11.1. Организации БС РФ рекомендуется обеспечить наличие должной компетенции работников и (или) привлеченных специалистов для выполнения деятельности по сбору технических данных, поиску (выделению) содержательной (семантической) информации и анализу. Работники организации БС РФ, задействованные в сборе и обработке технических данных, должны:
- получить необходимые знания своих функций, прав и обязанностей, связанных со сбором и обработкой технических данных в рамках реагирования на инциденты ИБ;
- получить необходимые технические знания в части:
- возможного состава собираемых технических данных;
- условий возникновения необходимости сбора технических данных;
- возможного состава объектов информационной инфраструктуры организации БС РФ, являющихся объектами сбора технических данных;
- реализации технологических и технических процедур обработки технических данных в рамках реагирования на инциденты ИБ, использования необходимых технических средств и инструментов;
- установленных ограничений на выполнение отдельных процедур и сервисных команд, способных повредить и (или) уничтожить собираемые технические данные;
- получить необходимые знания в части состава и содержания принципов и процедур сбора и обработки технических данных, направленных на обеспечение относимости собранных и обрабатываемых технических данных к конкретному инциденту ИБ;
- получить необходимые знания в части состава и содержания принципов и процедур сбора и обработки технических данных, направленных на обеспечение сохранности (нераспространение) информации, защищаемой в соответствии с требованиями законодательства РФ, в том числе содержащей банковскую тайну и персональные данные.
Отдельное внимание организации БС РФ должно быть уделено вопросам регламентации и доведения до соответствующих работников организации БС РФ правил сбора технических данных с объектов информационной инфраструктуры, критичных для обеспечения непрерывности деятельности организации БС РФ, в том числе условиям возможного отключения и (или) выведения из штатного режима функционирования указанных объектов.
11.2. Организации БС РФ рекомендуется обеспечить наличие следующих знаний и компетенции аналитиков, выполняющих поиск (выделение) и анализ содержательной (семантической) информации:
- глубокое знание и понимание способов организации хранения технических данных в файловых системах для разных типов носителей информации (разделение на логические тома, логическое форматирование файловых систем, способов организации хранения файлов и директорий), которые потенциально могут быть источниками значимой (семантической) информации. К таким носителям информации могут быть отнесены:
- накопители на жестких магнитных дисках;
- накопители на гибких магнитных дисках (флоппи-диски);
- носители информации портативных компьютеров (планшетов), мобильных телефонов;
- CD-диски, DVD-диски;
- флеш-карты;
- оптические накопители;
- карты памяти (в том числе SD, PC Card, CF, ММС, Memory Stick).
Для получения дополнительной информации о составе возможных носителей информации и соответствующих файловых системах возможно использование рекомендаций, определенных в разделах 4.1.1 "File Storage Media" и 4.1.2 "FileSystems" NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response [3];
- глубокое знание и понимание способов организации хранения как минимум в следующих файловых системах:
- операционные системы Windows и их файловые системы: FAT16, FAT32, NTFS;
- операционные системы Unix, Linux и их файловые системы: Unix File System (UFS), Second Extended Filesystem (ext2fs), Third Extended Filesystem (ext3fs), ReiserFS;
- операционная система MacOs и ее файловая система: Hierarchical File System (HFS), HFS Plus;
- CD-диски: Compact Disc File System (CDFS), ISO 9660, Joliet;
- DVD-диски: Universal Disc Format (UDF);
- глубокое понимание сетевых протоколов передачи данных TCP/IP и принципов их инкапсуляции: