6.2 Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры ГОСТ Р 59712-2022
На этапе «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры, на которых имеются признаки зарегистрированного компьютерного инцидента, с целью их дальнейшей локализации.
На рисунке 1 представлена схема организационного процесса этапа «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры».
Рисунок 1 – Схема организационного процесса этапа «определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры»
Для определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры следует изучить состояние элементов информационной инфраструктуры.
Изучение состояния элементов информационной инфраструктуры допускается осуществлять с использованием программных и (или) программно-технических средств, предназначенных:
а) для получения доступа к файловой системе;
б) получения доступа к журналам регистрации событий безопасности:
- операционной системы (ОС);
- средств защиты информации (антивирусные средства, средства обнаружения компьютерных атак и иные средства защиты информации);
- прикладного программного обеспечения (ПО);
в) сканирования файловой системы с целью выявления вредоносного ПО;
г) проведения инвентаризации;
д) проведения анализа уязвимостей;
е) оценки работоспособности и производительности элементов информационной инфраструктуры;
ж) получения информации из службы каталогов;
и) получения параметров сетевых настроек и информации о сетевой активности элементов информационной инфраструктуры;
к) анализа сетевого трафика, циркулирующего между элементами информационной инфраструктуры, а также другими функционирующими в сети Интернет ресурсами, в том числе зафиксированного в момент возникновения компьютерного инцидента (при наличии такой возможности);
л) обнаружения компьютерных атак.
[из 6.2 Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры ГОСТ Р 59712-2022]
6.3 Локализация компьютерного инцидента ГОСТ Р 59712-2022
На этапе «локализация компьютерного инцидента» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на ограничение функционирования элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент, с целью предотвращения его дальнейшего распространения.
На рисунке 2 представлена схема организационного процесса этапа «локализация компьютерного инцидента».
Рисунок 2 - Схема организационного процесса этапа «локализация компьютерного инцидента»
К примерам возможных действий, которые могут выполняться при локализации компьютерных инцидентов, можно отнести:
- применение блокировок (использование межсетевого экрана).
Примечание - Блокировки с использованием межсетевых экранов используются для предотвращения несанкционированного воздействия. Например, с использованием межсетевого экрана можно заблокировать информационные потоки с IP-адресов, с которых распространяется вредоносное ПО, шпионское ПО, а также IP-адресов почтовых ретрансляторов, источников фишинга и спама. Почтовые блокировки включают в себя фильтрацию вложений, строк темы и адреса отправителей. Для предотвращения доступа к неразрешенным или вредоносным веб-сайтам или хостам (узлам) могут применяться блокировки URL-адресов и доменных имен;
- отключение (изоляция, исключение).
Примечание - Отключение зараженного элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) от локальной вычислительной сети может предотвратить заражение остальной части информационной инфраструктуры. Отключение зараженного элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) от сети Интернет или любых других общедоступных сетей связи может предотвратить несанкционированный доступ и, соответственно, нарушение конфиденциальности, целостности и доступности информации. В некоторых случаях целесообразно осуществлять мониторинг вредоносной активности, ограничив при этом возможности злоумышленника атаковать другие информационные ресурсы;
- выключение.
Примечание - Если дальнейшее функционирование элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) приведет к уничтожению (потере) данных, может быть принято решение о прекращении функционирования элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом). Следует учитывать, что выключение элемента информационной инфраструктуры может отрицательно сказаться на работе конкретных пользователей, сервисов и различных критических процессов. Данное решение должно приниматься в координации с соответствующим руководителем и (или) ответственными за эксплуатацию информационных ресурсов организации;
- изменения маршрутизации.
Примечание - Изменения маршрутизации осуществляются с целью устранения маршрута, по которому действует злоумышленник, препятствуя ему в получении доступа к информационным ресурсам, которые могут являться объектами атаки, а также блокирования механизмов передачи (распространения) вредоносного ПО;
- отключение или блокирование процессов.
Примечание - В данном случае осуществляется отключение или блокирование процессов, которые могли быть использованы злоумышленником;
- отключение учетных записей пользователей.
Примечание - В данном случае осуществляется отключение учетных записей пользователей, которые могли быть использованы злоумышленником.
Любые изменения в информационных ресурсах, включая действия по локализации компьютерного инцидента, могут привести к потере (уничтожению) информации, связанной с возникновением компьютерного инцидента (цифровых свидетельств). Следует убедиться, что вся информация, необходимая для установления причин и условий возникновения компьютерных инцидентов (цифровые свидетельства), собрана в полном объеме перед внесением каких-либо системных изменений [из 6.3 Локализация компьютерного инцидента ГОСТ Р 59712-2022]
6.4 Выявление последствий компьютерного инцидента ГОСТ Р 59712-2022
На этапе «выявление последствий компьютерного инцидента» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на выявление признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент.
При выявлении признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент, специалисты, входящие в состав рабочей группы реагирования на компьютерный инцидент, должны провести детальный анализ имеющихся данных о компьютерном инциденте.
На рисунке 3 представлена схема организационного процесса этапа «выявление последствий компьютерного инцидента».
К примерам признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент, которые выявляются в ходе анализа имеющихся данных о компьютерном инциденте, можно отнести следующее:
- нештатная сетевая активность элемента информационной инфраструктуры;
- созданные, модифицированные, удаленные файлы, каталоги, параметры настройки ОС, средств защиты информации, прикладного ПО;
- отклонения от эталонных (допустимых) параметров конфигурации ОС, средств защиты информации, прикладного ПО;
- отклонения от эталонного (допустимого) состава прикладного ПО, установленного в ОС;
- отклонения от эталонного (допустимого) содержания системных и защищаемых файлов;
- выполненные потенциально вредоносные команды, в том числе расположенные в оперативной памяти;
- признаки, идентифицирующие источник компьютерной атаки;
- признаки сбоев, перезагрузок, остановок и других нарушений в штатной работе ОС, средств защиты информации, прикладного ПО;
Рисунок 3 - Схема организационного процесса этапа «выявление последствий компьютерного инцидента»
- признаки нарушений функционирования сетевых служб, аномального использования системных ресурсов;
- другая информация, характерная для отдельных типов компьютерных инцидентов и компьютерных атак.
[из 6.4 Выявление последствий компьютерного инцидента ГОСТ Р 59712-2022]
6.5 Ликвидация последствий компьютерного инцидента ГОСТ Р 59712-2022
На этапе «ликвидация последствий компьютерного инцидента» специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на устранение последствий негативного влияния компьютерного инцидента на информационный ресурс (по возможности) и (или) восстановление элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) и (или) обрабатываемой в нем информации.
На рисунке 4 представлена схема организационного процесса этапа «ликвидация последствий компьютерного инцидента».
Рисунок 4 - Схема организационного процесса этапа «ликвидация последствий компьютерного инцидента»
К примерам возможных действий, которые могут быть выполнены для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне сети, можно отнести:
а) внесение изменений в параметры настроек ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах, вовлеченных в компьютерный инцидент;
б) отключение неиспользуемых функций телекоммуникационного оборудования (например, отключение уязвимых сервисов или протоколов, которые использовались для распространения вредоносного ПО);
в) смена аутентификационной информации скомпрометированных учетных записей пользователей:
- на телекоммуникационном оборудовании;
- средствах межсетевого экранирования;
- средствах защиты от компьютерных атак, направленных на отказ в обслуживании;
г) внесение изменений в правила фильтрации межсетевых экранов;
д) внесение изменений в параметры очистки трафика в средствах защиты от компьютерных атак, направленных на отказ в обслуживании;
е) подключение резервных ресурсов (каналы связи, серверное оборудование, виртуальные машины, оборудование из состава запасных инструментов и принадлежностей);
ж) миграция (перемещение) виртуальных машин в сторонние виртуальные инфраструктуры.
К примерам возможных мер, которые могут быть приняты для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне прикладного ПО, можно отнести:
- выполнение настройки безопасной конфигурации прикладного или специального ПО, вовлеченного в компьютерный инцидент;
- восстановление из актуальных резервных копий файлов, баз данных, конфигурационных файлов, подвергшихся модификации при компьютерном инциденте;
- восстановление удаленных файлов, в том числе с использованием специальных инструментальных средств;
- удаление ПО, вовлеченного в компьютерный инцидент, и всех его файлов с последующей установкой актуальной версии данного ПО и актуальных обновлений безопасности.
К примерам возможных мер, которые могут быть приняты для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне ОС, можно отнести:
- удаление вредоносного ПО;
- отмена изменений, внесенных вредоносным ПО (например, удаление созданных вредоносным ПО файлов, отмена выполненных изменений в конфигурации и настройках ОС, удаление созданных вредоносным ПО учетных записей);
- смена аутентификационной информации для скомпрометированных учетных записей пользователей в ОС;
- восстановление средств защиты информации, функционирующих в среде ОС;
- восстановление ОС в целом;
- настройка безопасной конфигурации средств защиты информации, функционирующих в среде ОС;
- настройка безопасной конфигурации ОС;
- переустановка ОС и прикладного ПО с последующей установкой актуальных обновлений безопасности.
[из 6.5 Ликвидация последствий компьютерного инцидента ГОСТ Р 59712-2022]
