НКЦКИ (Национальный координационный центр по компьютерным инцидентам) обозначил состав технических параметров инцидентов ИБ, которые необходимо указывать при информировании ГосСОПКА. Помимо этого, регулятор опубликовал форматы представления данных о вышеозначенных инцидентах.
Ранее ФСБ России сформировала четкие требования: субъекты КИИ должны взаимодействовать с НКЦКИ, своевременно предоставляя информацию о компьютерных инцидентах.
Также в обязанности НКЦКИ входит обмен данными с владельцами российских информационных ресурсов, иностранными регуляторами, международными неправительственными организациями, задача которых — реагировать на кибератаки и уязвимости.
В свою очередь, субъекты КИИ и другие владельцы информационных ресурсов вправе уведомлять НКЦКИ о кибератаках и уязвимостях, выявленных на их объектах. Чтобы качественно организовать подобное взаимодействие, НКЦКИ зафиксировал базовые категории и виды событий, с помощью которых происходит вышеописанное взаимодействие.
| Категория события и его международное обозначение | Тип события и его международное обозначение |
| Заражение вредоносным программным обеспечением (malware) | Внедрение в контролируемый ИР (ОКИИ) модулей ВПО (malware infection) |
| Распространение вредоносного программного обеспечения (malware distribution) | Использование контролируемого ИР (ОКИИ) для распространения ВПО (malware command and control) |
| Попытки внедрения модулей ВПО в контролируемый ИР (ОКИИ) (infection attempt) | |
| Нарушение или замедление работы контролируемого информационного ресурса (availability) | Компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ) (dos) |
| Распределенная компьютерная атака типа “отказ в обслуживании”, направленная на контролируемый ИР (ОКИИ) (ddos) | |
| Несанкционированный вывод ИР (ОКИИ) из строя (sabotage) | |
| Непреднамеренное (без злого умысла) отключение ИР (ОКИИ) (outage) | |
| Несанкционированный доступ в систему (intrusion) | Успешная эксплуатация уязвимости в контролируемом ИР (ОКИИ) (application compromise) |
| Компрометация учетной записи в контролируемом ИР (ОКИИ) (account compromise) | |
| Попытки несанкционированного доступа в систему или к информации (intrusion attempt) |
Попытки эксплуатации уязвимости в контролируемом ИР (ОКИИ) (exploit attempt) |
| Попытки авторизации в контролируемом ИР (ОКИИ) (login attempt) | |
| Сбор сведений с использование ИКТ (information gathering) | Сканирование информационного ресурса (ОКИИ) (scanning) |
| Прослушивание (захват) сетевого трафика контролируемого ИР (ОКИИ) (traffic hijacking) | |
| Социальная инженерия, направленная на компрометацию ИР (ОКИИ) (social engineering) | |
| Нарушение безопасности информации (information content security) | Несанкционированное разглашение информации, обрабатываемой в контролируемом ИР (ОКИИ) (unauthorised access) |
| Несанкционированное изменение информации, обрабатываемой в контролируемом ИР (ОКИИ) (unauthorised modification) | |
| Распространение информации с неприемлемым содержимым (abusive content) | Рассылка спам-сообщений с контролируемого ИР (ОКИИ) (spam) |
| Публикация в контролируемом ИР запрещенной законодательством РФ информации (ОКИИ) (prohibited content) | |
| Мошенничество с использованием ИКТ (fraud) |
Злоупотребление при использовании ИР (ОКИИ) (unauthorized purposes) |
| Публикация в контролируемом ИР (ОКИИ) мошеннической информации (phishing) | |
| Уязвимость (vulnerability) | Наличие уязвимости или недостатков конфигурации в ИР (ОКИИ) (vulnerability) |
Здесь, например, представлены эти самые базовые категории и типы событий. С составом технических параметров ИБ-инцидента, указываемых при представлении данных в ГосСОПКА, а также с форматами представления информации можно ознакомиться здесь.
