Подсказки по выполнению 187-ФЗ. Реагирование на компьютерные инциденты. Часть 2.

Подсказки по выполнению 187-ФЗ. Реагирование на компьютерные инциденты. Часть 2.


Начало - https://valerykomarov.blogspot.com/2019/10/187_14.html#more

   Продолжаем обсуждать выстраивание субъектом КИИ процессов выявления и реагирования на компьютерные инциденты на своих ОКИИ без использования средств ГосСОПКА.
name='more'>
   В варианте карточки регистрации учета компьютерных инцидентов № 2 (для продвинутой ИБ) необходимо заполнить строку № 13 «Технические параметры компьютерного инцидента».      В данной заметке приведены стандартизированные формы по каждому типу компьютерных инцидентов на ОКИИ (приложение к карточке №2).

  Заражение ВПО

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Email-адреса объектов атаки

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами

Доменные имена контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами

URI-адреса

Email-адреса контролируемого информационного ресурса

Hash-суммы модулей

Вердикты антивирусных средств и наименование соответствующих антивирусных средств (в случае положительного выявления модулей вредоносного программного обеспечения)


Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Email-адреса объектов атаки

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами

Доменные имена контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами

URI-адреса

Email-адреса контролируемого информационного ресурса

Hash-суммы модулей

Вердикты антивирусных средств и наименование соответствующих антивирусных средств (в случае положительного выявления модулей вредоносного программного обеспечения)


Попытки внедрения модулей вредоносного программного обеспечения

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Email-адреса объектов атаки

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами

Доменные имена контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами

URI-адреса

Email-адреса контролируемого информационного ресурса

Hash-суммы модулей

Вердикты антивирусных средств и наименование соответствующих антивирусных средств (в случае положительного выявления модулей вредоносного программного обеспечения)


Компьютерная атака типа «отказ в обслуживании»

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Мощность компьютерной атаки
-     пакетов в секунду
-     килобайт в секунду
-     запросов в секунду
Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки


Распределенная компьютерная атака типа «отказ в обслуживании»

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Мощность компьютерной атаки
-     пакетов в секунду
-     килобайт в секунду
-     запросов в секунду
Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Блок маршрутизируемых IP-адресов, используемый для проведения компьютерной  атаки


Несанкционированный вывод системы из строя

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки


Непреднамеренное отключение системы

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки


Успешная эксплуатация уязвимости

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами

Доменные имена, используемые для осуществления атаки

URI-адреса


Компрометация учетной записи

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки


Попытки эксплуатации уязвимости

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

URI-адреса, используемые для осуществления атаки


Попытки авторизации в информационном ресурсе

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки


Сканирование информационного ресурса

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Блок маршрутизируемых IP-адресов объекта атаки

Доменные имена объектов атаки

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки


Прослушивание (захват) сетевого трафика

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Номер атакованной Автономной системы

Легитимно анонсируемый блок IP-адресов

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

Нелегитимно анонсируемый блок
IP-адресов (more specific)

Номер подставной Автономной системы


Социальная инженерия

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

URI-адреса, используемые для осуществления атаки


Несанкционированное разглашение информации

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

URI-адреса, используемые для осуществления атаки


Несанкционированное изменение информации

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

URI-адреса, используемые для осуществления атаки


Рассылка незапрашиваемых электронных сообщений

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Email-адреса объектов атаки

Доменные имена объектов атаки

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

Email-адреса, используемые для осуществления атаки

  

Публикация запрещенной законодательством РФ информации

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

URI-адреса, используемые для осуществления атаки


Злоупотребление при использовании информационного ресурса

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки


Публикация мошеннического информационного ресурса

Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Индикаторы вредоносной активности
IP-адреса (маршрутизируемые), используемые для осуществления атаки

Доменные имена, используемые для осуществления атаки

URI-адреса, используемые для осуществления атаки


Наличие уязвимости или недостатка конфигурации в информационном ресурс



Технические параметры инцидента
IP-адреса (маршрутизируемые) объектов атаки

Доменные имена объектов атаки

URL-адреса, подверженные атаке



P. S. Телеграм-группа для обсуждения заметки  https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности