere sahip aygıtlar.

Bu cihaz listesi, sadece gösterge niteliğindedir ve kapsamlı değildir. Yukarıda sayılan cihazlar çeşitli biçimlerde mevcuttur. Örneğin bir otomotiv sistemi mobil navigasyon sistemi, veri depolama ve sensör sistemi içerebilir.

ISO IEC 27037 standardı, bilgi güvenliği yönetim sistemleri ile ilgilenen daha geniş ISO IEC 27000 standart ailesinin bir parçasıdır, ancak özellikle dijital delillerin dijital adli tıp ve elektronik keşif bağlamında ilk ele alınmasına odaklanır. Bu standart, öncelikle ilk müdahale ekiplerine, dijital adli tıp uygulayıcılarına, kolluk kuvvetlerine, olay müdahale ekiplerine ve potansiyel dijital delilleri adli açıdan sağlam bir şekilde toplaması gerekebilecek kuruluşlara yöneliktir.

Cezai soruşturmalarda, kurumsal soruşturmalarda, hukuk davalarında veya olay müdahalelerinde, uygunsuz şekilde işlenen dijital kanıtlar şunlara yol açabilir:

• Mahkemede kabul edilemez hale gelebilir.
• Kirlenebilir veya değiştirilebilir.
• Zayıf muhafaza zinciri nedeniyle delil değerini kaybedebilir.

ISO IEC 27037 standardı, potansiyel kanıtın tespit edildiği ilk andan itibaren kanıt işleme sürecinin ilk aşamalarının bütünlüğünü, özgünlüğünü ve güvenilirliğini korumasını sağlamak için küresel olarak kabul görmüş bir çerçeve sunar.

Bu standart, derinlemesine adli analiz başlamadan önce gerçekleşen dört temel aşamayı açıkça ele almaktadır:

• Tespit: Hangi cihazların, verilerin veya medyanın ilgili dijital kanıt içerebileceğinin belirlenmesi.
• Toplama: Olay yerinden veya ortamdan potansiyel kanıtların toplanması.
• Edinme: Verilerin adli açıdan sağlam kopyalarının veya görüntülerinin oluşturulması.
• Koruma: Kanıtların (hem orijinal hem de kopyalarının) değiştirilmeye karşı korunması ve muhafaza zincirinin uygun şekilde belgelenmesi.

Şu husus önemlidir: ISO IEC 27037 standardı, verilerin laboratuvar analizini, incelenmesini veya yeniden oluşturulmasını kapsamaz (bunlar ISO IEC 27041, ISO IEC 27042, ISO IEC 27043 ve ISO IEC 27050 gibi ilgili standartlarda ele alınmaktadır).

ISO IEC 27037 standardı, birkaç temel ilke etrafında oluşturulmuştur:

• Dürüstlük: Kanıtlar, güvenilirliğini etkileyecek hiçbir şekilde değiştirilmemelidir.
• Gerçeklik: Kanıtın iddia edildiği gibi olduğunu kanıtlamak mümkün olmalıdır.
• Tekrarlanabilirlik: Süreçler, yetkili başka bir kişi tarafından tekrarlanabilir olmalıdır.
• Gözetim zinciri: Kanıtları işleyen her kişi ve gerçekleştirilen her eylem belgelenmelidir.
• Etkinin an aza indirilmesi: Mümkün olduğunda, faaliyetleri gereksiz yere aksatmadan kanıt toplayın (özellikle canlı kurumsal ortamlarda önemlidir).
• Yetkinlik: Personel uygun şekilde eğitilmiş ve yetkin olmalıdır.

ISO IEC 27037 standardı, ilk kanıt işleme sürecinde yer alan çeşitli rolleri tanımlar:

• Dijital kanıt ilk müdahale görevlisi: Genellikle olay yerine ilk gelen kişidir.
• Dijital kanıt uzmanı: Veri toplama işlemini gerçekleştirebilecek daha teknik becerilere sahip kişidir.
• Araştırmacı / talep eden: Soruşturmayı yöneten kişidir.

ISO IEC 27037 standardı yaygın senaryolar için ayrıntılı rehberlik ve kontrol listeleri sunar. Bunlar arasında şunlar yer alır:

• Olay yerinin güvenliğinin sağlanması ve değerlendirilmesi.
• Potansiyel dijital delil kaynaklarının belirlenmesi (bilgisayarlar, mobil cihazlar, bulut depolama, IoT cihazları ve benzerleri).
• Kanıt toplamanın önceliklendirilmesi (geçici ve kalıcı veriler).
• Açık ve kapalı cihazların doğru şekilde işlenmesi.
• Edinim sırasında yazma engelleyicilerin kullanımı.
• Adli görüntülerin oluşturulması (bit-bit kopyalar) ve kriptografik karma değerlerinin hesaplanması.
• Dijital medyanın etiketlenmesi, paketlenmesi ve taşınması.
• Belge şablonları (delil kayıtları, gözetim zinciri formları).

ISO IEC 27037 standardını genel olarak şu kişiler kullanır:

• Kolluk kuvvetleri ve devlet adli laboratuvarları.
• Kurumsal olay müdahale ve dijital adli bilişim ekipleri.
• Özel adli hizmet sağlayıcıları.
• Olay yönetimiyle ilgilenen bilgi güvenliği uzmanları.
• E-keşif yönetimini yöneten hukuk ekipleri.
• Dijital delilleri doğru bir şekilde toplamak için hazırlıklı olmak isteyen tüm kuruluşlar.

Sonuç olarak ISO IEC 27037 standardı, genellikle uzman olmayan kişiler (ilk müdahale ekipleri, bilgi teknolojileri personeli veya güvenlik görevlileri) tarafından baskı altında gerçekleştirilen dijital delil işlemenin ilk adımlarını standartlaştırarak kritik bir boşluğu doldurmaktadır. Bu ilk adımları doğru bir şekilde atmak, delillerin daha sonra mahkemede veya soruşturma sırasında kabul edilebilir ve güvenilir olma olasılığını önemli ölçüde artırır.

Bir kuruluş hiçbir zaman ceza davasıyla karşılaşmasa bile, ISO IEC 27037 standardını takip etmek, soruşturmaların savunulabilir, tekrarlanabilir ve güvenilir olmasını sağlamaya yardımcı olur.

Kısacası, bir sabit diske, telefona veya bulut hesabına delil olarak el koymak veya kopyalamak gerekirse, ISO IEC 27037 standardı bunun ilk seferde nasıl doğru bir şekilde yapılacağını anlatır.

Kuruluşumuz, yıllardır yetkin ve deneyimli bir kadro ile müşterilerinin ihtiyaçlarını anlamakta, ihtiyaç duydukları ileri test hizmetlerini vermekte ve yönetim sistemlerinin kurulması, uygulanması ve iyileştirilmesi konusunda yardımcı olmaktadır. Bu çerçevede işletmelere “ISO IEC 27037 Bilgi teknolojisi - Güvenlik teknikleri - Dijital delillerin tanımlanması, toplanması, edinilmesi ve korunmasına ilişkin yönergeler“ standardına uygun test hizmetleri de verilmektedir.