6. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств" СТО БР ИББС-1.3-2016" (принят и введен в действие Приказом Банка России от 30.11.2016 N ОД-4234)

6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5.

В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ - профиля инцидента ИБ, описывающего:

- способ выявления инцидента ИБ;

- источник информации об инциденте ИБ;

- содержание информации об инциденте ИБ, полученной от источника;

- сценарий реализации инцидента ИБ;

- дату и время выявления инцидента ИБ;

- состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;

- способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;

- контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;

- информация об операторе связи и провайдере сети Интернет.

Непосредственный сбор технических данных рекомендуется осуществлять в рамках установленной и документированной деятельности по сбору и фиксации информации о следующих инцидентах ИБ:

- инциденты ИБ, результатом которых являются и (или) могут являться несанкционированные переводы денежных средств (далее - инциденты ИБ, связанные с несанкционированными переводами денежных средств);

- инциденты ИБ, результатом которых является деструктивное воздействие на объекты информационной инфраструктуры организации БС РФ, которые привели или могут привести к нарушению непрерывности оказания платежных услуг (далее - инциденты ИБ, связанные с деструктивным воздействием).

В составе инцидентов ИБ, связанных с несанкционированными переводами денежных средств, рекомендуется рассматривать:

- инциденты ИБ, связанные с несанкционированным доступом (далее - НСД) к объектам информационной инфраструктуры клиентов;

- спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов "социального инжиниринга" <1>, предпринимаемые с целью распространения компьютерных вирусов, функционально предназначенного для совершения несанкционированных переводов денежных средств;

--------------------------------

<1> Реагирование на инциденты ИБ, связанные со спам-рассылками, целесообразно осуществлять в случаях наличия в теле почтовых сообщений ссылок на потенциально вредоносный (в том числе фишинговый) сайт, размещенный в сети Интернет.

- атаки типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, предпринимаемые с целью блокирования нормального функционирования информационной инфраструктуры после успешной реализации несанкционированных переводов денежных средств;

- воздействие компьютерных вирусов на информационную инфраструктуру клиентов, потенциально функционально предназначенного для совершения несанкционированных переводов денежных средств;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем дистанционного банковского обслуживания (далее - систем ДБО) организаций БС РФ;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры автоматизированных банковских систем (далее - АБС) организаций БС РФ;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем обработки карточных транзакций (далее - систем фронт-офиса) организаций БС РФ;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем посттранзакционного обслуживания карточных операций (далее - систем бэк-офиса) организаций БС РФ, в том числе системам электронного документооборота, формирования платежных клиринговых позиций, клиринга и подготовки данных для проведения расчетов.

В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:

- атаки типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре систем ДБО, систем фронт-офиса организаций БС РФ;

- деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ.

6.2. Организацию сбора технических данных рекомендуется проводить в следующем порядке:

- предварительное планирование и создание условий для сбора технических данных:

- разработка и утверждение плана (регламента) сбора технических данных, реализуемого в случае выявления инцидентов ИБ;

- включение ответственных за выполнение ролей в рамках процессов обработки технических данных в группу реагирования на инциденты ИБ, создаваемую в соответствии с РС БР ИББС-2.5;

- обеспечение необходимых технических средств и инструментов для сбора и обработки технических данных;

- сбор технических данных при выявлении инцидента ИБ:

- оперативное определение перечня компонентов информационной инфраструктуры, задействованной в реализации инцидента ИБ;

- оперативное ограничение доступа к компонентам информационной инфраструктуры, задействованной в реализации инцидента ИБ, а также техническим данным для цели обеспечения их сохранности до выполнения сбора;

- сбор и документирование сведений об официально назначенном эксплуатационном персонале (администраторах) информационной инфраструктуры, задействованной в реализации инцидента ИБ, получение документально оформленных подтверждений лиц из состава эксплуатационного персонала о предоставлении/непредоставлении их аутентификационных данных третьим лицам и о внесении изменений/невнесении изменений в протоколы (журналы) регистрации, формируемые компонентами информационной инфраструктуры;

- непосредственный сбор технических данных, в том числе проверка и обеспечение целостности (неизменности) собранных данных, маркирование носителей собранных данных;

- обеспечение сохранности машинных носителей информации и защиту от воздействий, которые могут повредить их информационное содержимое, путем безопасной упаковки, опечатывания, исключающего возможность несанкционированного использования (подключения) носителя данных без нарушения целостности упаковки (печати), а также безопасного хранения и транспортировки носителей собранных данных.

6.3. Рекомендации к предварительному планированию сбора технических данных.

В плане (регламенте) сбора технических данных рекомендуется определить для каждого потенциального инцидента ИБ из числа указанных в подпункте 6.1 настоящего раздела следующие положения:

- состав собираемых технических данных;

- приоритеты (последовательность) сбора технических данных;

- инструкции по использованию технических средств инструментов, описание процедур и сервисных команд, необходимых для сбора технических данных;

- описание процедур и сервисных команд, в том числе технических, проверки (контроля) целостности собранных данных;

- правила описания и протоколирования выполненных процедур и сервисных команд, описания места сбора технических данных;

- правила создания копий собираемых технических данных и требования к их количеству;

- правила маркирования, безопасной упаковки и хранения носителей собранных технических данных;

- правила регистрации и хранения описаний и протоколов, связанных со сбором технических данных.

В плане (регламенте) сбора технических данных рекомендуется также определить необходимость и условия подготовки обращения в МВД России, его территориальное подразделения и (или) FinCert Банка России.

При планировании сбора технических данных возможно рассмотрение следующих типовых сценариев, определяющих степень оперативности предпринимаемых действий:

- сбор данных в реальном масштабе времени в случае, когда система ДБО, АБС, система фронт-офиса, система бэк-офиса (далее при совместном упоминании - целевые системы) непосредственно не подвержена компьютерной атаке, а компьютерная атака выявлена на периметре информационной инфраструктуры;

- сбор данных непосредственно после реализации инцидента ИБ (например, в течение 24 часов);

- сбор данных по прошествии значительного времени после инцидента ИБ.

Рекомендуется реализовать сбор следующих технических данных:

6.3.1. Информационная инфраструктура клиента <1>:

--------------------------------

<1> В настоящем стандарте предполагается, что сбор технических данных реализуется при наличии технической возможности с использованием функциональных возможностей объектов информационной инфраструктуры, эксплуатация которых осуществляется или организована клиентом.

- энергонезависимые технические данные, расположенные на запоминающих устройствах средств вычислительной техники (СВТ), используемых клиентами для осуществления доступа к системам ДБО:

- серверном оборудовании;

- настольных компьютерах, ноутбуках;

- мобильных устройствах и планшетах;

- энергозависимые технические данные, расположенные в оперативной памяти СВТ, используемые клиентами для осуществления доступа к системам ДБО;

- энергозависимые технические данные операционных систем СВТ, используемых клиентами для осуществления доступа к системам ДБО:

- данные о сетевых конфигурациях;

- данные о сетевых соединениях;

- данные о запущенных программных процессах;

- данные об открытых файлах;

- список открытых сессий доступа;

- системные дата и время операционной системы;

- протоколы (журналы) регистрации телекоммуникационного оборудования, используемого клиентами для осуществления доступа к системам ДБО:

- маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;

- DHCP-сервисы;

- протоколы (журналы) регистрации средств защиты информации:

- средства (системы) аутентификации, авторизации и разграничения доступа к системам ДБО;

- средства защиты от НСД, размещенные на СВТ, используемых клиентами для осуществления доступа к системам ДБО;

- средства межсетевого экранирования;

- средства обнаружения вторжений и сетевых атак;

- средства антивирусной защиты;

- средства криптографической защиты информации (далее - СКЗИ), используемые в системах ДБО;

- протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;

- данные сетевого трафика <1> из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, используемые клиентами для осуществления доступа к системам ДБО;

--------------------------------

<1> Копия и (или) заголовки сетевого трафика.

- протоколы (журналы) регистрации автоматических телефонных станций;

- протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ, используемые клиентами для осуществления доступа к системам ДБО;

- носители ключевой информации СКЗИ, используемой в системах ДБО.

6.3.2. Информационная инфраструктура организации БС РФ <1>:

--------------------------------

<1> В настоящем стандарте предполагается, что сбор технических данных реализуется при наличии технической возможности с использованием функциональных возможностей объектов информационной инфраструктуры, эксплуатация которых осуществляется или организована организацией БС РФ.

- энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ целевых систем:

- серверном оборудовании целевых систем;

- серверном оборудовании, поддерживающем функционирование информационной инфраструктуры целевых систем;

- СВТ, используемых для администрирования целевых систем;

- банкоматах и POS-терминалах;

- энергозависимые технические данные, расположенные в оперативной памяти СВТ целевых систем:

- СВТ, используемых для администрирования информационной инфраструктуры целевых систем;

- серверного оборудования целевых систем;

- серверного оборудования, поддерживающего функционирование информационной инфраструктуры целевых систем;

- энергозависимые технические данные СВТ целевых систем в составе следующих данных:

- данные о сетевых конфигурациях;

- данные о сетевых соединениях;

- данные о запущенных программных процессах;

- данные об открытых файлах;

- список открытых сессий доступа;

- системные дата и время операционной системы;

- протоколы (журналы) регистрации целевых систем;

- протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем:

- маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;

- средства, используемые для предоставления удаленного доступа (VPN-шлюзы);

- протоколы (журналы) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем:

- средства (системы) аутентификации, авторизации и разграничения доступа;

- средства межсетевого экранирования;

- средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;

- DHCP-сервисы;

- средства защиты от НСД, размещенные на СВТ, используемых для администрирования информационной инфраструктуры целевых систем;

- средства антивирусной защиты информационной инфраструктуры;

- СКЗИ;

- протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;

- протоколы (журналы) регистрации и данные web-серверов и средств контентной фильтрации web-протоколов;

- протоколы (журналы) регистрации систем управления базами данных (далее - СУБД):

- данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;

- протоколы (журналы) регистрации автоматических телефонных станций;

- протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ целевых систем.

6.3.3. Для сбора технических данных могут выполняться следующие возможные действия:

- отключение СВТ от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (в том числе Wi-Fi адаптера, GSM/LTE модема, Bluetooth адаптера, отключение виртуального коммутатора виртуальной машины);

- "криминалистическое" копирование энергозависимых технических данных СВТ, в том числе:

- копирование содержимого оперативной памяти СВТ;

- копирование данных операционных систем;

- отключение СВТ путем прерывания питания (отключение шнура питания или извлечение аккумуляторной батареи, отключения сетевого кабеля <1>) с последующим извлечением запоминающих устройств;

--------------------------------

<1> Для случаев использования сетевых интерфейсов, поддерживающих питание по вычислительной сети (например, технология Power over Ethernet, PoE).

- обеспечение сохранности носителей ключевой информации СКЗИ, используемой в системах ДБО;

- "криминалистическое" копирование (создание образов) энергонезависимых технических данных запоминающих устройств СВТ методом побитного копирования и (или) методом копирования "bit-copy plus", в том числе копирование (создание образов) жестких магнитных дисков СВТ;

- копирование протоколов (журналов) регистрации;

- копирование сетевого трафика.

При отключении СВТ путем прерывания питания следует учитывать возможность:

- наличия источников бесперебойного питания;

- наличия для разных типов СВТ различающихся схем реагирования на прерывание питания - запуск процедуры штатной остановки, мгновенное отключение, переключение на резервный источник питания;

- наличия необходимости использования комбинации действий, например, одновременного отключения шнура питания и извлечения аккумуляторной батареи совместно с извлечением сетевого кабеля из сетевого интерфейса;

- существования типов СВТ, для которых конструктивно не предусмотрена процедура прерывания питания (например, для некоторых типов мобильных устройств).

Приоритеты и последовательность выполнения действий и операций по сбору технических данных рекомендуется определять на основе следующих факторов:

- фактор минимизации риска возникновения существенного ущерба от инцидента ИБ, в том числе риска совершения несанкционированных переводов денежных средств;

- фактор первоочередного получения технических данных из энергозависимой памяти;

- фактор учета возможности удаления и (или) перезаписи технических данных в энергонезависимой памяти;

- значимость технических данных для цели реагирования на инцидент ИБ с учетом реализации конкретных процедур обработки информации;

- объем требуемых усилий для сбора технических данных с определенных источников, в частности, наличия у работников необходимой компетенции по сбору технических данных с определенных источников, предполагаемых временных затрат, стоимость специализированных технических средств и инструментов или услуг внешних организаций.

Рекомендуемой реализацией является локальный сбор технических данных без удаленного доступа с использованием вычислительных сетей.

С учетом указанных факторов рекомендуется следующая последовательность действий при сборе технических данных:

6.3.4. Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов <1>;

--------------------------------

<1> В случае наличия риска осуществления несанкционированных переводов денежных средств клиенту следует обеспечить максимально быстрое отключение от вычислительных сетей СВТ, используемых для осуществления доступа к системам ДБО, игнорируя потерю отдельных технических данных.

1) получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа), используемых клиентом для осуществления доступа к системам ДБО (рекомендуется к выполнению с высоким приоритетом значимости);

2) копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, указанные в пункте 1;

3) отключение СВТ, указанных в пункте 1, путем прерывания питания <1> с последующим извлечением запоминающих устройств и их передачей в адрес организации БС РФ и (или) экспертам FinCert Банка России (рекомендуется к выполнению с высоким приоритетом значимости);

--------------------------------

<1> Прерывание питания осуществляется с учетом описанных выше особенностей данной операции.

4) в случае отсутствия технической возможности выполнения пункта 3 - отключение СВТ, указанных в пункте 1, от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости).

5) в случае отсутствия технической возможности выполнения пункта 3 - копирование содержимого оперативной памяти СВТ, указанных в пункте 1 (рекомендуется к выполнению с высоким приоритетом значимости);

6) в случае отсутствия технической возможности выполнения пункта 3 - получение данных операционных систем СВТ, указанных в пункте 1 (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системные дата и время операционной системы) (рекомендуется к выполнению с высоким приоритетом значимости);

7) в случае отсутствия технической возможности выполнения пункта 3 - "криминалистическое" копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 1 (рекомендуется к выполнению с высоким приоритетом значимости);

8) копирование протоколов (журналов) регистрации средств защиты информации информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

9) обеспечение сохранности носителей ключевой информации СКЗИ, используемой в системах ДБО (рекомендуется к выполнению с высоким приоритетом значимости);

10) копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО, за три месяца, предшествующих инциденту ИБ;

11) копирование протоколов (журналов) регистрации автоматических телефонных станций;

12) копирование протоколов (журналов) регистрации систем видеонаблюдения и систем контроля доступа, используемых для контроля доступа в помещения, предназначенные для размещения СВТ, указанных в пункте 1, за 1 неделю, предшествующую инциденту ИБ;

13) получение и документирование информации о местоположении клиента - физического лица, осуществляющего доступ к системе ДБО.

6.3.5. Спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов "социального инжиниринга":

1) копирование протоколов (журналов) регистрации и данных почтовых серверов и средств контентной фильтрации электронной почты за период времени реализации спам-рассылки (рекомендуется к выполнению с высоким приоритетом значимости);

2) копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО, за три месяца, предшествующих инциденту ИБ;

3) копирование протоколов (журналов) регистрации средств межсетевого экранирования информационной инфраструктуры клиента за период времени реализации DDOS-атаки.

6.3.6. Атаки типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов:

1) копирование протоколов (журналов) регистрации средств межсетевого экранирования информационной инфраструктуры клиента за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);

2) копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак информационной инфраструктуры клиента за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);

3) копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);

4) копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, используемые клиентом для осуществления доступа к системам ДБО за период времени реализации DDOS-атаки, а также за короткий период времени до и после реализации DDOS-атаки;

5) Дополнительно организации БС РФ рекомендуется:

- идентифицировать владельца СВТ, входящих в состав бот-сетей, задействованных в реализации DDOS-атаки (далее - СВТ бот-сетей);

- совместно с владельцем СВТ бот-сетей организовать сбор следующих технических данных:

6) получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа, данные о запущенных программных процессах), задействованных в реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);

7) копирование содержимого оперативной памяти СВТ, указанного в пункте 6 (рекомендуется к выполнению с высоким приоритетом значимости);

8) получение данных операционных СВТ (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы), указанных в пункте 5 (рекомендуется к выполнению с высоким приоритетом значимости);

9) копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре размещения СВТ бот-сетей;

10) копирование протоколов (журналов) регистрации средств межсетевого экранирования, используемых в информационной инфраструктуре размещения СВТ бот-сетей;

11) копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак информационной инфраструктуры размещения СВТ бот-сетей;

12) "криминалистическое" копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 5 (рекомендуется к выполнению с высоким приоритетом значимости).

6.3.7. Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры целевых систем организации БС РФ <1>:

--------------------------------

<1> В случае наличия риска осуществления несанкционированных переводов денежных средств организации БС РФ следует обеспечить максимально быстрое отключение от вычислительных сетей СВТ, используемых для осуществления доступа к платежным системам, игнорируя потерю отдельных технических данных.

1) копирование протоколов (журналов) регистрации целевых систем организации БС РФ за период времени, связанный с инцидентом ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

2) копирование протоколов (журналов) регистрации и данных web-серверов, средств контентной фильтрации web-протоколов за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

3) копирование протоколов (журналов) регистрации СУБД за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

4) копирование протоколов (журналов) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

5) копирование протоколов (журналов) телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ;

6) получение данных операционных систем СВТ целевых систем (сетевые соединения, список открытых сессий доступа);

7) копирование содержимого оперативной памяти СВТ целевых систем;

8) получение данных операционных систем СВТ целевых систем (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы;

9) копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;

10) "криминалистическое" копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 6;

11) копирование протоколов (журналов) регистрации автоматических телефонных станций:

12) копирование протоколов (журналов) регистрации систем видеонаблюдения и систем контроля доступа, используемых для контроля доступа в помещения, предназначенные для размещения СВТ целевых систем, за 1 неделю, предшествующую инциденту ИБ.

6.3.8. Атаки типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре целевых систем организаций БС РФ:

1) копирование протоколов (журналов) регистрации средств межсетевого экранирования информационной инфраструктуры целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);

2) копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак в информационную инфраструктуру целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);

3) копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);

4) копирование сетевого из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем, за период времени реализации DDOS-атаки, а также за короткий период времени до и после реализации DDOS-атаки;

5) Дополнительно организации БС РФ рекомендуется:

- документировать сведения:

- о пропускной способности и провайдерах используемых каналов связи;

- об использовании сервиса защиты от DDOS-атак, предоставляемого внешними организациями;

- идентифицировать владельца СВТ бот-сетей, задействованных в реализации DDOS-атаки;

- совместно с владельцем СВТ бот-сетей организовать сбор технических данных по аналогии с рекомендациями, установленными для случая сбора технических данных при атаках типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов.

6.3.9. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ <1>:

--------------------------------

<1> До выполнения действий по сбору технических данных не следует проводить антивирусную проверку.

1) получение данных операционных систем СВТ целевых систем (сетевые соединения, список открытых сессий доступа) (рекомендуется к выполнению с высоким приоритетом значимости);

2) копирование сетевого из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;

3) копирование содержимого оперативной памяти СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости);

4) отключение СВТ целевых систем от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости);

5) получение данных операционных систем СВТ целевых систем (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы) (рекомендуется к выполнению с высоким приоритетом значимости);

6) криминалистическое копирование (создание образов) запоминающих устройств СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости);

7) копирование протоколов (журналов) регистрации средств антивирусной защиты информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

8) копирование протоколов (журналов) регистрации и данных почтовых серверов, средств контентной фильтрации электронной почты за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

9) копирование протоколов (журналов) регистрации и данные web-серверов, средств контентной фильтрации web-протоколов за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

10) копирование протоколов (журналов) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

11) копирование протоколов (журналов) регистрации протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ.

6.3.10. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру клиентов <1>:

--------------------------------

<1> До выполнения действий по сбору технических данных не следует проводить антивирусную проверку.

1) копирование протоколов (журналов) регистрации средств антивирусной защиты информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

2) получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа), используемых клиентом для осуществления доступа к системам ДБО (рекомендуется к выполнению с высоким приоритетом значимости);

3) копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, указанные в пункте 2;

4) отключение СВТ, указанных в пункте 2, от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости);

5) копирование содержимого оперативной памяти СВТ, указанных в пункте 2 (рекомендуется к выполнению с высоким приоритетом значимости);

6) отключение СВТ, указанных в пункте 2, путем прерывания питания <1> с последующим извлечением запоминающих устройств и их передачей в адрес организации БС РФ и (или) экспертам FinCert Банка России (рекомендуется к выполнению с высоким приоритетом значимости);

--------------------------------

<1> Прерывание питания осуществляется с учетом описанных выше особенностей данной операции.

7) в случае отсутствия технической возможности выполнения пункта 5 - криминалистическое копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 2 (рекомендуется к выполнению с высоким приоритетом значимости);

8) в случае отсутствия технической возможности выполнения пункта 5 - получение данных операционных систем СВТ (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы), указанных в пункте 2 (рекомендуется к выполнению с высоким приоритетом значимости);

9) копирование протоколов (журналов) регистрации и данных почтовых серверов, средств контентной фильтрации электронной почты за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

10) копирование протоколов (журналов) регистрации средств защиты информации информационной инфраструктуры клиента, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);

11) копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО, за три месяца, предшествующих инциденту ИБ.

6.4. Рекомендации по обеспечению необходимыми техническими средствами и инструментами для сбора и обработки технических данных.

Для реализации сбора и обработки технических данных организации БС РФ рекомендуется обеспечить наличие следующих готовых к использованию технических средств и инструментов:

- специально выделенные автоматизированные рабочие места для обработки технических данных, в том числе для поиска (выделения) содержательной (семантической) информации, ее анализа и оформления. Рекомендуется использование автономных автоматизированных рабочих мест, не подключенных к вычислительным сетям <1>;

--------------------------------

<1> В качестве альтернативы может быть рекомендовано использование для сбора и обработки технических данных выделенных сегментов вычислительных сетей или отдельных виртуальных машин.

- технические, в том числе программные, средства для сбора технических данных и проверки (контроля) целостности собранных данных;

- технические средства централизованного сбора, хранения и анализа протоколов (журналов) регистрации, а также автоматизированной обработки собранных технических данных (например, систем управления журналами регистрации, SIEM систем);

- технические средства записи и хранения данных сетевого трафика;

- носители данных для сбора и хранения собранных технических данных. При этом рекомендуется:

- использование носителей, объем хранения которых заведомо превышает объем собираемых технических данных;

- в случае применения инструментов, реализующих посекторное копирование данных, использование носителей, имеющих ту же физическую основу хранения (данные с HDD-накопителей копируются на HDD-накопители, данные с SSD-накопителей копируются на SSD-накопители). При этом носители-приемники должны быть подготовлены (очищены) специальным образом для обеспечения отсутствия каких-либо посторонних данных, для чего рекомендуется использование средств гарантированного уничтожения информации или штатных средств операционной системы, реализующих функцию форматирования с полным удалением (очисткой) записанной информации, сопровождаемое документированием выполненных процедур и сервисных команд;

- в случае копирования данных с SSD-накопителей рекомендуется создание образов в файле данных в формате "RAW". При невозможности создания образов в файле данных в формате "RAW" рекомендуется использование модели SSD-накопителя, идентичной модели накопителя с исходными данными;

- антистатические контейнеры или пакеты для хранения носителей технических данных;

- наклейки, этикетки и перманентные маркеры для маркирования носителей собранных технических данных;

- немагнитные инструменты, используемые для извлечения запоминающих устройств, накопителей на жестких магнитных дисках;

- прошитые книги (блокноты) для фиксации протоколов и описаний выполняемых действий и операций;

- цифровые фотоаппараты и диктофоны.

При сборе технических данных следует избегать использования любых средств и материалов, которые производят или излучают статическое или электромагнитное поле, так как оно может повредить или уничтожить собранные данные.

Рекомендации по составу технических средств сбора технических данных приведены в приложении В к настоящему стандарту.

6.5. Рекомендации по оперативному ограничению доступа к техническим данным для цели обеспечения их сохранности до выполнения сбора.

В планах (регламентах) сбора технических данных должно быть предусмотрено оперативное выполнение действий и операций, направленных на минимизацию риска злоумышленных или случайных действий по изменению, повреждению и (или) уничтожению технических данных до момента их сбора. К таким действиям и операциям относятся:

- реализация ограничений и (или) запрета по физическому доступу к объектам информационной инфраструктуры - источникам технических данных;

- реализация ограничений и (или) запрета по логическому доступу к объектам информационной инфраструктуры - источникам технических данных до момента сбора идентифицированных технических данных;

- проведение сбора технических данных только лицами, обладающими необходимыми опытом и компетенцией.

После обнаружения инцидента ИБ до момента сбора технических данных следует обеспечить запрет выполнения:

- антивирусных проверок СВТ - потенциальных источников технических данных;

- установки обновлений и переустановки операционных систем СВТ - потенциальных источников технических данных;

- отключения от вычислительной сети СВТ - потенциальных источников технических данных, за исключением СВТ, используемых клиентами для осуществления доступа к системам ДБО и СВТ, используемых организациями БС РФ для взаимодействия с платежными системами.

С целью минимизации финансового ущерба от инцидентов ИБ организации БС РФ рекомендуется:

доведение до клиентов рекомендаций по максимально возможно быстрому отключению от вычислительных сетей СВТ, используемых клиентами для осуществления доступа к системам ДБО;

максимально возможное быстрое отключение от вычислительных сетей СВТ, используемых организациями БС РФ для взаимодействия с платежными системами.

6.6. Рекомендации по способам непосредственного сбора технических данных, в том числе проверке целостности (неизменности) собранных данных, маркированию носителей собранных данных.

Перед непосредственным сбором технических данных рекомендуется выполнение описания или фиксации места сбора технических данных:

- описание или фиксацию типа, расположения, состояния электропитания СВТ;

- описание или фиксацию наличия и способа подключения СВТ к вычислительным сетям, в том числе беспроводным сетям и к информационно-телекоммуникационной сети "Интернет";

- описание или фиксацию информации о событиях и процессах на дисплеях СВТ.

Фиксацию места сбора технических данных рекомендуется осуществлять путем фото- или видеосъемки с отметкой даты и времени, для чего на фото- или видеоаппаратуре должны быть выставлены корректные дата и время. Рекомендуется использование фото- или видеоаппаратуры, формирующей EXIF-данные фотографий, позволяющих подтвердить подлинность графического изображения. Дополнительно рекомендуется документирование данных о производителе, модели и серийном номере используемой фото- или видеоаппаратуры.

6.6.1. Рекомендации по выполнению "криминалистического" копирования (создания образов) энергонезависимых технических данных запоминающих устройств СВТ методом побитового копирования и (или) методом копирования "bit-copy plus".

Выполнение операций по "созданию образа" энергонезависимых технических данных СВТ должно сопровождаться описанием и протоколированием:

- всех выполненных процедур и сервисных команд, использованных для выполнения операции по "созданию образа" с указанием даты и времени начала и окончания их выполнения;

- характеристик запоминающих устройств (модель, серийный номер, характеристики, емкость) исходных технических данных и их полученных копий;

- использованных технических средств, примененных для выполнения операций по "созданию образа" (наименование, версия, лицензионные сведения).

Для выполнения "криминалистического" копирования (создания образов) запоминающих устройств рекомендуется следующая последовательность действий и операций:

1) отключение СВТ путем прерывания питания <1>;

--------------------------------

<1> Прерывание питания осуществляется с учетом описанных выше особенностей данной операции.

2) в случае применения:

2.1) программных средств "криминалистического" копирования (создания образов):

2.1.1) загрузка операционной системы с предварительно созданного "доверенного" загрузочного носителя, содержащего необходимые программные средства для выполнения операций по "созданию образа", в том числе программные средства создания побитовой копии, вычисления контрольных сумм или значений хэш-функций, программные средства использования запоминающего устройства в режиме "только для чтения";

2.1.2) принятие мер к обеспечению использования запоминающего устройства в режиме "только для чтения", для чего возможно использование функций операционной системы путем настроек правил ее загрузки с "доверенного" носителя или специализированных аппаратных или программных средств - "write-blocker" <1>;

--------------------------------

<1> Также указанные аппаратные или программные средства известны под общим наименованием "forensic bridge". В случае отсутствия технической возможности использования запоминающего устройства в режиме "только для чтения" следует учитывать возможность изменения исходных технических данных, в том числе появление временных файлов данных, изменения временных атрибутов файлов данных и директорий, изменений данных системного реестра операционной системы Windows.

2.1.3) в случае отсутствия технической возможности выполнения пунктов 1) и 2.1.1) подключение к СВТ и использование носителя, содержащего необходимые для создания образа программные средства, в отношении которого приняты меры по обеспечению защиты от записи или несанкционированного изменения;

2.2) аппаратных средств - дубликаторов "криминалистического" копирования (создания образов):

2.2.1) извлечение из СВТ запоминающего устройства и подключение его к дубликатору;

3) вычисление и сохранение контрольной суммы или значения хэш-функций исходных данных запоминающего устройства <1>;

--------------------------------

<1> Выполнение операций, указанных в пунктах 4 и 6, технически неприменимо в случае копирования данных с SSD-носителя.

4) выполнение операции по "созданию образа" на отдельный специально подготовленный носитель информации;

5) вычисление и сохранение контрольных сумм или значений хэш-функций скопированных данных и исходных данных запоминающего устройства, сравнение вычисленного значения со значением, вычисленным в рамках выполнения пункта 5, для подтверждения целостности скопированных данных с составлением акта, содержащего полученный результат сравнения;

6) обеспечение безопасной упаковки и хранения носителей информации, содержащих скопированные данные.

6.6.2. Рекомендации по выполнению копирования содержимого оперативной памяти СВТ и получению данных операционных систем.

Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем рекомендуется выполнять с соблюдением следующих правил:

- все программные средства, используемые для копирования оперативной памяти СВТ и получения данных операционных систем, следует размещать на специально выделенных для этих целей носителях, в отношении которых приняты меры по обеспечению защиты от записи или несанкционированного изменения;

- для копирования оперативной памяти СВТ и получения данных операционных систем следует использовать только программные средства, размещенные на указанном выше защищенном носителе;

- для исполняемых модулей программных средств, используемых для копирования оперативной памяти СВТ и получения данных операционных систем, должны быть известны наименования порождаемых ими программных процессов (для их исключения из рассмотрения при дальнейшем анализе). Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем должно сопровождаться описанием и протоколированием:

- всех выполненных процедур и сервисных команд, использованных программных средств, примененных для копирования содержимого оперативной памяти СВТ и получения данных операционных систем (наименование, версия, лицензионные сведения, точные сервисные команды и параметры команд);

- контрольной суммы или значения хэш-функций исполняемых файлов программных средств, используемых для копирования оперативной памяти СВТ и получение данных операционных систем;

- даты и времени выполнения процедур и сервисных команд.

Рекомендуемым решением является предварительная подготовка, размещение на специально выделенном носителе и использование программного пакета (скрипта), содержащего все выполняемые процедуры и сервисные команды, необходимые для копирования содержимого оперативной памяти СВТ и получения данных операционных систем.

Выполнение копирования содержимого оперативной памяти СВТ и получение данных операционных систем рекомендуется выполнять в следующем порядке:

- получение данных операционных систем:

- сетевые соединения;

- список открытых сессий доступа;

- копирование содержимого оперативной памяти;

- получение данных операционных систем:

- список запущенных программных процессов;

- список открытых файлов;

- сетевые конфигурации;

- системное время операционной системы с указанием часового пояса.

Дополнительно следует выполнить описание и протоколирование наименования операционной системы, включая данные обо всех установленных обновлениях.

Для выполнения копирования содержимого оперативной памяти СВТ и получения данных операционных систем рекомендуется следующая последовательность действий и операций:

1) выполнение копирования содержимого оперативной памяти СВТ и получение данных операционной системы с использованием программных средств, размещенных на специально выделенных для этих целей носителях, с сохранением полученных результатов в файлах данных, размещенных на накопителе на жестких магнитных дисках СВТ или в файлах данных, размещенных на внешнем носителе информации <1>;

--------------------------------

<1> Рекомендованным решением является сохранение результатов получения содержимого оперативной памяти СВТ и данных операционной системы в файлах данных, размещенных на внешнем носителе информации, с целью минимизации воздействия на данные запоминающих устройств СВТ, являющихся источниками технических данных.

2) отключение СВТ путем прерывания питания <1>;

--------------------------------

<1> Прерывание питания осуществляется с учетом описанных выше особенностей данной операции.

3) загрузка операционной системы с предварительно созданного "доверенного" загрузочного носителя, содержащего необходимые программные средства для выполнения логического копирования файлов данных, программные средства вычисления контрольных сумм или значений хэш-функций, программные средства использования запоминающих устройств в режиме "только для чтения";

4) вычисление и сохранение контрольной суммы или значения хэш-функций файлов данных, размещенных на накопителе на жестких магнитных дисках СВТ или внешнем носителе информации, созданных в рамках выполнения пункта 1;

5) в случае сохранения полученных результатов в файлах данных, размещенных на накопителе на жестких магнитных дисках СВТ:

- логическое копирование на внешние носители информации исходных файлов данных, размещенных на накопителе на жестких магнитных дисках СВТ, созданных в рамках выполнения пункта 1;

- вычисление и сохранение контрольных сумм или значений хэш-функций исходных файлов данных, созданных в рамках выполнения пункта 1, и полученных файлов данных, скопированных в рамках выполнения пункта 5, сравнение вычисленного значения со значениями, вычисленными в рамках выполнения пункта 4, для подтверждения целостности скопированных данных с составлением акта, содержащего полученный результат сравнения;

6) обеспечение безопасной упаковки и хранения носителей информации, содержащих скопированные файлы.

В качестве внешних носителей информации рекомендуется использование носителей информации, дополнительная запись и (или) перезапись данных на которые невозможна, например, путем выполнения процедуры "финализации" для компакт-дисков, или использование специального аппаратного ограничителя записи - "write-blocker".

6.6.3. Рекомендации по выполнению копирования протоколов (журналов) регистрации.

В настоящем стандарте предусматривается целесообразность копирования следующих протоколов (журналов) регистрации:

- протоколы (журналы) регистрации целевых систем;

- протоколы (журналы) регистрации телекоммуникационного оборудования:

- маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;

- DHCP-сервисы;

- средства, используемые для предоставления удаленного доступа (VPN-шлюзы);

- протоколы (журналы) регистрации средств защиты информации:

- средства (системы) аутентификации, авторизации и разграничения доступа;

- средства межсетевого экранирования;

- средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;

- средства защиты от НСД;

- средства антивирусной защиты информационной инфраструктуры;

- СКЗИ;

- протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты;

- протоколы (журналы) регистрации и данные web-серверов, средств контентной фильтрации web-протоколов;

- протоколы (журналы) регистрации СУБД;

- протоколы (журналы) регистрации автоматических телефонных станций;

- протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа;

В большинстве случаев указанные протоколы (журналы) регистрации хранятся в виде файлов данных, в том числе в проприетарных форматах, текстовых файлах, базах данных, протоколов (журналов) регистрации операционных систем (syslog для UNIX систем, event logs для Windows-систем). При этом для копирования протоколов (журналов) регистрации может быть рекомендована следующая общая последовательность действий:

1) выгрузка (копирование) протоколов (журналов) регистрации за определенный требуемый период времени в файлы данных;

2) вычисление и сохранение контрольных сумм или значений хэш-функций полученных файлов данных;

3) логическое копирование на внешние носители информации (компакт-диски) исходных файлов данных, созданных в рамках выполнения пункта 1;

4) вычисление и сохранение контрольных сумм или значений хэш-функций исходных файлов данных, созданных в рамках выполнения пункта 1, и полученных файлов данных, скопированных в рамках выполнения пункта 3, сравнение вычисленных значений со значениями, вычисленными в рамках выполнения пункта 2, для подтверждения целостности скопированных данных с составлением акта, содержащего полученный результат сравнения;

5) обеспечение безопасной упаковки и хранения носителей информации, содержащих скопированные файлы.

При выполнении копирования протоколов (журналов) и данных телекоммуникационного оборудования необходимо учитывать, что отключение телекоммуникационного оборудования путем прерывания питания, как правило, приводит к удалению всех технических данных. Копирование протоколов (журналов) телекоммуникационного оборудования рекомендуется сопровождать получением данных о его текущем статусе:

- системные дата и время;

- версия программного обеспечения;

- значения контрольных сумм программного обеспечения;

- сетевая информация, таблица маршрутизации:

- текущая конфигурация оборудования;

- конфигурация оборудования, примененная при загрузке;

- состав администраторов оборудования;

- состав запущенных программных процессов.

При копировании протоколов (журналов) регистрации и данных телекоммуникационного оборудования рекомендуется подключение к телекоммуникационному оборудованию через консольный порт (не рекомендуется выполнять удаленное подключение через протоколы Telnet или SSH), при этом категорически не рекомендуется изменять конфигурацию маршрутизатора или вводить какие-либо команды конфигурации.

При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать:

- принятие необходимых мер к ограничению доступа к собираемым копиям данных с учетом возможного нахождения в копиях данных информации, защищаемой в соответствии с требованиями законодательства Российской Федерации, нормативными актами Банка России, в том числе:

- персональных данных;

- аутентификационных данных;

- данных, используемых для подтверждения распоряжений на перевод денежных средств;

- банковской тайны;

- принятие мер к обеспечению достаточной емкости носителей и хранилищ, используемых для сбора протоколов (журналов) регистрации, позволяющих избежать перезаписи и (или) потери информации;

- использование специализированных технических средств централизованного сбора, анализа и хранения протоколов (журналов) регистрации (например, систем управления журналами регистрации, SIEM систем), позволяющих минимизировать риски злоумышленных действий по изменению, повреждению и (или) уничтожению протоколов (журналов) регистрации;

- заблаговременное включение в договоры положений, определяющих условия и процедуры получения протоколов (журналов) регистрации СВТ и иных технических средств, находящихся в собственности третьих лиц (например, протоколов (журналов) регистрации почтовых сервисов, сервисов обнаружения и отражения DDOS-атак, технических средств провайдеров сети Интернет и операторов мобильной связи).

6.6.4. Рекомендации по выполнению копирования сетевого трафика.

Для сбора данных сетевого трафика для цели реагирования на инциденты ИБ рекомендуется использование технических средств мониторинга и копирования сетевых пакетов (packet sniffer), а также технических средств, позволяющих автоматизировать анализ собранных сетевых пакетов.

Сбор данных сетевого трафика рекомендуется осуществлять в определенных точках вычислительных сетей, обеспечивающих копирование данных, значимых и существенных для расследования инцидента ИБ, например:

- для информационной инфраструктуры клиента - данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ (настольные компьютеры, ноутбуки), используемые клиентом для осуществления доступа к системам ДБО:

- для информационной инфраструктуры организации БС РФ - данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем.

Для копирования файлов данных формируемых техническими средствами мониторинга и копирования сетевых пакетов (packet sniffer) может быть использована последовательность действия, определенная в настоящем стандарте для копирования протоколов (журналов) регистрации.

При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать принятие необходимых мер к ограничению доступа к собираемым копиям данных с учетом возможного нахождения в копиях данных информации, защищаемой в соответствии с требованиями законодательства Российской Федерации, нормативными актами Банка России, и обеспечению достаточной емкости носителей и хранилищ, используемых для сбора данных сетевого трафика, позволяющих избежать перезапись и (или) потерю информации, значимой для цели реагирования на инциденты ИБ.

6.7. Рекомендации по обеспечению безопасной упаковки, хранения и транспортировки носителей собранных данных.

Копии технических данных, используемые в качестве доказательной базы, должны храниться безопасным образом.

Рекомендуется учитывать, что носители собранных технических данных являются хрупкими и чувствительными к экстремальным температурам, влажности, механическим ударам, воздействию света, статическому электричеству и электромагнитным полям.

При проведении упаковки носителей собранных технических данных рекомендуется:

- маркирование и учет носителей собранных технических данных;

- упаковка носителей собранных технических данных и соответствующих сопроводительных описаний и протоколов в антистатические пакеты или контейнеры, включая использование бумажных пакетов, конвертов, коробок. Не рекомендуется использование пластиковых пакетов или контейнеров;

- маркирование пакетов или контейнеров, используемых для хранения носителей собранных технических данных;

- предотвращение деформации и царапин носителей собранных технических данных.

При хранении и транспортировке носителей собранных технических данных рекомендуется:

- обеспечить хранение и транспортировку носителей собранных технических данных вдали от электромагнитных полей;

- исключить хранение носителей собранных технических данных в транспортных средствах в течение длительного времени;

- обеспечение защиты носителей собранных технических данных от ударов и вибраций, влаги или пыли;

- обеспечение защиты от воздействия экстремальных температур и влажности;

- обеспечение контроля работоспособности в течение требуемого времени для технических средств, использующих батарейки и (или) аккумуляторы.

Рекомендуется применять способ упаковки носителей эталонных копий собранных технических данных и соответствующих сопроводительных описаний и протоколов, обеспечивающий невозможность доступа к носителю и (или) использования носителя без видимого нарушения целостности упаковки. Одним из допустимых способов упаковки и опечатывания носителей небольшого размера является их совместное помещение в полиэтиленовый антистатический пакет с последующей перевязкой его горловины нитью, концы которой опечатываются с наклеиванием пояснительной записки, нанесенной шариковой ручкой, с подписями участвующих в опечатывании лиц и печатью организации БС РФ.