7.1 Фиксация материалов, связанных с возникновением компьютерных инцидентов ГОСТ Р 59712-2022
Состав материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), подлежащих фиксации, зависит от типа компьютерного инцидента и его последствий.
В рамках реагирования на компьютерные инциденты могут фиксироваться следующие материалы, связанные с возникновением компьютерных инцидентов (цифровые свидетельства):
- электронные образы штатных машинных носителей информации средств вычислительной техники и (или) съемных машинных носителей информации;
- содержимое рабочей памяти (дамп) процесса, ядра ОС или ОС в целом;
- сетевой трафик, циркулирующий между вовлеченными в компьютерный инцидент элементами информационной инфраструктуры, а также между этими элементами и элементами других функционирующих в сети Интернет ресурсов;
- образцы вредоносного ПО;
- отдельные файлы, такие как журналы регистрации событий безопасности, файлы реестра ОС, системные и пользовательские файлы;
- сообщения электронной почты;
- снимки состояния виртуальных машин.
[из 7.1 Фиксация материалов, связанных с возникновением компьютерных инцидентов ГОСТ Р 59712-2022]
7.2 Установление причин и условий возникновения компьютерных инцидентов ГОСТ Р 59712-2022
Деятельность по установлению причин и условий возникновения компьютерных инцидентов направлена на определение факторов, обусловивших возможность возникновения компьютерного инцидента и (или) способствовавших его возникновению.
Существуют различные виды анализа зафиксированных материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), которые могут быть выполнены для установления причин и условий их возникновения. К таким видам относятся:
- анализ действий пользователей.
Примечание - Анализ действий пользователей является процессом изучения сведений, задокументированных в ходе опроса лица, взаимодействующего с элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент в момент его возникновения.
К сведениям, подлежащим изучению в ходе анализа действий пользователей, относятся:
- действия пользователей, которые выполнялись до и во время регистрации компьютерного инцидента (например, посещение веб-сайта, открытие сообщения электронной почты, открытие электронного документа, подключение носителя информации и другие);
- сведения об игнорировании пользователем появляющихся сообщений ОС, средств защиты информации и прикладного ПО (например, о необходимости выполнить обновление ОС, ее перезагрузку, о выявленном потенциально вредоносном файле);
- анализ ОС элемента информационной инфраструктуры.
Примечание - Анализ ОС элемента информационной инфраструктуры является процессом изучения событий безопасности ОС, средств защиты информации и прикладного ПО, которые регистрировались до и во время возникновения компьютерного инцидента.
К сведениям, подлежащим изучению в ходе анализа ОС элемента информационной инфраструктуры, относятся:
- журналы (протоколы) регистрации событий безопасности ОС, средств защиты информации и прикладного ПО;
- информация о запущенных программных процессах;
- информация об установленных сетевых сессиях и открытых сетевых портах;
- реестр ОС (при наличии);
- информация об атрибутах объектов файловой системы;
- состав учетных записей пользователей и их прав;
- анализ защищенности.
Примечание - Анализ защищенности является процессом изучения информации об актуальных уязвимостях ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах, вовлеченных в компьютерный инцидент.
К сведениям, подлежащим изучению в ходе анализа защищенности, относятся:
- существующие результаты проведения мероприятий по анализу защищенности информационных ресурсов;
- сетевая конфигурация ОС, прикладного ПО;
- групповые политики безопасности ОС;
- функциональные параметры настроек прикладного ПО, служб ОС;
- состав установленных (неустановленных) актуальных обновлений безопасности ОС, средств защиты информации и прикладного ПО;
- состав программного и аппаратного обеспечения элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент;
- анализ сетевого трафика.
Примечание - Анализ сетевого трафика является процессом изучения сетевого трафика и информации о потоках сетевого трафика в отношении элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент до, во время и после возникновения компьютерного инцидента.
К сведениям, подлежащим изучению в ходе анализа сетевого трафика, относятся:
- копия сетевого трафика и (или) его фрагменты, зафиксированные средствами записи (анализа) сетевого трафика, из (в) сегмента (сегмент) локальной вычислительной сети, в котором расположен элемент информационной инфраструктуры, вовлеченный в компьютерный инцидент;
- копия сетевого трафика и (или) его фрагменты, зафиксированные средством обнаружения компьютерных атак (системой обнаружения вторжений) или иными средствами выявления угроз безопасности информации;
- статистическая и иная информация о потоках сетевого трафика между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент и вероятным источником компьютерной атаки, а также между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент, и другими сетевыми устройствами локальной вычислительной сети;
- статистическая и иная информация о потоках сетевого трафика, зафиксированная телекоммуникационным оборудованием или специализированными средствами.
Потоком сетевого трафика считается набор сетевых кадров, проходящих в одном направлении к одному сетевому устройству в рамках одного сетевого сеанса;
- анализ программных и информационных объектов.
Примечание - Анализ программных и информационных объектов является процессом идентификации вредоносного программного кода в объектах файловой системы, в оперативной памяти средств вычислительной техники и в информационных объектах (веб-ссылки, программный код веб-страницы, карточные транзакции и иные структурированные конструкции данных), выявления в них связей с вредоносными ресурсами или ресурсами, предположительно используемыми злоумышленниками, а также определения принципа их работы.
Для анализа программных объектов допускается выполнять следующие процедуры:
- обратная разработка исполняемых и бинарных файлов путем дизассемблирования их машинного кода, декомпиляции (восстановления) программного кода до исходного (первоначального), использования режима отладки программного кода;
- изучение поведения программных объектов и влияния их на среду функционирования, файловую систему в автоматизированной замкнутой системе (среде) предварительного выполнения программ.
При установлении причин и условий возникновения компьютерного инцидента допускается проводить несколько видов анализа. Уровень или глубина проводимого анализа часто может зависеть от поставленной в организации задачи [из 7.2 Установление причин и условий возникновения компьютерных инцидентов ГОСТ Р 59712-2022]