Lo standard ISO 27037 è uno standard internazionale contenente linee guida per l’identificazione, la raccolta, l’acquisizione, la conservazione e il trasporto di evidenze digitali al fine di facilitarne lo scambio fra più Paesi utilizzando protocolli metodologici comuni. Lo standard è applicabile in qualsiasi ambito (civile, penale, stragiudiziale), senza fare riferimento a specifici ordinamenti né a norme giuridiche.

ISO (International Organisation for Standardization) è l’Organizzazione internazionale che si occupa di definire norme di tipo tecnico. Fondata il 23 febbraio 1947, a Ginevra, ufficialmente è un’organizzazione non governativa i cui standard tuttavia diventano rilevanti e quasi paragonabili a delle norme di diritto. Molto spesso ISO coopera con IEC (International Electrotechnical Commission) responsabile per la standard in materia di elettricità, elettronica e tecnologie correlate. Fondata nel 1906 (inizialmente aveva sede a Londra, nel 1948 ha spostato la sua sede a Ginevra): ad essa attualmente partecipano più di 60 paesi.

Lo standard ISO 27037 nasce per dare una risposta all’annoso problema delle prove informatiche in ambito di attività di informatica forense: offrire garanzie di integrità della prova informatica per consentire a terzi (ad esempio ai Consulenti Tecnici di Parte o ai Periti) di verificare le metodologie seguite e gli esiti del processo d’acquisizione e analisi, evitando così di rendere inutilizzabile una prova per colpa di una svista o di un lavoro eseguito in maniera scorretta per incompetenza o imperizia, nonché per definire delle regole tecniche omogenee tra paesi diversi.

Lo standard è internazionale, quindi non esiste uno standard ISO 27037 italiano ma va contestualizzato il documento valido a livello internazionale sulla base delle norme vigenti nel nostro ordinamento.

Di cosa si occupa lo standard ISO 27037?

All’interno dello standard ISO 27037 è indicato un elenco, puramente esemplificativo e non esaustivo, di dispositivi e tipologie di prove informatiche che sono di competenza dello standard: personale computer, notebook, tablet, smartphone, cellulare, hard disk, chiavette USB, CD, DVD, Bluray e più in generale dispositivi di storage ottici e magnetici, schede di memoria, dispositivi di navigazione satellitare (GPS), fotocamere e videocamere digitali, postazioni di lavoro connesse in rete, reti basate su TCP/IP e altri protocolli digitali, sistemi di videosorveglianza.

Lo standard ISO 27037 interviene nelle fasi di trattamento del reperto informatico relative a:

• Identificazione: la fase nella quale si ricercano i supporti e i dati di interesse rispetto al caso
• Raccolta: la fase nella quale occorre prendere fisicamente i supporti informatici contenente i dati digitali individuati
• Acquisizione: la fase nella quale si procede all’esecuzione della copia forense, possibilmente in maniera integra e completa (ovvero una copia bit-a-bit), al fine di produrre un duplicato dei dati informatici da sottoporre a successiva analisi
• Conservazione: la fase nella quale occorre proteggere la riservatezza e l’integrità dei supporti informatici e dei dati digitali raccolti e acquisiti
• Trasporto: la fase nella quale occorre adottare gli opportuni accorgimenti per la protezione di riservatezza e integrità del supporto informatico e del dato digitale

Per ogni fase, lo standard ISO 27037 prevede le seguenti attività:

• documentazione: va prodotta documentazione che contenga le operazioni svolte e le motivazioni delle scelte operate
• tracciabilità: documentare in ogni momento i reperti informatici trattati, con tutte le specifiche (ad esempio, marca, modello, serial number…)
• priorità di intervento: pianificare l’ordine di trattamento di dati e reperti al fine di massimizzare l’efficacia delle operazioni svolte e ridurre al minimo il rischio di perdita di dati
• imballaggio dei reperti: proteggere l’integrità e la riservatezza dei supporti digitali e dei dati acquisiti
• trasporto dei reperti: organizzare le modalità di spostamento di reperti informatici e dati digitali
• ruoli nel passaggio dei reperti: documentare ogni persona che interagisce con i reperti informatici, in quale momento, dove e le motivazioni, con l’indicazione dettagliata del tipo di trattamento svolto

Si precisa che lo standard ISO 27037 si occupa di prove informatiche individuate già come tali e non ai dati informatici generati per comodità come trasformazione di documenti cartacei (ad esempio, scansione di documenti cartacei per la consultazione a mezzo informatico). Inoltre non si occupa di aspetti giuridici, di tutte quelle fasi successivi alla conservazione come l’analisi forense e la redazione della relazione tecnica finale di informatica forense e il trattamento dei dati analogici.

Definizioni contenute nello standard ISO 27037

All’interno dello standard ISO 27037 sono fornite alcune definizioni tra cui le principali sono:

• Evidenza digitale o (digital evidence): informazioni o dati memorizzati o trasmessi in forma digitale, su cui si può fare affidamento come evidenza
• DEFR (Digital evidence first respondes): figura professionale che interviene per prima sulla scena, autorizzata, addestrata e qualificata ad agire per eseguire la raccolta e l’acquisizione delle evidenze digitali
• DES (digital evidence specialist): figura professionale che agisce a supporto del DEFR e fornisce, ove necessario, conoscenze specialistiche
• Incident response specialist: figura professionale operatore che si occupa del primo intervento post incidente informatico
• Forensic laboratory manager figura professionale responsabile del laboratorio di informatica forense
• Ripetibilità: proprietà di una procedura che prevede gli stessi risultati utilizzando gli stessi strumenti
• Riproducibilità: proprietà di una procedura che prevede gli stessi risultati utilizzando strumenti diversi
• Spazio allocato: area di un dispositivo di memoria utilizzata per memorizzare dati digitali, dove per dato digitale si intendono sia i file (documento di testo, foglio elettronico, presentazione, immagine, video…) che i relativi metadati
• Spazio non allocato: area di un dispositivo di memoria utilizzata per memorizzare dati digitali, dove per dato digitale si intendono sia i file (documento di testo, foglio elettronico, presentazione, immagine, video…) che i relativi metadati, che sono stati cancellati
• Prova digitale: informazione o dato, memorizzato o trasmesso in formato binario, che può essere utilizzato come prova in un processo
• Copia di prova digitale: copia di prova digitale che può essere prodotta per mantenere l’affidabilità della prova, includendo sia la prova digitale che la procedura di verifica che può essere svolta ad esempio mediante verifica della funzione hash
• Valore di hash: stringa di bit prodotta in output da una funzione hash che rappresenta una sorta di impronta digitale di un insieme di dati informatici
• Funzione di verifica: funzione utilizzata per la verifica che due sequenze di bit rappresentino la stessa sequenza, ovvero che siano una copia dell’altra

Requisiti per la gestione della prova digitale secondo lo standard ISO 27037

La norma ISO 27037 stabilisce i requisiti della prova in formato digitale che sono di seguito riepilogati:

• Pertinenza: occorre dimostrare che il materiale è rilevante, cioè che contiene dati utili e che pertanto esiste una buona ragione per acquisirli
• Affidabilità: tutti i processi eseguiti devono essere ben documentati producendo un risultato riproducibile
• Sufficienza: occorre raccogliere tutto il materiale informatico necessario, valutando in base al caso e alle limitazioni di carattere giuridico
• Verificabilità: documentando tutte le attività svolte, un consulente tecnico informatico terzo deve essere in grado di verificare le attività svolte, valutando metodo scientifico, le tecniche e le procedure seguite
• Giustificabilità: bisogna essere in grado di dimostrare che le scelte adoperate erano le migliori possibili o le uniche possibili

Nello svolgimento delle proprie consulenze tecniche, BIT4LAW segue un rigoroso processo metodologico basato sullo standard ISO 27037, potendo in questo modo garantire la correttezza delle operazioni svolte e il rispetto delle migliori prassi tecniche.