9.1. Основной целью проведения классификации инцидентов ИБ является повышение степени системности и минимизация субъективности при реализации процессов реагирования на инциденты ИБ, осуществляемые путем определения и фиксации атрибутов инцидента ИБ для дальнейшего их использования в ходе реагирования на инцидент ИБ, а также при анализе системы менеджмента инцидентов ИБ.
9.2. При проведении классификации ИБ рекомендуется осуществлять описание инцидентов ИБ с помощью предварительно установленного набора признаков (атрибутов), при этом значения атрибутов должны задаваться максимально конкретно по определенным правилам.
9.3. Используемый организацией БС РФ классификатор инцидентов ИБ должен давать возможность его адаптации, дополнения, расширения, для чего структура классификатора инцидентов ИБ должна позволять:
- введение дополнительных атрибутов или значений атрибутов;
- проведение классификации вновь обнаруженных инцидентов ИБ без нарушения целостности и изменения установленных процессов классификации.
9.4. Для классификации инцидентов ИБ необходимо определить набор атрибутов, характеризующих инцидент ИБ, для каждого атрибута - значения, которые он может принимать.
Процедура классификации инцидента ИБ состоит в присвоении для конкретного инцидента ИБ соответствующих значений классификационным атрибутам. При этом для конкретного инцидента ИБ могут быть использованы не все атрибуты или значения некоторых атрибутов инцидента ИБ могут определяться постепенно по мере выполнения деятельности по реагированию на него.
9.5. Набор значений атрибутов для конкретного инцидента ИБ представляет собой запись об инциденте ИБ, которая вносится в централизованную базу инцидентов ИБ. Рекомендуется сформировать и поддерживать в актуальном состоянии централизованную базу данных инцидентов ИБ, структуру записей которой рекомендуется задавать на основе классификатора инцидентов ИБ.
9.6. Роли по классификации инцидентов ИБ назначаются членам ГРИИБ и работникам, привлекаемым к реагированию на инциденты ИБ.
9.7. Инциденты ИБ рекомендуется классифицировать по следующим признакам:
- по степени тяжести последствий для деятельности организации БС РФ (в денежном выражении, в балльной шкале);
- по степени вероятности повторного возникновения инцидента ИБ;
- по видам источников угроз ИБ, вызывающих инциденты ИБ;
- по преднамеренности возникновения инцидента ИБ (случайный, намеренный, ошибочный);
- по видам объектов информационной инфраструктуры, задействованных (пораженных) при реализации инцидента ИБ;
- по уровню информационной инфраструктуры, на котором происходит инцидент ИБ;
- по нарушенным свойствам информационной безопасности (конфиденциальность, целостность, доступность);
- по типу инцидента ИБ (свершившийся инцидент ИБ, попытка осуществления инцидента ИБ, подозрение на инцидент ИБ);
- по области распространения и действия инцидента ИБ (в пределах одной АБС, в пределах отдельного структурного подразделения организации БС РФ, в организации БС РФ в целом, выходящий за пределы организации БС РФ);
- по сложности обнаружения инцидента ИБ;
- по сложности закрытия инцидента ИБ;
- по другим признакам, устанавливаемым организацией БС РФ.
9.8. Признаки классификации инцидентов ИБ рекомендуется определять с учетом формирования на основе результатов классификации инцидентов ИБ отчетных форм, представляемых организацией БС РФ в соответствии с требованиями законодательства РФ, нормативных актов Банка России и правилами платежных систем.
9.9. Классификатор инцидентов ИБ рекомендуется использовать на всех этапах обнаружения инцидента ИБ и реагирования на инцидент ИБ. Рекомендуется установить состав атрибутов инцидентов ИБ, возможных для заполнения на каждом из этапов реагирования на инцидент ИБ.
9.10. В Приложении 2 к настоящему документу содержится примерный классификатор инцидентов ИБ.