СТО БР ИББС-1.3-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств

6. Рекомендации по сбору технических данных

6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5.

В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ - профиля инцидента ИБ, описывающего:

- способ выявления инцидента ИБ;

- источник информации об инциденте ИБ;

- содержание информации об инциденте ИБ, полученной от источника;

- сценарий реализации инцидента ИБ;

- дату и время выявления инцидента ИБ;

- состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;

- способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;

- контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;

- информация об операторе связи и провайдере сети Интернет.

Непосредственный сбор технических данных рекомендуется осуществлять в рамках установленной и документированной деятельности по сбору и фиксации информации о следующих инцидентах ИБ:

- инциденты ИБ, результатом которых являются и (или) могут являться несанкционированные переводы денежных средств (далее - инциденты ИБ, связанные с несанкционированными переводами денежных средств);

- инциденты ИБ, результатом которых является деструктивное воздействие на объекты информационной инфраструктуры организации БС РФ, которые привели или могут привести к нарушению непрерывности оказания платежных услуг (далее - инциденты ИБ, связанные с деструктивным воздействием).

В составе инцидентов ИБ, связанных с несанкционированными переводами денежных средств, рекомендуется рассматривать:

- инциденты ИБ, связанные с несанкционированным доступом (далее - НСД) к объектам информационной инфраструктуры клиентов;

- спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов "социального инжиниринга", предпринимаемые с целью распространения компьютерных вирусов, функционально предназначенного для совершения несанкционированных переводов денежных средств;

________________

Реагирование на инциденты ИБ, связанные со спам-рассылками, целесообразно осуществлять в случаях наличия в теле почтовых сообщений ссылок на потенциально вредоносный (в том числе фишинговый) сайт, размещенный в сети Интернет.

- атаки типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, предпринимаемые с целью блокирования нормального функционирования информационной инфраструктуры после успешной реализации несанкционированных переводов денежных средств;

- воздействие компьютерных вирусов на информационную инфраструктуру клиентов, потенциально функционально предназначенного для совершения несанкционированных переводов денежных средств;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем дистанционного банковского обслуживания (далее - систем ДБО) организаций БС РФ;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры автоматизированных банковских систем (далее - АБС) организаций БС РФ;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем обработки карточных транзакций (далее - систем фронт-офиса) организаций БС РФ;

- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем посттранзакционного обслуживания карточных операций (далее - систем бэк-офиса) организаций БС РФ, в том числе системам электронного документооборота, формирования платежных клиринговых позиций, клиринга и подготовки данных для проведения расчетов.

В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:

- атаки типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре систем ДБО, систем фронт-офиса организаций БС РФ;

- деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БСРФ.