Форма представления данных NTF_CI_DoS - Форма представления данных о компьютерном инциденте, связанном с замедлением работы ресурса в результате атаки типа "Отказ в обслуживании"

Порядковый номер	Категория элемента данных	Описание АСОИ UI	Обязательность полей	Условие обязательности	Правило заполнения	Примечание
1	Тип уведомления	Тип уведомления	О	-	[NTF_CI_DoS]	Предзаполненное поле
2	Описание компьютерного инцидента	Описание компьютерного инцидента	Н	-	Текстовое поле	Текстовое описание компьютерного инцидента (в том числе дополнительные сведения о способе реализации КИ, способе выявления КИ и т.д.). В случае если компьютерный инцидент был выявлен с использованием сведений бюллетеня Банка России или НКЦКИ, необходимо указать номер данного бюллетеня
3	Классификация компьютерного инцидента	Вектор	О	-	[INT]	Предзаполненное поле
4	Классификация компьютерного инцидента	Тип компьютерного инцидента	О	-	[DoS]	Предзаполненное поле
5	Дата и время обнаружения	Дата и время выявления компьютерного инцидента	О	-	В соответствии с RFC 3339	По московскому времени [UTC + 03:00]
6	Сведения об объектах, на которые направлен компьютерный инцидент	Наименование контролируемого информационного ресурса	О	-	Текстовое поле	-
7		Категория контролируемого ресурса	УО	Если является объектом КИИ	[Без категории значимости] [Третья категория значимости] [Вторая категория значимости] [Первая категория значимости]	-
8		Код уровня атакуемого объекта/субъекта	О	-	Из классификатора "Типы объектов и субъектов", приведенного в приложении 28	-
9		Код типа атакуемого объекта/субъекта	О	-	Перечень зависит от поля "Код уровня атакуемого объекта/субъекта".	Перечень зависит от поля "Код уровня атакуемого объекта/субъекта"
9		Код типа атакуемого объекта/субъекта	О	-	Из классификатора "Типы объектов и субъектов", приведенного в приложении 28
10		Наличие подключения к сети Интернет	О	-	[Да]	Предзаполненное поле
11		Страна/регион	О	-	В формате ISO-3166-2	-
12		IPv4-адрес атакованного ресурса	УО	Обязательно заполнение одного из полей	Список IP-адресов	-
13		IPv6-адрес атакованного ресурса			Список IP-адресов
14		Доменное имя атакованного ресурса			Список доменных имен
15		URI-адрес атакованного ресурса			Список URI-адресов
16		Атакованная сетевая служба и порт/протокол	УО	При наличии соответствующей информации	Текстовое поле	-
17	Сведения об объектах вредоносной активности, вызвавших компьютерный инцидент	Тип атаки	О	-	[DoS - Flood] [DoS - Vuln] [DDos]	-
18		Уровень OSI	О	-	[L2/3] [L3] [L4] [L6] [L7]	[L2/3] - канальный/сетевой уровень [L3] - сетевой уровень [L4] - транспортный уровень [L6] - уровень представления данных [L7] - прикладной уровень
19		IPv4-адрес вредоносного объекта	УО	Выявлен IPv4-адрес вредоносного объекта	Список IP-адресов или csv-файл	Заполняется хотя бы одно поле
20		IPv6-адрес вредоносного объекта	УО	Выявлен IPv6-адрес вредоносного объекта	Список IP-адресов или csv-файл
21		Доменное имя вредоносного объекта	УО	Выявлено доменное имя вредоносного объекта	Список доменных имен или csv-файл
22		Страна расположения вредоносного объекта	Н	-	Список трехбуквенных кодов стран в соответствии с ISO 3166	-
23		PPS (пакетов в секунду)	УО	Заполняется хотя бы одно поле	Вещественное число	-
24		Мб/с (мегабит в секунду)			Вещественное число	-
25		RPS (запросов в секунду)			Вещественное число	-
26		FPS (кадров в секунду)			Вещественное число	-
27		Перечень используемых уязвимостей	УО	Выявлен факт использования уязвимостей	-	Перечень используемых уязвимостей программного или аппаратного обеспечения в выбранной системе описания уязвимостей безопасности (например, CVE, БДУ ФСТЭК)
28		Наименование системы описания уязвимостей безопасности	УО	Выявлен факт использования уязвимостей	Текстовое поле
29	Оценка последствий компьютерного инцидента	Влияние на конфиденциальность	УО	При наличии указанных последствий	[Высокое] [Низкое]	-
30		Влияние на целостность			[Высокое] [Низкое]	-
31		Влияние на доступность			[Высокое] [Низкое]	-
32	Предпринятые меры по реагированию на компьютерный инцидент	Описание предпринятых действий в ходе реагирования на компьютерный инцидент	Н	-	Текстовое поле	-
33	Связь с другими уведомлениями	Вид связанного уведомления	УО	Заполняется в случае направления ранее в Банк России уведомления, связанного с текущим	[NTF_OWC] [NTF_ISI] [NTF_ORI] [NTF_CI] [NTF_CA] [NTF_VLN]	[NTF_OWC] - уведомление о выявленных случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, а также о выявленных случаях и (или) попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участника финансовой платформы [NTF_ISI] - уведомление о выявлении инцидента защиты информации или результатах расследования инцидента защиты информации [NTF_ORI] - уведомление о выявлении инцидента операционной надежности или о результатах расследования инцидента операционной надежности [NTF_CI] - уведомление о компьютерных инцидентах [NTF_CA] - уведомления о компьютерных атаках [NTF_VLN] - уведомление о выявленных уязвимостях
34		Тип связи с другими уведомлениями			[Предшествующее событие] [Дочернее событие] [Связанное событие] [Уточнение сведений о событии]	-
35		Регистрационный номер уведомления			В соответствии с форматом АСОИ ФинЦЕРТ	Идентификатор уведомления или ответа на запрос, ранее направленного в ФинЦЕРТ участником информационного обмена
36	Ограничительный маркер TLP	Ограничительный маркер на распространение сведений из данного уведомления	Н	-	[TLP: WHITE] [TLP: GREEN] [TLP: AMBER] [TLP: RED]	В соответствии с обозначениями, принятыми в протоколе TLP.
36	Ограничительный маркер TLP		Н	-	[TLP: WHITE] [TLP: GREEN] [TLP: AMBER] [TLP: RED]	По умолчанию [TLP: GREEN], если не указано иное
37	Необходимость привлечения ФинЦЕРТ	Необходимость привлечения ФинЦЕРТ для устранения последствий компьютерного инцидента	УО	При необходимости	[Да]	-

Приложение 20. Формы представления данных NTF_CI, предзаполненные для компьютерных инцидентов Форма представления данных NTF_CI_Application compromise - Форма представления данных о компьютерном инциденте, связанном с успешной эксплуатацией уязвимости