7.21. Для обеспечения возможности проведения выделения и анализа содержательной (семантической) информации организации БС РФ рекомендуется обеспечить в распоряжении аналитика следующих технических средств и инструментов:
- технические средства и инструменты анализа данных файловых систем, позволяющие:
- проводить поиск, выделение и анализ содержательной (семантической) информации в составе подозрительных файлов данных, удаленных файлов данных, скрытых директориях файловых систем, в неиспользуемых областях в пределах логических модулей выделения файлового пространства (file slack space), в неиспользуемом пространстве файловой системы (free space);
- устанавливать типы обрабатываемых файлов данных по содержанию заголовков файлов данных (file header) и их структуре; • просматривать содержимое файлов данных разных форматов;
- осуществлять извлечение файлов данных из архивов; • просматривать структуру директорий файловой системы, в том числе в графическом виде;
- проводить контроль состава и целостности исполняемых файлов данных на основе вычисления значений хэш-функций и эталонных значений, содержащихся в соответствующих справочниках, в том числе разрабатываемых организацией БС РФ. В качестве справочных данных организацией БС РФ может использоваться информация о вычисленных эталонных значениях хэш-функций, размещенная в справочнике NIST’s National Software Reference Library (NSRL);
- осуществлять полнотекстовый поиск по “ключевым словам” и поиск по “шаблонам” в содержимом файлов данных;
- осуществлять поиск и анализ информации в атрибутах файлов данных;
- технические средства и инструменты анализа данных оперативной памяти СВТ, позволяющие:
- просматривать содержимое, осуществлять поиск на основе текстовых и цифровых “шаблонов”, ключевых слов и проводить анализ больших массивов неструктурированной информации (hex editors);
- технические средства и инструменты анализа данных протоколов (журналов) сетевого оборудования и данных сетевого трафика, позволяющие:
- осуществлять централизованный сбор, хранение и анализ данных протоколов (журналов) сетевого оборудования; • осуществлять реконструкцию действий и событий для отдельных сессий сетевого взаимодействия и (или) всех сессий сетевого взаимодействия за определенный временной период;
- осуществлять визуализацию сетевого взаимодействия между СВТ (хостами) и иными элементами информационной инфраструктуры целевых систем;
- осуществлять построение шаблонов и профилей “типовой” сетевой активности и выявлять существенные отклонения сетевой активности от построенных шаблонов и профилей;
- осуществлять поиск в данных сетевого трафика на основе текстовых и цифровых “шаблонов”, ключевых слов, аномалий.
Рекомендации по составу технических средств выделения из технических данных содержательной (семантической) информации и ее анализа приведены в приложении В к настоящему стандарту.