вторник, 7 февраля 2017 г.

О том, как читать трудно-усва-и-ва-е-мые документы по ИБ


Вот как выглядит “Картина мира банковской информационной безопасности”, нарисованная заботливой рукой Банка России. Порадуйтесь её завершённости и приготовьтесь к грядущим "тектоническим" сдвигам: кто был (почти) ничем (Стандартом), тот станет всем (ГОСТом).
Но разговор не об этом. А о том, как читать трудно-усва-и-ва-е-мые документы по ИБ?
Для примера возьмём самый свежий - СТО БР ИББС 1.3-2016 “Cбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств”.
Но вначале цитата:
“Как стать блогером-экспертом? Очень просто -
пересказывайте почаще нормативку
своими словами и все...”
Е.Родыгин
Всё так, но чтобы пересказать трудноусваиваемый нормативный документ, его надо сначала прочитать и желательно понять. Иногда бывает читаешь, читаешь, начинаешь уже что-то даже понимать…, но это быстро проходит.
Несколько раз добросовестно начинал читать СТО БР 1.3-2016, но дальше 9-ой страницы (в pdf-формате) продвинуться не мог.
Разберемся в причинах
- документ кажется неинтересным, потому что никак не связан с вашим предыдущим опытом;
- уровень детализации зашкаливает;
- за канцеляритом не уловить смысла, читая из абзаца в абзац одни и те же формулировки (вспомните “кошмар” 382-П).
Ищите за что можно зацепиться
Мне вспомнилось заключение 2011 года от компании, привлеченной к расследованию мошеннических действий у клиента в системе ДБО. Самым интересным в этом расследовании были не способы взлома мошенниками компьютера клиента (там всё достаточно очевидно), а инструментарий для исследования следов вредоносного ПО – всякие там Access Data Forensics Toolkit 3.4.1, The Sleuth Kit 3.2.3, Belkasoft Evidence Center 3.0, аппаратные блокираторы записи “TABLEAU T3458is Forensics Bridge”, программы для создания образа НЖМД Access Data FTK IMAGER, программы для восстановления данных: R-studio 5.4, программы-отладчики “OllyDbg” 1.10, программы-дизассемблеры “IDA Pro” 6.1. Вот, что вызывало неподдельный человеческий интерес в наших компьютерных мозгах.
Прикоснуться к святая святых, к решениям класса Forensic Toolkits, способным достать в неизменном виде любые затёртые данные: пароли, переписку, документы, фотографии, системные события, следы каких-то программ и прочие данные с жесткого диска компьютера.
Вспомнив свой прежний опыт, зададимся вопросом: неужели в СТО БР ИББС 1.3-2016 “Cбор и анализ …” чего-то там … нет всего этого богатства?!
Начинаем читать документ с конца и находим то, что нам наиболее интересно:
- в Библиографии находим “Инструкцию по реагированию на инциденты, связанные с системами дистанционного банковского обслуживания” от ООО “Группа информационной безопасности” (GROUP-IB);
- в Приложении B “Примеры технических средств сбора и обработки технических данных, имеющих отдельные функциональные возможности”
ну, и далее, вооружившись понятными и интересными нам знаниями “на автомате” пробегаем:
12. Рекомендации по обеспечению наличия технических данных на этапах создания и эксплуатации информационной инфраструктуры;
11. Рекомендации к компетенции персонала организации БС РФ и (или) иных внешних организаций, задействованных в процессах обработки технических данных;
7. Рекомендации по проведению поиска (выделения) содержательной (семантической) информации, ее анализу и оформлению…
и доходим таки до раздела 6 “Рекомендации по сбору технических данных” и злополучной страницы 9 (только с конца), окончательно измотанные описанием разных “деструктивных действий”.
Так инструментарий для сбора следов компьютерных преступлений в рамках процесса реагирования на инциденты помог нам связать трудночитаемый текст СТО БР ИББС 1.3-2016 с нашим практическим опытом работы.

Комментариев нет:

Отправить комментарий