jump to navigation

Het ontwerp van het FIS juni 8, 2006

Posted by Gertjan in Forensisch Informatie Systeem.
trackback

Na alle voorverkenningen, het verkleinen van de scope, de beloftes die nog waargemaakt moeten worden, nu de eerste stapjes op het technische vlak. Hier en daar is al wat geduwd en getrokken aan het onderwerp, maar nu wordt het serieus!

3 delen

Naar mijn mening gaat het FIS bestaan uit drie delen: de reeds bestaande logging van in gebruik zijnde bedrijfskritische informatiesystemen, een set aanvullende eisen (mag ook een checklist zijn) voor loginformatie uit deze informatiesystemen, en een set procedures om op een forensisch juiste wijze gegevens te onttrekken aan satellietsystemen (zie ook het artikel over informatiebronnen die wel relevant zijn.

1. Standaard logging

De standaard logging die uit (al of niet bedrijfskritische) informatiesystemen komt mag in principe alleen voor huishoudelijke toepassingen worden gebruikt, zoals systeembeheer. Hierover zijn in het algemeen interne afspraken gemaakt, om de privacy van de medewerkers te beschermen. Bijvoorbeeld de soort informatie die wordt opgeslagen, wie er inzage in heeft, hoelang het wordt bewaard, onder welke voorwaarden inzage mogelijk is, etc.. Bij de set aanvullende eisen worden zeer waarschijnlijk (is mijn uitgangspunt) deze afspraken geschonden. De informatie verlaat het pand, het wordt voor andere doeleinden dan afgesproken gebruikt, buitenstaanders nemen kennis van de informatie en het kan openbaar gemaakt worden (als gevolg van een rechtzaak).

2. Procedurele afspraken

Om te voorkomen dat het FIS geen lang leven is beschoren, moeten er aanvullende technische en procedurele maatregelen worden getroffen. Procedureel in de zin dat er bedrijfsinterne afspraken moeten worden gemaakt hoe zal worden omgegaan met de extra vastgelegde gegevens, wie er (geen) inzage in hebben, wanneer inzage kan worden gegeven, opslagtermijnen, e.d..

3. Technische eisen

Technische eisen zijn er ook, zij vloeien voort uit de procedurele afspraken. Naast de techniek van de forensische aspecten gaat het hierbij om het waarborgen dat de afspraken kunnen worden nagekomen. Een methode kan zijn dat de logging+extra gegevens in hun geheel naar een aparte server worden gekopieerd (“on the fly”), waarbij de toegang tot die server slechts mogelijk is via het 4-ogen principe. Deze gegevens worden een nader te bepalen tijd bewaard, zijn ook fysiek afgeschermd van de wereld en worden met encryptie-technieken tegen tampering beschermd.

Dit alles betekent dat de “druk op de knop” niet alleen de digitaal onmiddellijk beschikbare informatie oplevert, maar ook een serie procedures start waarmee aanvullende “papieren” en digitale gegevens kunnen worden aangemaakt of opgehaald uit het systeem.

Doelgroep

Voor MKB-organisaties en Onderwijsinstellingen zal de inrichting en instandhouding van een FIS een (te) kostbare zaak zijn. Een MiniFIS (FISje) kan bestaan uit een serie checklijsten, procedures en instructies waarmee op een gestructureerde wijze forensisch correct materiaal kan worden opgeleverd. Dit gezegd hebbende stel ik voor MKB en Onderwijsinstellingen vooralsnog uit te zonderen van het FIS en ons te richten op de grote bedrijven (Fortune 500) die zich een FIS kunnen veroorloven.

FO

Eerst maar eens de functionele eisen opsommen, die in de verschillende artikelen zowel impliciet als expliciet voorbij gekomen zijn.

  • Juridisch correct
    • Procedures voor het verzamelen van informatie
  • Forensisch betrouwbaar
  • Chain of custody behouden
  • Relevante informatie
  • IT gerelateerd
  • Telecom en andere systemen voorbereiden
  • Procedures voor informatieontsluiting uit systemen van derden
  • Procedures voor het ter beschikking stellen van informatie

TO

Met bestaande technieken en zonder veel financiële investeringen een FIS opbouwen.

  • Maak gebruik van beschikbare log-informatie
  • Sla dit op zodanige wijze op dat benadering niet zomaar mogelijk is
  • Regel de automatische opslag zodanig dat manipulatie niet mogelijk is of altijd gedetecteerd wordt
  • Tref voorzieningen om juridisch en feitelijk juiste gegevens over te kunnen dragen aan de opsporingsinstanties

Martin heeft in zijn commentaar op de Braindump FIS een aantal interessante opmerkingen gemaakt, die ik niet herhaal, maar samen met dit artikel het FO kunnen vormen.

Advertenties

Reacties»

1. Martin - juni 14, 2006

1 stadaardlogging – het probleem blijft dat systeembeheerders de logging kunnen aanpassen/verwijderen. Een oplossing zou kunnen zijn om de user ids met de hoogste autorisatie – bijvoorbeeld root account voor een unix platform te gebruiken bij installatie van een nieuw release – in een enveloppe procedure te stoppen. Deze enveloppes zijn in beheer van een security officer, die tevens het gebruik van deze accounts monitort;

2 procedurele afspraken – aanvullend dienen beveiligigingsbeleid c.q. eisen inclusief omgaan met vertrouwelijk info onderdeel uit te
maken van corporate policy/vendorscontracten,sla’s/werknemerscontracten en ook beoordelen functioneringsgesprekken.

3. technische eisen – het dilemma is hierbij de afweging kosten-risico’s. Een ideale theoretisch mogelijkheid zou zijn een volledige online kopie van je produktie omgeving te hebben. Ook zou het management kunnen beslissen obv een risico analyse alleen voor de kritische IT componenten/data deze op een aparte server/omgeving op te slaan.


Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: