ГОСТ Р 59712—2022
- информация об атрибутах объектов файловой системы;
- состав учетных записей пользователей и их прав;
- анализ защищенности.
П р и м е ч а н и е — Анализ защищенности является процессом изучения информации об актуальных уяз
вимостях ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах,
вовлеченных в компьютерный инцидент.
К сведениям, подлежащим изучению в ходе анализа защищенности, относятся:
- существующие результаты проведения мероприятий поанализу защищенности информационных ресурсов;
- сетевая конфигурация ОС, прикладного ПО;
- групповые политики безопасности ОС;
- функциональные параметры настроек прикладного ПО, служб ОС;
- состав установленных (неустановленных) актуальных обновлений безопасности ОС, средств защиты ин
формации и прикладного ПО;
- состав программного и аппаратного обеспечения элементов информационной инфраструктуры, вовлечен
ных в компьютерный инцидент;
- анализ сетевого трафика.
П р и м е ч а н и е — Анализ сетевого трафика является процессом изучения сетевого трафика и информа
ции о потоках сетевого трафика в отношении элементов информационной инфраструктуры, вовлеченных в ком
пьютерный инцидент до, во время и после возникновения компьютерного инцидента.
К сведениям, подлежащим изучению в ходе анализа сетевого трафика, относятся:
- копия сетевого трафика и/или его фрагменты, зафиксированные средствами записи (анализа) сетевого
трафика, из (в) сегмента (сегмент) локальной вычислительной сети, в котором расположен элемент информацион
ной инфраструктуры, вовлеченный в компьютерный инцидент;
- копия сетевого трафика и/или его фрагменты, зафиксированные средством обнаружения компьютерных
атак (системой обнаружения вторжений) или иными средствами выявления угроз безопасности информации;
- статистическая и иная информация о потоках сетевого трафика между элементом информационной ин
фраструктуры, вовлеченным в компьютерный инцидент и вероятным источником компьютерной атаки, а также
между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент, и другими сетевы ми
устройствами локальной вычислительной сети;
- статистическая и иная информация о потоках сетевого трафика, зафиксированная телекоммуникацион
ным оборудованием или специализированными средствами.
Потоком сетевого трафика считается набор сетевых кадров, проходящих в одном направлении к одному
сетевому устройству в рамках одного сетевого сеанса;
- анализ программных и информационных объектов.
П р и м е ч а н и е — Анализ программных и информационных объектов является процессом идентификации
вредоносного программного кода в объектах файловой системы, в оперативной памяти средств вычислительной
техники и в информационных объектах (веб-ссылки, программный код веб-страницы, карточные транзакции и иные
структурированные конструкции данных), выявления в них связей с вредоносными ресурсами или ресурсами,
предположительно используемыми злоумышленниками, а также определения принципа их работы.
Для анализа программных объектов допускается выполнять следующие процедуры:
- обратная разработка исполняемых и бинарных файлов путем дизассемблирования их машинного кода,
декомпиляции (восстановления) программного кода до исходного (первоначального), использования режима от
ладки программного кода;
- изучение поведения программных объектов и влияния их на среду функционирования, файловую систему
в автоматизированной замкнутой системе (среде) предварительного выполнения программ.
При установлении причин и условий возникновения компьютерного инцидента допускается проводить не
сколько видов анализа. Уровень или глубина проводимого анализа часто может зависеть от поставленной в орга
низации задачи.
8 Анализ результатов деятельности по управлению компьютерными
инцидентами
8.1 Общие положения
Стадия «анализ результатов деятельности по управлению компьютерными инцидентами» вклю
чает в себя следующие этапы:
- приобретение и накопление опыта по результатам управления компьютерными инцидентами;
12