Los principios básicos de la ciencia forense de datos electrónicos son el principio de autorización legal, el principio de no destrucción, el principio de formación competente, el principio de fijación de registros y el principio de uso de herramientas.
1. El principio de autorización según la ley.
El personal de recolección de evidencia debe estar legalmente autorizado y el proceso de recolección de evidencia debe cumplir con las leyes y regulaciones.
2. Principio no destructivo.
Los métodos de recolección de evidencia deben ser científicos y cumplir con los estándares técnicos pertinentes para garantizar la integridad y continuidad de los datos electrónicos; la preservación de los datos electrónicos debe cumplir con la cadena de custodia de la evidencia, es decir, debe ser capaz de; explicar los datos electrónicos del estado de adquisición inicial a Cualquier cambio entre comparecencias ante el tribunal.
3. Principios del entrenamiento por competencias.
Los agentes encargados de hacer cumplir la ley que participan en la recopilación de pruebas deben recibir capacitación profesional y tener la capacidad de recopilar datos electrónicos.
4. Registrar principios fijos.
Cualquier actividad relacionada con la adquisición, almacenamiento, transporte, análisis e inspección de datos debe registrarse y archivarse.
5. Principio de utilización de herramientas.
El personal de recogida de pruebas debe estar equipado con herramientas forenses que cumplan los requisitos.
Notas sobre la recopilación electrónica de datos:
1. Recopilar pruebas estrictamente de conformidad con la ley.
1. En cuanto a los sujetos de recolección de pruebas, debe haber al menos dos personas encargadas de hacer cumplir la ley de supervisión del mercado. Para actividades forenses de datos electrónicos altamente técnicas, se deben seleccionar investigadores con conocimientos profesionales relevantes y se puede invitar a personal profesional y técnico para que ayuden cuando sea necesario.
2. En términos de procedimientos de recopilación de pruebas, los departamentos de supervisión del mercado deben seguir estrictamente los procedimientos legales, tomar las medidas de investigación correspondientes en las diferentes etapas y, al mismo tiempo, producir documentos y materiales legales relevantes de acuerdo con la ley. La recopilación de pruebas a partir de datos electrónicos implica principalmente medidas como inspección, extracción, registro y conservación o incautación, inspección, inspección y tasación.
3. En términos del contenido de la recopilación de pruebas, cuando los agentes del orden realizan la recopilación electrónica de datos, deben prestar atención a analizar la correlación entre el contenido de la información y los hechos del caso, y obtener materiales relacionados con el caso. de conformidad con la ley para evitar ampliar el alcance de la recopilación de pruebas.
Cualquier asunto que involucre secretos de estado, secretos de trabajo, secretos comerciales o privacidad personal se mantendrá confidencial de acuerdo con la ley; cualquier material obtenido que sea irrelevante para el caso será devuelto o destruido de manera oportuna; .
2. Recolección de evidencia integral y oportuna.
1. Recopilar y reparar de forma integral los medios de almacenamiento originales y la información de datos electrónicos. Para restaurar los hechos del caso de manera más completa, no solo es necesario recopilar los medios de almacenamiento originales y datos estáticos como computadoras, CD, discos duros y discos U involucrados en el caso, sino también prestar atención a la recopilación de datos de la memoria. y datos dinámicos transmitidos a través de la red, así como información de registro de usuario y autenticación de identidad, registros, estado de operación del sistema y otra información auxiliar.
2. Preste atención a la recopilación de datos ocultos y rastros que hayan sido modificados o eliminados. Las partes pueden eliminar o modificar deliberadamente ciertos datos electrónicos para resistir la investigación y encubrir los hechos. Los funcionarios encargados de hacer cumplir la ley deben prestar atención para encontrar estos datos y rastros clave ocultos y utilizar tecnología para restaurarlos.
3. La recogida y corrección de datos electrónicos debe ser oportuna. Para los medios de almacenamiento originales de los datos electrónicos involucrados en el caso encontrado durante la investigación, se deben tomar medidas con prontitud para registrar y preservar o sellar e incautar los datos electrónicos dinámicos, como los datos de la memoria de la computadora y los datos de transmisión de la red, especialmente si los datos electrónicos involucrados en el caso encontrado durante la investigación; Los datos electrónicos no se extraen inmediatamente, puede causar la pérdida de datos electrónicos y otras consecuencias. Es necesario realizar la extracción y reparación en el sitio lo antes posible.
Si la cantidad de datos es grande, es imposible o inconveniente extraerlos, o el tiempo de extracción es largo y los datos electrónicos pueden ser manipulados o perdidos, solicite de inmediato al departamento judicial que congele los datos electrónicos. datos.