"Временный регламент передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (версия 1.0)"

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ВРЕМЕННЫЙ РЕГЛАМЕНТ

ПЕРЕДАЧИ ДАННЫХ УЧАСТНИКОВ ИНФОРМАЦИОННОГО ОБМЕНА

В ЦЕНТР МОНИТОРИНГА И РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ АТАКИ

В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ БАНКА РОССИИ

(ВЕРСИЯ 1.0)

1. Общие положения

1.1. Настоящий Регламент определяет формат и сроки предоставления информации участником информационного взаимодействия в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления Банка России (далее - Центр) (приложение к настоящему Регламенту).

1.2. Настоящий регламент служит для апробации выбранных форматов передачи данных и внесения соответствующих изменений по результатам апробации.

1.3. Предложения по оптимизации выбранного формата передачи данных необходимо направлять на адрес электронной почты info_fincert@cbr.ru с темой сообщения [оптимизация формата передачи]

2. Порядок и сроки передачи информации Участником

информационного взаимодействия

2.1. Передача информации, приведенной в приложении к настоящему Регламенту, осуществляется с использованием электронной почты на почтовый адрес fincert@cbr.ru. Допускается передача информации в устной форме по контактному телефону +7(495) 772-70-90.

2.2. При передаче информации ограниченного доступа данные передаются в Центр в архиве с паролем, при этом пароль должен быть доведен до Центра с использованием альтернативных каналов связи. Требования к сложности пароля определяются передающей стороной.

2.3. В случае передачи образцов вредоносного программного обеспечения (вирусов), образцы передаются в Центр в архиве с паролем, при этом пароль должен быть одним из следующих: virus или infected. В случае, если образцы не запаролены, то они удаляются автоматически.

ПЕРЕЧЕНЬ

ИНФОРМАЦИИ, ПРЕДОСТАВЛЯЕМОЙ УЧАСТНИКОМ ИНФОРМАЦИОННОГО

ОБМЕНА В ЦЕНТР МОНИТОРИНГА И РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ

АТАКИ В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ ГЛАВНОГО УПРАВЛЕНИЯ

БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ БАНКА РОССИИ

N п/п

Содержание

Периодичность и срок предоставления

Примечание

1

Информация об участнике информационного взаимодействия

Название участника информационного обмена (полное)

Первичное предоставление данных. Далее по факту изменений

Название участника информационного обмена (сокращенное)

БИК участника информационного обмена (если есть)

Групповой почтовый адрес для информационного обмена

Используется для оповещения и рассылки бюллетеней. Не допускается использование публичных сервисов (mail, gmail и т.д.)

внешние IP адреса участника информационного обмена

Требуется для постановки контроля в ГОССОПКа для скорейшего выявления целевых атак на организацию

оператор связи (основной, резервный)

Требуется в случае взаимодействия по DDoS-атакам

состав используемого программного/аппаратного обеспечения с версиями (требуется для адресного направления информации по выявленным уязвимостям)

-

ОС

-

СУБД

-

АБС

-

ДБО

-

Прикладное ПО

-

МЭ

-

POS терминалы

-

Банкоматы

-

Прочее

контактные данные участника информационного обмена (для оперативной связи в случае выявления целевой атаки на организацию или иных чрезвычайных обстоятельствах)

Руководство

- ФИО 1

- контактный номер телефона 1

- e-mail 1

- ФИО 2

- контактный номер телефона 2

- e-mail 2

...

Безопасность, в т.ч. экономическая

- ФИО 1

- контактный номер телефона 1

- e-mail 1

- ФИО 2

- контактный номер телефона 2

- e-mail 2

...

IT

- ФИО 1

- контактный номер телефона 1

- e-mail 1

- ФИО 2

- контактный номер телефона 2

- e-mail 2

...

Подразделение, обрабатывающее риски

- ФИО 1

- контактный номер телефона 1

- e-mail 1

- ФИО 2

- контактный номер телефона 2

- e-mail 2

...

Платежные технологии

- ФИО 1

- контактный номер телефона 1

- e-mail 1

- ФИО 2

- контактный номер телефона 2

- e-mail 2

...

2

Информация об угрозе нарушения информационной безопасности

Наименование угрозы

По факту выявления

Информация об угрозе, на основе которой возможно установить причину и (или) последствия угрозы. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости)

Наименование угрозы

Код угрозы

Вредоносное программное обеспечение

ВК

Эксплуатация уязвимости

ЭУ

DDoS

DDoS

Центр управления бот-сети

ЦУ

Фишинг

ФШ

Вредоносный ресурс

ВР

Спам

СП

другое

ДР

Краткое описание угрозы

Представляет собой любую текстовую информацию об угрозе и возможностях ее использования

Класс угрозы

- Вредоносное программное обеспечение

Индикаторы компрометации (IOC) (в случае наличия)

В формате Yara (если есть)

В формате Open IOC (если есть)

В формате XML (если есть)

Иные форматы

Антивирусные решения, детектирующие ВПО

Достаточно указать, детектирует ли установленное у участника обмена антивирусное

Присутствуют ли данные IOC в бюллетенях FinCERT

Да (указать идентификатор рассылки) / Нет

- Эксплуатация уязвимости

Идентификатор уязвимости

Стандартизированный (CVE, ФСТЭК)

Описание методики эксплуатации (в случае наличия)

Допускается ссылка на РОС (proof of concept) уязвимости

- DDoS

Атакующие IP адреса

Тип атаки

Прогнозируемое усиление (если есть)

Прогнозируемая мощность (если есть)

- Предполагаемый центр управления (ЦУ) бот-сети

IP-адрес или доменное имя

Тип и общие сведения о бот-сети

Каким образом выявлен

- Фишинг

IP-адрес или доменное имя ресурса

Дата обнаружения ресурса

Технические заголовки письма (при наличии)

Текст письма (при наличии)

- Вредоносный ресурс

IP-адрес или доменное имя ресурса

Дата обнаружения ресурса

Причины, почему ресурс подозревается вредоносным

- Мошеннический телефонный номер

Дата и время звонка (смс)

Текст смс

Номер (сотовый, 8-800 и др.)

- другое

Дата выявления угрозы/ инцидента

Источник информации

Возможные меры по устранению угрозы (если применимо)

Прочая информация

3

Информация об уязвимости (в соответствии с ГОСТ Р 56545-2015)

Наименование уязвимости

По факту выявления

Информация об уязвимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости)

Идентификатор уязвимости

Данный элемент включает идентификаторы уязвимости из общедоступных источников. Описание может быть выполнено в виде гиперссылок в формате адресов URL

Краткое описание уязвимости

Представляет собой текстовую информацию об уязвимости и возможностях ее использования

Класс уязвимости

- уязвимости кода. Уязвимость, появившаяся в процессе разработки программного обеспечения.

- уязвимости конфигурации. Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы.

- уязвимости архитектуры. Уязвимость, появившаяся в процессе проектирования информационной системы.

- организационные уязвимости. Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований

Наименование программного обеспечения и его версия

Представляет собой информацию о наименовании ПО и его версии. Желательно дополнительно привести сведения об окружении, в котором функционирует ПО, уязвимость которого эксплуатируется.

Служба (порт), которая (ый) используется для функционирования программного обеспечения

Представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используется для функционирования ПО и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком "/".

Тип недостатка

- недостатки, связанные с неправильной настройкой параметров ПО.

Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, назначении избыточного числа параметров или неопределенных параметров ПО.

- недостатки, связанные с неполнотой проверки вводимых (входных) данных.

Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений вводимых (входных) данных.

- недостатки, связанные с возможностью прослеживания пути доступа к каталогам.

Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных.

- недостатки, связанные с возможностью перехода по ссылкам.

Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен.

- недостатки, связанные с возможностью внедрения команд ОС.

Внедрение команд ОС заключается в возможности выполнения пользователем команд операционной системы (например, просмотре структуры каталогов, копирование, удаление файлов и другие команды).

- недостатки, связанные с межсайтовым скриптингом (выполнением сценариев).

Межсайтовый скриптинг обычно распространен в веб-приложениях и позволяет внедрять код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя.

- недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки.

Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб-приложения.

- недостатки, связанные с внедрением произвольного кода.

Недостатки связаны с внедрением произвольного кода и части кода, которые могут привести к нарушению процесса выполнения операций.

- недостатки, связанные с переполнением буфера памяти.

Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии зашиты со стороны среды программирования и операционной системы. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяет нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется.

- недостатки, связанные с неконтролируемой форматной строкой.

Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программ, в ряде случаев - внедрять произвольный код.

- недостатки, связанные с вычислениями.

К недостаткам, связанным с вычислениями относятся следующие:

-

некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону;

-

ошибка числа со знаком, когда нарушитель может ввести данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число;

-

ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования или иных переходов между типами чисел);

-

ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности.

- недостатки, приводящие к утечке/раскрытию информации ограниченного доступа.

Утечка информации - преднамеренное или неумышленное разглашение информации

ограниченного доступа (например, существует утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут быть образованы вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов).

- недостатки, связанные с управлением полномочиями (учетными данными).

К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей. Ошибки при удалении ненужных учетных данных и другие.

- недостатки, связанные с управлением разрешениями, привилегиями и доступом.

К недостаткам, связанным с управлением разрешениями, привилегиями и доступом относятся, например, превышение привилегий и полномочий, необоснованному наличию суперпользователей в системе, нарушение политики разграничения доступа и другие.

- недостатки, связанные с аутентификацией.

К недостаткам, связанным с аутентификацией относятся: возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций.

- недостатки, связанные с криптографическими преобразованиями (недостатки шифрования).

К недостаткам, связанным с криптографическими преобразованиями относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифицированных средств криптографической защиты информации.

- недостатки, связанные с подменой межсайтовых запросов.

Подмена межесайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку корректности формирования запроса.

- недостатки, приводящие к "состоянию гонки".

"Состояние гонки" - ошибка проектирования многопоточной системы или приложения, при котором функционирование системы или приложения зависит от порядка выполнения части кода. "Состояние гонки" является специфической ошибкой, проявляющейся в случайные моменты времени.

- недостатки, связанные с управлением ресурсами.

К недостаткам управления ресурсами относятся: недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и другие.

- иные типы недостатков.

Место возникновения (проявления) уязвимости

- уязвимости в общесистемном (общем) программном обеспечении.

К уязвимостям в общесистемном (общем) программном обеспечении относятся уязвимости операционных систем (уязвимости файловых систем, уязвимости режимов загрузки, уязвимости, связанные с наличием средств разработки и отладки программного обеспечения, уязвимости механизмов управления процессами и другие), уязвимости систем управления базами данных (уязвимости серверной и клиентской частей системы управления базами данных, уязвимости специального инструментария, уязвимости исполняемых объектов баз данных (хранимые процедуры, триггеры) и другие), уязвимости иных типов общесистемного (общего) программного обеспечения.

- уязвимости в прикладном программном обеспечении.

К уязвимостям в прикладном программном обеспечении относятся уязвимости офисных пакетов программ и иных типов прикладного программного обеспечения (наличие средств разработки мобильного кода, недостатки механизмов контроля исполнения мобильного кода, ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации и другие уязвимости).

- уязвимости в специальном программном обеспечении.

К уязвимостям в специальном программном обеспечении относятся уязвимости программного обеспечения, разработанного для решения специфических задач конкретной информационной системы (ошибки программирования, наличие функциональных возможностей, способных оказать влияние на средства защиты информации, недостатки механизмов разграничения доступа к объектам специального программного обеспечения и другие уязвимости);

- уязвимости в технических средствах.

К уязвимостям в технических средствах относятся уязвимости программного обеспечения технических средств (уязвимости микропрограмм в постоянных запоминающих устройствах, уязвимости микропрограмм в программируемых логических интегральных схемах, уязвимости базовой системы ввода-вывода, уязвимости программного обеспечения контроллеров управления, интерфейсов управления и другие уязвимости), иные уязвимости технических средств.

- уязвимости в портативных технических средствах.

К уязвимостям в портативных технических средств относятся уязвимости операционных систем мобильных (портативных) устройств, уязвимости приложений для получения доступа к интернет-сервисам с мобильного устройства, уязвимости интерфейсов беспроводного доступа, иные уязвимости портативных технических средств.

- уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании.

К уязвимостям в сетевом (коммуникационном, телекоммуникационном) оборудовании относятся уязвимости маршрутизаторов, коммутаторов, концентраторов, мультиплексоров, мостов и телекоммуникационного оборудования иных типов (уязвимости протоколов и сетевых сервисов, уязвимости средств и протоколов управления телекоммуникационным оборудованием, недостатки механизмов управления потоками информации, недостатки механизмов разграничения доступа к функциям управления телекоммуникационным оборудованием, другие уязвимости):

- уязвимости в средствах защиты информации.

К уязвимостям в средствах защиты информации относятся уязвимости в средствах управления доступом, средствах идентификации и аутентификации, средствах контроля целостности, средствах доверенной загрузки, средствах антивирусной защиты, системах обнаружения вторжений, средствах межсетевого экранирования, средствах управления потоками информации, средствах ограничения программной среды, средствах стирания информации и контроля удаления информации, средствах зашиты каналов передачи информации, уязвимости в иных средствах защиты информации (ошибки программирования, недостатки, связанные возможностью обхода, отключения, преодоления функций безопасности, другие уязвимости).

Наименование операционной системы и тип аппаратной платформы

Представляет собой информацию об операционной системе и типе аппаратной платформы.

Дата выявления уязвимости

Автор, опубликовавший информацию о выявленной уязвимости (источник)

Может быть приведена ссылка на ресурс в сети интернет

Способ (правило) обнаружения уязвимости

Представляет собой формализованное правило определения уязвимости либо POC (proof of concept - доказательство использования) уязвимости в виде URL ссылки

Критерии опасности уязвимости

CVSS - общая система оценки уязвимости опубликована на официальном сайте сообщества FIRST по адресу URL: http://www.first.org/cvss. Рекомендуется использовать актуальную версию CVSS v.3

Возможные меры по устранению уязвимости

Предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использования нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными

Прочая информация

4

Информация об инциденте

Ограничение на распространение информации об инциденте

По факту выявления

- информация предназначается только для Центра (с возможностью передачи данных в ГосСОПКА)

- информация может быть передана третьим лицам со значительными ограничениями (указать ограничения)

- информация может быть свободна передана третьим лицам

Статус инцидента

- меры приняты, инцидент исчерпан

- меры приняты, инцидент не исчерпан

Необходимость содействия

- необходимо содействия (направления содействия)

- нет необходимости содействия

Тип инцидента <1>

- Вредоносное программное обеспечение

Индикаторы компрометации (IOC) (в случае наличия)

В формате Yara (если есть)

В формате Open IOC (если есть)

В формате XML (если есть) Иные форматы

Антивирусные решения, детектирующие ВПО

Достаточно указать, детектирует ли установленное у участника обмена антивирусное

Присутствуют ли данные IOC в бюллетенях FinCERT

Да (указать идентификатор рассылки)/Нет

- Несанкционированный доступ

IP адрес пострадавшей стороны

IP адреса атакующей стороны

Способ попытки получения НСД

Категория нарушителя (внутренний/внешний)

Назначение объекта, к которому производилась попытка НСД

Количество попыток получения НСД

Итог попыток получения НСД (успех/неуспех)

Последствия

- Эксплуатация уязвимости

Идентификатор уязвимости

Стандартизированный (CVE, ФСТЭК)

Описание методики эксплуатации (в случае наличия)

Допускается ссылка на POC (proof of concept) уязвимости

- DDoS

Атакующие IP адреса

Тип атаки

Прогнозируемое усиление (если есть)

Прогнозируемая мощность (если есть)

- Перебор паролей (брутфорс)

IP адрес пострадавшей стороны

IP адреса атакующей стороны

Атакуемый объект

Оценочная скорость перебора паролей, кол-во паролей/сек

Итог атаки (пароль подобран/не подобран)

- ЦУ бот-сети

IP-адрес или доменное имя

Тип и общие сведения о бот-сети

Каким образом выявлен

- Фишинг

IP-адрес или доменное имя ресурса

Дата обнаружения ресурса

Технические заголовки письма (при наличии)

Текст письма (при наличии)

- Вредоносный ресурс

IP-адрес или доменное имя ресурса

Дата обнаружения ресурса

Причины, почему ресурс подозревается вредоносным

- Сканирование ресурсов

IP адрес пострадавшей стороны

IP адреса атакующей стороны

Список сканируемых портов

Объекты сканирования

Методы сканирования (если возможно определить)

- другое

Дата и время фиксирования инцидента

Московское время

Источник поступления информации

Подразделение организации в соответствии со списком контактных данных, либо указать внешний источник (бюллетень SOC/CERT, бюллетень вендора и т.п., по возможности со ссылкой на источник)

Описание инцидента и комментарии

Включая хронологию принятых мер

--------------------------------

<1> Информация об инциденте может включать в себя несколько типов инцидентов. Например, несанкционированный доступ, который был реализован путем воздействия вредоносного программного обеспечения, направленного в организацию с использованием фишинга.