7.9. Для инцидентов ИБ, связанных с деструктивным воздействием компьютерных вирусов на информационную инфраструктуру организации БС РФ и клиентов, рекомендуется рассмотрение следующих событий ИБ, значимых для цели поиска (выделения) и анализа содержательной (семантической) информации:
- исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа:
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с антивирусной защитой;
- события ИБ или их группа, информация о которых потенциально может быть использована для определения технических способов и схем реализаций угроз ИБ:
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с осуществлением информационного взаимодействия на аппаратном (физическом), сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для проведения идентификации субъектов, реализующих угрозы ИБ:
- события, связанные с антивирусной защитой;
- события, связанные с осуществлением информационного взаимодействия на аппаратном (физическом), сетевом, транспортном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств:
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с антивирусной защитой;
- события, связанные с осуществлением информационного взаимодействия на прикладном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91.