"Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными...

Форма представления данных NTF_CI_Application compromise - Форма представления данных о компьютерном инциденте, связанном с успешной эксплуатацией уязвимости

Порядковый номер

Категория элемента данных

Описание АСОИ UI

Обязательность полей

Условие обязательности

Правило заполнения

Примечание

1

Тип уведомления

Тип уведомления

О

-

[NTF_CI_Application compromise]

Предзаполненное поле

2

Описание компьютерного инцидента

Описание компьютерного инцидента

Н

-

Текстовое поле

Текстовое описание компьютерного инцидента (в том числе дополнительные сведения о способе реализации КИ, способе выявления КИ и т.д.). В случае если компьютерный инцидент был выявлен с использованием сведений бюллетеня Банка России или НКЦКИ, необходимо указать номер данного бюллетеня

3

Классификация компьютерного инцидента

Вектор

О

-

[INT]

Предзаполненное поле

4

Тип компьютерного инцидента

О

-

[Application compromise]

Предзаполненное поле

5

Дата и время обнаружения

Дата и время выявления компьютерного инцидента

О

-

В соответствии с RFC 3339

По московскому времени [UTC + 03:00]

6

Сведения об объектах, на которые направлен компьютерный инцидент

Наименование контролируемого информационного ресурса

О

-

Текстовое поле

-

7

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

8

Код уровня атакуемого объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

9

Код типа атакуемого объекта/субъекта

О

-

Перечень зависит от поля "Код уровня атакуемого объекта/субъекта".

Перечень зависит от поля "Код уровня атакуемого объекта/субъекта"

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

10

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

11

Страна/регион

О

-

В формате ISO-3166-2

-

12

IPv4-адрес атакованного ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

13

IPv6-адрес атакованного ресурса

14

Доменное имя атакованного ресурса

Список доменных имен

15

URI-адрес атакованного ресурса

Список URI-адресов

16

Атакованная сетевая служба и порт/протокол

УО

При наличии соответствующей информации

Текстовое поле

-

17

Сведения об объектах вредоносной активности, вызвавших компьютерный инцидент

IPv4-адрес вредоносного объекта

УО

Выявлен IPv4-адрес вредоносного объекта

Список IP-адресов

-

18

IPv6-адрес вредоносного объекта

Выявлен IPv6-адрес вредоносного объекта

-

19

Доменное имя вредоносного объекта

Выявлено доменное имя вредоносного объекта

Список доменных имен

-

20

URI-адрес вредоносного объекта

Выявлен URI-адрес вредоносного объекта

Список URI-адресов

-

21

e-mail-адрес вредоносного объекта или субъекта

Выявлен e-mail-адрес вредоносного объекта или субъекта

Список e-mail-адресов

-

22

Уязвимость

УО

В случае если выявленная уязвимость описана в какой-либо системе описания уязвимостей

Перечень эксплуатируемых уязвимостей безопасности программного или аппаратного обеспечения, из соответствующего каталога (например, CVE, БДУ ФСТЭК и т.д.)

Обязательно заполняется один из блоков

23

Наименование системы описания уязвимостей

Текстовое поле

24

Описание уязвимости

УО

В случае если выявленная уязвимость не описана ни в одной системе описания уязвимостей

Текстовое поле

25

Описание объекта информатизации, в котором была проэксплуатирована уязвимость

О

-

В формате, соответствующем рекомендациям Банка России, опубликованными на официальном сайте

-

26

Сведения о незаконном раскрытии ПДн

Предполагаемые причины, повлекшие нарушение прав субъектов ПДн

УО

Блок заполняется в случае, если в результате компьютерного инцидента произошла утечка ПДн

Текстовое поле

Описание событий, которые привели к незаконному раскрытию информации. Поле заполняется, если в поле "Описание компьютерного инцидента" недостаточно информации о незаконном раскрытии ПДн

27

Характеристики ПДн

Текстовое поле

Указывается информация характеризующая незаконно раскрытые ПДн, в том числе тип субъекта, чьи ПДн были раскрыты, состав незаконно раскрытых ПДн, количество и актуальность записей и т.д.

28

Предполагаемый вред, нанесенный правам субъектов ПДн

Текстовое поле

Описание потенциального вреда, который может быть нанесен субъектам при использовании незаконно раскрытой информации

29

ФИО лица, уполномоченного оператором на взаимодействие с Роскомнадзором по инциденту

Текстовое поле

-

30

Мобильный телефон лица, уполномоченного на взаимодействие с Роскомнадзором по инциденту

В соответствии с российской системой и планом нумерации

-

31

Адрес электронной почты для отправки информации об уведомлении

В формате e-mail-адреса

-

32

Оценка последствий компьютерного инцидента

Влияние на конфиденциальность

УО

При наличии указанных последствий

[Высокое]

[Низкое]

-

33

Влияние на целостность

[Высокое]

[Низкое]

-

34

Влияние на доступность

[Высокое]

[Низкое]

-

35

Предпринятые меры по реагированию на компьютерный инцидент

Описание предпринятых действий в ходе реагирования на компьютерный инцидент

Н

-

Текстовое поле

-

36

Связь с другими уведомлениями

Вид связанного уведомления

УО

Заполняется в случае направления ранее в Банк России уведомления, связанного с текущим

[NTF_OWC]

[NTF_ISI]

[NTF_ORI]

[NTF_CI]

[NTF_CA]

[NTF_VLN]

[NTF_OWC] - уведомление о выявленных случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, а также о выявленных случаях и (или) попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участника финансовой платформы

[NTF_ISI] - уведомление о выявлении инцидента защиты информации или результатах расследования инцидента защиты информации

[NTF_ORI] - уведомление о выявлении инцидента операционной надежности или о результатах расследования инцидента операционной надежности

[NTF_CI] - уведомление о компьютерных инцидентах

[NTF_CA] - уведомления о компьютерных атаках

[NTF_VLN] - уведомление о выявленных уязвимостях

37

Тип связи с другими уведомлениями

[Предшествующее событие]

[Дочернее событие]

[Связанное событие]

[Уточнение сведений о событии]

-

38

Регистрационный номер уведомления

В соответствии с форматом АСОИ ФинЦЕРТ

Идентификатор уведомления или ответа на запрос, ранее направленного в ФинЦЕРТ участником информационного обмена

39

Ограничительный маркер TLP

Органичительный маркер на распространение сведений из данного уведомления

Н

-

[TLP: WHITE]

[TLP: GREEN]

[TLP: AMBER]

[TLP: RED]

В соответствии с обозначениями, принятыми в протоколе TLP

По умолчанию [TLP: GREEN], если не указано иное

40

Необходимость привлечения ФинЦЕРТ

Необходимость привлечения ФинЦЕРТ для устранения последствий компьютерного инцидента

УО

При необходимости

[Да]

-

Форма представления данных NTF_CI_DoS - Форма представления данных о компьютерном инциденте, связанном с замедлением работы ресурса в результате атаки типа "Отказ в обслуживании" Форма представления данных NTF_CI_Malware infection - Форма представления данных о компьютерном инциденте, связанном с заражением ВПО