11. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств" СТО БР ИББС-1.3-2016" (принят и введен в действие Приказом Банка России от 30.11.2016 N ОД-4234)

11.1. Организации БС РФ рекомендуется обеспечить наличие должной компетенции работников и (или) привлеченных специалистов для выполнения деятельности по сбору технических данных, поиску (выделению) содержательной (семантической) информации и анализу. Работники организации БС РФ, задействованные в сборе и обработке технических данных, должны:

- получить необходимые знания своих функций, прав и обязанностей, связанных со сбором и обработкой технических данных в рамках реагирования на инциденты ИБ;

- получить необходимые технические знания в части:

- возможного состава собираемых технических данных;

- условий возникновения необходимости сбора технических данных;

- возможного состава объектов информационной инфраструктуры организации БС РФ, являющихся объектами сбора технических данных;

- реализации технологических и технических процедур обработки технических данных в рамках реагирования на инциденты ИБ, использования необходимых технических средств и инструментов;

- установленных ограничений на выполнение отдельных процедур и сервисных команд, способных повредить и (или) уничтожить собираемые технические данные;

- получить необходимые знания в части состава и содержания принципов и процедур сбора и обработки технических данных, направленных на обеспечение относимости собранных и обрабатываемых технических данных к конкретному инциденту ИБ;

- получить необходимые знания в части состава и содержания принципов и процедур сбора и обработки технических данных, направленных на обеспечение сохранности (нераспространение) информации, защищаемой в соответствии с требованиями законодательства РФ, в том числе содержащей банковскую тайну и персональные данные.

Отдельное внимание организации БС РФ должно быть уделено вопросам регламентации и доведения до соответствующих работников организации БС РФ правил сбора технических данных с объектов информационной инфраструктуры, критичных для обеспечения непрерывности деятельности организации БС РФ, в том числе условиям возможного отключения и (или) выведения из штатного режима функционирования указанных объектов.

11.2. Организации БС РФ рекомендуется обеспечить наличие следующих знаний и компетенции аналитиков, выполняющих поиск (выделение) и анализ содержательной (семантической) информации:

- глубокое знание и понимание способов организации хранения технических данных в файловых системах для разных типов носителей информации (разделение на логические тома, логическое форматирование файловых систем, способов организации хранения файлов и директорий), которые потенциально могут быть источниками значимой (семантической) информации. К таким носителям информации могут быть отнесены:

- накопители на жестких магнитных дисках;

- накопители на гибких магнитных дисках (флоппи-диски);

- носители информации портативных компьютеров (планшетов), мобильных телефонов;

- CD-диски, DVD-диски;

- флеш-карты;

- оптические накопители;

- карты памяти (в том числе SD, PC Card, CF, MMC, Memory Stick).

Для получения дополнительной информации о составе возможных носителей информации и соответствующих файловых системах возможно использование рекомендаций, определенных в разделах 4.1.1 "File Storage Media" и 4.1.2 "FileSystems" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3];

- глубокое знание и понимание способов организации хранения как минимум в следующих файловых системах:

- операционные системы Windows и их файловые системы: FAT16, FAT32, NTFS;

- операционные системы Unix, Linux и их файловые системы: Unix File System (UFS), Second Extended Filesystem (ext2fs), Third Extended Filesystem (ext3fs), ReiserFS;

- операционная система MacOs и ее файловая система: Hierarchical File System (HFS), HFS Plus;

- CD-диски: Compact Disc File System (CDFS), ISO 9660, Joliet;

- DVD-диски: Universal Disc Format (UDF);

- глубокое понимание сетевых протоколов передачи данных TCP/IP и принципов их инкапсуляции:

- протоколов прикладного уровня, в том числе протоколов DNS, FTP, HTTP, SMTP, POP3, IMAP, SNMP;

- протоколов транспортного уровня, в том числе протоколов TCP, UDP, ICMP;

- протоколов сетевого уровня, в том числе протоколов IPv4, IPv6, IPSec;

- протоколов маршрутизации, в том числе протоколов RIP, OSPF, BGP;

- протоколов канального и физического уровня, в том числе протокола Ethernet и семейства протоколов 802.11;

- знание и понимание угроз ИБ, связанных с использованием вычислительных сетей, способов и техник реализации сетевых атак;

- знание и понимание организации вычислительных сетей (сетевой топологии) организации БС РФ, в том числе знание и понимание:

- сетевой архитектуры организации БС РФ;

- используемого организацией БС РФ сетевого и телекоммуникационного оборудования;

- IP-адресов ключевых (критических) программных сервисов, в первую очередь используемых для осуществления переводов денежных средств;

- номера используемых сетевых портов (ports) ключевых (критических) программных сервисов, в первую очередь используемых для осуществления переводов денежных средств;

- глубокое знание и понимание возможного содержания данных операционных систем, эксплуатируемых в пределах информационной инфраструктуры организации БС РФ:

- порядка загрузки операционных систем Windows, Linux и мобильных операционных систем;

- состава и возможного содержания конфигурационных файлов данных операционных систем;

- состава и возможного содержания протоколов (журналов) регистрации операционных систем

- структуры и информации реестра операционной системы Windows;

- состава и возможного содержания информации, содержащейся в неиспользуемых областях в пределах логических страниц или блоков выделения пространства оперативной памяти (memory slack space);

- состав и возможное содержание информации, расположенной в неиспользуемом пространстве оперативной памяти (memory free space, garbage);

- состав и возможное содержание информации о сетевых конфигурациях, сетевых соединениях, запущенных программных процессах, открытых сессиях доступа;

- знание и понимание организации и правил эксплуатации информационной инфраструктуры организации БС РФ:

- состава СВТ и серверного оборудования;

- состава, правил размещения, возможного содержания протоколов (журналов) регистрации операционных систем, системного программного обеспечения, СУБД, почтовых серверов, web-серверов;

- состава, правил размещения, возможного содержания протоколов (журналов) регистрации средств защиты информации;

- состава, правил размещения, возможного содержания протоколов (журналов) регистрации программного обеспечения целевых систем.

11.3. Организации БС РФ как минимум следует обеспечить наличие должной компетенции работников и (или) привлеченных специалистов для выполнения деятельности по обеспечению наличия, хранения и сбора технических данных. В случае существенных инцидентов ИБ и отсутствия должной компетенции работников организации БС РФ к проведению необходимого выделения и анализа содержательной (семантической) информации организации БС РФ может быть рекомендовано обращение в FinCert Банка России. Соответствующий запрос с описанием инцидента ИБ - профиля инцидента ИБ, сформированного в соответствии с пунктом 6.1 настоящего стандарта, следует направить на электронный адрес fincert@cbr.ru.