ISO/IEC 27037:2012 - Digital Evidence Identification and Preservation

Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence

ISO/IEC 27037:2012 provides guidelines for specific activities in the handling of digital evidence, which are identification, collection, acquisition and preservation of potential digital evidence that can be of evidential value. It provides guidance to individuals with respect to common situations encountered throughout the digital evidence handling process and assists organizations in their disciplinary procedures and in facilitating the exchange of potential digital evidence between jurisdictions. ISO/IEC 27037:2012 gives guidance for the following devices and circumstances: Digital storage media used in standard computers like hard drives, floppy disks, optical and magneto optical disks, data devices with similar functions, Mobile phones, Personal Digital Assistants (PDAs), Personal Electronic Devices (PEDs), memory cards, Mobile navigation systems, Digital still and video cameras (including CCTV), Standard computer with network connections, Networks based on TCP/IP and other digital protocols, and Devices with similar functions as above. The above list of devices is an indicative list and not exhaustive.

Technologies de l'information — Techniques de sécurité — Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques

ISO/IEC 27037:2012 fournit des lignes directrices pour les activités spécifiques au traitement des preuves numériques que sont l'identification, la collecte, l'acquisition et la préservation des preuves numériques susceptibles de présenter une valeur probatoire. La présente Norme internationale fournit des préconisations aux personnes concernant des situations courantes rencontrées au cours du processus de traitement des preuves numériques, apporte une aide aux organismes en ce qui concerne leurs procédures disciplinaires et vise à faciliter l'échange de preuves numériques éventuelles entre les juridictions. ISO/IEC 27037:2012 fournit des préconisations concernant les appareils et/ou fonctions suivants utilisés dans diverses circonstances: - supports de stockage numérique utilisés dans les ordinateurs standard comme les disques durs, disquettes, disques optiques et magnéto-optiques, supports d'informations dotés de fonctions similaires; - téléphones mobiles, assistants numériques personnels, appareils électroniques personnels, cartes mémoires; - systèmes de navigation mobiles; - appareils photo et caméras vidéo numériques (comprenant la télévision en circuit fermé (CCTV)); - ordinateurs standard dotés de connexions réseau; - réseaux basés sur TCP/IP et d'autres protocoles numériques; et - appareils dotés de fonctions similaires à celles citées ci-dessus.

General Information

Status: Published
Publication Date: 14-Oct-2012

ICS: 35.030 - IT Security
: 35.040 - Information coding

Technical Committee: ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee: ISO/IEC JTC 1/SC 27/WG 4 - Security controls and services

Current Stage: 9060 - Close of review
Completion Date: 04-Mar-2029

Overview

ISO/IEC 27037:2012 - Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence - provides internationally recognized, practical guidance for handling potential digital evidence. The standard focuses on the four core processes of digital evidence handling: identification, collection, acquisition and preservation, with the objective of maintaining integrity and supporting admissibility in legal or disciplinary contexts. It is device-agnostic and applies to a wide range of sources (e.g., hard drives, mobile phones, PDAs, memory cards, CCTV, networked systems and other digital storage/media).

Key technical topics and requirements

Core processes: Clear guidance on identification, collection, acquisition (creating verified copies), and preservation of potential digital evidence.
Principles of evidence handling: Emphasis on auditability, repeatability, reproducibility, and justifiability of procedures.
Chain of custody: Documenting custody, transfer, and controls to preserve integrity and provenance.
Site precautions and evidence packaging: Guidance for first responders on securing scenes, handling personnel, packaging, transporting and storing digital devices.
Roles, responsibilities and competency: Definitions for Digital Evidence First Responders (DEFRs), Digital Evidence Specialists (DESs), incident responders and forensic lab managers, plus competency considerations.
Documentation and briefing: Minimum documentation requirements for evidence transfer, plus briefing practices for real-time incidents and personnel-specific needs.
Prioritization and preservation strategies: How to prioritize volatile vs. non-volatile data and preserve evidence across physical devices and networked environments.
Device- and context-specific notes: Practical instances covering computers, peripheral devices, digital storage, networked devices, CCTV and related systems.
Non-prescriptive tools approach: The standard defines methodology and competency expectations but does not mandate specific tools or software.

Practical applications and who uses it

ISO/IEC 27037 is used for:

Incident response teams and digital forensics practitioners establishing defensible collection and preservation procedures.
Digital Evidence First Responders (DEFRs) and Digital Evidence Specialists (DESs) as operational guidance during investigations.
Forensic laboratory managers and internal investigators developing policies that support legal or disciplinary proceedings.
Organizations implementing forensic readiness and integrating digital evidence handling into their information security programs.
Legal and compliance teams assessing the reliability and provenance of digital evidence across jurisdictions.

Keywords: ISO/IEC 27037, digital evidence, digital forensics, evidence preservation, chain of custody, incident response, forensic readiness.

Related standards

ISO/IEC 27001 and ISO/IEC 27002 (information security management controls)
ISO/IEC 17025 and ISO/IEC 17020 (laboratory and inspection competence)
ISO/TR 15801 (trustworthiness of electronic information storage)

Note: ISO/IEC 27037 complements these standards, does not cover analysis procedures or jurisdiction-specific admissibility rules, and must be applied in compliance with local laws.

ISO/IEC 27037:2012 - Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence - Page 1 preview

Standard

ISO/IEC 27037:2012 - Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence

English language

38 pages

sale 15% off

Preview

sale 15% off

Preview

ISO/IEC 27037:2012 - Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques - Page 1 preview

Standard

ISO/IEC 27037:2012 - Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques

French language

42 pages

sale 15% off

Preview

sale 15% off

Preview

Frequently Asked Questions

What is ISO/IEC 27037:2012?

ISO/IEC 27037:2012 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence". This standard covers: ISO/IEC 27037:2012 provides guidelines for specific activities in the handling of digital evidence, which are identification, collection, acquisition and preservation of potential digital evidence that can be of evidential value. It provides guidance to individuals with respect to common situations encountered throughout the digital evidence handling process and assists organizations in their disciplinary procedures and in facilitating the exchange of potential digital evidence between jurisdictions. ISO/IEC 27037:2012 gives guidance for the following devices and circumstances: Digital storage media used in standard computers like hard drives, floppy disks, optical and magneto optical disks, data devices with similar functions, Mobile phones, Personal Digital Assistants (PDAs), Personal Electronic Devices (PEDs), memory cards, Mobile navigation systems, Digital still and video cameras (including CCTV), Standard computer with network connections, Networks based on TCP/IP and other digital protocols, and Devices with similar functions as above. The above list of devices is an indicative list and not exhaustive.

What is the scope of ISO/IEC 27037:2012?

What ICS categories does ISO/IEC 27037:2012 belong to?

ISO/IEC 27037:2012 is classified under the following ICS (International Classification for Standards) categories: 35.030 - IT Security; 35.040 - Information coding. The ICS classification helps identify the subject area and facilitates finding related standards.

How can I purchase ISO/IEC 27037:2012?

You can purchase ISO/IEC 27037:2012 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 27037
First edition
2012-10-15
Information technology — Security
techniques — Guidelines for
identification, collection, acquisition, and
preservation of digital evidence
Technologies de l'information — Techniques de sécurité — Lignes
directrices pour l'identification, la collecte, l'acquisition et la préservation
de preuves numériques
Reference number
©
ISO/IEC 2012
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved

Contents Page
Foreword . v
Introduction . vi
1 Scope . 1
2 Normative reference . 1
3 Terms and definitions . 2
4 Abbreviated terms . 4
5 Overview . 6
5.1 Context for collecting digital evidence . 6
5.2 Principles of digital evidence . 6
5.3 Requirements for digital evidence handling . 6
5.3.1 General. 6
5.3.2 Auditability . 7
5.3.3 Repeatability . 7
5.3.4 Reproducibility . 7
5.3.5 Justifiability . 7
5.4 Digital evidence handling processes . 8
5.4.1 Overview . 8
5.4.2 Identification . 8
5.4.3 Collection . 9
5.4.4 Acquisition . 9
5.4.5 Preservation. 10
6 Key components of identification, collection, acquisition and preservation of digital
evidence . 10
6.1 Chain of custody . 10
6.2 Precautions at the site of incident . 11
6.2.1 General. 11
6.2.2 Personnel . 11
6.2.3 Potential digital evidence . 12
6.3 Roles and responsibilities . 12
6.4 Competency . 13
6.5 Use reasonable care . 13
6.6 Documentation . 14
6.7 Briefing . 14
6.7.1 General. 14
6.7.2 Digital evidence specific . 14
6.7.3 Personnel specific . 15
6.7.4 Real-time incidents . 15
6.7.5 Other briefing information . 15
6.8 Prioritizing collection and acquisition . 16
6.9 Preservation of potential digital evidence . 17
6.9.1 Overview . 17
6.9.2 Preserving potential digital evidence . 17
6.9.3 Packaging digital devices and potential digital evidence . 17
6.9.4 Transporting potential digital evidence . 18
7 Instances of identification, collection, acquisition and preservation . 19
7.1 Computers, peripheral devices and digital storage media . 19
7.1.1 Identification . 19
7.1.2 Collection . 21
© ISO/IEC 2012 – All rights reserved iii

7.1.3 Acquisition .25
7.1.4 Preservation .29
7.2 Networked devices .29
7.2.1 Identification .29
7.2.2 Collection, acquisition and preservation .31
7.3 CCTV collection, acquisition and preservation .33
Annex A (informative) DEFR core skills and competency description .35
Annex B (informative) Minimum documentation requirements for evidence transfer .37
Bibliography .38

iv © ISO/IEC 2012 – All rights reserved

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27037 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
© ISO/IEC 2012 – All rights reserved v

Introduction
This International Standard provides guidelines for specific activities in handling potential digital evidence;
these processes are: identification, collection, acquisition and preservation of potential digital evidence. These
processes are required in an investigation that is designed to maintain the integrity of the digital evidence – an
acceptable methodology in obtaining digital evidence that will contribute to its admissibility in legal and
disciplinary actions as well as other required instances. This International Standard also provides general
guidelines for the collection of non-digital evidence that may be helpful in the analysis stage of the potential
digital evidence.
This International Standard intends to provide guidance to those individuals responsible for the identification,
collection, acquisition and preservation of potential digital evidence. These individuals include Digital Evidence
First Responders (DEFRs), Digital Evidence Specialists (DESs), incident response specialists and forensic
laboratory managers. This International Standard ensures that responsible individuals manage potential digital
evidence in practical ways that are acceptable worldwide, with the objective to facilitate investigation involving
digital devices and digital evidence in a systematic and impartial manner while preserving its integrity and
authenticity.
This International Standard also intends to inform decision-makers who need to determine the reliability of
digital evidence presented to them. It is applicable to organizations needing to protect, analyze and present
potential digital evidence. It is relevant to policy-making bodies that create and evaluate procedures relating to
digital evidence, often as part of a larger body of evidence.
The potential digital evidence referred to in this International Standard may be sourced from different types of
digital devices, networks, databases, etc. It refers to data that is already in a digital format. This International
Standard does not attempt to cover the conversion of analog data into digital format.
Due to the fragility of digital evidence, it is necessary to carry out an acceptable methodology to ensure the
integrity and authenticity of the potential digital evidence. This International Standard does not mandate the
use of particular tools or methods. Key components that provide credibility in the investigation are the
methodology applied during the process, and individuals qualified in performing the tasks specified in the
methodology. This International Standard does not address the methodology for legal proceedings,
disciplinary procedures and other related actions in handling potential digital evidence that are outside the
scope of identification, collection, acquisition and preservation.
Application of this International Standard requires compliance with national laws, rules and regulations. It
should not replace specific legal requirements of any jurisdiction. Instead, it may serve as a practical guideline
for any DEFR or DES in investigations involving potential digital evidence. It does not extend to the analysis of
digital evidence and it does not replace jurisdiction-specific requirements that pertain to matters such as
admissibility, evidential weighting, relevance and other judicially controlled limitations on the use of potential
digital evidence in courts of law. This International Standard may assist in the facilitation of potential digital
evidence exchange between jurisdictions. In order to maintain the integrity of the digital evidence, users of this
International Standard are required to adapt and amend the procedures described in this International
Standard in accordance with the specific jurisdiction’s legal requirements for evidence.
Although this International Standard does not include forensic readiness, adequate forensic readiness can
largely support the identification, collection, acquisition, and preservation process of digital evidence. Forensic
readiness is the achievement of an appropriate level of capability by an organization in order for it to be able
to identify, collect, acquire, preserve, protect and analyze digital evidence. Whereas the processes and
activities described in this International Standard are essentially reactive measures used to investigate an
incident after it occurred, forensic readiness is a proactive process of attempting to plan for such events.
vi © ISO/IEC 2012 – All rights reserved

This International Standard complements ISO/IEC 27001 and ISO/IEC 27002, and in particular the control
requirements concerning potential digital evidence acquisition by providing additional implementation
guidance. In addition, this International Standard will have applications in contexts independent of
ISO/IEC 27001 and ISO/IEC 27002. This International Standard should be read in conjunction with other
standards related to digital evidence and the investigation of information security incidents.
© ISO/IEC 2012 – All rights reserved vii

INTERNATIONAL STANDARD ISO/IEC 27037:2012(E)

Information technology — Security techniques — Guidelines for
identification, collection, acquisition, and preservation of digital
evidence
1 Scope
This International Standard provides guidelines for specific activities in handling digital evidence, which are
identification, collection, acquisition and preservation of digital evidence that may be of evidential value. This
International Standard provides guidance to individuals with respect to common situations encountered
throughout the digital evidence handling process and assists organizations in their disciplinary procedures and
in facilitating the exchange of potential digital evidence between jurisdictions.
This International Standard gives guidance for the following devices and/or functions that are used in various
circumstances:
 Digital storage media used in standard computers like hard drives, floppy disks, optical and magneto
optical disks, data devices with similar functions,
 Mobile phones, Personal Digital Assistants (PDAs), Personal Electronic Devices (PEDs), memory cards,
 Mobile navigation systems,
 Digital still and video cameras (including CCTV),
 Standard computer with network connections,
 Networks based on TCP/IP and other digital protocols, and
 Devices with similar functions as above.
NOTE 1 The above list of devices is an indicative list and not exhaustive.
NOTE 2 Circumstances include the above devices that exist in various forms. For example, an automotive system may
include mobile navigation system, data storage and sensory system.
2 Normative reference
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/TR 15801, Document management — Information stored electronically — Recommendations for
trustworthiness and reliability
ISO/IEC 17020, Conformity assessment — Requirements for the operation of various types of bodies
performing inspection
ISO/IEC 17025:2005, General requirements for the competence of testing and calibration laboratories
© ISO/IEC 2012 – All rights reserved 1

ISO/IEC 27000, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions in ISO/IEC 27000, ISO/IEC 17020,
ISO/IEC 17025 and ISO/TR 15801, as well as the following apply.
3.1
acquisition
process of creating a copy of data within a defined set
NOTE The product of an acquisition is a potential digital evidence copy.
3.2
allocated space
area on digital media, including primary memory, which is in use for the storage of data, including metadata
3.3
collection
process of gathering the physical items that contain potential digital evidence
3.4
digital device
electronic equipment used to process or store digital data
3.5
digital evidence
information or data, stored or transmitted in binary form that may be relied on as evidence
3.6
digital evidence copy
copy of the digital evidence that has been produced to maintain the reliability of the evidence by including both
the digital evidence and verification means where the method of verifying it can be either embedded in or
independent from the tools used in doing the verification
3.7
Digital Evidence First Responder
DEFR
individual who is authorized, trained and qualified to act first at an incident scene in performing digital
evidence collection and acquisition with the responsibility for handling that evidence
NOTE Authority, training and qualification are the expected requirements necessary to produce reliable digital
evidence, but individual circumstances may result in an individual not adhering to all three requirements. In this case, the
local law, organizational policy and individual circumstances should be considered.
3.8
Digital Evidence Specialist
DES
individual who can carry out the tasks of a DEFR and has specialized knowledge, skills and abilities to handle
a wide range of technical issues
NOTE A DES may have additional niche skills, for example, network acquisition, RAM acquisition,
operating system software or Mainframe knowledge.
2 © ISO/IEC 2012 – All rights reserved

3.9
digital storage medium
device on which digital data may be recorded
[Adapted from ISO/IEC 10027:1990]
3.10
evidence preservation facility
secure environment or a location where collected or acquired evidence is stored
NOTE An evidence preservation facility should not be exposed to magnetic fields, dust, vibration, moisture or any
other environmental elements (such as extreme temperature or humidity) that may damage the potential digital evidence
within the facility.
3.11
hash value
string of bits which is the output of a hash-function
[ISO/IEC 10118-1:2000]
3.12
identification
process involving the search for, recognition and documentation of potential digital evidence
3.13
imaging
process of creating a bitwise copy of digital storage media
NOTE The bitwise copy is also called a physical copy.
EXAMPLE When imaging a hard drive, the DEFR would also copy data that has been deleted.
3.14
peripheral
device attached to a digital device in order to expand its functionality
3.15
preservation
process to maintain and safeguard the integrity and/or original condition of the potential digital evidence
3.16
reliability
property of consistent intended behaviour and results
[ISO/IEC 27000:2009]
3.17
repeatability
property of a process conducted to get the same test results on the same testing environment (same
computer, hard drive, mode of operation, etc.)
3.18
reproducibility
property of a process to get the same test results on a different testing environment (different computer, hard
drive, operator, etc.)
3.19
spoliation
act of making or allowing change(s) to the potential digital evidence that diminishes its evidential value
© ISO/IEC 2012 – All rights reserved 3

3.20
system time
time generated by the system clock and used by the operating system, not the time computed by the
operating system
3.21
tampering
act of deliberately making or allowing change(s) to digital evidence (i.e. intended or purposeful spoliation)
3.22
timestamp
time variant parameter which denotes a point in time with respect to a common time reference
[ISO/IEC 11770-1:1996]
3.23
unallocated space
area on digital media, including primary memory, which has not been allocated by the operating system, and
which is available for the storage of data, including metadata
3.24
validation
confirmation, through the provision of objective proof, that the requirements for a specific intended use or
application have been fulfilled
[ISO/IEC 27004:2009]
3.25
verification function
function which is used to verify that two sets of data are identical
NOTE 1 No two non-identical data sets should produce an identical match from a verification function.
NOTE 2 Verification functions are commonly implemented using hash functions such as MD5, SHA1, etc., but other
methods may be used.
3.26
volatile data
data that is especially prone to change and can be easily modified
NOTE A change can be switching off the power or passing through a magnetic field. Volatile data also includes data
that changes as the system state changes. Examples include data stored in RAM and dynamic IP addresses.
4 Abbreviated terms
AVI Audio Video Interleave
CCTV Closed Circuit Television
CD Compact Disk
DNA Deoxyribonucleic Acid
DEFR Digital Evidence First Responder
DES Digital Evidence Specialist
DVD Digital Video/Versatile Disk
4 © ISO/IEC 2012 – All rights reserved

ESN Electronic Serial Number
GPS Global Positioning System
GSM Global System for Mobile Communication
IMEI International Mobile Equipment Identity
IP Internet Protocol
ISIRT Information Security Incident Response Team
LAN Local Area Network
MD5 Message-Digest Algorithm 5
MP3 MPEG Audio Layer 3
MPEG Moving Picture Experts Group
NAS Network Attached Storage
PDA Personal Digital Assistant
PED Personal Electronic Device
PIN Personal Identification Number
PUK PIN Unlock Key
RAID Redundant Array of Independent Disks
RAM Random Access Memory
RFID Radio Frequency Identification
SAN Storage Area Network
SHA Secure Hash Algorithm
SIM Subscriber Identity Module
USB Universal Serial Bus
UPS Uninterruptible Power Supply
USIM Universal Subscriber Identity Module
UV Ultraviolet
Wi-Fi Wireless Fidelity
© ISO/IEC 2012 – All rights reserved 5

5 Overview
5.1 Context for collecting digital evidence
Digital evidence can be required for use in a number of distinct scenarios, each of which has a different
balance between the drivers of evidential quality, timeliness of analysis, restoration of service and cost of
digital evidence collection. Organizations will therefore be required to have a prioritization process that
identifies the needs and balances evidential quality, timeliness and service restoration before tasking DEFR
resources. A prioritization process involves carrying out an evaluation of the material available to determine
the possible evidential value and the order in which potential digital evidence should be collected, acquired or
preserved. Prioritization is carried out to minimize the risk of potential digital evidence being spoiled and
maximize evidentiary value of the potential digital evidence collected.
5.2 Principles of digital evidence
In most jurisdictions and organizations, digital evidence is governed by three fundamental principles:
relevance, reliability and sufficiency. These three principles are important to all investigations, not just those
for digital evidence to be admissible in court. Digital evidence is relevant when it goes towards proving or
disproving an element of the specific case being investigated. Although the detailed definition of “reliable”
varies among jurisdictions, the general meaning of the principle, “to ensure digital evidence is what it purports
to be” is widely held. It is not always necessary for the DEFR to collect all data or to make a complete copy of
the original digital evidence. In many jurisdictions, the concept of sufficiency means the DEFR needs to collect
enough potential digital evidence to allow the elements of the matter to be adequately examined or
investigated. Understanding this concept is important for the DEFR to prioritize the effort properly when time
or cost is a concern.
NOTE The DEFR should ensure that the collection of potential digital evidence is in accordance with the local
jurisdictional laws and regulations, as required by the specific circumstances.
All processes to be used by the DEFR and DES should have been validated prior to use. If the validation is
carried out externally, the DEFR or DES should verify that the validation is appropriate for their specific use of
the processes and the environment and circumstances in which the processes are about to be used. The
DEFR or DES should also:
a) document all actions;
b) determine and apply a method for establishing the accuracy and reliability of the potential digital
evidence copy compared to the original source; and
c) recognize that the act of preservation of the potential digital evidence cannot always be non-intrusive.
5.3 Requirements for digital evidence handling
5.3.1 General
The principles laid down in clause 5.2 above can be satisfied as follows:
 Relevance: It should be possible to demonstrate that material acquired is relevant to the investigation - i.e.
that it contains information of value in assisting the investigation of the particular incident and that there is
a good reason for it to have been acquired. Through auditing and justification, the DEFR should be able
to describe the procedures followed and explain how the decision to acquire each item was made.
 Reliability: All processes used in handling potential digital evidence should be auditable and repeatable.
The results of applying such processes should be reproducible.
 Sufficiency: The DEFR should have taken into consideration that enough material has been gathered to
allow a proper investigation to be carried out. The DEFR should be able, through audit and justification, to
6 © ISO/IEC 2012 – All rights reserved

give an indication of how much material, in total, was considered and the procedures used to decide how
much and which material to acquire.
NOTE The materials may be gathered via acquisition and/or collection activities.
There are four key aspects in digital evidence handling: auditability, justifiability and either repeatability or
reproducibility depending on particular circumstances.
5.3.2 Auditability
It should be possible for an independent assessor or other authorized interested parties to evaluate the
activities performed by a DEFR and DES. This will be made possible by appropriately documenting all actions
taken. The DEFR and DES should be able to justify the decision-making process in selecting a given course
of action. Processes performed by a DEFR and DES should be available for independent assessment to
determine if an appropriate scientific method, technique or procedure was followed.
5.3.3 Repeatability
Repeatability is established when the same test results are produced under the following conditions:
 Using the same measurement procedure and method;
 Using the same instruments and under the same conditions; and
 Can be repeated at any time after the original test.
A suitably skilled and experienced DEFR should be able to undertake all processes described in the
documentation and arrive at the same results, without guidance or interpretation. The DEFR should be aware
that there might be circumstances where it would not be possible to repeat the test, e.g. when an original hard
drive has been copied and returned into use, or when an item involves volatile memory. In this case, the
DEFR should assure the acquisition process is reliable. To achieve repeatability, quality control and
documentation of the process should be in place.
5.3.4 Reproducibility
Reproducibility is established when the same test results are produced under the following conditions:
 Using the same measurement method;
 Using different instruments and under different conditions; and
 Can be reproduced at any time after the original test.
The needs to reproduce results vary according to jurisdictions and circumstances, so the DEFR, or the
individual doing the reproduction will need to be informed about the applicable conditions.
5.3.5 Justifiability
The DEFR should be able to justify all actions and methods used in handling the potential digital evidence.
The justification can be achieved by demonstrating that the decision was the best choice to get all the
potential digital evidence. Another DEFR or DES could also demonstrate this by successfully reproducing or
validating the actions and methods used.
It is in the best interest of the individual organization to employ a DEFR or DES who possesses core skills and
competency as described in Annex A of this International Standard. This will ensure that the correct processes
and procedures are followed when handling potential digital evidence to ensure the eventual preservation of
digital evidence that may have evidentiary value. This will also ensure that organizations are able to use the
© ISO/IEC 2012 – All rights reserved 7

potential digital evidence, for example, in their disciplinary procedures or in facilitating the exchange of
potential digital evidence between jurisdictions.
NOTE The competency described in the Annex A is limited to DEFR function which is aligned with the role of DES as
defined in Clause 3.8.
5.4 Digital evidence handling processes
5.4.1 Overview
Although the complete digital evidence handling process includes other activities (i.e. presentation, disposal,
etc.), the scope of this International Standard relates only to the initial handling process which consists of
identification, collection, acquisition, and preservation of potential digital evidence.
Digital evidence can be fragile in nature. It may be altered, tampered with or destroyed through improper
handling or examination. Handlers of digital evidence should be competent to identify and manage the risks
and consequences of potential courses of action when dealing with digital evidence. Failure to handle digital
devices in an appropriate manner may render the potential digital evidence contained on those digital devices
to be unusable.
The DEFR and DES should follow documented procedures to ensure that the integrity and reliability of
potential digital evidence are maintained. The procedures should include handling guidelines for sources of
potential digital evidence and should include the following fundamental principles:
 Minimize handling of the original digital device or potential digital evidence;
 Account for any changes and document actions taken (to the extent that an expert is able to form an
opinion on reliability);
 Comply with the local rules of evidence; and
 The DEFR and DES should not take actions beyond their competence.
By complying with the fundamental principles and requirements of handling potential digital evidence, the
evidence should be preserved. Specifically in the case where unavoidable changes were to be made, all
actions and rationale need to be documented. Each process of the digital evidence handling, i.e. identification,
collection, acquisition and preservation, is discussed in more detail in the clauses to follow.
5.4.2 Identification
Digital evidence is represented in physical and logical form. The physical form includes the representation of
data within a tangible device. The logical form of the potential digital evidence refers to the virtual
representation of data within a device.
The identification process involves the search for, recognition and documentation of potential digital evidence.
The identification process should identify digital storage media and processing devices that may contain
potential digital evidence relevant to the incident. This process also includes an activity to prioritize the
evidence collection based on their volatility. The volatility of the data should be identified to ensure the correct
order of the collection and acquisition processes to minimize the damage to the potential digital evidence and
to obtain the best evidence. In addition, the process should identify the possibility of hidden potential digital
evidence. The DEFR and DES should be aware that not all types of digital storage media can be easily
identified and located, for example cloud computing, NAS and SAN - all add a virtual component to the
identification process.
The DEFR should systematically carry out a thorough search for items that may contain potential digital
evidence. Different types of digital devices that may contain potential digital evidence can easily be
overlooked (e.g. due to small size), disguised or co-mingled amongst other irrelevant material.
8 © ISO/IEC 2012 – All rights reserved

Clauses 6.1 and 6.6 provide more information on the chain of custody, packaging and labelling aspects of
digital evidence identification. Clause 7 specifies guidelines relevant to specific instances of identification,
collection, acquisition and preservation of digital evidence.
5.4.3 Collection
Once the digital devices that may contain potential digital evidence are identified, the DEFR and DES should
decide whether to collect or acquire during the next process. There are a number of decision factors for this,
which is discussed in more detail in Clause 7. The decision should be based on the circumstances.
Collection is a process in the digital evidence handling process where devices that may contain potential
digital evidence are removed from their original location to a laboratory or another controlled environment for
later acquisition and analysis. Devices containing potential digital evidence may be in one of two states: when
the system is powered on or when the system is powered off. Different approaches and tools are required,
depending on the state of the device. Local procedures may apply to the approaches and tools used for the
collection process.
This process includes documenting the whole approach, as well as the packaging of these devices prior to
transportation. It is important for the DEFR and DES to collect any material that might relate to the potential
digital information (e.g. paper with passwords noted down, cradles and power connectors for embedded
system devices). Potential digital evidence may be lost or damaged if reasonable care is not applied. The
DEFR and DES should adopt the best possible collection method based on the situation, cost and time, and
document the decision for using a particular method.
NOTE 1 Removal of digital storage media is not always recommended and the DEFR should be sure they are
competent to remove storage media, and recognize when it is appropriate and permitted to do so.
NOTE 2 Details on digital devices not collected should be documented with justification for their exclusion, in
accordance with requirements of applicable jurisdiction.
5.4.4 Acquisition
The acquisition process involves producing a digital evidence copy (e.g. complete hard disk, partition,
selected files) and documenting the methods used and activities performed. The DEFR should adopt a
suitable acquisition method based on the situation, cost and time, and document the decision for using a
particular method or tool appropriately.
The methods used to acquire potential digital evidence should be clearly documented in detail and, as far as
practically possible, be reproducible or verifiable by a competent DEFR. A DEFR or DES should acquire the
potential digital evidence in the least intrusive manner in order to avoid introducing changes where possible. In
carrying out this process, the DEFR should consider the most appropriate method to use. If the process
results to unavoidable alteration to the digital data, the activities performed should be documented to account
for the changes to the data.
The acquisition method used should produce a digital evidence copy of the potential digital evidence or digital
devices that may contain potential digital evidence. Both the original source and the digital evidence copy
should be verified with a proven verification function (proven accurate at that point in time) that is acceptable
to the individual who will use the evidence. The original source and each digital evidence copy should produce
the same verification function output.
In circumstances where the verification process cannot be performed, for example when acquiring a running
system, the original copy contains error sectors, or the acquisition time period is limited. In such instances, the
DEFR should use the best possible method available and be able to justify and defend the selection of the
method. If the imaging cannot be verified, then this needs to be documented and justified. If necessary, the
acquisition method used should be able to obtain the allocated and unallocated space.
NOTE 1 When the verification process cannot be performed on the full source due to errors on the source, then
verification using those parts of the source that can be reliably read, may be used.
© ISO/IEC 2012 – All rights reserved 9

There may be instances in which it is not feasible or permissible to create a digital evidence copy of an
evidence source, such as when the source is too large. In these instances, a DEFR may perform a logical
acquisition, which targets only specific data types, directories or locations. This generally takes place on a file
and partition level. During logical acquisition, active files and non-file-based allocated space on the digital
storage media may be copied; deleted files and unallocated space may not be copied, depending on the
method used. Other instances where this method can be useful are when mission-critical systems are
involved that cannot be shutdown.
NOTE 2 Some jurisdictions may require special treatment for data; for example, seal it in the presence of the owner of
the data. The sealing should be done in accordance with local requirements (legislative and procedural).
5.4.5 Preservation
Potential digital evidence should be preserved to ensure its usefulness in the investigation. It is important to
protect the integrity of the evidence. The preservation process involves the safeguarding of potential digital
evidence and digital devices that may contain potential digital evidence from tampering or spoliation. The
preservation process should be initiated and maintained throughout the digital evidence handling processes,
starting from the identification of the digital devices that contain potential digital evidence.
In the best-case scenario, there should be no spoliation to the data itself or any metadata associated with it
(e.g. date and time-stamps). The DEFR should be able to demonstrate that the evidence has not been
modified since it was collected or acquired, or provide the rationale and documented actions if unavoidable
changes were made.
NOTE In some cases, the confidentiality of potential digital evidence is a requirement, either a business requirement
or a legal requirement (e.g. privacy). The potential digital evidence should be preserved in a manner that ensures the
confidentiality of the data.
6 Key components of identification, collection, acquisition and preservation of
digital evidence
6.1 Chain of custody
In any investigation, the DEFR should be able to account for all the acquired data and devices at the time it is
within the custody of the DEFR. The chain of custody record is a document identifying the chronology of the
movement and handling of the potential digital evidence. It should be instituted from the collection or
acquisition process. This will typically be accomplished by tracing the history of the item from the time it was
identified, collected or acquired by the investigating team up to the present status and location.
The chain of custody record is a document or series of related documents that details the chain of custody
and records who was responsible for handling potential digital evidence, either in the form of digital data or
other formats (such as paper notes). The purpose of maintaining a chain of custody record is to enable the
identification of access and movement of potential digital evidence at any given point in time. The chain of
custody record itself may comprise more than one document, e.g. for potential digital evidence there should
be a contemporaneous document recording the acquisition of digital data to a particular device, the movement
of that device and documentation recording subsequent extracts or copies of potential digital evidence for
analysis or other purposes. The chain of custody record should contain the following information as a
minimum:
 Unique evidence identifier;
 Who accessed the evidence a
...

NORME ISO/IEC
INTERNATIONALE 27037
Première édition
2012-10-15
Technologies de l’information —
Techniques de sécurité — Lignes
directrices pour l’identification,
la collecte, l’acquisition et la
préservation de preuves numériques
Information technology — Security techniques — Guidelines for
identification, collection, acquisition and preservation of digital
evidence
Numéro de référence
©
ISO/IEC 2012
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2012, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2012 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Abréviations . 4
5 Vue d’ensemble . 6
5.1 Contexte de collecte des preuves numériques . 6
5.2 Principes de preuves numériques . 6
5.3 Exigences concernant le traitement des preuves numériques . 6
5.3.1 Généralités . 6
5.3.2 Vérifiabilité. 7
5.3.3 Répétabilité . 7
5.3.4 Reproductibilité . 7
5.3.5 Justification . 7
5.4 Processus de traitement des preuves numériques . 8
5.4.1 Vue d’ensemble . 8
5.4.2 Identification . 8
5.4.3 Collecte . 9
5.4.4 Acquisition . 9
5.4.5 Préservation .10
6 Éléments clés de l’identification, de la collecte, de l’acquisition et de la préservation
des preuves numériques .11
6.1 Chaîne de contrôle .11
6.2 Précautions à prendre sur le site de l’incident .11
6.2.1 Généralités .11
6.2.2 Personnel .12
6.2.3 Preuves numériques éventuelles .12
6.3 Rôles et responsabilités . .13
6.4 Compétence .13
6.5 Faire preuve d’une diligence raisonnable .14
6.6 Documentation .14
6.7 Réunion d’information .15
6.7.1 Généralités .15
6.7.2 Spécificité des preuves numériques .15
6.7.3 Spécificité du personnel .16
6.7.4 Incidents en temps réel .16
6.7.5 Autres informations .16
6.8 Priorisation de la collecte et de l’acquisition .17
6.9 Préservation des preuves numériques éventuelles .18
6.9.1 Vue d’ensemble .18
6.9.2 Préservation des preuves numériques éventuelles .18
6.9.3 Emballage des appareils numériques et des preuves numériques éventuelles .18
6.9.4 Transport des preuves numériques éventuelles .20
7 Exemples d’identification, de collecte, d’acquisition et de préservation .20
7.1 Ordinateurs, périphériques et supports de stockage numérique .20
7.1.1 Identification .20
7.1.2 Collecte .23
7.1.3 Acquisition .27
7.1.4 Préservation .31
7.2 Appareils en réseau.32
7.2.1 Identification .32
© ISO/IEC 2012 – Tous droits réservés iii

7.2.2 Collecte, acquisition et préservation .34
7.3 Collecte, acquisition et préservation de systèmes CCTV .36
Annexe A (informative) Description du savoir-faire et compétences élémentaires du DEFR .39
Annexe B (informative) Exigences relatives à la documentation minimale pour le transfert
de preuves .41
Bibliographie .42
iv © ISO/IEC 2012 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l’ISO ou de l’IEC participent au développement de Normes internationales
par l’intermédiaire des comités techniques créés par l’organisation concernée afin de s’occuper des
domaines particuliers de l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent
dans des domaines d’intérêt commun. D’autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO et l’IEC, participent également aux travaux. Dans le domaine
des technologies de l’information, l’ISO et l’IEC ont créé un comité technique mixte, l’ISO/IEC JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/IEC, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des
comités membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO/IEC 27037 a été élaborée par le comité technique ISO/TC JTC 1, Technologies de l’information, sous-
comité SC 27, Techniques de sécurité des technologies de l’information.
© ISO/IEC 2012 – Tous droits réservés v

Introduction
La présente Norme internationale fournit des lignes directrices pour les activités spécifiques au
traitement de preuves numériques éventuelles; ces processus sont les suivants: l’identification, la
collecte, l’acquisition et la préservation de preuves numériques éventuelles. Ces processus sont requis
lors d’une investigation destinée à préserver l’intégrité des preuves numériques, une méthodologie
acceptable pour obtenir les preuves numériques qui contribuera à sa recevabilité en cas de poursuites
judiciaires et disciplinaires ainsi que dans d’autres cas requis. La présente Norme internationale fournit
également des lignes directrices générales pour la collecte de preuves non numériques susceptibles de
s’avérer utiles lors de la phase d’analyse des preuves numériques éventuelles.
La présente Norme internationale a pour objet de fournir des préconisations aux personnes chargées de
l’identification, de la collecte, de l’acquisition et de la préservation des preuves numériques éventuelles.
Ces personnes incluent les premiers intervenants en contact avec les preuves numériques (DEFR), les
spécialistes des preuves numériques (DES), les spécialistes en réponse aux incidents et les responsables
des laboratoires forensiques. La présente Norme internationale garantit que les personnes responsables
traitent les preuves numériques éventuelles de façon acceptable partout dans le monde, avec pour
objectif de faciliter l’investigation impliquant des appareils numériques et des preuves numériques de
façon systématique et impartiale tout en préservant leur intégrité et leur authenticité.
La présente Norme internationale vise également à informer les décideurs qui ont besoin de déterminer
la fiabilité des preuves numériques qui leur sont présentées. Elle s’applique aux organismes devant
protéger, analyser et présenter des preuves numériques éventuelles. Elle est pertinente dans le contexte
des organismes en charge de l’établissement de politiques, qui créent et évaluent des modes opératoires
en rapport avec les preuves numériques, souvent dans le cadre d’un ensemble plus vaste de preuves.
Les preuves numériques éventuelles auxquelles il est fait référence dans la présente Norme
internationale peuvent provenir de différents types d’appareils numériques, de réseaux, de bases de
données, etc. Elles désignent des données se trouvant déjà au format numérique. La présente Norme
internationale n’a pas pour objectif de couvrir la conversion de données analogiques au format
numérique.
En raison de la fragilité des preuves numériques, il est nécessaire d’appliquer une méthodologie
acceptable pour garantir l’intégralité et l’authenticité des preuves numériques éventuelles. La présente
Norme internationale n’exige pas l’utilisation d’outils ou de méthodes spécifiques. Des composants
clés qui fournissent une crédibilité au cours de l’investigation constituent la méthodologie appliquée
au cours du processus et les personnes qualifiées pour exécuter les tâches sont spécifiées dans la
méthodologie. La présente Norme internationale ne traite pas de la méthodologie concernant les
procédures judiciaires, les procédures disciplinaires et les autres actions associées concernant le
traitement des preuves numériques éventuelles se trouvant en dehors du domaine d’application de
l’identification, de la collecte, de l’acquisition et de la préservation.
L’application de la présente Norme internationale requiert le respect des lois, règles et réglementations
nationales. Il convient qu’elle ne remplace pas les exigences légales spécifiques d’une quelconque
juridiction. Au lieu de cela, elle peut servir de ligne directrice pratique pour tout DEFR ou DES dans le
cadre d’investigations impliquant des preuves numériques éventuelles. Elle ne s’étend pas à l’analyse
des preuves numériques et ne remplace pas les exigences spécifiques à la juridiction concernant des
sujets comme la recevabilité, la valeur probatoire, la pertinence et d’autres limites soumises au contrôle
judiciaire concernant l’utilisation de preuves numériques éventuelles devant les cours de justice. La
présente Norme internationale peut faciliter l’échange de preuves numériques éventuelles entres les
juridictions. Afin de préserver l’intégrité des preuves numériques, les utilisateurs de la présente Norme
internationale doivent adapter et amender les modes opératoires décrits dans la présente Norme
internationale conformément aux exigences légales spécifiques de la juridiction concernant les preuves.
Bien que la présente Norme internationale n’inclue pas la préparation forensique, la préparation
forensique adéquate peut en grande partie prendre en charge l’identification, la collecte, l’acquisition
et le processus de préservation des preuves numériques. La préparation forensique désigne le fait
d’atteindre un niveau approprié de capacité par un organisme lui permettant d’identifier, de collecter,
d’acquérir, de préserver, de protéger et d’analyser des preuves numériques. Si les processus et activités
vi © ISO/IEC 2012 – Tous droits réservés

décrits dans la présente Norme internationale sont essentiellement des mesures réactives utilisées
pour investiguer sur un incident après sa survenue, la préparation forensique est un processus proactif
visant à essayer de planifier de tels événements.
La présente Norme internationale complète l’ISO/IEC 27001 et l’ISO/IEC 27002, et, notamment, les
exigences de contrôle portant sur l’acquisition des preuves numériques éventuelles en fournissant
des préconisations complémentaires concernant la mise en œuvre. En outre, la présente Norme
internationale s’appliquera dans des contextes indépendants de l’ISO/IEC 27001 et l’ISO/IEC 27002.
Il convient de lire la présente Norme internationale en parallèle avec d’autres normes relatives aux
preuves numériques et à l’investigation concernant des incidents de sécurité de l’information.
© ISO/IEC 2012 – Tous droits réservés vii

NORME INTERNATIONALE ISO/IEC 27037:2012(F)
Technologies de l’information — Techniques de sécurité
— Lignes directrices pour l’identification, la collecte,
l’acquisition et la préservation de preuves numériques
1 Domaine d’application
La présente Norme internationale fournit des lignes directrices pour les activités spécifiques
au traitement des preuves numériques que sont l’identification, la collecte, l’acquisition et la
préservation des preuves numériques susceptibles de présenter une valeur probatoire. La présente
Norme internationale fournit des préconisations aux personnes concernant des situations courantes
rencontrées au cours du processus de traitement des preuves numériques, apporte une aide aux
organismes en ce qui concerne leurs procédures disciplinaires et vise à faciliter l’échange de preuves
numériques éventuelles entre les juridictions.
La présente Norme internationale fournit des préconisations concernant les appareils et/ou fonctions
suivants utilisés dans diverses circonstances:
— supports de stockage numérique utilisés dans les ordinateurs standard comme les disques durs,
disquettes, disques optiques et magnéto-optiques, supports d’informations dotés de fonctions
similaires;
— téléphones mobiles, assistants numériques personnels, appareils électroniques personnels, cartes
mémoires;
— systèmes de navigation mobiles;
— appareils photo et caméras vidéo numériques (comprenant la télévision en circuit fermé (CCTV));
— ordinateurs standard dotés de connexions réseau;
— réseaux basés sur TCP/IP et d’autres protocoles numériques; et
— appareils dotés de fonctions similaires à celles citées ci-dessus.
NOTE 1 La liste des appareils ci-dessus est une liste indicative et non exhaustive.
NOTE 2 Ces circonstances incluent les appareils ci-dessus se présentant sous diverses formes. Par exemple,
un système automobile peut inclure un système de navigation mobile, un système de stockage des données et un
système sensoriel.
2 Références normatives
Les documents ci-après sont des références normatives indispensables à l’application du présent
document. Pour les références datées, seule l’édition citée s’applique. Pour les références non datées, la
dernière édition du document de référence s’applique (y compris les éventuels amendements).
ISO/TR 15801, Images électroniques — Stockage électronique d’informations — Recommandations pour
les informations de valeur et leur fiabilité
ISO/IEC 17020, Évaluation de la conformité — Exigences pour le fonctionnement de différents types
d’organismes procédant à l’inspection
ISO/IEC 17025:2005, Exigences générales concernant la compétence des laboratoires d’étalonnages et
d’essais
ISO/IEC 27000, Technologies de l’information — Techniques de sécurité — Systèmes de gestion de sécurité
de l’information — Vue d’ensemble et vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l’ISO/IEC 27000, l’ISO/IEC 17020,
l’ISO/IEC 17025 et l’ISO/TR 15801, ainsi que les suivants s’appliquent.
3.1
acquisition
processus de création d’une copie de données d’un ensemble défini
Note 1 à l’article: Le résultat d’une acquisition est une copie des preuves numériques éventuelles.
3.2
espace dédié
zone d’un support numérique, comprenant la mémoire principale, utilisée pour le stockage des données,
comprenant les métadonnées
3.3
collecte
processus consistant à rassembler des éléments physiques contenant des preuves numériques
éventuelles
3.4
appareil numérique
équipement électronique utilisé pour traiter ou stocker des données numériques
3.5
preuves numériques
informations ou données, stockées ou transmises sous forme binaire susceptibles d’être invoquées
comme preuves
3.6
copie de preuves numériques
copie de preuves numériques réalisées pour préserver la fiabilité des preuves incluant à la fois les
preuves numériques et les moyens de vérification où la méthode de vérification des preuves peut être
soit intégrée, soit indépendante des outils utilisés pour la vérification
3.7
premier intervenant en contact avec les preuves numériques
DEFR
personne autorisée, formée et qualifiée pour agir en premier lieu sur la scène d’un incident afin de réaliser
la collecte et l’acquisition des preuves numériques et étant responsable du traitement de ces preuves
Note 1 à l’article: L’autorité, la formation et la qualification sont des exigences prévues nécessaires pour produire
des preuves numériques fiables, mais des cas particuliers peuvent avoir pour conséquence qu’une personne ne
satisfait pas à l’ensemble de ces trois exigences. En pareil cas, il convient de considérer la législation locale, la
politique de l’organisme et les cas particuliers.
3.8
spécialiste en preuves numériques
DES
personne en mesure d’exécuter les tâches d’un DEFR et disposant de connaissances, de savoir-faire et
de capacités spécialisés lui permettant de traiter un large éventail de problèmes techniques
Note 1 à l’article: Un DES peut disposer de compétences spécifiques complémentaires, par exemple, acquisition
de réseaux, acquisition de RAM, connaissances en logiciels de système d’exploitation ou en ordinateurs centraux.
2 © ISO/IEC 2012 – Tous droits réservés

3.9
support de stockage numérique
appareil sur lequel il est possible d’enregistrer des données numériques
[SOURCE: Adapté de l’ISO/IEC 10027:1990]
3.10
installation de préservation des preuves
environnement sécurisé ou lieu où les preuves collectées ou acquises sont stockées
Note 1 à l’article: Il convient de ne pas exposer une installation de préservation des preuves aux champs
magnétiques, à la poussière, à des vibrations, à l’humidité ou à tout autre élément environnemental (comme une
température ou une humidité extrêmes) qui pourraient endommager les preuves numériques éventuelles dans
l’installation.
3.11
valeur de hachage
chaîne de bits issue d’une fonction de hachage
[SOURCE: ISO/IEC 10118-1:2000]
3.12
identification
processus impliquant la recherche, la reconnaissance et la documentation des preuves numériques
éventuelles
3.13
création d’image
processus de création d’une copie bit à bit de supports de stockage numérique
Note 1 à l’article: La copie bit à bit est également appelée copie physique.
EXEMPLE Lorsqu’il crée une image d’un disque dur, le DEFR copie également les données qui ont été
supprimées.
3.14
périphérique
appareil relié à un appareil numérique afin d’étendre sa fonctionnalité
3.15
préservation
processus destiné à préserver et protéger l’intégrité et/ou l’état initial des preuves numériques
éventuelles
3.16
fiabilité
propriété relative à un comportement et des résultats prévus et cohérents
[SOURCE: ISO/IEC 27000:2009]
3.17
répétabilité
propriété d’un processus visant à obtenir les mêmes résultats d’essai sur le même environnement
d’essai (même ordinateur, disque dur, mode de fonctionnement, etc.)
3.18
reproductibilité
propriété d’un processus visant à obtenir les mêmes résultats d’essai sur un environnement d’essai
différent (ordinateur, disque dur, opérateur différents, etc.)
© ISO/IEC 2012 – Tous droits réservés 3

3.19
altération de preuves
acte consistant à appliquer ou autoriser une/des modification(s) à des preuves numériques éventuelles,
qui diminue leur valeur probatoire
3.20
heure système
heure générée par l’horloge du système et utilisée par le système d’exploitation, et non heure calculée
par le système d’exploitation
3.21
sabotage
acte consistant à appliquer ou autoriser une/des modification(s) à des preuves numériques (c’est-à-dire
altération délibérée ou volontaire de preuves)
3.22
horodatage
paramètre de variante temporelle qui indique un point dans le temps par rapport à une référence
temporelle commune
[SOURCE: ISO/IEC 11770-1:1996]
3.23
espace non alloué
zone d’un support numérique, comprenant la mémoire principale, qui n’a pas été alloué par le système
d’exploitation, et qui est disponible pour le stockage des données, comprenant les métadonnées
3.24
validation
confirmation, par la fourniture de preuves objectives, que les exigences relatives à une utilisation
prévue ou une application prévue ont été satisfaites
[SOURCE: ISO/IEC 27004:2009]
3.25
fonction de vérification
fonction utilisée pour vérifier que deux ensembles de données sont identiques
Note 1 à l’article: Il convient que deux ensembles de données non identiques ne se traduisent pas par une
concordance identique à partir d’une fonction de vérification.
Note 2 à l’article: Les fonctions de vérification sont, en général, mises en œuvre à l’aide de fonctions de hachage
comme MD5, SHA1, etc., mais d’autres méthodes peuvent être utilisées.
3.26
données volatiles
données sujettes au changement et facilement modifiables
Note 1 à l’article: Un changement peut être la mise hors tension ou le franchissement d’un champ magnétique. Les
données volatiles incluent également des données qui changent lorsque l’état du système change. Les exemples
comprennent des données stockées dans la RAM et des adresses IP dynamiques.
4 Abréviations
AVI Entrelacement audio/vidéo (Audio Video Interleave)
CCTV Télévision en circuit fermé (Closed Circuit Television)
CD Disque compact (Compact Disc)
4 © ISO/IEC 2012 – Tous droits réservés

ADN Acide désoxyribonucléique
DEFR Premier intervenant sur la preuve numérique (Digital Evidence First Responder)
DES Spécialiste en preuves numériques (Digital Evidence Specialist)
DVD Disque vidéo numérique/disque numérique polyvalent (Digital Versatile Disc)
ESN Numéro de série électronique (Electronic Serial Number)
GPS Système mondial de localisation (Global Positioning System)
GSM Système global de communications mobiles (Global System for Mobile communication)
IMEI Identité internationale d’un équipement mobile (International Mobile Equipment Identity)
IP Protocole Internet (Internet Protocol)
ISIRT Équipe chargée de la réponse aux incidents liés à la sécurité de l’information (Information
Security Incident Response Team)
LAN Réseau local (Local Area Network)
MD5 Algorithme de hachage 5 (Message-Digest algorithm 5)
MP3 MPEG Audio Layer 3
MPEG Moving Picture Experts Group
NAS Stockage en réseau (Network Attached Storage)
PDA Assistant numérique personnel (Personal Digital Assistant)
PED Appareil électronique personnel (Personal Electronic Device)
PIN Numéro d’identification personnel (Personal Identification Number)
PUK Code de déverrouillage du code PIN (PIN Unlock Key)
RAID Réseau redondant de disques indépendants (Redundant Array of Independent Disks)
RAM Mémoire vive (Random Access Memory)
RFID Identification par radiofréquence (Radio Frequency IDentification)
SAN Réseau de stockage (Storage Area Network)
SHA Algorithme de hachage sécurisé (Secure Hash Algorithm)
SIM Module d’identification d’abonné (Subscriber Identity Module)
USB Bus série universel (Universal Serial Bus)
UPS Système d’alimentation sans interruption (Uninterruptible Power Supply)
USIM Module universel d’identification d’abonné (Universal Subscriber Identity Module)
UV Ultraviolet
Wi-Fi Fidélité sans fil (Wireless Fidelity)
© ISO/IEC 2012 – Tous droits réservés 5

5 Vue d’ensemble
5.1 Contexte de collecte des preuves numériques
Les preuves numériques peuvent être requises pour être utilisées dans de nombreux scénarios distincts,
chacun présentant un équilibre différent entre les vecteurs de qualité probatoire, la ponctualité de
l’analyse, la restauration du service et le coût de la collecte des preuves numériques. Les organismes
devront, par conséquent, adopter un processus de priorisation qui identifie les besoins et apporte un
équilibre entre la qualité probatoire, la ponctualité et la restauration des services avant d’attribuer
des tâches aux ressources du DEFR. Un processus de priorisation implique l’évaluation des données
disponibles pour déterminer la valeur probatoire possible et l’ordre selon lequel il convient que les
preuves numériques éventuelles soient collectées, acquises ou préservées. La priorisation est effectuée
pour réduire le plus possible le risque d’altération des preuves numériques éventuelles et maximiser la
valeur probatoire des preuves numériques éventuelles collectées.
5.2 Principes de preuves numériques
Dans la plupart des juridictions et organismes, les preuves numériques sont régies par trois principes
fondamentaux: pertinence, fiabilité et suffisance. Ces trois principes sont importants pour l’ensemble
des investigations, pas uniquement pour les preuves numériques qui doivent être recevables devant
une cour de justice. Les preuves numériques sont pertinentes quand il s’agit de prouver ou de réfuter
un élément du dossier spécifique faisant l’objet d’une investigation. Bien que la définition détaillée de
«fiable» varie d’une juridiction à l’autre, la signification générale du principe à savoir «garantir que
les preuves numériques sont ce qu’elles prétendent être» est largement répandue. Il n’est pas toujours
nécessaire pour le DEFR de collecter toutes les données ou de réaliser une copie complète des preuves
numériques originales. Dans de nombreuses juridictions, le concept de suffisance signifie que le DEFR
doit collecter suffisamment de preuves numériques éventuelles pour permettre aux éléments de l’affaire
d’être examinés ou investigués de façon adéquate. Comprendre ce concept est important pour le DEFR
afin de prioriser l’effort de façon appropriée lorsque le temps ou le coût constitue une préoccupation.
NOTE Il convient que le DEFR s’assure que la collecte des preuves numériques éventuelles est conforme aux
lois et réglementations juridictionnelles locales, ainsi qu’il est requis par les conditions spécifiques.
Il convient que tous les processus qui doivent être utilisés par le DEFR et le DES aient été validés
avant leur utilisation. Si la validation est réalisée en externe, il convient que le DEFR ou le DES
vérifie que la validation est appropriée pour leur utilisation spécifique des processus, ainsi que pour
l’environnement et les circonstances dans lesquels les processus doivent être utilisés. Il convient
également que le DEFR ou DES:
a) documente toutes les actions;
b) détermine et applique une méthode permettant d’établir la précision et la fiabilité de la copie des
preuves numériques éventuelles par rapport à la source originale; et
c) reconnaisse que l’acte de préservation des preuves numériques éventuelles ne peut pas toujours ne
pas être intrusif.
5.3 Exigences concernant le traitement des preuves numériques
5.3.1 Généralités
Les principes énoncés dans le paragraphe 5.2 ci-dessus peuvent être satisfaits de la façon suivante:
— pertinence: il convient qu’il soit possible de démontrer que les données acquises sont pertinentes pour
l’investigation - c’est-à-dire qu’elles contiennent des informations de nature à aider à l’investigation
concernant un incident particulier et qu’il existe de bonnes raisons de les avoir acquises. Grâce à la
vérification et la justification, il convient que le DEFR soit en mesure de décrire les modes opératoires
suivis et d’expliquer comment la décision d’acquérir chaque élément a été prise;
6 © ISO/IEC 2012 – Tous droits réservés

— fiabilité: il convient que l’ensemble des processus utilisés en matière de traitement des preuves
numériques éventuelles soit vérifiable et réitérable. Il convient que les résultats de l’application de
tels processus soient reproductibles;
— suffisance: il convient que le DEFR ait pris en considération qu’un nombre suffisant de données a été
collecté pour permettre une investigation appropriée. Il convient que le DEFR soit capable, via une
vérification et une justification, de donner une indication, du nombre total données considérées et
des modes opératoires utilisés pour déterminer la quantité de et les données à acquérir.
NOTE Les données peuvent être rassemblées via des activités d’acquisition et/ou de collecte.
Il existe quatre aspects clés du traitement des preuves numériques: la vérifiabilité, la justification et
soit la répétabilité, soit la reproductibilité selon les cas particuliers.
5.3.2 Vérifiabilité
Il convient qu’il soit possible pour un évaluateur indépendant ou des parties concernées autorisées
d’évaluer les activités réalisées par un DEFR et DES. Cela sera rendu possible par la documentation
adéquate de l’ensemble des mesures prises. Il convient que le DEFR et le DES soient en mesure de
justifier le processus de prise de décision lors de l’adoption de la conduite à suivre. Il convient que les
processus exécutés par un DEFR et un DES soient disponibles pour une évaluation indépendante afin de
déterminer si une méthode, une technique ou un mode opératoire scientifique adéquat a été suivi.
5.3.3 Répétabilité
La répétabilité est établie lorsque les mêmes résultats d’essais sont atteints dans les conditions
suivantes:
— utilisation du même mode opératoire et de la même méthode de mesurage;
— utilisation des mêmes instruments dans les mêmes conditions; et
— répétition possible à tout moment une fois l’essai initial réalisé.
Il convient qu’un DEFR disposant du savoir-faire et de l’expérience adéquats soit en mesure de réaliser
tous les processus décrits dans la documentation et d’atteindre les mêmes résultats, sans préconisation
ou interprétation. Il convient que le DEFR soit conscient qu’il peut exister des circonstances dans
lesquelles il ne sera pas possible de répéter l’essai, par exemple lorsqu’un disque dur d’origine a été
copié et réutilisé ou lorsqu’un élément implique la mémoire volatile. En pareil cas, il convient que le
DEFR s’assure que le processus d’acquisition est fiable. Pour atteindre la répétabilité, il convient de
mettre en place un contrôle qualité et une documentation du processus.
5.3.4 Reproductibilité
La reproductibilité est établie lorsque les mêmes résultats d’essai sont atteints dans les conditions
suivantes:
— utilisation de la même méthode de mesurage;
— utilisation de différents instruments dans des conditions différentes; et
— possibilité de reproduction à tout moment après l’essai initial.
La nécessité de reproduire des résultats varie selon les juridictions et les circonstances, ainsi le DEFR
ou la personne procédant à la reproduction devra être informé des conditions applicables.
5.3.5 Justification
Il convient que le DEFR soit capable de justifier toutes les actions et méthodes utilisées lors du
traitement des preuves numériques éventuelles. La justification peut être atteinte en démontrant que la
© ISO/IEC 2012 – Tous droits réservés 7

décision était le meilleur choix pour collecter l’ensemble des preuves numériques éventuelles. Un autre
DEFR ou DES pourrait également démontrer cela en reproduisant avec succès ou en validant les actions
et méthodes utilisées.
Il est dans le meilleur intérêt de l’organisme individuel d’employer un DEFR ou DES disposant des
capacités et compétences décrites en Annexe A de la présente Norme internationale. Cela permettra
d’assurer que les processus et modes opératoires corrects sont suivis lors du traitement des preuves
numériques éventuelles afin de garantir la préservation potentielle des preuves numériques susceptibles
de présenter une valeur probatoire. Cela permettra également de garantir que les organismes soient
en mesure d’utiliser les preuves numériques éventuelles, par exemple, au cours de leurs procédures
disciplinaires ou en vue de faciliter l’échange de preuves numériques éventuelles d’une juridiction à
l’autre.
NOTE La compétence décrite en Annexe A se limite à la fonction du DEFR qui est alignée sur le rôle du DES
tel que défini au paragraphe 3.8.
5.4 Processus de traitement des preuves numériques
5.4.1 Vue d’ensemble
Bien que le processus complet de traitement des preuves numériques inclue d’autres activités (c’est-
à-dire présentation, élimination, etc.), le domaine d’application de la présente Norme internationale
couvre uniquement le processus de traitement initial qui consiste en l’identification, la collecte,
l’acquisition et la préservation des preuves numériques éventuelles.
Les preuves numériques peuvent être fragiles par nature. Elles peuvent être altérées, sabotées ou
détruites par un traitement ou un examen inapproprié. Il convient que les responsables des preuves
numériques soient compétents pour identifier et gérer les risques et conséquences de potentielles
actions lors du traitement des preuves numériques. Un traitement des appareils numériques de façon
inappropriée peut rendre les preuves numériques éventuelles contenues sur ces appareils numériques
inutilisables.
Il convient que le DEFR et DES suivent des modes opératoires documentés pour faire en sorte que
l’intégrité et la fiabilité des preuves numériques éventuelles soient préservées. Il convient que les modes
opératoires incluent les lignes directrices de traitement des sources de preuves numériques éventuelles
et il convient qu’ils intègrent les principes fondamentaux suivants:
— réduire le plus possible le traitement des preuves numériques originales ou des preuves numériques
éventuelles;
— expliquer toute modification ou documenter toute action prise (dans la mesure où un expert est en
capable de formuler un avis sur la fiabilité);
— respecter les règles locales concernant les preuves; et
— il convient que le DEFR et le DES n’entreprennent pas d’actions dépassant le cadre de leurs
compétences.
En respectant les principes et exigences fondamentaux en matière de traitement des preuves numériques
éventuelles, il convient de préserver les preuves. Dans le cas particulier où des modifications inévitables
doivent être réalisées, toutes les actions et logiques inhérentes doivent être documentées. Chaque
processus de traitement des preuves numériques, c’est-à-dire identification, collecte, acquisition et
préservation est traité de façon plus détaillée dans les paragraphes suivants.
5.4.2 Identification
Les preuves numériques se présentent sous une forme physique et logique. La forme physique inclut
la représentation des données dans un appareil tangible. La forme logique des preuves numériques
éventuelles fait référence à la représentation virtuelle des données dans un appareil.
8 © ISO/IEC 2012 – Tous droits réservés

Le processus d’identification implique la recherche, la reconnaissance et la documentation de preuves
numériques éventuelles. Il convient que le processus d’identification identifie les supports de stockage
numérique et les appareils de traitement susceptibles de contenir des preuves numériques éventuelles
concernant l’incident. Ce processus inclut également une activité de priorisation de la collecte des
preuves basée sur leur volatilité. Il convient d’identifier la volatilité des données afin d’assurer l’ordre
correct des processus de collecte et d’acquisition en vue de réduire le plus possible tout dommage subi
par les preuves numériques éventuelles et d’obtenir les meilleures preuves. En outre, il convient que
le processus identifie l’éventualité de preuves numériques éventuelle dissimulées. Il convient que le
DEFR et le DES soient conscients que tous les types de supports de stockage numérique ne sont pas
faciles à identifier et à localiser, par exemple, l’informatique en nuage, les NAS et SAN, tous ajoutent une
composante virtuelle au processus d’identification.
Il convient que le DEFR réalise systématiquement une recherche approfondie concernant des éléments
qui pourraient contenir des preuves numériques éventuelles. Différents types d’appareils susceptibles
de contenir des preuves numériques éventuelles peuvent être facilement négligés (par exemple en
raison de leur petite taille), s’ils sont dissimulés ou mêlés à d’autres éléments non pertinents.
Les paragraphes 6.1 et 6.6 fournissent plus d’informations concernant les aspects de la chaîne de
contrôle, de l’emballage et de l’étiquetage de l’identification des preuves numériques. L’Article 7 spécifie
les lignes directrices concernant les instances spécifiques d’identification, de collecte, d’acquisition et
de préservation des preuves numériques.
5.4.3 Collecte
Une fois les appareils numériques susceptibles de contenir des preuves numériques éventuelles
identifiés, il convient que le DEFR et le DES décident de leur collecte ou acquisition au cours du
processus suivant. De nombreux facteurs de décision influent ici, ils sont traités de façon plus détaillée
dans l’Article 7. Il convient que la décision s’appuie sur les circonstances.
La collecte est un processus inté
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence

Technologies de l'information — Techniques de sécurité — Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques

General Information

Overview

Key technical topics and requirements

Practical applications and who uses it

Related standards

ISO/IEC 27037:2012 - Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence

ISO/IEC 27037:2012 - Technologies de l'information -- Techniques de sécurité -- Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

This May Also Interest You