Postępowania - prowadzone mniej lub bardziej udolnie (choć częściej, niestety, mniej) - muszą opierać się na kilku filarach. Bez względu na to, czy jest to większy zespół, czy komórka jednoosobowa, konieczne są:

odpowiednie przeszkolenie

stworzenie zbioru procedur opisujących postępowanie w różnych możliwych do przewidzenia sytuacjach, np. zasady przyjmowania materiału do laboratorium czy sposób oznaczania

znajomość najlepszych praktyk i wytycznych, którymi rządzi się ta dziedzina wiedzy

a także laboratorium.

Każdemu z wymienionych zagadnień można poświęcić osobną książkę. My postaramy się trzymać możliwie blisko techniki i omówić wyposażenie, którego nie powinno w laboratorium Computer Forensics zabraknąć. Rzecz jasna, inaczej wyposażone będzie laboratorium profesjonalnie zajmujące się analizą CF, a inaczej należące do firmy średniej wielkości, gdzie sprawy wymagające zastosowania CF mogą zdarzać się stosunkowo rzadko.

Zaplecze

Zacznijmy budowę laboratorium od środka, a następnie będziemy powoli wychodzić poza jego mury.

Laboratorium kryminalistyki informatycznej to nie tylko zestaw narzędzi do zabezpieczania i analizy danych. Przed jego skompletowaniem należy zastanowić się, z jakiego rodzaju materiałem będziemy mieli do czynienia. Jeżeli sprawy, które będziemy badać, mają być prowadzone na potrzeby postępowania sądowego (np. analizy, których rezultatem będzie przygotowanie opinii biegłego), musimy wtedy mieć możliwość bezpiecznego przechowywania akt sprawy, nośników dowodowych oraz rezultatów analiz. I to przechowywania przez dość długi okres, czemu sprzyjają toczące się latami postępowania sądowe. Potrzebny jest więc nie tylko sprzęt, ale też odpowiednio zabezpieczone pomieszczenie - przechowalnia dowodów.

Tu konieczne staje się oszacowanie wymaganej przestrzeni na dane. Przyjmijmy dość optymistycznie, że średnia wielkość zabezpieczanego dysku twardego to ok. 150 GB. Dobre praktyki mówią, że należy wykonać dwie kopie zapasowe nośników. Zakładamy też, że w początkowym okresie działalności nie będziemy prowadzili dużej liczby spraw. Na potrzeby dalszych wyliczeń przyjmijmy, że miesięcznie nie będzie ich więcej niż dwie. Tak więc w skali miesiąca potrzebujemy ok. 1-1.5 TB przestrzeni dyskowej. Po zakończeniu analizy przynajmniej jedną z kopii odłożymy do archiwum. Część materiału może dość szybko okazać się bezużyteczna, a wówczas można się jej pozbyć (tj. bezpiecznie zniszczyć dane), a część będzie musiała zalegać dość długo. W początkowej fazie będziemy więc w skali roku potrzebowali ok. 10 TB przestrzeni na archiwum. W archiwum z reguły nie przechowuje się fizycznych dysków w tym sensie, że jeden nośnik oryginalny = jeden nośnik kopii. Przechowuje się za to kopie binarne (najczęściej w postaci obrazów dd). Zatem miejscem przechowywania danych może być cała gama nośników.