СТО БР ИББС-1.3-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств

5. Общие положения по организации процесса обработки технических данных в рамках реагирования на инциденты ИБ

5.1. В настоящем стандарте рассматриваются следующие группы рекомендаций по организации обработки технических данных при выявлении инцидентов ИБ и реагировании на них:

- рекомендации по сбору технических данных с компонентов информационной инфраструктуры, задействованных в осуществлении переводов денежных средств;

- рекомендации по проведению поиска (выделения) из собранных технических данных содержательной (семантической) информации, ее анализу и оформлению;

- рекомендации по распространению (передаче) выделенной и оформленной содержательной (семантической) информации;

- рекомендации по распределению зон ответственности подразделений организации БС РФ в рамках процесса обработки технических данных, включая анализ, оформление и распространение (передачу) содержательной (семантической) информации;

- рекомендации по взаимодействию с клиентами организации БС РФ в рамках процесса сбора технических данных;

- рекомендации по компетенции персонала организации БС РФ и (или) иных внешних организаций, задействованных в процессах обработки технических данных;

- рекомендации по обеспечению наличия технических данных на этапах создания и эксплуатации информационной инфраструктуры, используемой для осуществления переводов денежных средств или для обеспечения защиты информации при осуществлении переводов денежных средств.

5.2. При организации обработки технических данных рекомендуется соблюдать следующие общие принципы:

- любые выполняемые процедуры и сервисные команды обработки технических данных, реализуемые организацией БС РФ и (или) ее клиентами (в том числе процедуры сбора, хранения, передачи технических данных) не должны вносить изменения в исходные технические данные и (или) их эталонные копии;

- сбор технических данных, поиск (выделение) из технических данных содержательной (семантической) информации, ее анализ должны проводиться лицами, обладающими необходимым опытом и компетенцией;

- выполнение всех процедур и сервисных команд обработки технических данных, реализуемых организацией БС РФ и (или) ее клиентами (в том числе процедуры и сервисные команды их сбора, хранения и передачи), должно сопровождаться выполнением процедур и сервисных команд, обеспечивающих возможность последующего контроля целостности (неизменности) технических данных;

- обработка технических данных должна сопровождаться описанием и протоколированием:

- всех выполняемых процедур и сервисных команд, использованных для сбора, сохранения и передачи технических данных. Реализация описания и протоколирования выполненных процедур и сервисных команд должна обеспечивать возможность их точного повторного выполнения;

- перечня использованных технических средств и инструментов, применяемых для сбора, сохранения и передачи технических данных, а также параметров их настройки;

- места, даты и времени выполнения сбора, сохранения и передачи технических данных;

________________

Здесь и далее рекомендуется протоколирование времени с указанием часового пояса.

- места, даты и времени выполнения процедур и сервисных команд;

- идентификационных данных лиц, выполнивших процедуры и сервисные команды сбора, сохранения и передачи технических данных;

- обеспечение хранения указанных описаний и протоколов совместно с обрабатываемыми техническими данными, а также обеспечение их доступности для представления;

- обеспечение протоколирования действий по передаче копий собранных технических данных между лицами, участвующими в расследовании инцидентов ИБ, хранения указанных протоколов совместно с обрабатываемыми техническими данными, а также обеспечение их доступности для представления.

При наличии соответствующих знаний рекомендуется сопровождать выполнение процедур и сервисных команд обработки технических данных описанием и протоколированием ожидаемого изменения в состоянии информационной инфраструктуры (например, появления временных файлов, изменения даты и времени последнего обращения к файлу).

Описание возможного формата и содержания протокола выполнения процедур и сервисных команд обработки технических данных приведено в приложении А к настоящему стандарту. Пример протокола снятия криминалистической копии (создание образа) накопителя на жестких магнитных дисках приведено в приложении Б к настоящему стандарту.

Рекомендуется осуществлять указанные выше описание и протоколирование не менее чем двумя лицами.

5.3. Организация процесса обработки технических данных должна обеспечивать:

- сохранность и неизменность технических данных;

- относимость собранных и обрабатываемых технических данных к конкретному инциденту ИБ;