Приложение 2. Примерный классификатор инцидентов ИБ
|
Атрибут инцидента ИБ
|
Описание значений атрибута инцидента ИБ
|
|
Группа 1. Атрибуты регистрации
|
|
1.1. Уникальный идентификатор инцидента ИБ
|
номер или иной идентификатор, позволяющий ссылаться на инцидент ИБ
|
|
1.2. Дата и время обнаружения инцидента ИБ
|
|
|
1.3. Источник информации об инциденте ИБ
|
работник организации БС РФ или техническое средство
|
|
1.4. Фамилия, имя, отчество работника организации БС РФ, выявившего инцидент ИБ
|
|
|
1.5. Подразделение работника организации БС РФ, выявившего инцидент ИБ
|
|
|
1.6. Должность работника организации БС РФ, выявившего инцидент ИБ
|
|
|
1.7. Роль работника организации БС РФ, выявившего инцидент ИБ
|
(пользователь, администратор АБС, администратор ИБ, работник службы ИБ)
|
|
1.8. Контактная информация работника организации БС РФ, выявившего инцидент ИБ
|
данные, позволяющие связаться с работником
|
|
1.9. Наименование технического средства, с использованием которого обнаружен инцидент ИБ
|
|
|
1.10. Описание инцидента ИБ
|
сообщение работника или информация, выданная ТС
|
|
Группа 2. Атрибуты, описывающие содержание инцидента ИБ
|
|
2.1. Факт нарушения требований к обеспечению ИБ
|
- "нет";
- "реквизиты документа, пункт документа"
|
|
2.2. Данные о нарушителе требований к обеспечению ИБ
|
- "нет";
- "Фамилия И.О., должность нарушителя"
|
|
2.3. Факт нарушения работы средств защиты информации (далее - СЗИ)
|
- "нет";
- "выход из строя СЗИ";
- "сбой СЗИ";
- "недоступность критичной для выполнения функций СЗИ информации (например, выход из строя носителей ключевой информации)";
- "нарушение целостности программного обеспечения СЗИ";
- "отклонение параметров настроек СЗИ";
- "снижение функциональных характеристик (параметров) СЗИ"
|
|
2.4. Факт реализации угрозы ИБ
|
- "нет";
- "идентификатор источника угрозы согласно модели угроз или действующему перечню актуальных угроз ИБ"
|
|
2.5. Факт нарушения свойств безопасности
|
- "нет";
- "Конфиденциальность";
- "Целостность";
- "Доступность";
- "Иные свойства"
|
|
2.6. Факт нестандартного (несанкционированного) поведения
|
- "нет";
- "нарушение установленного порядка и режима дня";
- "отклонение от сложившегося порядка и режима использования информационных ресурсов"
|
|
2.7. Факт преднамеренности возникновения инцидента ИБ
|
- "случайный";
- "намеренный";
- "ошибочный"
|
|
2.8. Тип инцидента ИБ
|
- "свершившийся";
- "попытка осуществления инцидента ИБ";
- "подозрение на инцидент ИБ"
|
|
2.9. Степень сложности обнаружения инцидента ИБ
|
- "Обычная";
- "Высокая"
|
|
Группа 3. Атрибуты, описывающие воздействие объекта информационной инфраструктуры
|
|
3.1. Тип информационных активов, затронутых инцидентом ИБ
|
- "нет" (информационные активы не затронуты);
- "платежная информация";
- "финансово-аналитическая информация";
- "служебная информация";
- "управляющая информация общего и специального назначения";
- "справочная информация";
- "информация операционной и телекоммуникационной среды"
|
|
3.2. Затронутые объекты информационной инфраструктуры
|
- "нет";
- "линии и сети передачи данных";
- "сетевые программные и аппаратные средства";
- "прочие технические средства";
- "файлы данных, базы данных";
- "носители информации (в том числе бумажные носители)";
- "прикладные и общесистемные программные средства";
- "программно-технические компоненты автоматизированных систем";
- "помещения, здания, сооружения, инженерные сети и коммуникации";
- "автоматизированные рабочие места"
|
|
3.3. Характеристика банковских технологических процессов
|
- "нет" (нет информационно-технологических процессов, затронутых инцидентом ИБ);
- "платежные технологические процессы";
- "информационные технологические процессы"
|
|
3.4. Уровень инцидента ИБ
|
- "физический";
- "сетевой";
- "операционных систем";
- "систем управления базами данных";
- "банковских технологических процессов и приложений";
-"бизнес-процессов организации"
|
|
3.5. Степень тяжести последствий
|
- "нет";
- "минимальная";
- "средняя";
- "высокая";
- "критическая"
|
|
3.6. Степень вероятности повторного возникновения инцидента ИБ
|
- "нет";
- "минимальная";
- "средняя";
- "высокая";
- "критическая"
|
|
3.7. Область распространения и действия инцидента ИБ
|
- "пределы одной АБС";
- "пределы отдельного структурного подразделения организации БС РФ";
- "организации БС РФ в целом";
- "выходящий за пределы организации БС РФ"
|
|
Группа 4. Атрибуты, отражающие значимость инцидента ИБ
|
|
4.1. Приоритет инцидента ИБ
|
- "0 (Наивысший)";
- "1 (Высокий)";
- "2 (Повышенный)";
- "3 (Средний)";
- "4 (Низкий)";
- "5 (Минимальный)"
|
|
4.2. Срочность реагирования на инцидент ИБ
|
- "Обычная";
- "Высокая"
|
|
Группа 5. Атрибуты, связанные с реагированием на инцидент ИБ
|
|
5.1. Доклад о возникновении инцидента ИБ
|
- "нет";
- "время доклада и кому доложено"
|
|
5.2. Доклад об устранении инцидента ИБ
|
- "нет";
- "время доклада и кому доложено"
|
|
5.3. Эскалация инцидента ИБ
|
- "нет";
- "да"
|
|
5.4. Функциональная группа
|
- "нет";
- "наименование функциональной группы специалистов, которой поручено реагирование на инцидент ИБ"
|
|
5.5. Время назначения функциональной группы
|
- "нет";
- "время, когда была назначена функциональная группа, ответственная за реагирование на инцидент ИБ"
|
|
5.6. Назначение специалиста - члена ГРИИБ
|
- "нет";
- "фамилия специалиста, ответственного за реагирование на инцидент ИБ"
|
|
5.7. Статус инцидента ИБ
|
- "Зарегистрирован;
- "Назначен";
- "В работе";
- "Закрыт"
|
|
5.8. Этап реагирования на инцидент ИБ
|
|
|
5.9. Установленный срок закрытия инцидента ИБ
|
- "нет";
- "установленный срок закрытия инцидента ИБ"
|
|
5.10. Применение иных мероприятий:
|
- "нет";
- "описание мероприятий по закрытию инцидента ИБ"
|
|
5.11. Необходимость информирования
об инциденте ИБ структурных подразделений
организации БС РФ.
|
- "нет";
- "перечень подразделений".
|
|
Группа 6. Атрибуты, связанные с закрытием инцидента ИБ
|
|
6.1. Дата и время закрытия инцидента ИБ
|
- "нет";
- дата и время.
|
|
6.2. Последствия (ущерб) для организации БС РФ от воздействия инцидента ИБ
|
- "нет";
- "описание ущерба (последствий) в текстовой форме"
|
|
6.3. Степень сложности закрытия инцидента ИБ
|
- "Обычная";
- "Высокая"
|
|
6.4. Необходимость информирования о закрытии инцидента ИБ структурных подразделений организации БС РФ
|
- "нет";
- "перечень подразделений"
|
