Nel nostro attuale ordinamento non esiste ancora un corpus unico di norme relative al computer crime o una serie di direttive da seguire nel digital forensic. Esistono però dei principi chiave dettati da alcune leggi o da istituzioni che abbiano una certa autorità in materia.

In particolare l'ACPO (Association of Chief Police Officer della National High Tech Crime Unit) ha stabilito i tre principi base su cui si dovrebbe basare ogni indagine di digital forensic (quell'indagine cioè che segue un cybercirme):
- le Forze dell'ordine che partecipino all'indagine non possono in alcun modo alterare i dati conservati all'interno di un sistema informatico e destinati alla presentazione in sede dibattimentale;
- l'accesso ai dati originali deve essere effettuato solo da personale altamente specializzato;
- deve essere sempre realizzato un documento di controllo e verifica del procedimento relativo all'indagine;

Altri principi sono stati divulgati dall'IOCE (International Organization of computer Evidence) per standardizzare il repertamento della prova informatica, che deve essere caratterizzata da:
- linguaggio comune;
- consistenza con tutti i sistemi legali;
- capacità di abbattere le frontiere internazionali;
- fiducia nell'integrità della prova;
- applicabilità in ambito forense ad ogni livello;
- la persona autorizzata ad accedere ad una prova è la persona competente in ambito forense;
- tutte le attività relative al repertamento devono essere documentate, conservate e rese disponibili per un'eventuale verifica.

Oltre a questo la IACIS (Internatinal Association of Computer Investigative Specialist), un'organizzazione di volontari composta da professionisti delle forze di polizia dedicati all'istruzione nel campo dell'informatica forense, ha emesso quattro principi che sintetizzano le regole fondamentali dell'ammissibilità di una prova:
1. minima manipolazione dell'originale e conservazione della prova in un luogo sicuro e protetto;
2. documentazione scrupolosa di ogni minimo cambiamento della prova durante l'esame;
3. assicurare che ogni procedimento che riguardi la prova sia conforme ad uno standard;
4. non manipolare la prova oltre i limiti delle proprie capacità tecniche e professionali.

L'indagine informatica è quindi un procedimento estremamente complesso, suddivisibile in tre processi principali:
1. raccolta dei dati: la parte più determinante ai fini dell'indagine;
2. l'analisi dei dati riscontrati, che viene attuata sia attraverso tecniche prettamente informatiche che attraverso tecniche investigative tradizionali.
3. infine viene redatto il rapporto, con le indicazioni finali e la descrizione dei procedimenti attuati durante la raccolta e l'analisi.