Про регламент взаимодействия с FinCERT +mm

Про регламент взаимодействия с FinCERT +mm
Недавно FinCERT опубликовал " Временный регламент передачи данных участников информационного обмена в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (версия 1.0) ". Он, как это понятно, определяет формат и сроки предоставления информации участником информационного взаимодействия с FinCERT.

Наличие такого документа - это большой шаг в сторону повышения эффективности информационного обмена, что, в перспективе, может существенно повысить безопасность финансовых организаций. Очень хорошо, что он появился.

На мой взгляд, табличное отображение данных в документе не очень удобное. В частности, есть совсем "пустые" столбцы (например, "Периодичность и срок предоставления"), а есть слишком перегруженные информацией (например, "Примечание" при описании уязвимостей)? это затрудняет анализ документа. Поэтому для себя сделал вот такую майндкарту (в PDF тут ):

На что обратил внимание:
  • По сути, документ не совсем регламент. В нем ничего не говорится, например, о том, что FinCERT будет делать с полученной информацией, куда она будет передана, в каком виде и в какие сроки. Авторы дают возможность связи с FinCERT посредством электронной почты и телефона, но не упоминают ни о времени приема (режим работы), ни о времени реагирования на запрос. А это может быть критично при ночных инцидентах и для финансовых учреждений, расположенных в других часовых поясах от Москвы. Ничего не сказано про то, что финансовые организации могут получить от FinCERT, хотя об этом говорили уже не раз, например,  вот в этой презентации . Надеюсь, что при следующем обновлении документа эта информация будет добавлена.

  • Мне показалось странным и не совсем очевидным разделение информации об инцидентах и угрозах. Как это видно из майндкарты, они используют одинаковые идентификаторы (коды/типы/классы), причем их перечень периодически дополняется (добавленные элементы помечены красным). Возможно в следующей редакции их стоит объединить в одну группу. Еще обратил внимание, что не все инциденты/угрозы можно описать в предлагаемых терминах. Например, что делать с "утечками информации" (если источником является внутренний нарушитель, т.е. не было НСД), или скиммерами. или физическим взломом банкоматов? Здесь могла бы пригодиться корреляция с РС БР ИББС-2.5-2014 (Менеджмент инцидентов ИБ), но она не предусмотрена.

  • Несколько раз упоминается ГосСОПКА... Присмотритесь к этому, это важно!

В целом документ получился полезный! Он, как минимум, дает понимание того, что можно ожидать/получать от FinCERTа, и в каком направлении FinCERT развивает свою деятельность... Стоит к нему присмотреться.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

Andrey Prozorov

Информационная безопасность в России и мире