Приложение 2. Форма предоставления сведений об инцидентах информационной безопасности в Департамент информационных технологий города Москвы. Распоряжение Департамента информационных технологий г. Москвы от 12.09.2022 N 64-16-434/22 "Об утверждении порядка предоставления сведений об инцидентах информационной безопасности" (с изменениями и дополнениями)

Приложение 2
к Порядку предоставления
сведений об инцидентах
информационной безопасности

Форма предоставления сведений об инцидентах информационной безопасности в Департамент информационных технологий города Москвы

N	Наименование предоставляемых сведений	Сведения (примерная форма их предоставления)
1	2	3
1.	Наименование органа/организации:	Указывается наименование органа/организации, в котором обнаружен инцидент информационной безопасности (далее также - инцидент).
2.	Наименование органа:	Указывается наименование органа исполнительной власти города Москвы, в ведомственном подчинении которого находится организация.
3.	Информационный ресурс (объекта информатизации), на котором обнаружен инцидент информационной безопасности:	Указывается: - наименование информационной системы: - автоматизированные рабочие места; - информационно-телекоммуникационные сети: - автоматизированные системы управления; - сервер; - технологическое и иное оборудование.
4.	IP адрес информационного ресурса (объекта информатизации), на котором обнаружен инцидент информационной безопасности:	При инциденте, произошедшем в результате действий из сети Интернет, указывается IP адрес (адреса) в сети Интернет. При инциденте, произошедшем в локальной сети органа/организации - IP адрес (адреса) устройства в локальной сети.
5.	Доменное имя информационного ресурса (объекта информатизации), на котором обнаружен инцидент информационной безопасности:	При инциденте, обнаруженном на информационном ресурсе (объекте информатизации), размещенном в сети Интернет, указывается доменное имя.
6.	Информация о том, что орган/организация является субъектом критической информационной инфраструктуры Российской Федерации (КИИ):	Предоставляется информация о том является ли орган/организация, в котором произошел инцидент, субъектом КИИ. Необходимо выбрать: Является субъектом КИИ. Не является субъектом КИИ.
7.	Информация об отнесении информационного ресурса (объекта информатизации) к объектам критической информационной инфраструктуры Российской Федерации (КИИ):	В случае, если информационный ресурс (объект информатизации) на котором произошел инцидент является информационной системой, информационно- телекоммуникационной сетью, автоматизированной системой управления необходимо указать отнесен ли он к объекту КИИ, если да указать категорию. Необходимо выбрать: Информационный ресурс (объект информатизации) не является объектом КИИ; Объект КИИ без категории значимости; Объект КИИ третьей категории значимости; Объект КИИ второй категории значимости; Объект КИИ первой категории значимости.
8.	Сведения об инциденте информационной безопасности направлены в:	Указывается время, способ направления, реквизиты направленного документа (при наличии), наименование государственного органа, организации куда направлялись сведения об инциденте: - Национальный координационный центр по компьютерным инцидентам; - Федеральную слуэюбу безопасности Российской Федерации; - Федеральную службу по техническому и экспортному контролю; - Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций; - наименование иного государственного органа или организации.
9.	Тип инцидента информационной безопасности:	Необходимо выбрать: распределенная атака типа "отказ в обслуживании" (DDoS-атака); неудачные попытки авторизации; попытки внедрения вредоносного программного обеспечения (ВПО); попытки эксплуатации уязвимости; публикация мошеннической информации; сетевое сканирование; социальная инженерия; вовлечение контролируемого ресурса в инфраструктуру ВПО; замедление работы ресурса в результате DDoS-атаки; заражение ВПО; захват сетевого трафика; использование контролируемого ресурса для попыток несанкционированного доступа к информации; посредством рассылки фальсифицированных электронных писем с приглашением посетить веб-сайт (фишинг); компрометация учетной записи; несанкционированное изменение информации: несанкционированное разглашение информации; публикация на ресурсе запрещенной законодательством Российской Федерации информации; массовая рассылка корреспонденции рекламного характера (спам-сообщения) с контрол ируемого ресурса; успешная эксплуатация уязвимости.
10.	Краткое описание инцидента информационной безопасности:	Указываются обстоятельства обнаружения, содержание инцидента, технические детали инцидента.
11.	Статус реагирования:	Необходимо выбрать: - приняты меры, инцидент информационной безопасности исчерпан; - проводятся мероприятия по реагированию на инцидент информационной безопасности.
12.	Принятые меры:	Указывается описание предпринятых действии.
13.	Сведения о средстве или способе выявления:	Указываются средства, которыми был выявлен инцидент.
14.	Дата и время выявления (МСК):	Указываются дата и время выявления инцидента.
15.	Дата и время завершения (МСК):	Указывается дата и время в случае, если инцидент был локализован (устранен).
16.	IP адреса источника возникновения инцидента информационной безопасности (если имеются):	Указывается IP адреса в случае их выявления техническими средствами (МСЭ/IDS/IPS/ WAF/AВПO/AntiDDoS и т.п.). Также могут быть направлены в дополнение к форме, журналы регистрации событий информационной безопасности, выгрузки данных из систем защиты информации.
17.	Влияние на безопасность граждан:	Указывается возможное влияние на жизнь и здоровье граждан в результате инцидента. В случае наличия влияния дается описание как может повлиять, на какие категории граждан, количество.
18.	Влияние на работоспособность органа/организации:	Указывается на какие функции/бизиес процессы органа/организации оказывает (оказал) влияние инцидент.
19.	Влияние на работу других органов/организаций, города Москвы:	В случае. если инцидент может повлиять или влияет па деятельность других органов/организаций, или на город Москву. указываются органы/организации или их категории и какое влияние оказывает или может оказать инцидент на их деятельность.