ФОРМА ПРЕДСТАВЛЕНИЯ

ДАННЫХ NTF_ISI_INVESTIGATION - ФОРМА ПРЕДСТАВЛЕНИЯ

УЧАСТНИКАМИ ИНФОРМАЦИОННОГО ОБМЕНА ДАННЫХ О РЕЗУЛЬТАТАХ

РАССЛЕДОВАНИЯ ИНЦИДЕНТА ЗАЩИТЫ ИНФОРМАЦИИ ИЛИ НЕЗАКОННОГО

РАСКРЫТИЯ БАНКОВСКОЙ ТАЙНЫ И (ИЛИ) ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

В СООТВЕТСТВИИ С НОРМАТИВНЫМИ АКТАМИ БАНКА РОССИИ

Порядковый номер

Категория элемента данных

Описание АСОИ UI

Обязательность полей

Условие обязательности

Правило заполнения

Примечание

1

Тип уведомления

Тип уведомления

О

-

[NTF_ISI_Investigation]

Предзаполненное поле

2

Связь с уведомлением о выявлении инцидента защиты информации или или незаконного раскрытия банковской тайны, персональных данных и (или) иных данных клиентов или сотрудников участника информационного обмена

Идентификатор(-ы) уведомления о выявлении инцидента защиты информации или незаконного раскрытия банковской тайны, персональных данных и (или) иных данных клиентов или сотрудников участника информационного обмена

О

-

Идентификатор(-ы) уведомления или ответа на запрос, ранее направленного в ФинЦЕРТ участником информационного обмена.

3

Дата и время

Дата и время фактического свершения инцидента защиты информации

О

-

В соответствии с RFC 3339

По московскому времени [UTC + 03:00]

4

Уточнение данных, содержащихся в уведомлении о выявлении инцидента защиты информации

Код вида (направления) деятельности финансовой организации

УО

При необходимости уточнить классификацию инцидента защиты информации, ранее предоставленную в уведомление о выявлении инцидента защиты информации

При наличии кода вида (направления) деятельности финансовой организации первого и второго уровня они заполняются через ".", например: [Код 1]. [Код 2]

5

Код технологического процесса

-

6

Код источника риска

-

7

Код типа инцидента

-

8

Код инцидента

-

9

Сценарий атаки

Сценарий атаки

УО

Обязательно заполняется хотя бы одно из полей

В формате: {ID тактики 1}. {ID техники 1}: {ID тактики 2}. {ID техники 2} + {ID техники 3}: {ID тактики 3}. {ID техники 4}

Последовательный перечень идентификаторов техник и тактик проведения атаки на основании матрицы MITRE ATT&CK

10

Описание сценария атаки

Текстовое поле

Текстовое описание сценария атаки. Заполняется в случае отсутствия в матрице MITRE ATT&CK необходимых техник/тактик

11

Шаблон атаки (заполняется отдельно для каждой тактики "Сценария атаки")

Идентификатор тактики

О

-

В формате: {ID тактики}. {ID техники} или текстовое поле

Идентификатор тактики, являющийся составной частью "Сценария атаки", или шаг атаки из "Описание сценария атаки"

12

Процедура

О

-

Текстовое поле

Описание процедуры, описывающей реализацию тактики

13

Наименование технологического участка, на котором реализована тактика

О

-

-

14

Код уровня объекта/субъекта, на который была направлена атака

О

-

Блок заполняется отдельно для каждого объекта/субъекта, на который была направлена атака

15

Код типа объекта/субъекта, на который была направлена атака

О

-

16

Описание объекта информационной инфраструктуры, на который была направлена атака, в формате CPE

УО

"Код уровня объекта/субъекта" /= [Subject]

В формате, соответствующем рекомендациям Банка России, опубликованным на официальном сайте

17

Идентификатор атаки

УО

Процедура соответствует атаке классификатора CAPEC

Из классификатора CAPEC

Идентификатор атаки CAPEC, соответствующий процедуре

18

Перечень используемых слабостей безопасности в процессе атаки

УО

В процессе расследования было выявлено использование слабостей безопасности

Перечень используемых слабостей безопасности программного или аппаратного обеспечения в выбранной системе описания слабостей безопасности

19

Наименование системы описания слабостей безопасности

20

Перечень эксплуатируемых уязвимостей безопасности в процессе атаки

УО

В процессе расследования была выявлена эксплуатация уязвимостей безопасности

Перечень эксплуатируемых уязвимостей безопасности программного или аппаратного обеспечения в выбранной системе описания уязвимостей безопасности

21

Наименование системы описания уязвимостей безопасности

22

Программное обеспечение, используемое атакующим

Н

-

Текстовое поле

При наличии соответствующей информации

23

Индикаторы компрометации

УО

В случае если в процессе расследования были выявлены индикаторы компрометации, ранее не направлявшиеся в ФинЦЕРТ

Текстовое поле или файл

-

24

Принятые меры

Принятые контрмеры

УО

Обязательно заполняется хотя бы одно из полей

Перечень идентификаторов контрмер

Перечень идентификаторов контрмер, направленных на нейтрализацию атаки и недопущение повторной атаки, на основании матрицы MITRE DEF3ND

25

Описание мер защиты

Текстовое поле

Текстовое описание принятых мер для нейтрализации атаки и недопущения повторной атаки

26

Ущерб от инцидента

Сумма прямых потерь

УО

Если такие потери являются последствиями реализации финансового инцидента и есть возможность их оценить

Сумма в рублях с точностью до двух знаков после запятой

К прямым потерям финансовой организации относятся потери, отраженные на счетах расходов и убытков в бухгалтерском учете и на приравненных к ним счетах по учету дебиторской задолженности

27

Сумма косвенных потерь

УО

Если такие потери являются последствиями реализации финансового инцидента и есть возможность их оценить

Сумма в рублях с точностью до двух знаков после запятой

Непрямые потери финансовой организации, не отраженные в бухгалтерском учете, но косвенно связанные с событиями риска реализации информационных угроз, включающие потери, определяемые расчетным методом в денежном выражении

28

Качественные потери

УО

Если на организацию распространяется требования об оценке таких потерь в соответствии с 716-П

[Очень высокие]

[Высокие]

[Средние]

[Низкие]

Непрямые потери финансовой организации, не отраженные в бухгалтерском учете, но косвенно связанные с событиями риска реализации информационных угроз, включающие потери, определяемые с использованием экспертного мнения, в случае если потери не выражены в денежном выражении расчетным методом

29

Сумма потенциальных потерь

УО

Если такие потери являются последствиями реализации финансового инцидента и есть возможность их оценить

Сумма в рублях с точностью до двух знаков после запятой

Непрямые потери финансовой организации, не отраженные в бухгалтерском учете, но косвенно связанные с событиями риска реализации информационных угроз, включающие потери, не реализовавшиеся в виде прямых и косвенных потерь, которые могли бы возникнуть при реализации не выявленных финансовой организацией источников риска реализации информационных угроз и (или) при неблагоприятном стечении обстоятельств

30

Мероприятия, осуществленные кредитной организацией в целях получения возмещения по понесенным потерям

УО

Если такие мероприятия проводились/проводятся

Текстовое поле

-

31

Уникальный порядковый идентификационный номер события операционного риска

Уникальный порядковый идентификационный номер события операционного риска в базе событий, соответствующего данному инциденту

УО

Только для кредитных организаций

Текстовое поле

-