Действующий

Об утверждении Положения о центре обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы и ресурсы Самарской области и Регламента деятельности центра обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы и ресурсы Самарской области



4.13. Составление перечня КИ


Для взаимодействия по вопросам обмена информацией о компьютерных инцидентах (КИ) используется следующая карточка компьютерного инцидента.


Общие поля:


1. Идентификатор инцидента (порядковый номер инцидента). Поле заполняется уникальным буквенно-числовым значением длиной не более 15 символов. Установленный формат идентификатора компьютерного инцидента не может быть изменен с течением времени.


2. TLP. Поле предназначено для маркировки конфиденциальной информации с целью указания аудитории ее дальнейшего распространения.


Заполняется исходя из степени конфиденциальности передаваемой информации. Используются маркировки следующего типа:


Red (Красный). Ознакомление с информацией ограничивается исключительно лицом, указанным в качестве адресата. Ознакомление с материалами с данной пометкой также возможно для руководителей участвующих сторон обмена и специалистов, в чьи полномочия входит решение вопросов соответствующей тематики сообщения без права передачи третьим лицам и сторонним организациям.


Amber (Желтый). Ознакомление с информацией ограничивается кругом специалистов участвующих сторон, работников, имеющих легитимный доступ к защищаемому информационному ресурсу, сотрудников правоохранительных органов и специалистов сторонних организаций, привлекаемых к обеспечению защиты информации данного информационного ресурса. При передаче такой информации указанным лицам в сопроводительном тексте для них делается запись о недопустимости распространения направляемых сведений.


Green (Зеленый). Возможна передача информации для ознакомления специалистам в сфере информационной безопасности и другим лицам. При распространении такой информации сохраняется авторство первоисточника.


3. Статус инцидента. Возможны следующие статусы:


меры приняты, инцидент исчерпан (вес - 0);


меры приняты, инцидент не исчерпан (вес - 10).


Поле предназначено для указания состояния КИ. КИ является исчерпанным в случае, если вредоносные воздействия завершились и были приняты меры по предотвращению последствий компьютерного инцидента.


4. Необходимость содействия. Значение поля может быть:


необходимо содействие (вес - 10);