5. Общие положения по организации процесса обработки технических данных в рамках реагирования на инциденты ИБ
5. Общие положения по организации процесса обработки технических данных в рамках реагирования на инциденты ИБ 
5.1. В настоящем стандарте рассматриваются следующие группы рекомендаций по организации обработки технических данных при выявлении инцидентов ИБ и реагировании на них:
- рекомендации по сбору технических данных с компонентов информационной инфраструктуры, задействованных в осуществлении переводов денежных средств;
- рекомендации по проведению поиска (выделения) из собранных технических данных содержательной (семантической) информации, ее анализу и оформлению;
- рекомендации по распространению (передаче) выделенной и оформленной содержательной (семантической) информации;
- рекомендации по распределению зон ответственности подразделений организации БС РФ в рамках процесса обработки технических данных, включая анализ, оформление и распространение (передачу) содержательной (семантической) информации;
- рекомендации по взаимодействию с клиентами организации БС РФ в рамках процесса сбора технических данных;
- рекомендации по компетенции персонала организации БС РФ и (или) иных внешних организаций, задействованных в процессах обработки технических данных;
- рекомендации по обеспечению наличия технических данных на этапах создания и эксплуатации информационной инфраструктуры, используемой для осуществления переводов денежных средств или для обеспечения защиты информации при осуществлении переводов денежных средств.
5.2. При организации обработки технических данных рекомендуется соблюдать следующие общие принципы:
- любые выполняемые процедуры и сервисные команды обработки технических данных, реализуемые организацией БС РФ и (или) ее клиентами (в том числе процедуры сбора, хранения, передачи технических данных) не должны вносить изменения в исходные технические данные и (или) их эталонные копии;
- сбор технических данных, поиск (выделение) из технических данных содержательной (семантической) информации, ее анализ должны проводиться лицами, обладающими необходимым опытом и компетенцией;
- выполнение всех процедур и сервисных команд обработки технических данных, реализуемых организацией БС РФ и (или) ее клиентами (в том числе процедуры и сервисные команды их сбора, хранения и передачи), должно сопровождаться выполнением процедур и сервисных команд, обеспечивающих возможность последующего контроля целостности (неизменности) технических данных;
- обработка технических данных должна сопровождаться описанием и протоколированием:
- всех выполняемых процедур и сервисных команд, использованных для сбора, сохранения и передачи технических данных. Реализация описания и протоколирования выполненных процедур и сервисных команд должна обеспечивать возможность их точного повторного выполнения;
- перечня использованных технических средств и инструментов, применяемых для сбора, сохранения и передачи технических данных, а также параметров их настройки;
- места, даты и времени <1> выполнения сбора, сохранения и передачи технических данных;
--------------------------------
<1> Здесь и далее рекомендуется протоколирование времени с указанием часового пояса.
- места, даты и времени выполнения процедур и сервисных команд;
- идентификационных данных лиц, выполнивших процедуры и сервисные команды сбора, сохранения и передачи технических данных;
- обеспечение хранения указанных описаний и протоколов совместно с обрабатываемыми техническими данными, а также обеспечение их доступности для представления;
- обеспечение протоколирования действий по передаче копий собранных технических данных между лицами, участвующими в расследовании инцидентов ИБ, хранения указанных протоколов совместно с обрабатываемыми техническими данными, а также обеспечение их доступности для представления.
При наличии соответствующих знаний рекомендуется сопровождать выполнение процедур и сервисных команд обработки технических данных описанием и протоколированием ожидаемого изменения в состоянии информационной инфраструктуры (например, появления временных файлов, изменения даты и времени последнего обращения к файлу).
Описание возможного формата и содержания протокола выполнения процедур и сервисных команд обработки технических данных приведено в приложении А к настоящему стандарту. Пример протокола снятия криминалистической копии (создание образа) накопителя на жестких магнитных дисках приведено в приложении Б к настоящему стандарту.
Рекомендуется осуществлять указанные выше описание и протоколирование не менее чем двумя лицами.
5.3. Организация процесса обработки технических данных должна обеспечивать:
- сохранность и неизменность технических данных;
- относимость собранных и обрабатываемых технических данных к конкретному инциденту ИБ;
- доступность, целостность и конфиденциальность технических данных при их обработке.
При этом организация сбора технических данных должна быть организована с учетом возможности:
- изменения, повреждения и (или) уничтожения исходных технических данных;
- потери исходных технических данных с течением времени.
5.4. Обеспечение возможности контроля целостности (неизменности) технических данных в большинстве случаев может быть реализовано:
- использованием технических средств для вычисления контрольных сумм или значений хэш-функций исходных и копий технических данных с последующим:
- сравнением вычисленных значений для фиксации целостности данных;
- составлением акта с документированием полученного вычисления контрольной суммы или значения хэш-функций;
- обеспечением хранения акта совместно с обрабатываемыми техническими данными;
- документированием отдельных технических данных незначительного объема на бумажном носителе с:
- составлением акта о соответствии содержания задокументированных технических данных на бумажном носителе и исходных технических данных на машинном носителе;
- сшиванием документов с техническими данными и акта в единый пакет или их упаковкой в пакеты (контейнеры), обеспечивающие невозможность доступа без видимого нарушения целостности упаковки.
Рекомендуется осуществлять составление и заверение указанных актов не менее чем двумя лицами.
Вычисление значений хэш-функций рекомендуется реализовывать в соответствии с ГОСТ Р 34.11-2102 [2].
5.4.1. Для собираемых технических данных рекомендуется обеспечить наличие как минимум четырех копий, одна их которых используется для последующей обработки и анализа, а остальные хранятся организацией БС РФ в неизменном (эталонном) виде для целей:
- возможной передачи в правоохранительные органы;
- возможной передачи в FinCert Банка России;
- собственного использования организацией БС РФ.
5.5. Особое внимание при распространении (передаче) технических данных и выделенной из них содержательной (семантической) информации следует уделять обеспечению сохранности (нераспространению) информации, защищаемой в соответствии с требованиями законодательства РФ, в первую очередь содержащей банковскую тайну и персональные данные. Для этого при реализации поиска (выделения) из технических данных содержательной (семантической) информации рекомендуется руководствоваться следующими общими правилами:
- при наличии возможности следует разделять содержательную (семантическую) информацию, защищаемую в соответствии с требованиями законодательства РФ, от не являющейся таковой методом группирования информации:
- в отдельных постраничных разделах документов, а также путем помещения ее в раздельные документы на бумажном носителе;
- в различных файлах данных;
- следует обеспечить поиск (выделение) только той содержательной (семантической) информации, защищаемой в соответствии с требованиями законодательства РФ, которая имеет отношение к конкретному инциденту ИБ (или их группе);
- обработка содержательной (семантической) информации не должна приводить к формированию сводной информации обо всех клиентах организации БС РФ или информации о клиентах организации БС РФ, не имеющих отношения к конкретному инциденту ИБ (или их группе), в отношении которого осуществляется реагирование.
В случае отсутствия возможности разделить содержательную (семантическую) информацию, защищаемую в соответствии с требованиями законодательства РФ, от не являющейся таковой носители содержательной (семантической) информации, передаваемые в правоохранительные органы, должны быть классифицированы и маркированы в соответствии с правилами, установленными в организации БС РФ, и передаваться по акту, в котором среди прочего определяется обязанность принимающий стороны обеспечить конфиденциальность передаваемой информации.
