Недавно FinCERT опубликовал " Временный регламент передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (версия 1.0) ". Он, как это понятно, определяет формат и сроки предоставления информации участником информационного взаимодействия с FinCERT.
Наличие такого документа - это большой шаг в сторону повышения эффективности информационного обмена, что, в перспективе, может существенно повысить безопасность финансовых организаций. Очень хорошо, что он появился.
На мой взгляд, табличное отображение данных в документе не очень удобное. В частности, есть совсем "пустые" столбцы (например, "Периодичность и срок предоставления"), а есть слишком перегруженные информацией (например, "Примечание" при описании уязвимостей)? это затрудняет анализ документа. Поэтому для себя сделал вот такую майндкарту (в PDF тут ):
На что обратил внимание:
- По сути, документ не совсем регламент. В нем ничего не говорится, например, о том, что FinCERT будет делать с полученной информацией, куда она будет передана, в каком виде и в какие сроки. Авторы дают возможность связи с FinCERT посредством электронной почты и телефона, но не упоминают ни о времени приема (режим работы), ни о времени реагирования на запрос. А это может быть критично при ночных инцидентах и для финансовых учреждений, расположенных в других часовых поясах от Москвы. Ничего не сказано про то, что финансовые организации могут получить от FinCERT, хотя об этом говорили уже не раз, например, вот в этой презентации . Надеюсь, что при следующем обновлении документа эта информация будет добавлена.
- Мне показалось странным и не совсем очевидным разделение информации об инцидентах и угрозах. Как это видно из майндкарты, они используют одинаковые идентификаторы (коды/типы/классы), причем их перечень периодически дополняется (добавленные элементы помечены красным). Возможно в следующей редакции их стоит объединить в одну группу. Еще обратил внимание, что не все инциденты/угрозы можно описать в предлагаемых терминах. Например, что делать с "утечками информации" (если источником является внутренний нарушитель, т.е. не было НСД), или скиммерами. или физическим взломом банкоматов? Здесь могла бы пригодиться корреляция с РС БР ИББС-2.5-2014 (Менеджмент инцидентов ИБ), но она не предусмотрена.
- Несколько раз упоминается ГосСОПКА... Присмотритесь к этому, это важно!
В целом документ получился полезный! Он, как минимум, дает понимание того, что можно ожидать/получать от FinCERTа, и в каком направлении FinCERT развивает свою деятельность... Стоит к нему присмотреться.