Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017

6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5. 
В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ, описывающего:

Непосредственный сбор технических данных рекомендуется осуществлять в рамках установленной и документированной деятельности по сбору и фиксации информации о следующих инцидентах ИБ:

В составе инцидентов ИБ, связанных с несанкционированными переводами денежных средств, рекомендуется рассматривать:

В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:

6.2. Организацию сбора технических данных рекомендуется проводить в следующем порядке:

6.3. Рекомендации к предварительному планированию сбора технических данных. В плане (регламенте) сбора технических данных рекомендуется определить для каждого потенциального инцидента ИБ из числа указанных в подпункте 6.1 настоящего раздела следующие положения:

В плане (регламенте) сбора технических данных рекомендуется также определить необходимость и условия подготовки обращения в МВД России, его территориальное подразделения и (или) FinCert Банка России.
При планировании сбора технических данных возможно рассмотрение следующих типовых сценариев, определяющих степень оперативности предпринимаемых действий:

 Рекомендуется реализовать сбор следующих технических данных: 

 6.3.1. Информационная инфраструктура клиента (копия и (или) заголовки сетевого трафика):

6.3.2. Информационная инфраструктура организации БС РФ (в настоящем стандарте предполагается, что сбор технических данных реализуется при наличии технической возможности с использованием функциональных возможностей объектов информационной инфраструктуры, эксплуатация которых осуществляется или организована организацией БС РФ): 

6.3.3. Для сбора технических данных могут выполняться следующие возможные действия: 

При отключении СВТ путем прерывания питания следует учитывать возможность:

Приоритеты и последовательность выполнения действий и операций по сбору технических данных рекомендуется определять на основе следующих факторов;

Рекомендуемой реализацией является локальный сбор технических данных без удаленного доступа с использованием вычислительных сетей. 

6.3.4. Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов:

6.3.5. Спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов “социального инжиниринга”: 

6.3.6. Атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов:

6.3.7. Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры целевых систем организации БС РФ:

6.3.8. Атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре целевых систем организаций БС РФ:

6.3.9. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ  (до выполнения действий по сбору технических данных не следует проводить антивирусную проверку):

6.3.10. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру клиентов (до выполнения действий по сбору технических данных не следует проводить антивирусную проверку):

6.4. Рекомендации по обеспечению необходимыми техническими средствами и инструментами для сбора и обработки технических данных. 
Для реализации сбора и обработки технических данных организации БС РФ рекомендуется обеспечить наличие следующих готовых к использованию технических средств и инструментов:

При сборе технических данных следует избегать использования любых средств и материалов, которые производят или излучают статическое или электромагнитное поле, так как оно может повредить или уничтожить собранные данные. 
Рекомендации по составу технических средств сбора технических данных приведены в приложении В к настоящему стандарту 

6.5. Рекомендации по оперативному ограничению доступа к техническим данным для цели обеспечения их сохранности до выполнения сбора. 
В планах (регламентах) сбора технических данных должно быть предусмотрено оперативное выполнение действий и операций, направленных на минимизацию риска злоумышленных или случайных действий по изменению, повреждению и (или) уничтожению технических данных до момента их сбора. К таким действиям и операциям относятся:

После обнаружения инцидента ИБ до момента сбора технических данных следует обеспечить запрет выполнения:

С целью минимизации финансового ущерба от инцидентов ИБ организации БС РФ рекомендуется: 

6.6. Рекомендации по способам непосредственного сбора технических данных, в том числе проверке целостности (неизменности) собранных данных, маркированию носителей собранных данных. 
Перед непосредственным сбором технических данных рекомендуется выполнение описания или фиксации места сбора технических данных:

Фиксацию места сбора технических данных рекомендуется осуществлять путем фото- или видеосъемки с отметкой даты и времени, для чего на фото- или видеоаппаратуре должны быть выставлены корректные дата и время. Рекомендуется использование фото- или видеоаппаратуры, формирующей EXIF данные фотографий, позволяющих подтвердить подлинность графического изображения. Дополнительно рекомендуется документирование данных о производителе, модели и серийном номере используемой фото- или видеоаппаратуры. 

6.6.1. Рекомендации по выполнению “криминалистического” копирования (создания образов) энергонезависимых технических данных запоминающих устройств СВТ методом побитового копирования и (или) методом копирования “bit-copy plus”. 
Выполнение операций по “созданию образа” энергонезависимых технических данных СВТ должно сопровождаться описанием и протоколированием: 

Для выполнения “криминалистического” копирования (создания образов) запоминающих устройств рекомендуется следующая последовательность действий и операций: 

6.6.2. Рекомендации по выполнению копирования содержимого оперативной памяти СВТ и получению данных операционных систем. Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем рекомендуется выполнять с соблюдением следующих правил:

Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем должно сопровождаться описанием и протоколированием:

Рекомендуемым решением является предварительная подготовка, размещение на специально выделенном носителе и использование программного пакета (скрипта), содержащего все выполняемые процедуры и сервисные команды, необходимые для копирования содержимого оперативной памяти СВТ и получения данных операционных систем. 
Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем рекомендуется выполнять в следующем порядке: 

Дополнительно следует выполнить описание и протоколирование наименования операционной системы, включая данные обо всех установленных обновлениях. 
Для выполнения копирования содержимого оперативной памяти СВТ и получения данных операционных систем рекомендуется следующая последовательность действий и операций:

В качестве внешних носителей информации рекомендуется использование носителей информации, дополнительная запись и (или) перезапись данных на которые невозможна, например, путем выполнения процедуры “финализации” для компакт-дисков, или использование специального аппаратного ограничителя записи – “write-blocker”. 

6.6.3. Рекомендации по выполнению копирования протоколов (журналов) регистрации. В настоящем стандарте предусматривается целесообразность копирования следующих протоколов (журналов) регистрации:

В большинстве случаев указанные протоколы (журналы) регистрации хранятся в виде файлов данных, в том числе в проприетарных форматах, текстовых файлах, базах данных, протоколов (журналов) регистрации операционных систем (syslog для UNIX систем, event logs для Windows-систем). При этом для копирования протоколов (журналов) регистрации может быть рекомендована следующая общая последовательность действий: 

При выполнении копирования протоколов (журналов) и данных телекоммуникационного оборудования необходимо учитывать, что отключение телекоммуникационного оборудования путем прерывания питания, как правило, приводит к удалению всех технических данных. Копирование протоколов (журналов) телекоммуникационного оборудования рекомендуется сопровождать получением данных о его текущем статусе:

При копировании протоколов (журналов) регистрации и данных телекоммуникационного оборудования рекомендуется подключение к телекоммуникационному оборудованию через консольный порт (не рекомендуется выполнять удаленное подключение через протоколы Telnet или SSH), при этом категорически не рекомендуется изменять конфигурацию маршрутизатора или вводить какие-либо команды конфигурации. 
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать:

6.6.4. Рекомендации по выполнению копирования сетевого трафика. 
Для сбора данных сетевого трафика для цели реагирования на инциденты ИБ рекомендуется использование технических средств мониторинга и копирования сетевых пакетов (packet sniffer), а также технических средств, позволяющих автоматизировать анализ собранных сетевых пакетов.
Сбор данных сетевого трафика рекомендуется осуществлять в определенных точках вычислительных сетей, обеспечивающих копирование данных, значимых и существенных для расследования инцидента ИБ, например:

Для копирования файлов данных формируемых техническими средствами мониторинга и копирования сетевых пакетов (packet sniffer) может быть использована последовательность действия, определенная в настоящем стандарте для копирования протоколов (журналов) регистрации. 
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать принятие необходимых мер к ограничению доступа к собираемым копиям данных с учетом возможного нахождения в копиях данных информации, защищаемой в соответствии с требованиями законодательства Российской Федерации, нормативными актами Банка России, и обеспечению достаточной емкости носителей и хранилищ, используемых для сбора данных сетевого трафика, позволяющих избежать перезапись и (или) потерю информации, значимой для цели реагирования на инциденты ИБ.  

6.7. Рекомендации по обеспечению безопасной упаковки, хранения и транспортировки носителей собранных данных. 
Копии технических данных, используемые в качестве доказательной базы, должны храниться безопасным образом. 
Рекомендуется учитывать, что носители собранных технических данных являются хрупкими и чувствительными к экстремальным температурам, влажности, механическим ударам, воздействию света, статическому электричеству и электромагнитным полям. 
При проведении упаковки носителей собранных технических данных рекомендуется:

При хранении и транспортировке носителей собранных технических данных рекомендуется:

Рекомендуется применять способ упаковки носителей эталонных копий собранных технических данных и соответствующих сопроводительных описаний и протоколов, обеспечивающий невозможность доступа к носителю и (или) использования носителя без видимого нарушения целостности упаковки. Одним из допустимых способов упаковки и опечатывания носителей небольшого размера является их совместное помещение в полиэтиленовый антистатический пакет с последующей перевязкой его горловины нитью, концы которой опечатываются с наклеиванием пояснительной записки, нанесенной шариковой ручкой, с подписями участвующих в опечатывании лиц и печатью организации БС РФ.