11.2. Организации БС РФ рекомендуется обеспечить наличие следующих знаний и компетенции аналитиков, выполняющих поиск (выделение) и анализ содержательной (семантической) информации:
- глубокое знание и понимание способов организации хранения технических данных в файловых системах для разных типов носителей информации (разделение на логические тома, логическое форматирование файловых систем, способов организации хранения файлов и директорий), которые потенциально могут быть источниками значимой (семантической) информации. К таким носителям информации могут быть отнесены:
- накопители на жестких магнитных дисках;
- накопители на гибких магнитных дисках (флоппи-диски);
- носители информации портативных компьютеров (планшетов), мобильных телефонов;
- CD-диски, DVD-диски;
- флеш-карты;
- оптические накопители;
- карты памяти (в том числе SD, PC Card, CF, MMC, Memory Stick).
Для получения дополнительной информации о составе возможных носителей информации и соответствующих файловых системах возможно использование рекомендаций, определенных в разделах 4.1.1 “File Storage Media” и 4.1.2 “FileSystems” NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response;
- глубокое знание и понимание способов организации хранения как минимум в следующих файловых системах:
- операционные системы Windows и их файловые системы: FAT16, FAT32, NTFS;
- операционные системы Unix, Linux и их файловые системы: Unix File System (UFS), Second Extended Filesystem (ext2fs), Third Extended Filesystem (ext3fs), ReiserFS;
- операционная система MacOs и ее файловая система: Hierarchical File System (HFS), HFS Plus;
- CD-диски: Compact Disc File System (CDFS), ISO 9660, Joliet;
- DVD-диски: Universal Disc Format (UDF);
- глубокое понимание сетевых протоколов передачи данных TCP/IP и принципов их инкапсуляции:
- протоколов прикладного уровня, в том числе протоколов DNS, FTP, HТТР, SMTP, POP3, IMAP, SNMP;
- протоколов транспортного уровня, в том числе протоколов ТСР, UDP, ICMP;
- протоколов сетевого уровня, в том числе протоколов IPv4, IPv6, IPSec;
- протоколов маршрутизации, в том числе протоколов RIP, OSPF, BGP;
- протоколов канального и физического уровня, в том числе протокола Ethernet и семейства протоколов 802.11;
- знание и понимание угроз ИБ, связанных с использованием вычислительных сетей, способов и техник реализации сетевых атак;
- знание и понимание организации вычислительных сетей (сетевой топологии) организации БС РФ, в том числе знание и понимание: • сетевой архитектуры организации БС РФ;
- используемого организацией БС РФ сетевого и телекоммуникационного оборудования;
- IP-адресов ключевых (критических) программных сервисов, в первую очередь используемых для осуществления переводов денежных средств;
- номера используемых сетевых портов (ports) ключевых (критических) программных сервисов, в первую очередь используемых для осуществления переводов денежных средств;
- глубокое знание и понимание возможного содержания данных операционных систем, эксплуатируемых в пределах информационной инфраструктуры организации БС РФ:
- порядка загрузки операционных систем Windows, Linux и мобильных операционных систем;
- состава и возможного содержания конфигурационных файлов данных операционных систем;
- состава и возможного содержания протоколов (журналов) регистрации операционных систем;
- структуры и информации реестра операционной системы Windows;
- состава и возможного содержания информации, содержащейся в неиспользуемых областях в пределах логических страниц или блоков выделения пространства оперативной памяти (memory slack space);
- состав и возможное содержание информации, расположенной в неиспользуемом пространстве оперативной памяти (memory free space, garbage);
- • состав и возможное содержание информации о сетевых конфигурациях, сетевых соединениях, запущенных программных процессах, открытых сессиях доступа;
- знание и понимание организации и правил эксплуатации информационной инфраструктуры организации БС РФ:
- состава СВТ и серверного оборудования;
- состава, правил размещения, возможного содержания протоколов (журналов) регистрации операционных систем, системного программного обеспечения, СУБД, почтовых серверов, web-серверов;
- состава, правил размещения, возможного содержания протоколов (журналов) регистрации средств защиты информации;
- состава, правил размещения, возможного содержания протоколов (журналов) регистрации программного обеспечения целевых систем.
