ГОСТ Р ИСО/МЭК 27037-2014. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме

N

Основные навыки

Описание основных навыков

Описание компетентности

Осведомленность (1)

Знания (2)

Умение (3)

1

Идентификация свидетельств, представленных в цифровой форме

Характеристики цифровых устройств, компонентов и информации, которые могут помочь расследованию, а также соответствующих законов для обработки потенциальных свидетельств, представленных в цифровой форме, и нарушений, связанных с использованием компьютера.

Определение требований к инструментальным средствам для сбора и получения данных и устройств, а также оценка риска

Обычное использование ИТ и администрирование многих видов ИТ-устройств и сетевых устройств;

следственные действия на месте нарушения;

определение состояния устройства; значение доказательной информации;

следственный анализ сети и связанных с ней устройств и информации

Журналы регистрации и конфигурация систем/приложений;

идентификация системных журналов и журналов приложений, включая контрольные журналы электронной почты, сетевые контрольные журналы, журналы регистрации доступа, файлы паролей, файлы конфигураций, информация IP-хоста;

функциональные возможности и зависимости устройств;

знание факторов, влияющих на изменчивые и неизменчивые свидетельства

Специальный анализ;

интерпретация контрольных журналов с целью обнаружения вторжений и выявления других затронутых систем (некоторые юрисдикции требуют представить подтверждающие доказательства до начала сбора);

определение паролей, необходимых для соответствующих устройств, до начала сбора;

определение схемы сети и механизмов управления доступом для понимания зависимостей;

связывание IP-адресов и MAC-адресов <*> для идентификации устройства в сети

2

Сбор свидетельств, представленных в цифровой форме

Требования к инструментальным средствам и осуществление упаковки свидетельств, представленных в цифровой форме, защита от угроз внешней среды.

Знание областей, обеспечивающих доверие к информации

Общая безопасность сбора данных;

принципы действия и конструкция основных инструментальных средств;

определение лучшего метода сбора для сохранения максимума информации, имеющей отношение к инциденту

Выполнение и описание процесса сбора;

сбор свидетельств;

создание документации по свидетельствам;

история хранения свидетельств;

контроль качества процесса сбора свидетельств;

опрос подозреваемых

Оптимизация процесса сбора;

документальное подтверждение того, что не может быть получено вследствие различных ограничений;

сбор паролей, ключей, защитных ключей-заглушек и другой информации, необходимой для проведения анализа в лаборатории

3

Получение свидетельств, представленных в цифровой форме

Применение требований получения потенциальных свидетельств, представленных в цифровой форме, в логическом виде, обеспечение уверенности в повторяемости, воспроизводимости и возможности обоснования. Охватываемые сферы включают получение свидетельств из систем с включенным питанием, систем с выключенным питанием и следственный анализ сети

Понимание информации, доступной в цифровых устройствах, базах данных, генерируемых системой записях, генерируемых пользователем данных и изменчивых данных;

структура системных файлов и приложений Unix и Windows;

понимание влияния на изменчивые данные

Знание того, как определить потребности в памяти;

выполнение процедуры создания образа (например, цифрового носителя информации в целом или его части);

получение свидетельств, осуществляемое из систем с включенным питанием и систем с выключенным питанием;

генерация значений хэш-функции

Способность осуществлять получение свидетельств из цифровых носителей информации, включая RAID, базы данных, приборы и мини-устройства;

понимание зависимостей и влияния на различные методы получения свидетельств

4

Сохранение свидетельств, представленных в цифровой форме

Применение и оценка требований сохранения потенциальных свидетельств, представленных в цифровой форме, понимание факторов и параметров, влияющих на их точность. Охватываемые сферы включают методику, поддержку истории хранения, обращение с компьютерными устройствами и обращение с цифровыми носителями

Понимание требований и процедур для поддержки истории хранения согласно правовым требованиям;

влияния факторов внешней среды, таких как влажность, температура и вибрация на цифровые устройства;

понимание вариантов упаковки, требований транспортирования и хранения

Знание того, как создать документацию по проверке свидетельств;

определение параметров для документирования;

обеспечение уверенности в информационной безопасности, угрозы, уязвимости и меры и средства контроля и управления для свидетельств, представленных в цифровой форме

Применение мер для обеспечения безопасности свидетельств, представленных в цифровой форме, в виде больших и миниатюрных переносных устройств;

процедуры документирования деталей происшедшего в свидетельствах

<*> MAC-адрес - (Media Access Control address) аппаратный адрес устройства, присоединенного к сетевой среде.