jump to navigation

Gegevens bewaren – welke en hoe lang? juni 8, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
trackback

Welke gegevens wil je bewaren, en hoe lang bewaar je die? Wat zijn de uitgangspunten, op basis waarvan worden zij bepaald en wie bepaald deze uitgangspunten. Hoe wordt de juistheid van de uitgangspunten getoetst?

Dit zijn veel en belangrijke vragen die aan de basis van het FIS liggen. Zonder op de technische aspecten in te gaan – daar is deze vraag ook niet voor bedoeld – is het wel essentieel goed op het retina te hebben welke gegevens van belang kunnen en zullen zijn bij de waarheidsvinding na een misdrijf. Standaardaspecten zoals systeemtechnische loggegevens buiten beschouwing gelaten (zij zijn toch wel beschikbaar, als was het maar vanwege huishoudelijke beheerswerkzaamheden) zal er behoefte zijn of ontstaan aan specifieke informatie die niet bij de afdeling systeembeheer beschikbaar is. Hierbij kan worden gedacht aan netwerkmutaties, financiële transacties, bestandswijzigingen, personeelsmutaties, e.d.. Op de juiste plaats in de organisatie (op strategisch niveau) moet de beslissing worden genomen dat de als relevant geachte gegevens structureel op een forensisch en juridisch juiste wijze worden vastgelegd.

Om het soort gegevens te bepalen dat nodig is bij een onderzoek kan gebruik worden gemaakt van ervaringsgegevens uit (elders) uitgevoerde onderzoeken.

Dan moet nog worden bepaald hoe lang de verzamelde gegevens op een juridisch en forensisch juiste wijze opgeslagen blijven. Gaat het hier om maanden of jaren? Wordt gebruik gemaakt van het principe van “rolling logs”, waarbij de oudste logregels er aan de onderkant afvallen en de nieuwe logregels bovenaan worden bijgeschreven? Of worden er per 24 uur (of 12 uur of 18 uur?) datasets gemaakt? Hoe moet dan worden omgegaan met transacties die vóór het tijdstip 0 beginnen en ná het tijdstip 0 (dus in een nieuwe dataset) afgerond worden?

Een deel van deze vragen kan wederom worden beantwoord op basis van ervaringsgegevens, een misdrijf kan best al maanden aan de gang zijn, met slechts af en toe een mutatie. Dan is het van belang om meerdere incidentregistraties terug te kunnen vinden in de logs. Ook tijdens het onderzoek kan er behoefte bestaan om verder terug in de tijd te kijken. De periode waarover logs worden opgeslagen mag dus niet te kort zijn. Kostenaspecten en beheersaspecten kunnen een reden zijn om de hoeveelheid opgeslagen logs te beperken. Bijvoorbeeld omdat er verouderde apparatuur in bedrijf moet worden gehouden, kennis moet worden geborgd, licenties betaald moeten worden voor deze software op deze apparatuur, etc..

Los hiervan kunnen er natuurlijk ook wettelijke (nationaal of internationaal) verplichtingen zijn tot het aanhouden van oude logbestanden, met de bijbehorende infrastructuur. Uiteindelijk zal de juistheid van de keuzes blijken uit de bruikbaarheid van de aangeleverde informatie als die nodig is voor een onderzoek. Tot die tijd zal het wachten zijn op een incident.

De juistheid van al deze uitgangspunten kan nog niet bepaald worden, the proof of the pudding is in the eating. Maar door goed vast te leggen wat de uitgangspunten zijn geweest en deze desnoods (bijvoorbeeld na het optreden van een relevant incident) te evalueren kan met een redelijke mate van waarschijnlijkheid worden vastgesteld dat de uitgangspunten in principe deugdelijk zijn. Omdat het FIS een nieuw concept is bestaan er nog geen ervaringsgegevens voor het geheel. Voor de deelaspecten kan echter wel terug worden gegrepen op reeds opgedane kennis.

Advertenties

Reacties»

No comments yet — be the first.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: