Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах

Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах
Национальный координационный центр по компьютерным инцидентам опубликовал состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, а также форматы представления информации о компьютерных инцидентах.

В соответствии с приказами ФСБ России
Приказ ФСБ России от 24 июля 2018 г. № 366 «О Национальном координационном центре по компьютерным инцидентам»

Приказ ФСБ России от 24 июля 2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

Приказ ФСБ России от 24 июля 2018 г. № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»
субъекты критической информационной инфраструктуры (далее – КИИ) и Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ) осуществляют информационное взаимодействие, в ходе которого субъекты КИИ уведомляют НКЦКИ о компьютерных инцидентах, произошедших на объектах КИИ.

Форматы представления информации о компьютерных инцидентах (компьютерных атаках, уязвимостях) в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) в формате JSON доступны по ссылке:  

Помимо субъектов КИИ, НКЦКИ организует информационное взаимодействие с владельцами российских информационных ресурсов, а также с уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты (иностранные (международные) организации).

Дополнительно, субъекты КИИ и другие владельцы российских информационных ресурсов имеют право уведомлять НКЦКИ о компьютерных атаках, зафиксированных на принадлежащих им объектах КИИ или других системах, а также уязвимостях в них. В целях унификации сведений, передаваемых в ходе информационного взаимодействия между НКЦКИ и субъектом КИИ, НКЦКИ и владельцами российских информационных ресурсов, НКЦКИ и иностранными (международными) организациями, выделяются следующие базовые категории и типы событий, по которым инициируется такое информационное взаимодействие (таблица 1).

Таблица 1 – Базовые категории и типы событий, по которым инициируется информационное взаимодействие.

Категория события и его международное обозначение Тип события и его международное обозначение
Заражение вредоносным программным обеспечением
(malware)
Внедрение в контролируемый ИР (ОКИИ) модулей ВПО
(malware infection)
Распространение вредоносного программного обеспечения (malware distribution) Использование контролируемого ИР (ОКИИ) для распространения ВПО
(malware command and control)
Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ)
(infection attempt)
Нарушение или замедление работы контролируемого информационного ресурса (availability) Компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
(dos)
Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
(ddos)
Несанкционированный вывод ИР (ОКИИ) из строя
(sabotage)
Непреднамеренное (без злого умысла) отключение ИР (ОКИИ)
(outage)
Несанкционированный доступ в систему (intrusion) Успешная эксплуатация уязвимости в контролируемом ИР (ОКИИ)
(application compromise)
Компрометация учетной записи в контролируемом ИР (ОКИИ)
(account compromise)
Попытки несанкционированного доступа в систему или к информации (intrusion attempt) Попытки эксплуатации уязвимости в контролируемом ИР (ОКИИ)
(exploit attempt)
Попытки авторизации в контролируемом ИР (ОКИИ)
(login attempt)
Сбор сведений с использование ИКТ (information gathering) Сканирование информационного ресурса (ОКИИ)
(scanning)
Прослушивание (захват) сетевого трафика контролируемого ИР (ОКИИ)
(traffic hijacking)
Социальная инженерия, направленная на компрометацию ИР (ОКИИ)
(social engineering)
Нарушение безопасности информации (information content security) Несанкционированное разглашение информации, обрабатываемой в контролируемом ИР (ОКИИ)
(unauthorised access)
Несанкционированное изменение информации, обрабатываемой в контролируемом ИР (ОКИИ)
(unauthorised modification)
Распространение информации с неприемлемым содержимым (abusive content) Рассылка спам-сообщений с контролируемого ИР (ОКИИ)
(spam)
Публикация в контролируемом ИР запрещенной законодательством РФ информации (ОКИИ)
(prohibited content)
Мошенничество с использованием ИКТ (fraud) Злоупотребление при использовании ИР (ОКИИ)
(unauthorized purposes)
Публикация в контролируемом ИР (ОКИИ) мошеннической информации
(phishing)
Уязвимость (vulnerability) Наличие уязвимости или недостатков конфигурации в ИР (ОКИИ)
(vulnerability)

Указанные категории и типы событий могут быть направлены в/от НКЦКИ в форме следующих уведомлений:

  1. «Уведомление о компьютерном инциденте» (направляется субъектом ГосСОПКА в адрес НКЦКИ) (в таблице 2 уточняются категории и типы);
  2. «Уведомление о признаке компьютерного инцидента» (направляется дежурной службой НКЦКИ в адрес субъекта ГосСОПКА) (в таблице 2 уточняются категории и типы);
  3. «Уведомление о компьютерной атаке» (направляется субъектом ГосСОПКА в адрес НКЦКИ) (в таблице 3 уточняются категории и типы);
  4. «Уведомление об уязвимости» (направляется субъектом ГосСОПКА в адрес НКЦКИ) (в таблице 4 уточняются категории и типы);
  5. «Уведомление о признаке уязвимости» (направляется дежурной службой НКЦКИ в адрес субъекта ГосСОПКА) (в таблице 4 уточняются категории и типы).
  6. Таблица 2 – «Уведомление о компьютерном инциденте» (направляется субъектом ГосСОПКА в адрес НКЦКИ) и «Уведомление о признаке компьютерного инцидента» (направляется дежурной службой НКЦКИ в адрес субъекта ГосСОПКА).

    Категория компьютерного инцидента и его международное обозначение Тип компьютерного инцидента и его международное обозначение
    Заражение вредоносным программным обеспечением
    (malware)
    Внедрение в контролируемый ИР (ОКИИ) модулей ВПО
    (malware infection)
    Распространение вредоносного программного обеспечения (malware distribution) Использование контролируемого ИР (ОКИИ) для распространения ВПО
    (malware command and control)
    Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ)
    (infection attempt)
    Нарушение или замедление работы контролируемого информационного ресурса (availability) Компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
    (dos)
    Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
    (ddos)
    Несанкционированный вывод ИР (ОКИИ) из строя
    (sabotage)
    Непреднамеренное (без злого умысла) отключение ИР (ОКИИ)
    (outage)
    Несанкционированный доступ в систему (intrusion) Успешная эксплуатация уязвимости в контролируемом ИР (ОКИИ)
    (application compromise)
    Компрометация учетной записи в контролируемом ИР (ОКИИ)
    (account compromise)
    Попытки несанкционированного доступа в систему или к информации (intrusion attempt) Попытки эксплуатации уязвимости в контролируемом ИР (ОКИИ)
    (exploit attempt)
    Попытки авторизации в контролируемом ИР (ОКИИ)
    (login attempt)
    Сбор сведений с использование ИКТ (information gathering) Сканирование информационного ресурса (ОКИИ)
    (scanning)
    Прослушивание (захват) сетевого трафика контролируемого ИР (ОКИИ)
    (traffic hijacking)
    Социальная инженерия, направленная на компрометацию ИР (ОКИИ)
    (social engineering)
    Нарушение безопасности информации (information content security) Несанкционированное разглашение информации, обрабатываемой в контролируемом ИР (ОКИИ)
    (unauthorised access)
    Несанкционированное изменение информации, обрабатываемой в контролируемом ИР (ОКИИ)
    (unauthorised modification)
    Распространение информации с неприемлемым содержимым (abusive content) Рассылка спам-сообщений с контролируемого ИР (ОКИИ)
    (spam)
    Публикация в контролируемом ИР запрещенной законодательством РФ информации (ОКИИ)
    (prohibited content)
    Мошенничество с использованием ИКТ (fraud) Злоупотребление при использовании ИР (ОКИИ)
    (unauthorized purposes)
    Публикация в контролируемом ИР (ОКИИ) мошеннической информации
    (phishing)
    Уязвимость (vulnerability) Наличие уязвимости или недостатков конфигурации в ИР (ОКИИ)
    (vulnerability)

    Таблица 3 – «Уведомление о компьютерной атаке» (направляется субъектом ГосСОПКА в адрес НКЦКИ).

    Категория компьютерной атаки и ее международное обозначение Тип компьютерной атаки и ее международное обозначение
    Заражение вредоносным программным обеспечением
    (malware)
    Внедрение в контролируемый ИР (ОКИИ) модулей ВПО
    (malware infection)
    Распространение вредоносного программного обеспечения (malware distribution) Использование контролируемого ИР (ОКИИ) для распространения ВПО
    (malware command and control)
    Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ)
    (infection attempt)
    Нарушение или замедление работы контролируемого информационного ресурса (availability) Компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
    (dos)
    Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
    (ddos)
    Несанкционированный вывод ИР (ОКИИ) из строя
    (sabotage)
    Непреднамеренное (без злого умысла) отключение ИР (ОКИИ)
    (outage)
    Несанкционированный доступ в систему (intrusion) Успешная эксплуатация уязвимости в контролируемом ИР (ОКИИ)
    (application compromise)
    Компрометация учетной записи в контролируемом ИР (ОКИИ)
    (account compromise)
    Попытки несанкционированного доступа в систему или к информации (intrusion attempt) Попытки эксплуатации уязвимости в контролируемом ИР (ОКИИ)
    (exploit attempt)
    Попытки авторизации в контролируемом ИР (ОКИИ)
    (login attempt)
    Сбор сведений с использование ИКТ (information gathering) Сканирование информационного ресурса (ОКИИ)
    (scanning)
    Прослушивание (захват) сетевого трафика контролируемого ИР (ОКИИ)
    (traffic hijacking)
    Социальная инженерия, направленная на компрометацию ИР (ОКИИ)
    (social engineering)
    Нарушение безопасности информации (information content security) Несанкционированное разглашение информации, обрабатываемой в контролируемом ИР (ОКИИ)
    (unauthorised access)
    Несанкционированное изменение информации, обрабатываемой в контролируемом ИР (ОКИИ)
    (unauthorised modification)
    Распространение информации с неприемлемым содержимым (abusive content) Рассылка спам-сообщений с контролируемого ИР (ОКИИ)
    (spam)
    Публикация в контролируемом ИР запрещенной законодательством РФ информации (ОКИИ)
    (prohibited content)
    Мошенничество с использованием ИКТ (fraud) Злоупотребление при использовании ИР (ОКИИ)
    (unauthorized purposes)
    Публикация в контролируемом ИР (ОКИИ) мошеннической информации
    (phishing)
    Уязвимость (vulnerability) Наличие уязвимости или недостатков конфигурации в ИР (ОКИИ)
    (vulnerability)

    Таблица 4 – «Уведомление об уязвимости» (направляется субъектом ГосСОПКА в адрес НКЦКИ) и «Уведомление о признаке уязвимости» (направляется дежурной службой НКЦКИ в адрес субъекта ГосСОПКА).

    Категория события, связанного с уязвимостью или недостатками конфигураций, и его международное обозначение Тип события, связанного с уязвимостью или недостатками конфигураций, и его международное обозначение
    Заражение вредоносным программным обеспечением
    (malware)
    Внедрение в контролируемый ИР (ОКИИ) модулей ВПО
    (malware infection)
    Распространение вредоносного программного обеспечения (malware distribution) Использование контролируемого ИР (ОКИИ) для распространения ВПО
    (malware command and control)
    Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ)
    (infection attempt)
    Нарушение или замедление работы контролируемого информационного ресурса (availability) Компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
    (dos)
    Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ)
    (ddos)
    Несанкционированный вывод ИР (ОКИИ) из строя
    (sabotage)
    Непреднамеренное (без злого умысла) отключение ИР (ОКИИ)
    (outage)
    Несанкционированный доступ в систему (intrusion) Успешная эксплуатация уязвимости в контролируемом ИР (ОКИИ)
    (application compromise)
    Компрометация учетной записи в контролируемом ИР (ОКИИ)
    (account compromise)
    Попытки несанкционированного доступа в систему или к информации (intrusion attempt) Попытки эксплуатации уязвимости в контролируемом ИР (ОКИИ)
    (exploit attempt)
    Попытки авторизации в контролируемом ИР (ОКИИ)
    (login attempt)
    Сбор сведений с использование ИКТ (information gathering) Сканирование информационного ресурса (ОКИИ)
    (scanning)
    Прослушивание (захват) сетевого трафика контролируемого ИР (ОКИИ)
    (traffic hijacking)
    Социальная инженерия, направленная на компрометацию ИР (ОКИИ)
    (social engineering)
    Нарушение безопасности информации (information content security) Несанкционированное разглашение информации, обрабатываемой в контролируемом ИР (ОКИИ)
    (unauthorised access)
    Несанкционированное изменение информации, обрабатываемой в контролируемом ИР (ОКИИ)
    (unauthorised modification)
    Распространение информации с неприемлемым содержимым (abusive content) Рассылка спам-сообщений с контролируемого ИР (ОКИИ)
    (spam)
    Публикация в контролируемом ИР запрещенной законодательством РФ информации (ОКИИ)
    (prohibited content)
    Мошенничество с использованием ИКТ (fraud) Злоупотребление при использовании ИР (ОКИИ)
    (unauthorized purposes)
    Публикация в контролируемом ИР (ОКИИ) мошеннической информации
    (phishing)
    Уязвимость (vulnerability) Наличие уязвимости или недостатков конфигурации в ИР (ОКИИ)
    (vulnerability)

    В зависимости от типа события в любом из перечисленных видов уведомлений должны быть предоставлены технические сведения, которые, как правило, используются в процессе выработки эффективных решений при реагировании на компьютерный инцидент или в процессе локализации компьютерной атаки. Такие технические сведения могут содержать:

    1. Текущее состояние и общие характеристики компьютерного инцидента, атаки или уязвимости:

      • характер уведомления (должна быть предоставлена информация следующего вида: "Уведомление о компьютерном инциденте", "Уведомление о компьютерной атаке" или "Уведомление об уязвимости"; из НКЦКИ направляется информация следующего вида: "Уведомление о признаке компьютерного инцидента" или "Уведомление о признаке уязвимости");
      • категория и тип события (компьютерный инцидент, компьютерная атака или наличие уязвимости) в соответствии с установленным унифицированным перечнем (таблица 1);
      • дата и время выявления компьютерного инцидента (признака инцидента), начала компьютерной атаки или выявления уязвимости (признака уязвимости);
      • дата и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости;
      • состояние работ по реагированию на компьютерный инцидент (в зависимости от характера уведомления должна быть предоставлена информация следующего вида: "Меры приняты, инцидент исчерпан", "Проводятся мероприятия по реагированию на инцидент", "Возобновлены мероприятия по реагированию на инцидент", "Меры приняты, атака локализована", "Проводятся мероприятия по локализации компьютерной атаки", "Возобновлены мероприятия по локализации компьютерной атаки", "Меры приняты, уязвимость устранена", "Проводятся мероприятия по устранению уязвимости", "Возобновлены мероприятия по устранению уязвимости");
      • оценка последствий компьютерного инцидента или компьютерной атаки (должна быть предоставлена информация следующего вида: "Влияние на конфиденциальность": "Высокое", "Низкое" или "Отсутствует"; "Влияние на целостность": "Высокое", "Низкое" или "Отсутствует"; "Влияние на доступность": "Высокое", "Низкое" или "Отсутствует"; дополнительно может быть предоставлено описание иной формы последствий компьютерного инцидента или компьютерной атаки);
      • необходимость привлечения сил ГосСОПКА (должна быть предоставлена информация следующего вида: "Да" или "Нет");
      • ограничительный маркер на распространение сведений из данной карточки компьютерной атаки (должна быть предоставлена информация следующего вида: "TLP:WHITE", "TLP:GREEN", "TLP:AMBER" или "TLP:RED"; описание маркера представлено по адресу: https://www.first.org/tlp/; в случае отсутствия в уведомлении ограничительного маркера средствами технической инфраструктуры автоматически будет проставлено значение по-умолчанию "TLP:WHITE");
      • регистрационный номер уведомления о компьютерном инциденте (признаке инцидента), компьютерной атаке или уязвимости (признаке уязвимости), который присваивается дежурной службой НКЦКИ;
      • связь с другими уведомлениями о компьютерном инциденте, атаке или уязвимости (должен быть предоставлен регистрационный номер уведомления, в котором содержатся связанные с текущим событием сведения, а также тип связи: "Предшествующий инцидент, "Предшествующая атака", "Предшествующая уязвимость", "Дочерний инцидент", "Дублирует сведения об инциденте", "Дублирует сведения об атаке", "Дублирует сведения об уязвимости или недостатках конфигураций").
    2. Общие сведения о контролируемом информационном ресурсе (объекте КИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также о владельце данного информационного ресурса (субъекте КИИ):

      • наименование контролируемого информационного ресурса (объекта КИИ);
      • наличие одной из категорий у объекта КИИ или ее отсутствие (должна быть предоставлена информация следующего вида: "Объект КИИ первой категории значимости", "Объект КИИ второй категории значимости", "Объект КИИ третьей категории значимости", "Объект КИИ без категории значимости" или "Информационный ресурс не является объектом КИИ");
      • целевая функция или сфера деятельности, в которой функционирует информационный ресурс (должна быть предоставлена информация следующего вида: "здравоохранение", "наука", "транспорт", "связь", "банковская сфера и иные сферы финансового рынка", "топливно-энергетический комплекс", "атомная энергия", "оборонная промышленность", "ракетно-космическая промышленность", "горнодобывающая промышленность", "металлургическая промышленность", "химическая промышленность" или "другое");
      • наличие подключения к сетям электросвязи (должна быть предоставлена информация следующего вида: "Да" или "Нет");
      • сведения о месте нахождения или географического местоположения информационного ресурса или объекта КИИ (должна быть предоставлена информация следующего содержания: алфавитно-цифровой геокод страны и его административно-территориальной единицы (для России ISO 3166-2:RU), наименование города, наименование улицы и номер здания);
      • наименование субъекта КИИ или владельца информационного ресурса, на котором выявлен компьютерный инцидент, компьютерная атака или уязвимость;
      • наименование субъекта, сообщившего о компьютерном инциденте.
    3. Технические данные об информационном ресурсе (объекте КИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), например:

      • IPv4-адрес (маршрутизируемый) контролируемого информационного ресурса;
      • IPv6-адрес (маршрутизируемый) контролируемого информационного ресурса;
      • подсеть маршрутизируемых сетевых адресов (в формате CIDR), выделенная для контролируемого информационного ресурса;
      • доменное имя, ассоциированное с контролируемым информационным ресурсом;
      • URI-адрес в контролируемом информационном ресурсе;
      • email-адрес, зарегистрированный в контролируемом информационном ресурсе;
      • номер атакованной Автономной системы (ASN).
    4. Технические данные об источниках вредоносной активности, связанные с данным компьютерным инцидентом или атакой, например:

      • IPv4-адрес (маршрутизируемый) источника вредоносной активности;
      • IPv6-адрес (маршрутизируемый) источника вредоносной активности;
      • подсеть маршрутизируемых сетевых адресов (в формате CIDR), в которой размещаются источники вредоносной активности;
      • доменное имя, ассоциированное с источником вредоносной активности;
      • URI-адрес источника вредоносной активности;
      • email-адрес источника вредоносной активности;
      • номер подставной Автономной системы (ASN);
      • сведения о модулях ВПО (должна быть предоставлена информация следующего содержания: значение хеш-суммы вредоносного модуля, вердикт антивирусного средства и наименование соответствующего антивирусного средства (в случае положительной сработки)).
    5. Для уведомлений об уязвимости (признаке уязвимости) дополнительно могут быть указаны:

      • категория уязвимого продукта (должна быть предоставлена информация следующего вида: "Операционные системы Microsoft и их компоненты", "Unix-подобные операционные системы и их компоненты", "Серверное программное обеспечение и его компоненты", "Прикладное программное обеспечение", "Компоненты рабочих станций и серверных платформ", "Телекоммуникационное оборудование", "Средства защиты информации", "Периферийное оборудование", "Промышленное программно-аппаратное оборудование", "Мобильные платформы", "IoT-устройства", "Программное и аппаратное обеспечение в сфере здравоохранение", "Программное и аппаратное обеспечение в сфере науки", "Программное и аппаратное обеспечение в сфере транспорта", "Программное и аппаратное обеспечение в сфере связи", "Программное и аппаратное обеспечение в сфере энергетики", "Программное и аппаратное обеспечение в банковской сфере и иных финансовых сферах", "Программное и аппаратное обеспечение в топливно-энергетическом комплексе", "Программное и аппаратное обеспечение в области атомной энергии", "Программное и аппаратное обеспечение в оборонной промышленности", "Программное и аппаратное обеспечение в ракетно-космической промышленности", "Программное и аппаратное обеспечение в горнодобывающей промышленности", "Программное и аппаратное обеспечение в металлургической промышленности", "Программное и аппаратное обеспечение в сфере химической промышленности");
      • наименование и версия (диапазон версий) уязвимого продукта;
      • идентификатор уязвимости в какой-либо из систем описания уязвимостей (БДУ ФСТЭК, MITRE и т.п.).
    6. Сведения о средстве (способе) выявления компьютерного инцидента или компьютерной атаки, записи с журналов СЗИ, средстве (способе) выявления уязвимости или недостатков конфигураций, ссылки на источники описания уязвимости.
    7. Контактные данные лиц, ответственных за взаимодействие с НКЦКИ по данному уведомлению:

      • ФИО контактного лица;
      • полномочия контактного лица (должность или роль);
      • контактный телефон;
      • адрес электронной почты.
    8. Описание предпринятых действий в ходе реагирования на компьютерный инцидент, компьютерную атаку или предпринятых мер по устранению уязвимости.
    9. Перечень выданных НКЦКИ рекомендаций, которые могут быть актуальны для реагирования на компьютерный инцидент, компьютерную атаку или для разрешения ситуации с уязвимостью.
    10. Дополнительные неформализуемые сведения о компьютерном инциденте (признаке инцидента), атаке или уязвимости (признаке уязвимости), представляющие из себя комментарии к данному уведомлению в свободной форме.
    11. Дополнительные технические параметры уведомления, автоматически назначенные в технической инфраструктуре НКЦКИ:

      • дата и время регистрации уведомления о компьютерном инциденте (признаке инцидента), атаке или уязвимости (признаке уязвимости) (автоматически фиксируется в технической инфраструктуре НКЦКИ);
      • дата и время последнего изменения сведений в уведомлении о компьютерном инциденте (признаке инцидента), атаке или уязвимости (признаке уязвимости) (автоматически фиксируется в технической инфраструктуре НКЦКИ);
      • технический идентификатор уведомления, автоматически генерируемый в технической инфраструктуре НКЦКИ.
    12. Согласно пункту 12 Приказа ФСБ России №368 субъекты КИИ могут направить в НКЦКИ информационное сообщение о компьютерном инциденте, которое называется «Обращение в иностранную (международную) организацию». Под иностранной (международной) организацией понимаются:

      1. уполномоченные органы иностранных государств, осуществляющие деятельность в области реагирования на компьютерные инциденты;
      2. иностранные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
      3. международные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты;
      4. международные неправительственные организации, осуществляющие деятельность в области реагирования на компьютерные инциденты.

      С такими иностранными (международными) организациями субъекты КИИ должны взаимодействовать через НКЦКИ, за исключением случаев, когда прямой обмен между субъектом КИИ и такой организацией предусмотрен международным договором Российской Федерации.

      Под категорию «Обращение в иностранную (международную) организацию» не подпадают те уведомления со сведениями о компьютерных инцидентах, которые субъект КИИ направляет в какую-либо внешнюю управляющую структуру (вышестоящую иностранную организацию) в рамках ведения общей экономической и хозяйственной деятельности.

      В случаях, когда субъекту КИИ требуется через НКЦКИ отправить «Обращение в иностранную (международную) организацию», необходимо оформлять такое обращение с учетом формализованных НКЦКИ категорий и типов компьютерных инцидентов, а также указывая максимально полный состав технических сведений.

      Таким образом, субъект КИИ должен определиться с характером уведомления (инцидент, атака, уязвимость) в иностранную (международную) организацию, предоставить имеющиеся в его распоряжении технические сведения и дополнительно указать:

      • страну и реквизиты организации, в которую должно быть направлено «Обращение в иностранную (международную) организацию» (в свободной форме, типа поля «Комментарий»);
      • основание и цель отправки уведомления об инциденте/атаке/уязвимости в иностранную (международную) организацию.

      НКЦКИ со своей стороны будет в установленные приказом сроки рассматривать такие обращения и предоставлять субъекту КИИ информацию следующего характера:

      • статус рассмотрения («Принято на рассмотрение», «Отклонено с комментарием:», «Направлено адресату»);
      • журнал взаимодействия с иностранной (международной) организацией (в формате чата: «вопрос-ответ», а также с возможным предоставлением файлов).