Документ утратил силу или отменен. Подробнее см. Справку
"Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с...

6.6.9. Компьютерные атаки, связанные с выявлением взаимодействия объектов информационной инфраструктуры участников информационного обмена с командными центрами Ботнет [controlCenters] (для вектора [INT])

6.6.9. Компьютерные атаки, связанные с выявлением

взаимодействия объектов информационной инфраструктуры

участников информационного обмена с командными центрами

Ботнет [controlCenters] (для вектора [INT])

Номер блока (поля) данных

Идентификатор блока (поля) данных

Содержание блока (поля) данных

Формат поля данных

Формат электронного сообщения

Обязательность информирования

Этапы информирования

9

"sourceId"

(поле данных)

идентификатор, присвоенный участником информационного обмена

128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена

"controlCenters": [{

"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c",

"target": {

"ip": "127.0.0.1",

"url": "http://example.com"

},

"hostUrl": "http://example.com",

"intruderIp": "1.1.1.1",

"intruderActions": "что предшествовало инциденту",

"description": "известные сведения о командном центре Ботнет",

"nodes": [{

"ip": "127.0.0.1",

"lastRequestRateTimeAt": "2018-03-22T08:08:49Z"

}]

}],

[N]

[2], [3]

9.1

"target"

(блок данных)

идентификаторы объекта атаки

[N]

[2], [3]

9.1.1

"ip"

(поле данных)

IP-адрес

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

9.1.2

"url"

(поле данных)

URL-адрес

URL в соответствии со спецификацией RFC 3986 [15]

[N]

[2], [3]

9.2

"hostUrl"

(поле данных)

URL, на котором размещен командный центр Ботнет

URL в соответствии со спецификацией RFC 3986 [15]

[N]

[2], [3]

9.3

"intruderIp"

(поле данных)

IP-адрес злоумышленника, разместившего командный центр Ботнет

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

9.4

"intruderActions"

(поле данных)

описание несанкционированной активности в информационной инфраструктуре участника информационного обмена

текстовое поле (textarea)

[N]

[2], [3]

9.5

"description"

(поле данных)

дополнительное описание командного центра Ботнет

текстовое поле (textarea)

[N]

[2], [3]

9.6

"nodes"

(блок данных)

идентификаторы обращения к командному центру Ботнет

В случае необходимости указания нескольких значений полей данных (ip, lastRequestRateTimeAt) указывается один или несколько объектов в блоке данных

[N]

[2], [3]

9.6.1

"ip"

(поле данных)

внешний IP-адрес (участника информационного обмена)

Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12]

[N]

[2], [3]

9.6.2

"lastRequest RatetimeAt"

(поле данных)

дата и время последнего взаимодействия с командным центром Ботнет

формат представления данных в соответствии со спецификацией RFC 3339 [11]

[N]

[2], [3]

6.6.8. Компьютерные атаки, связанные с реализацией спам-рассылки, осуществляемой в отношении участников информационного обмена и их клиентов [spams] (для вектора [INT], [EXT]) 6.6.10. Компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента (IMSI) номера сим-карты, а также с заменой идентификатора мобильного оборудования (IMEI) [sim] (для вектора [EXT])