Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017

6.6. Рекомендации по способам непосредственного сбора технических данных, в том числе проверке целостности (неизменности) собранных данных, маркированию носителей собранных данных. 
Перед непосредственным сбором технических данных рекомендуется выполнение описания или фиксации места сбора технических данных:

Фиксацию места сбора технических данных рекомендуется осуществлять путем фото- или видеосъемки с отметкой даты и времени, для чего на фото- или видеоаппаратуре должны быть выставлены корректные дата и время. Рекомендуется использование фото- или видеоаппаратуры, формирующей EXIF данные фотографий, позволяющих подтвердить подлинность графического изображения. Дополнительно рекомендуется документирование данных о производителе, модели и серийном номере используемой фото- или видеоаппаратуры. 

6.6.1. Рекомендации по выполнению “криминалистического” копирования (создания образов) энергонезависимых технических данных запоминающих устройств СВТ методом побитового копирования и (или) методом копирования “bit-copy plus”. 
Выполнение операций по “созданию образа” энергонезависимых технических данных СВТ должно сопровождаться описанием и протоколированием: 

Для выполнения “криминалистического” копирования (создания образов) запоминающих устройств рекомендуется следующая последовательность действий и операций: 

6.6.2. Рекомендации по выполнению копирования содержимого оперативной памяти СВТ и получению данных операционных систем. Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем рекомендуется выполнять с соблюдением следующих правил:

Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем должно сопровождаться описанием и протоколированием:

Рекомендуемым решением является предварительная подготовка, размещение на специально выделенном носителе и использование программного пакета (скрипта), содержащего все выполняемые процедуры и сервисные команды, необходимые для копирования содержимого оперативной памяти СВТ и получения данных операционных систем. 
Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем рекомендуется выполнять в следующем порядке: 

Дополнительно следует выполнить описание и протоколирование наименования операционной системы, включая данные обо всех установленных обновлениях. 
Для выполнения копирования содержимого оперативной памяти СВТ и получения данных операционных систем рекомендуется следующая последовательность действий и операций:

В качестве внешних носителей информации рекомендуется использование носителей информации, дополнительная запись и (или) перезапись данных на которые невозможна, например, путем выполнения процедуры “финализации” для компакт-дисков, или использование специального аппаратного ограничителя записи – “write-blocker”. 

6.6.3. Рекомендации по выполнению копирования протоколов (журналов) регистрации. В настоящем стандарте предусматривается целесообразность копирования следующих протоколов (журналов) регистрации:

В большинстве случаев указанные протоколы (журналы) регистрации хранятся в виде файлов данных, в том числе в проприетарных форматах, текстовых файлах, базах данных, протоколов (журналов) регистрации операционных систем (syslog для UNIX систем, event logs для Windows-систем). При этом для копирования протоколов (журналов) регистрации может быть рекомендована следующая общая последовательность действий: 

При выполнении копирования протоколов (журналов) и данных телекоммуникационного оборудования необходимо учитывать, что отключение телекоммуникационного оборудования путем прерывания питания, как правило, приводит к удалению всех технических данных. Копирование протоколов (журналов) телекоммуникационного оборудования рекомендуется сопровождать получением данных о его текущем статусе:

При копировании протоколов (журналов) регистрации и данных телекоммуникационного оборудования рекомендуется подключение к телекоммуникационному оборудованию через консольный порт (не рекомендуется выполнять удаленное подключение через протоколы Telnet или SSH), при этом категорически не рекомендуется изменять конфигурацию маршрутизатора или вводить какие-либо команды конфигурации. 
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать:

6.6.4. Рекомендации по выполнению копирования сетевого трафика. 
Для сбора данных сетевого трафика для цели реагирования на инциденты ИБ рекомендуется использование технических средств мониторинга и копирования сетевых пакетов (packet sniffer), а также технических средств, позволяющих автоматизировать анализ собранных сетевых пакетов.
Сбор данных сетевого трафика рекомендуется осуществлять в определенных точках вычислительных сетей, обеспечивающих копирование данных, значимых и существенных для расследования инцидента ИБ, например:

Для копирования файлов данных формируемых техническими средствами мониторинга и копирования сетевых пакетов (packet sniffer) может быть использована последовательность действия, определенная в настоящем стандарте для копирования протоколов (журналов) регистрации. 
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать принятие необходимых мер к ограничению доступа к собираемым копиям данных с учетом возможного нахождения в копиях данных информации, защищаемой в соответствии с требованиями законодательства Российской Федерации, нормативными актами Банка России, и обеспечению достаточной емкости носителей и хранилищ, используемых для сбора данных сетевого трафика, позволяющих избежать перезапись и (или) потерю информации, значимой для цели реагирования на инциденты ИБ.