ГОСТ Р 59712-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты

7 Фиксация материалов, связанных с возникновением компьютерных инцидентов, и установление причин и условий их возникновения

 

7.1 Фиксация материалов, связанных с возникновением компьютерных инцидентов

 

Состав материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), подлежащих фиксации, зависит от типа компьютерного инцидента и его последствий.

В рамках реагирования на компьютерные инциденты могут фиксироваться следующие материалы, связанные с возникновением компьютерных инцидентов (цифровые свидетельства):

- электронные образы штатных машинных носителей информации средств вычислительной техники и/или съемных машинных носителей информации;

- содержимое рабочей памяти (дамп) процесса, ядра ОС или ОС в целом;

- сетевой трафик, циркулирующий между вовлеченными в компьютерный инцидент элементами информационной инфраструктуры, а также между этими элементами и элементами других функционирующих в сети Интернет ресурсов;

- образцы вредоносного ПО;

- отдельные файлы, такие как журналы регистрации событий безопасности, файлы реестра ОС, системные и пользовательские файлы;

- сообщения электронной почты;

- снимки состояния виртуальных машин.

 

7.2 Установление причин и условий возникновения компьютерных инцидентов

 

Деятельность по установлению причин и условий возникновения компьютерных инцидентов направлена на определение факторов, обусловивших возможность возникновения компьютерного инцидента и/или способствовавших его возникновению.

Существуют различные виды анализа зафиксированных материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), которые могут быть выполнены для установления причин и условий их возникновения. К таким видам относятся:

- анализ действий пользователей.

Примечание - Анализ действий пользователей является процессом изучения сведений, задокументированных в ходе опроса лица, взаимодействующего с элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент в момент его возникновения.

К сведениям, подлежащим изучению в ходе анализа действий пользователей, относятся:

- действия пользователей, которые выполнялись до и во время регистрации компьютерного инцидента (например, посещение веб-сайта, открытие сообщения электронной почты, открытие электронного документа, подключение носителя информации и другие);

- сведения об игнорировании пользователем появляющихся сообщений ОС, средств защиты информации и прикладного ПО (например, о необходимости выполнить обновление ОС, ее перезагрузку, о выявленном потенциально вредоносном файле);

 

- анализ ОС элемента информационной инфраструктуры.

Примечание - Анализ ОС элемента информационной инфраструктуры является процессом изучения событий безопасности ОС, средств защиты информации и прикладного ПО, которые регистрировались до и во время возникновения компьютерного инцидента.

К сведениям, подлежащим изучению в ходе анализа ОС элемента информационной инфраструктуры, относятся:

- журналы (протоколы) регистрации событий безопасности ОС, средств защиты информации и прикладного ПО;

- информация о запущенных программных процессах;

- информация об установленных сетевых сессиях и открытых сетевых портах;

- реестр ОС (при наличии);

- информация об атрибутах объектов файловой системы;

- состав учетных записей пользователей и их прав;

- анализ защищенности.

 

Примечание - Анализ защищенности является процессом изучения информации об актуальных уязвимостях ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах, вовлеченных в компьютерный инцидент.

К сведениям, подлежащим изучению в ходе анализа защищенности, относятся:

- существующие результаты проведения мероприятий по анализу защищенности информационных ресурсов;

- сетевая конфигурация ОС, прикладного ПО;

- групповые политики безопасности ОС;

- функциональные параметры настроек прикладного ПО, служб ОС;

- состав установленных (неустановленных) актуальных обновлений безопасности ОС, средств защиты информации и прикладного ПО;

- состав программного и аппаратного обеспечения элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент;

 

- анализ сетевого трафика.

Примечание - Анализ сетевого трафика является процессом изучения сетевого трафика и информации о потоках сетевого трафика в отношении элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент до, во время и после возникновения компьютерного инцидента.

К сведениям, подлежащим изучению в ходе анализа сетевого трафика, относятся:

- копия сетевого трафика и/или его фрагменты, зафиксированные средствами записи (анализа) сетевого трафика, из (в) сегмента (сегмент) локальной вычислительной сети, в котором расположен элемент информационной инфраструктуры, вовлеченный в компьютерный инцидент;

- копия сетевого трафика и/или его фрагменты, зафиксированные средством обнаружения компьютерных атак (системой обнаружения вторжений) или иными средствами выявления угроз безопасности информации;

- статистическая и иная информация о потоках сетевого трафика между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент и вероятным источником компьютерной атаки, а также между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент, и другими сетевыми устройствами локальной вычислительной сети;

- статистическая и иная информация о потоках сетевого трафика, зафиксированная телекоммуникационным оборудованием или специализированными средствами.

Потоком сетевого трафика считается набор сетевых кадров, проходящих в одном направлении к одному сетевому устройству в рамках одного сетевого сеанса;

 

- анализ программных и информационных объектов.

Примечание - Анализ программных и информационных объектов является процессом идентификации вредоносного программного кода в объектах файловой системы, в оперативной памяти средств вычислительной техники и в информационных объектах (веб-ссылки, программный код веб-страницы, карточные транзакции и иные структурированные конструкции данных), выявления в них связей с вредоносными ресурсами или ресурсами, предположительно используемыми злоумышленниками, а также определения принципа их работы.

Для анализа программных объектов допускается выполнять следующие процедуры:

- обратная разработка исполняемых и бинарных файлов путем дизассемблирования их машинного кода, декомпиляции (восстановления) программного кода до исходного (первоначального), использования режима отладки программного кода;

- изучение поведения программных объектов и влияния их на среду функционирования, файловую систему в автоматизированной замкнутой системе (среде) предварительного выполнения программ.

При установлении причин и условий возникновения компьютерного инцидента допускается проводить несколько видов анализа. Уровень или глубина проводимого анализа часто может зависеть от поставленной в организации задачи.