ФОРМА ПРЕДСТАВЛЕНИЯ

ДАННЫХ NTF_CI - ФОРМА ПРЕДСТАВЛЕНИЯ УЧАСТНИКАМИ

ИНФОРМАЦИОННОГО ОБМЕНА ДАННЫХ О КОМПЬЮТЕРНЫХ ИНЦИДЕНТАХ

Порядковый номер

Категория элемента данных

Описание АСОИ UI

Обязательность полей

Условие обязательности

Правило заполнения

Примечание

1

Тип уведомления

Тип уведомления

О

-

[NTF_CI]

Предзаполненное поле

2

Описание компьютерного инцидента

Описание компьютерного инцидента

Н

-

Текстовое поле

Текстовое описание компьютерного инцидента (в том числе дополнительные сведения о способе реализации КИ, способе выявления КИ и т.д.). В случае если компьютерный инцидент был выявлен с использованием сведений бюллетеня Банка России или НКЦКИ, необходимо указать номер данного бюллетеня

3

Классификация компьютерного инцидента

Вектор

О

-

[EXT]

[INT]

В соответствии с классификатором компьютерных инцидентов, приведенным в приложении 18

4

Тип компьютерного инцидента

О

-

[DoS]

[Application compromise]

[Malware infection]

[Account compromise]

[Prohibited content]

[Social engineering]

[Traffic hijacking]

[Unauthorised modification]

[Unauthorised access]

[SIM]

[Attack using resource]

[Without attack]

В соответствии с классификатором компьютерных инцидентов, приведенным в приложении 18

5

Дата и время обнаружения

Дата и время выявления компьютерного инцидента

О

-

В соответствии с RFC 3339

По московскому времени [UTC + 03:00]

6

Сведения об объектах, на которые направлен компьютерный инцидент

Набор данных

УО

Состав данных зависит от поля "Тип компьютерного инцидента" и приведен на вкладке "Сведения об объектах КИ"

-

7

Сведения об объектах вредоносной активности, вызвавших компьютерный инцидент

Набор данных

УО

Состав данных зависит от поля "Тип компьютерного инцидента" и приведен на вкладке "Сведения об объектах ВА"

-

8

Сведения о незаконном раскрытии ПДн

Предполагаемые причины, повлекшие нарушение прав субъектов ПДн

УО

Блок заполняется в случае, если в результате компьютерного инцидента произошла утечка ПДн

Текстовое поле

Описание событий, которые привели к незаконному раскрытию информации. Поле заполняется, если в поле "Описание компьютерного инцидента" недостаточно информации о незаконном раскрытии ПДн

9

Характеристики ПДн

Текстовое поле

Указывается информация характеризующая незаконно раскрытые ПДн, в том числе тип субъекта, чьи ПДн были раскрыты, состав незаконно раскрытых ПДн, количество и актуальность записей и т.д.

10

Предполагаемый вред, нанесенный правам субъектов ПДн

Текстовое поле

Описание потенциального вреда, который может быть нанесен субъектам при использовании незаконно раскрытой информации

11

ФИО лица, уполномоченного оператором на взаимодействие с Роскомнадзором по инциденту

Текстовое поле

-

12

Мобильный телефон лица, уполномоченного на взаимодействие с Роскомнадзором по инциденту

В соответствии с российской системой и планом нумерации

-

13

Адрес электронной почты для отправки информации об уведомлении

В формате e-mail-адреса

-

14

Оценка последствий компьютерного инцидента

Влияние на конфиденциальность

УО

При наличии указанных последствий

[Высокое]

[Низкое]

-

15

Влияние на целостность

[Высокое]

[Низкое]

-

16

Влияние на доступность

[Высокое]

[Низкое]

-

17

Предпринятые меры по реагированию на компьютерный инцидент

Описание предпринятых действий в ходе реагирования на компьютерный инцидент

Н

-

Текстовое поле

-

18

Связь с другими уведомлениями

Вид связанного уведомления

УО

Заполняется в случае направления ранее в Банк России уведомления, связанного с текущим

[NTF_OWC]

[NTF_ISI]

[NTF_ORI]

[NTF_CI]

[NTF_CA]

[NTF_VLN]

[NTF_OWC] - уведомление о выявленных случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, а также о выявленных случаях и (или) попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участника финансовой платформы

[NTF_ISI] - уведомление о выявлении инцидента защиты информации или результатах расследования инцидента защиты информации

[NTF_ORI] - уведомление о выявлении инцидента операционной надежности или о результатах расследования инцидента операционной надежности

[NTF_CI] - уведомление о компьютерных инцидентах

[NTF_CA] - уведомления о компьютерных атаках

[NTF_VLN] - уведомление о выявленных уязвимостях

19

Тип связи с другими уведомлениями

[Предшествующее событие]

[Дочернее событие]

[Связанное событие]

[Уточнение сведений о событии]

-

20

Регистрационный номер уведомления

В соответствии с форматом АСОИ ФинЦЕРТ

Идентификатор уведомления или ответа на запрос, ранее направленного в ФинЦЕРТ участником информационного обмена

21

Ограничительный маркер TLP

Ограничительный маркер на распространение сведений из данного уведомления

Н

-

[TLP:WHITE]

[TLP:GREEN]

[TLP:AMBER]

[TLP:RED]

22

Необходимость привлечения ФинЦЕРТ

Необходимость привлечения ФинЦЕРТ для устранения последствий компьютерного инцидента

УО

При необходимости

[Да]

-

Код компьютерного инцидента

Наименование компьютерного инцидента

Технические сведения об объектах, на которые направлен компьютерный инцидент

Описание АСОИ UI

Обязательность полей

Условие обязательности

Правило заполнения

Примечание

[DoS]

Замедление работы ресурса в результате атаки типа "Отказ в обслуживании"

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]

Предзаполненное поле

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

Атакованная сетевая служба и порт/протокол

УО

При наличии соответствующей информации

Текстовое поле

-

[Application compromise]

Успешная эксплуатация уязвимости

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

Атакованная сетевая служба и порт/протокол

УО

При наличии соответствующей информации

Текстовое поле

-

[Malware infection]

Заражение ВПО

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

e-mail-адрес контролируемого объекта

Список e-mail-адресов

Атакованная сетевая служба и порт/протокол

УО

При наличии соответствующей информации

Текстовое поле

-

[Account compromise]

Компрометация учетной записи

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

e-mail-адрес контролируемого объекта

Список e-mail-адресов

Атакованная сетевая служба и порт/протокол

УО

При наличии соответствующей информации

Текстовое поле

-

[Prohibited content]

Публикация на контролируемом ресурсе запрещенной законодательством РФ информации

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

[Traffic hijacking]

Захват сетевого трафика

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

Страна/регион

О

-

В формате ISO-3166-2

-

AS-Path до контролируемой автономной системы (ASN)

О

-

Текстовое поле

-

[Unauthorised modification]

Несанкционированное изменение информации

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

Атакованная сетевая служба и порт/протокол

УО

При наличии соответствующей информации

Текстовое поле

-

[Unauthorised access]

Несанкционированное разглашение информации

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]/[Нет]

-

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

e-mail-адрес контролируемого объекта

Список e-mail-адресов

Атакованная сетевая служба и порт/протокол

УО

При наличии соответствующей информации

Текстовое поле

-

[Social engineering]

Социальная инженерия

Код уровня объекта/субъекта

О

-

[Subject]

Предзаполненное поле

Код типа объекта/субъекта

О

-

[Employee]

[Client]

[Partner]

Из классификатора "Тип атакуемого объекта-субъекта"

[SIM]

Изменение (подмена) идентификатора мобильного абонента (IMSI), идентификатора мобильного оборудования (IMEI) или сим-карты

-

[Attack using resource]

Использование контролируемого ресурса для проведения атак

Наименование контролируемого ресурса

О

-

Текстовое поле

-

Категория контролируемого ресурса

УО

Если является объектом КИИ

[Без категории значимости]

[Третья категория значимости]

[Вторая категория значимости]

[Первая категория значимости]

-

Код уровня объекта/субъекта

О

-

Из классификатора "Типы объектов и субъектов", приведенного в приложении 28

-

Код типа объекта/субъекта

О

-

-

Наличие подключения к сети Интернет

О

-

[Да]

Предзаполненное поле

Страна/регион

О

-

В формате ISO-3166-2

-

IPv4-адрес контролируемого ресурса

УО

Обязательно заполнение одного из полей

Список IP-адресов

-

IPv6-адрес контролируемого ресурса

Доменное имя контролируемого ресурса

Список доменных имен

URI-адрес контролируемого ресурса

Список URI-адресов

e-mail-адрес контролируемого объекта

Список e-mail-адресов