7.2 Установление причин и условий возникновения компьютерных инцидентов ГОСТ Р 59712-2022|Техническая документация

Деятельность по установлению причин и условий возникновения компьютерных инцидентов направлена на определение факторов, обусловивших возможность возникновения компьютерного инцидента и (или) способствовавших его возникновению.

Существуют различные виды анализа зафиксированных материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), которые могут быть выполнены для установления причин и условий их возникновения. К таким видам относятся:

анализ действий пользователей.

Примечание - Анализ действий пользователей является процессом изучения сведений, задокументированных в ходе опроса лица, взаимодействующего с элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент в момент его возникновения.

К сведениям, подлежащим изучению в ходе анализа действий пользователей, относятся:

действия пользователей, которые выполнялись до и во время регистрации компьютерного инцидента (например, посещение веб-сайта, открытие сообщения электронной почты, открытие электронного документа, подключение носителя информации и другие);
сведения об игнорировании пользователем появляющихся сообщений ОС, средств защиты информации и прикладного ПО (например, о необходимости выполнить обновление ОС, ее перезагрузку, о выявленном потенциально вредоносном файле);
анализ ОС элемента информационной инфраструктуры.

Примечание - Анализ ОС элемента информационной инфраструктуры является процессом изучения событий безопасности ОС, средств защиты информации и прикладного ПО, которые регистрировались до и во время возникновения компьютерного инцидента.

К сведениям, подлежащим изучению в ходе анализа ОС элемента информационной инфраструктуры, относятся:

журналы (протоколы) регистрации событий безопасности ОС, средств защиты информации и прикладного ПО;
информация о запущенных программных процессах;
информация об установленных сетевых сессиях и открытых сетевых портах;
реестр ОС (при наличии);
информация об атрибутах объектов файловой системы;
состав учетных записей пользователей и их прав;
анализ защищенности.

Примечание - Анализ защищенности является процессом изучения информации об актуальных уязвимостях ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах, вовлеченных в компьютерный инцидент.

К сведениям, подлежащим изучению в ходе анализа защищенности, относятся:

существующие результаты проведения мероприятий по анализу защищенности информационных ресурсов;
сетевая конфигурация ОС, прикладного ПО;
групповые политики безопасности ОС;
функциональные параметры настроек прикладного ПО, служб ОС;
состав установленных (неустановленных) актуальных обновлений безопасности ОС, средств защиты информации и прикладного ПО;
состав программного и аппаратного обеспечения элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент;
анализ сетевого трафика.

Примечание - Анализ сетевого трафика является процессом изучения сетевого трафика и информации о потоках сетевого трафика в отношении элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент до, во время и после возникновения компьютерного инцидента.

К сведениям, подлежащим изучению в ходе анализа сетевого трафика, относятся:

копия сетевого трафика и (или) его фрагменты, зафиксированные средствами записи (анализа) сетевого трафика, из (в) сегмента (сегмент) локальной вычислительной сети, в котором расположен элемент информационной инфраструктуры, вовлеченный в компьютерный инцидент;
копия сетевого трафика и (или) его фрагменты, зафиксированные средством обнаружения компьютерных атак (системой обнаружения вторжений) или иными средствами выявления угроз безопасности информации;
статистическая и иная информация о потоках сетевого трафика между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент и вероятным источником компьютерной атаки, а также между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент, и другими сетевыми устройствами локальной вычислительной сети;
статистическая и иная информация о потоках сетевого трафика, зафиксированная телекоммуникационным оборудованием или специализированными средствами.

Потоком сетевого трафика считается набор сетевых кадров, проходящих в одном направлении к одному сетевому устройству в рамках одного сетевого сеанса;

анализ программных и информационных объектов.

Примечание - Анализ программных и информационных объектов является процессом идентификации вредоносного программного кода в объектах файловой системы, в оперативной памяти средств вычислительной техники и в информационных объектах (веб-ссылки, программный код веб-страницы, карточные транзакции и иные структурированные конструкции данных), выявления в них связей с вредоносными ресурсами или ресурсами, предположительно используемыми злоумышленниками, а также определения принципа их работы.

Для анализа программных объектов допускается выполнять следующие процедуры:

обратная разработка исполняемых и бинарных файлов путем дизассемблирования их машинного кода, декомпиляции (восстановления) программного кода до исходного (первоначального), использования режима отладки программного кода;
изучение поведения программных объектов и влияния их на среду функционирования, файловую систему в автоматизированной замкнутой системе (среде) предварительного выполнения программ.

При установлении причин и условий возникновения компьютерного инцидента допускается проводить несколько видов анализа. Уровень или глубина проводимого анализа часто может зависеть от поставленной в организации задачи [из 7.2 Установление причин и условий возникновения компьютерных инцидентов ГОСТ Р 59712-2022]

Из ГОСТ Р 59712-2022 Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты

⇪В 34111 💥