Действующий

СТО БР ИББС-1.3-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств

7. Рекомендации по проведению поиска (выделения) содержательной (семантической) информации, ее анализу и оформлению

7.1. Основными целями выполнения процедур, связанных с поиском (выделением) в технических данных и последующим анализом содержательной (семантической) информации являются:

- определение технических способов и схем реализаций угроз ИБ;

- проведение идентификации субъектов, реализующих угрозы ИБ;

- выявление маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств.

________________

Также указанные данные известны под общим наименованием "индикаторы компрометации, indicators of compromise, IOC".

7.2. Для обеспечения возможности выполнения процедур, связанных с поиском (выделением) в технических данных и последующим анализом содержательной (семантической) информации организации БС РФ рекомендуется:

- обеспечить участие компетентных аналитиков в области анализа технических данных;

- обеспечить наличие необходимых технических средств и инструментов для выделения и анализа содержательной (семантической) информации;

- определить и обеспечить выполнение правил документирования выделенной содержательной (семантической) информации и результатов ее анализа.

7.3. Для проведения поиска (выделения) и анализа содержательной (семантической) информации организации БС РФ рекомендуется выполнение следующего общего алгоритма действий:

- определить для каждого инцидента ИБ из числа указанных в пункте 6.1 настоящего стандарта перечень событий ИБ, значимых для поиска (выделения) и анализа содержательной (семантической) информации:

- исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа;

- события ИБ или их группа, потенциально имеющие отношение или связанные с инцидентом ИБ;

- провести непосредственный поиск (выделение) из технических данных содержательной (семантической) информации, связанной с указанными событиями ИБ;

- провести анализ, в том числе корреляционный и сравнительный, выделенной содержательной (семантической) информации, в том числе для достижения целей, указанных в пункте 7.1 настоящего стандарта.

7.4. В большинстве случаев деятельность по поиску (выделению) и анализу содержательной (семантической) информации не может быть формализована, а результат ее выполнения определяется опытом и компетенцией аналитика.

Для цели повышения качества и оперативности поиска (выделения) и анализа содержательной (семантической) информации организации БС РФ рекомендуется:

- использование специализированных технических средств и систем централизованного сбора, анализа и хранения протоколов (журналов) регистрации (например, систем управления журналами регистрации или SIEM систем);

- использование известных маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, которые могут быть разработаны аналитиками организации БС РФ самостоятельно или получены из внешних источников, осуществляющих реагирование на инциденты ИБ, например, от FinCert Банка России.

7.5. В составе основных событий ИБ организации БС РФ рекомендуется рассматривать следующие:

- события, связанные с идентификацией и аутентификацией администраторов и эксплуатационного персонала, программных процессов (сервисов), клиентов и участников платежной системы (далее при совместном упоминании - субъекты доступа) в целевых системах и информационной инфраструктуре размещения целевых систем и информационной инфраструктуре клиентов;

- события, связанные с управлением доступом в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;

- события, связанные с осуществлением доступа к целевым системам и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;

- события, связанные с осуществлением удаленного доступа к целевым системам и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;

- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;

- события, связанные с антивирусной защитой;

- события, связанные с выполнением криптографических преобразований;