Приложение А (справочное). Описание основных навыков и компетентности DEFR. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27037-2014 "Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 09.09.2014 N 1028-ст)

Приложение А
(справочное)

Описание
основных навыков и компетентности DEFR

Таблица А.1 - Примеры описаний компетентности

N	Основные навыки	Описание основных навыков	Описание компетентности
			Осведомленность (1)	Знания (2)	Умения (3)
1	Идентификация свидетельств, представленных в цифровой форме	Характеристики цифровых устройств, компонентов и информации, которые могут помочь расследованию, а также соответствующих законов для обработки потенциальных свидетельств, представленных в цифровой форме, и нарушений, связанных с использованием компьютера. Определение требований к инструментальным средствам для сбора и получения данных и устройств, а также оценка риска	Обычное использование ИТ и администрирование многих видов ИТ-устройств и сетевых устройств; следственные действия на месте нарушения; определение состояния устройства; значение доказательной информации; следственный анализ сети и связанных с ней устройств и информации	Журналы регистрации и конфигурация систем/приложений; идентификация системных журналов и журналов приложений, включая контрольные журналы электронной почты, сетевые контрольные журналы, журналы регистрации доступа, файлы паролей, файлы конфигураций, информация IP-хоста; функциональные возможности и зависимости устройств; знание факторов, влияющих на изменчивые и неизменчивые свидетельства	Специальный анализ; интерпретация контрольных журналов с целью обнаружения вторжений и выявления других затронутых систем (некоторые юрисдикции требуют представить подтверждающие доказательства до начала сбора); определение паролей, необходимых для соответствующих устройств, до начала сбора; определение схемы сети и механизмов управления доступом для понимания зависимостей; связывание IP-адресов и МАС-адресов * для идентификации устройства в сети
2	Сбор свидетельств, представленных в цифровой форме	Требования к инструментальным средствам и осуществление упаковки свидетельств, представленных в цифровой форме, защита от угроз внешней среды. Знание областей, обеспечивающих доверие к информации	Общая безопасность сбора данных; принципы действия и конструкция основных инструментальных средств; определение лучшего метода сбора для сохранения максимума информации, имеющей отношение к инциденту	Выполнение и описание процесса сбора; сбор свидетельств; создание документации по свидетельствам; история хранения свидетельств; контроль качества процесса сбора свидетельств; опрос подозреваемых	Оптимизация процесса сбора; документальное подтверждение того, что не может быть получено вследствие различных ограничений; сбор паролей, ключей, защитных ключей-заглушек и другой информации, необходимой для проведения анализа в лаборатории
3	Получение свидетельств, представленных в цифровой форме	Применение требований получения потенциальных свидетельств, представленных в цифровой форме, в логическом виде, обеспечение уверенности в повторяемости, воспроизводимости и возможности обоснования. Охватываемые сферы включают получение свидетельств из систем с включенным питанием, систем с выключенным питанием и следственный анализ сети	Понимание информации, доступной в цифровых устройствах, базах данных, генерируемых системой записях, генерируемых пользователем данных и изменчивых данных; структура системных файлов и приложений Unix и Windows; понимание влияния на изменчивые данные	Знание того, как определить потребности в памяти; выполнение процедуры создания образа (например, цифрового носителя информации в целом или его части); получение свидетельств, осуществляемое из систем с включенным питанием и систем с выключенным питанием; генерация значений хэш-функции	Способность осуществлять получение свидетельств из цифровых носителей информации, включая RAID, базы данных, приборы и мини-устройства; понимание зависимостей и влияния на различные методы получения свидетельств
4	Сохранение свидетельств, представленных в цифровой форме	Применение и оценка требований сохранения потенциальных свидетельств, представленных в цифровой форме, понимание факторов и параметров, влияющих на их точность. Охватываемые сферы включают методику, поддержку истории хранения, обращение с компьютерными устройствами и обращение с цифровыми носителями	Понимание требований и процедур для поддержки истории хранения согласно правовым требованиям; влияния факторов внешней среды, таких как влажность, температура и вибрация на цифровые устройства; понимание вариантов упаковки, требований транспортирования и хранения	Знание того, как создать документацию по проверке свидетельств; определение параметров для документирования; обеспечение уверенности в информационной безопасности, угрозы, уязвимости и меры и средства контроля и управления для свидетельств, представленных в цифровой форме	Применение мер для обеспечения безопасности свидетельств, представленных в цифровой форме, в виде больших и миниатюрных переносных устройств; процедуры документирования деталей происшедшего в свидетельствах
* МАС-адрес - (Media Access Control address) аппаратный адрес устройства, присоединенного к сетевой среде.

Таблица А.2 - Определение компетентности

1	Осведомленность - Распознание, определение - при необходимости обращение за помощью
2	Знание - Приобретенное путем формального обучения или работы в группе. Содействие, участие - действие с помощью
3	Умение - Доказанный опыт в результате применения в рабочей среде. Работа без надзора. Применение, демонстрация - действие без помощи

Примечание - Компетентность DEFR может различаться в зависимости от юрисдикции.