Действующий
при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, об установлении на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников обмена [21];
при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, о снятии с их банковских (корреспондентских) счетов (субсчетов) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников обмена [21].
10.1. Идентификационные данные запроса участников информационного обмена в Банк России об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации. Блок данных [HEADER]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования |
1.1 | "schemaType" (поле данных) | тип электронного сообщения | Указывается значение [lockRequest] - запрос участников информационного обмена об установлении или снятии ограничения на списание денежных средств с их банковских (корреспондентских) счетов (субсчетов) | {"header": {"schemaType": "lockRequest","schemaVersion": "1","version": "1","memberId": "9527dd0c-0765-4f1c-8f5f-70a02cf4046c","sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","publishedAt": "2002-10-02T15:00:00.05Z"}, | [O] |
1.2 | "schemaVersion" (поле данных) | версия схемы типа электронного сообщения | текстовое поле (textarea) | [O] | |
1.3 | "version" (поле данных) | номер версии электронного сообщения в процессе информационного обмена | числовое значение (int) | [O] | |
1.4 | "memberId" (поле данных) | идентификатор участника информационного обмена, присвоенный Банком России | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный Банком России | [O] | |
1.5 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | |
1.6 | "publishedAt" (поле данных) | дата и время направления запроса в Банк России | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] |
10.2. Описание формы запроса участников информационного обмена в Банк России об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации. Блок данных [lockRequest]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования |
2.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "lockRequest": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","orgBik": "123456789","regNumber": "123456789","uniqIdentifier": "1234567891","actionStatus": "статус ограничения на списание денежных средств","dateAt": "20180101","text": "дополнительное описание","persons": {"lastName": "фамилия","firstName": "имя","middleName": "отчество","landlineNumber": "1212312345678","mobileNumber": "1212312345678","email": "[email protected]","position": "должность"},"attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"}}}]} | [O] |
2.2 | "orgBik" (поле данных) | БИК участника информационного обмена | в формате AAAAAAAAA | [O] | |
2.3 | "regNumber" (поле данных) | регистрационный номер из книги государственной регистрации кредитных организаций | текстовое поле (textarea) | [O] | |
2.4. | "uniqIdentifier" (поле данных) | уникальный идентификатор составителя электронного сообщения (УИС) [22] | в формате XXXXXXXXXX | [O] | |
2.5 | "actionStatus" (поле данных) | статус ограничения на списание денежных средств | Выбирается один код из ограниченного множества возможных значений: - [on] - обращение об установлении ограничения в виде запрета на списание денежных средств с банковских (корреспондентских) счетов (субсчетов); - [off] - обращение о снятии ограничения в виде запрета на списание денежных средств с банковских (корреспондентских) счетов (субсчетов) | [O] | |
2.6 | "dateAt" (поле данных) | календарная дата, с которой необходимо приостановить обмен электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России в связи с выявлением проблем в обеспечении защиты информации и осуществлением (подозрением на осуществление) несанкционированных переводов денежных средств | формат представления данных в соответствии со стандартом ISO 8601:2004 [23] | [O] | |
2.7 | "text" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | |
2.8 | "person" (блок данных) | идентификаторы контактного лица, направившего запрос об установлении или снятии на банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств | [O] | ||
2.8.1 | "lastName" (поля данных) | фамилия | текстовое поле (textarea) | [O] | |
2.8.2 | "firstName" (поля данных) | имя | текстовое поле (textarea) | [O] | |
2.8.3 | "middleName" (поля данных) | отчество | текстовое поле (textarea) | [O] | |
2.8.4 | "landlineNumber" (поля данных) | городской телефон | текстовое поле (textarea) | [O] | |
2.8.5 | "mobileNumber" (поля данных) | мобильный телефон | текстовое поле (textarea) | [O] | |
2.8.6 | "email" (поля данных) | электронный адрес | текстовое поле (textarea) | [O] | |
2.8.7 | "position" (поля данных) | должность | текстовое поле (textarea) | [O] | |
2.9 | "attachment" (блок данных) | дополнительные данные для подтверждения установления или снятия ограничения в виде запрета на списание денежных средств | [O] | ||
2.9.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [O] | |
2.9.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [O] | |
2.9.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | |
2.9.4 | "file" (блок данных) | файл данных | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [O] |
11. Форма информационного сообщения Банка России об установлении (или снятии) на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств
Форма информационного сообщения Банка России об установлении (или снятии) на банковские (корреспондентские) счета (субсчета) участников обмена ограничения в виде запрета на списание денежных средств применяется:
при направлении уведомления участнику информационного обмена в случае положительного результата контроля целостности и принятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств [21];
при направлении уведомления участнику информационного обмена в случае отрицательного результата контроля целостности и непринятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств [21].
11.1. Идентификационные данные информационного сообщения Банка России об установлении (или снятии) на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств. Блок данных [HEADER]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
1.1 | "schemaType" (поле данных) | тип электронного сообщения | Указывается значение [lockResponse] - информационное сообщение Банка России об установлении (или снятии) на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств | {"header": {"schemaType": "lockResponse","schemaVersion": "1","version": "1","memberId": "9527dd0c-0765-4f1c-8f5f-70a02cf4046c","sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","publishedAt": "2002-10-02T15:00:00.05Z"}, |
1.2 | "schemaVersion" (поле данных) | версия схемы типа электронного сообщения | текстовое поле (textarea) | |
1.3 | "version" (поле данных) | номер версии электронного сообщения в процессе информационного обмена | числовое значение (int) | |
1.4 | "memberId" (поле данных) | идентификатор участника информационного обмена, присвоенный Банком России | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный Банком России | |
1.5 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
1.6 | "publishedAt" (поле данных) | дата и время информирования участника информационного обмена | формат представления данных в соответствии со спецификацией RFC 3339 [11]. |
11.2. Описание формы информационного сообщения Банка России об установлении (или снятии) на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств. Блок данных [lockResponse]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
2.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "lockResponse": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","orgBik": "123456789","regNumber": "123456789","uniqIdentifier": "1234567891","actionStatus": "статус ограничения на списание денежных средств","coordinationStatus": "статус выполнения контроля целостности запроса на установление или снятие ограничения в виде запрета на списание денежных средств","dateAt": "20180101","text": "дополнительное описание","attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"}}}]} |
2.2 | "orgBik" (поле данных) | БИК участника информационного обмена | в формате AAAAAAAAA | |
2.3 | "regNumber" (поле данных) | регистрационный номер из книги государственной регистрации кредитных организаций | текстовое поле (textarea) | |
2.4 | "uniqIdentifier" (поле данных) | уникальный идентификатор составителя электронного сообщения (УИС) [22] | в формате XXXXXXXXXX | |
2.5 | "actionStatus" (поле данных) | статус ограничения на списание денежных средств | Выбирается один код из ограниченного множества возможных значений: - [on] - обращение об установлении ограничения в виде запрета на списание денежных средств с банковских (корреспондентских) счетов (субсчетов); - [off] - обращение о снятии ограничения в виде запрета на списание денежных средств с банковских (корреспондентских) счетов (субсчетов) | |
2.6 | "coordination Status" (поле данных) | статус выполнения контроля целостности запроса на установление (или снятие) на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств | Выбирается один код из ограниченного множества возможных значений: - [accepted] - положительный результат контроля целостности и принятие к исполнению запроса на установление (или снятие) ограничения в виде запрета на списание денежных средств; - [rejected] - отрицательный результат контроля целостности и непринятие к исполнению запроса на установление (или снятие) ограничения в виде запрета на списание денежных средств | |
2.7 | "dateAt" (поле данных) | календарная дата, с которой необходимо отменить приостановление обмена электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России в связи с выявлением проблем в обеспечении защиты информации и осуществлением (подозрением на осуществление) несанкционированных переводов денежных средств | формат представления данных в соответствии со стандартом ISO 8601:2004 [23] | |
2.8 | "text" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
2.9 | "attachment" (блок данных) | дополнительные данные, содержащие информацию об осуществленных операциях по банковским (корреспондентским) счетам (субсчетам) участника информационного обмена | ||
2.9.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
2.9.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
2.9.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
2.9.4 | "file" (блок данных) | файл данных | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 |
12. Форма распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
1.1 | "schemaType" (поле данных) | тип электронного сообщения | Указывается значение [REACTION] - информационный бюллетень Банка России | {"header": {"schemaType": "reaction","schemaVersion": "1","version": "1","publishedAt": "2002-10-02T15:00:00.05Z"}, |
1.2 | "schemaVersion" (поле данных) | версия схемы типа электронного сообщения | текстовое поле (textarea) | |
1.3 | "version" (поле данных) | номер версии электронного сообщения в процессе информационного обмена | числовое значение (int) | |
1.4 | "publishedAt" (поле данных) | дата и время информирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] |
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
1.1 | "fixationAt" (поле данных) | дата и время реализации инцидента у участника информационного обмена | формат представления данных в соответствии со спецификацией RFC 3339 [11] | "reaction": {"fixationAt": "2002-10-02T15:00:00.05Z","rootCause": "ключевые причины возникновения инцидента","vectorCode": "идентификатор вектора компьютерной атаки","serviceType": [{"type": "тип атакуемого объекта","name": "наименование программного/аппаратного обеспечения","version": "версия программного/аппаратного обеспечения","description": "дополнительное описание типа атакуемого объекта"}],"typeOfAttack": "код типа компьютерной атаки","antifraudDistribution": [{"device": {"ip": "127.0.0.1","imsi": "международный идентификатор мобильного абонента (индивидуальный номер абонента)","imei": "международный идентификатор мобильного оборудования",aiic": "acquiring institution identification code (32 поле ISO 8583)","cati": "card acceptor terminal identification (41 поле ISO 8583)","caic": "card acceptor identification code (42 поле ISO 8583)"},"payee": {"bik": "123456789","hash": "P79969612A71BAB224C7CB534FD7A0D3C1C78AD40664C48F12A9AE48FA441E11","hashSnils": "B49087832A71BAB224C7CB534FD7A0D3C1C78AD40664C48F12A9AE48FA441E44","inn": "123456789000","transferId": {"paymentCard": {"number": "123412341234123412"},"settlement": {"number": "12345123451234512345"},"phoneNumber": {"number": "1212312345678"},"idNumber": {"number": "1KoX6AA5VTdbBTkw27YEqKFaTtEQq97AAT"}}},"additionalStatus": {"crossBorder": "идентификатор трансграничности","additionalTransactionApprove": ["идентификатор дополнительного подтверждения операции"]}}], |
1.2 | "rootCause" (поле данных) | ключевые причины возникновения инцидента | текстовое поле (textarea) | |
1.3 | "vectorCode" (поле данных) | идентификатор вектора компьютерной атаки | Выбирается один код из ограниченного множества возможных значений: - вектор [INT] - направленный на инфраструктуру участника информационного обмена; - вектор [EXT] - направленный на клиента участника информационного обмена | |
1.4 | "serviceType" (блок данных) | идентификатор объекта информационной инфраструктуры | В случае необходимости указания нескольких значений полей данных (type, name, version, description) указывается один или несколько объектов в блоке данных "serviceType" | |
1.4.1 | "type" (поле данных) | тип атакуемого объекта | Выбирается один код из ограниченного множества возможных значений: 1) системные уровни: - [hw] - аппаратное обеспечение, - [net] - сетевое оборудование, - [net_s] - сетевые приложения и сервисы, - [hw_s] - серверные компоненты виртуализации, программные инфраструктурные сервисы, - [os] - операционные системы, системы управления базами данных, серверы приложений; | |
2) уровень AC и приложений, эксплуатируемых для предоставления услуг в рамках бизнес-процессов или технологических процессов участника информационного обмена: - [rbs] - система дистанционного банковского обслуживания, - [front-office] - система обработки транзакций, осуществляемых с использованием платежных карт, - [web] - информационные ресурсы сети Интернет, - [abs] - автоматизированная банковская система, - [back-office] - система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт; - [participant_w] - автоматизированные системы используемые работниками участника информационного обмена | ||||
3) уровень AC и приложений клиента участника информационного обмена: - [cfs] - файловый сервер, - [crbs] - система дистанционного банковского обслуживания, - [ecs] - сервер электронной почты; - [clien_w] - автоматизированные системы используемые работниками клиента участника информационного обмена; | ||||
4) иная система: - [oth] - иная система | ||||
1.4.2 | "name" (поле данных) | наименование программного/аппаратного обеспечения | текстовое поле (textarea) | |
1.4.3 | "version" (поле данных) | версия программного/аппаратного обеспечения | текстовое поле (textarea) | |
1.4.4 | "description" (поле данных) | дополнительное описание типа атакуемого объекта | текстовое поле (textarea) | |
1.5 | "typeOfAttack" (поле данных) | идентификатор типа компьютерной атаки | Выбирается один код из ограниченного множества возможных значений: - [trafficHijackAttacks] - компьютерные атаки, связанные с изменением маршрутно-адресной информации; - [malware] - компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры участников информационного обмена и их клиентов; - [socialEngineering] - компьютерные атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления доверием; - [ddosAttacks] - компьютерные атаки типа "отказ в обслуживании" (DDoS-атаки) применительно к информационной инфраструктуре участников информационного обмена; - [atmAttacks] - компьютерные атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам участников информационного обмена; - [vulnerabilities] - компьютерные атаки, связанные с эксплуатацией уязвимостей информационной инфраструктуры участников информационного обмена и их клиентов; - [bruteForces] - компьютерные атаки, связанные с подбором (взломом), компрометацией аутентификационных (учетных) данных; - [spams] - компьютерные атаки, связанные с реализацией спам-рассылки, осуществляемой в отношении участников информационного обмена и их клиентов; - [controlCenters] - компьютерные атаки, связанные с выявлением взаимодействия объектов информационной инфраструктуры участников информационного обмена с командными центрами Ботнет; - [sim] - компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента (IMSI) номера сим-карты, а также с заменой идентификатора мобильного оборудования (IMEI); - [phishingAttacks] - компьютерные атаки, связанные с информацией, вводящей участников информационного обмена и их клиентов, а также иных лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети Интернет, вследствие сходства доменных имен, оформления или содержания; - [prohibitedContents] - компьютерные атаки, связанные с распространением информации, касающейся предложения и (или) предоставления на территории Российской Федерации финансовых услуг лицами, не имеющими права их оказывать в соответствии с законодательством Российской Федерации. Размещение в сети Интернет запрещенного контента; - [maliciousResources] - компьютерные атаки, связанные с размещением в сети Интернет информации, позволяющей осуществить неправомерный доступ к информационным системам участников информационного обмена и их клиентов, используемым при предоставлении (получении) финансовых услуг, в том числе путем неправомерного доступа к конфиденциальной информации клиентов. Размещение в сети Интернет вредоносного ресурса; - [changeContent] - компьютерные атаки, связанные с изменением контента; - [scanPorts] - компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры участников информационного обмена лицами, не обладающими соответствующими полномочиями; - [other] - иные компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов | |
"antifraudDistribution" (блок данных) | В случае необходимости указания нескольких значений полей данных (device, payee, additional Status) указывается один или несколько объектов в блоке данных "antifraudDistribution" | |||
1.6 | "device" (подблок данных) | идентификаторы устройства, с которого осуществлялась несанкционированная операция | ||
1.6.1 | "ip" (поле данных) | сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора) (IP) | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
1.6.2 | "imsi" (поле данных) | International Mobile Subscriber Identity (IMSI) - международный идентификатор мобильного абонента (индивидуальный номер абонента (клиента - физического лица), по которому система распознает пользователя мобильной связи, использующего стандарты GSM и UMTS | число (15-разрядное в десятичном представлении) AA-BBBBBB-CCCCCC-EE | |
1.6.3 | "imei" (поле данных) | International Mobile Equipment Identity (IMEI) - международный идентификатор мобильного оборудования (мобильного устройства клиента - физического лица) | число (15-разрядное в десятичном представлении) AA-BBBBBB-CCCCCC-EE | |
1.6.4 | "aiic" (поле данных) | идентификатор участника, являющегося банком-эквайрером при осуществлении операций по переводу денежных средств с использованием платежных карт | идентификатор участника, являющегося банком-эквайрером при осуществлении операций по переводу денежных средств с использованием платежных карт (Acquiring institution identification code) - поле "F032" стандарта финансовых сообщений ISO 8583 [7], [8], [9] | |
1.6.5 | "cati" (поле данных) | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств (Card acceptor terminal identification), - поле "F041" <*> стандарта финансовых сообщений ISO 8583 [7], [8], [9] | |
<*> Значение идентификатора терминала должно быть выровнено влево и дополнено пробелами справа до 8 символов | ||||
1.6.6 | "caic" (поле данных) | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств, по его географическому местоположению | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств, по его географическому местоположению (Card acceptor identification code) - поле "F042" <*> стандарта финансовых сообщений ISO 8583 [7], [8], [9] | |
<*> Значение идентификатора пункта обслуживания должно быть выровнено влево и дополнено пробелами справа до 15 символов | ||||
1.7 | "payee" (блок данных) | информация, определяющая получателя перевода денежных средств без согласия клиента (далее - информация о получателе средств) | ||
1.7.1 | "bik" (поле данных) | БИК оператора по переводу денежных средств, обслуживающего получателя средств | в формате AAAAAAAAA | |
1.7.2 | "hash" (поле данных) | последовательность символов, полученных в результате вычисления хэш-функции SHA-256 от серии и номера документа удостоверяющего личность | Последовательность символов, полученных в результате вычисления хэш-функции SHA-256 от серии и номера документа удостоверяющего личность. | |
Серия и номер документа удостоверяющего личность представляется для вычисления хэш-функции: без пробелов (_), знака номера (N), букв (при их наличии) в верхнем регистре (ABC). | ||||
Для российского паспорта это XXXXYYYYYY, где: XXXX - четырехзначная серия паспорта; YYYYYY - шестизначный номер паспорта. | ||||
Кодировка исходного текста (до хэширования) - Windows-1251; Кодировка текста хэша - Windows-1251. | ||||
1.7.3 | "hashSnils" (поле данных) | номер СНИЛС в виде хэш-функции SHA-256 | Последовательность символов, полученных в результате вычисления хэш-функции SHA-256 от СНИЛС плательщика. | |
СНИЛС представляется для вычисления хэш-функции: без пробелов (_) и знаков разделения (-). СНИЛС вида: XXXXXXXXXXX | ||||
Кодировка исходного текста (до хэширования) - Windows-1251; Кодировка текста хэша - Windows-1251. | ||||
1.7.4 | "inn" (поле данных) | ИНН получателя средств - юридического лица | в формате XXXXXXXXXX - для юридических лиц, в формате XXXXXXXXXX или XXXXXXXXXXXX - для индивидуальных предпринимателей и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой | |
1.7.5 | "transferId" (подблок данных) | идентификационные данные в зависимости от способа реализации перевода денежных средств | ||
1.7.5.1 | "paymentCard" (подблок данных) | при осуществлении операций по переводу денежных средств с использованием платежных карт | В случае необходимости указания нескольких значений поля данных (number) указывается один или несколько объектов в подблоке данных "paymentCard" | |
1.7.5.1.1 | "number" (поле данных) | номер платежной карты получателя средств, выданной ему и (или) лицу, уполномоченному получателем средств, оператором по переводу денежных средств - эмитентом | в формате XXXXXXXXXXXXXXXXXX | |
номер платежной карты представляется без пробелов (_) и знаков разделения (-). | ||||
1.7.5.2 | "settlement" (подблок данных) | при осуществлении переводов денежных средств по банковским счетам посредством списания денежных средств с банковских счетов плательщиков | В случае необходимости указания нескольких значений поля данных (number) указывается один или несколько объектов в подблоке данных "settlement" | |
1.7.5.2.1 | "number" (поле данных) | номер банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств | в формате XXXXXXXXXXXXXXXXXX | |
номер банковского счета представляется без пробелов (_) и знаков разделения (-). | ||||
1.7.5.3 | "phoneNumber" (подблок данных) | при осуществлении переводов денежных средств по абонентскому номеру телефона | В случае необходимости указания дополнительного значения поля данных (number) указывается один или несколько объектов в подблоке данных "phoneNumber" | |
1.7.5.3.1 | "number" (поле данных) | номер телефона получателя средств | в формате KKKXXXNNNNNNNN, где: KKK - от одного до трех символов кода страны; XXX - код оператора; NNNNNNN - 7 знаков номера. | |
Номер телефона представляется без знака плюс (+), пробелов (_) и знаков разделения (-). | ||||
1.7.5.4 | "idNumber" (подблок данных) | при изменении остатка электронных денежных средств | В случае необходимости указания дополнительного значения поля данных (number) указывается один или несколько объектов в подблоке данных "idNumber" | |
1.7.5.4.1 | "number" (поле данных) | идентификационный номер получателя средств, в частности номер электронного кошелька получателя средств, используемого им на основании договора банковского счета и (или) договора об использовании электронного средства платежа, заключенного с оператором по переводу денежных средств | текстовое поле (textarea) | |
1.8 | "crossBorder" (поле данных) | идентификатор трансграничности | Выбирается один код из ограниченного множества возможных значений: - [CRB] - трансграничный перевод; - [DOM] - перевод внутри страны | |
1.9 | "additionalTrans-actionApprove" (поле данных) | идентификатор дополнительного подтверждения операции | Выбирается один или несколько кодов из ограниченного множества возможных значений: - [3DS] - операция подтверждена с использованием 3D Secure; - [DCS] - реализация технологических мер по использованию раздельных технологий [3]; - [NAA] - операция без подтверждения; - [SMS] - подтверждение операции выполнено с применением коротких текстовых сообщений (СМС); - [LTR] - операция выполнена в соответствии со списком доверенных получателей средств; - [TEL] - операция подтверждена по телефону; - [OAA] - иной способ подтверждения |
12.3. Информация о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов, а также соответствующие формы электронных сообщений. Блок данных [IMPACTS]
12.3.1. Компьютерные атаки, связанные с изменением маршрутно-адресной информации [trafficHijackAttacks] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
1.1 | "legalAsPath" (поле данных) | Штатный AS-Path | текстовое поле (textarea) | "impacts": {"trafficHijackAttacks": [{"legalAsPath": "Штатный AS-Path","wrongAsPath": "Подставной AS-Path","lookingGlass": "Ссылка на используемый Looking Glass для проверки AS-Path","legalPrefix": "Штатный prefix","wrongPrefix": "Подставной prefix"}], |
1.2 | "wrongAsPath" (поле данных) | Подставной AS-Path | текстовое поле (textarea) | |
1.3 | "lookingGlass" (поле данных) | Ссылка на используемый Looking Glass для проверки AS-Path | текстовое поле (textarea) | |
1.4 | "legalPrefix" (поле данных) | Штатный prefix | текстовое поле (textarea) | |
1.5 | "wrongPrefix" (поле данных) | Подставной prefix | текстовое поле (textarea) |
12.3.2. Компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры участников информационного обмена и их клиентов [malware] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
2.2 | "sources" (блок данных) | идентификаторы источников вредоносных ресурсов в сети Интернет, с которыми взаимодействует атакуемый объект | В случае необходимости указания нескольких значений полей данных (ip, domain, url) указывается один или несколько объектов в блоке данных "sources". | "malware": [{"sources": [{"ip": "127.0.0.1","domain": "example.com","url": "http://example.com"}],"classifications": [{"vendorName": "наименование используемого участником информационного обмена средства от ВВК","vendorVerdict": "класс ВК в соответствии со средством от ВВК участника информационного обмена"}],"malwareSamples": [{"hash": {"md5": "4BA5139A444538479D9D750E2E2779BF","sha1": "D2B063763378A8CB38B192B2F71E78BC13783EFE","sha256": "E25059612A71BAB224C7CB438FD7A0D3C1C78AD40664C48F12A9AE48FA441E44"},"attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}],"malwareMessageSenders": [{"email": "[email protected]","server": "127.0.0.1"}],"malwareMessageAttachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах", |
2.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
2.2.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | |
2.2.3 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | |
2.3 | "classifications" (блок данных) | классификация вредоносного кода | В случае необходимости указания нескольких значений полей данных (vendorName, vendorVerdict) указывается один или несколько объектов в блоке данных "classifications" | |
2.3.1 | "vendorName" (поле данных) | наименование используемого участником информационного обмена средства от ВВК | текстовое поле (textarea) | |
2.3.2 | "vendorVerdict" (поле данных) | класс ВК в соответствии со средством от ВВК участника информационного обмена | текстовое поле (textarea) | |
2.4 | "malwareSamples" (блок данных) | указываются образцы ВК, который может характеризоваться хэш-функцией или прикрепленным вложением | В случае необходимости указания нескольких значений подблоков данных (hash, attachment) указывается один или несколько объектов в блоке данных "malwareSamples" | |
2.4.1 | "hash" (подблок данных) | образец ВК в виде хэш-функций (для каждого образца ВК вычисляется хэш-функция MD5, SHA-1, SHA-256) | "base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"},"harmfulResourceAddress": [{"ip": "127.0.0.1","domain": "example.com","url": "http://example.com"}],"iocs": [{"net": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}],"fil": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}],"reg": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}],"prc": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}],"oth": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}]}],"infectionMethod": [{"type": "тип предполагаемого способа заражения","comment": "примечание к выбранному типу"}]}], | |
2.4.1.1 | "md5" (поле данных) | образец ВК в виде хэш-функции MD5 | последовательность символов, полученных в результате вычисления хэш-функции MD5 | |
2.4.1.2 | "sha1" (поле данных) | образец ВК в виде хэш-функции SHA-1 | последовательность символов, полученных в результате вычисления хэш-функции SHA-1 | |
2.4.1.3 | "sha256" (поле данных) | образец ВК в виде хэш-функции SHA-256 | последовательность символов, полученных в результате вычисления хэш-функции SHA-256 | |
2.4.2 | "attachment" (подблок данных) | образец ВК в виде файла | ||
2.4.2.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
2.4.2.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
2.4.2.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
2.4.2.4.1 | "file" (подблок данных) | дополнительные материалы, содержащие образцы ВК | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
2.4.2.5 | "fileLink" (поле данных) | дополнительные материалы, содержащие образцы ВК | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | |
2.5 | "malwareMessage Senders" (блок данных) | идентификаторы электронных почтовых ящиков, с которых поступило письмо с вложенным ВК | В случае необходимости указания нескольких значений полей данных (email, server) указывается один или несколько объектов в блоке данных "malwareMessage" | |
2.5.1 | "email" (поле данных) | адрес электронного почтового ящика отправителя | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | |
2.5.2 | "server" (поле данных) | IP-адрес последнего почтового сервера | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
2.6 | malwareMessage- Attachment (подблок данных) | файл с исходным кодом электронного письма (в случае если ВК был прислан на электронный почтовый ящик) | ||
2.6.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
2.6.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
2.6.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11]. | |
2.6.4.1 | "file" (блок данных) | файл данных, содержащий образец ВК | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
2.6.4.2 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего образцы ВК | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | |
2.7 | "harmfulResource-Address" (блок данных) | идентификаторы вредоносного ресурса, с которого было загружен ВК | В случае необходимости указания нескольких значений полей данных (ip, domain, url) указывается один или несколько объектов в блоке данных "harmfulResourceAddress" | |
2.7.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
2.7.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | |
2.7.3 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | |
2.8 | "iocs" (блок данных) | выявленные индикаторы компрометации | В случае необходимости указания нескольких значений полей данных (net, fil, reg, prc, oth) указывается один или несколько объектов в блоке данных "iocs" | |
2.8.1 | "net" (подблок данных) | сетевые индикаторы | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "net" | |
2.8.1.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | |
2.8.1.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
2.8.2 | "fil" (подблок данных) | файловые индикаторы | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "fil" | |
2.8.2.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | |
2.8.2.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
2.8.3 | "reg" (подблок данных) | индикаторы реестра ОС | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "reg" | |
2.8.3.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | |
2.8.3.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
2.8.4 | "prc" (подблок данных) | индикаторы процессов ОС | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "prc" | |
2.8.4.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | |
2.8.4.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
2.8.5 | "oth" (подблок данных) | индикаторы, не учтенные в (2.8.1 - 2.8.4.2.) | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "oth" | |
2.8.5.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | |
2.8.5.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
2.9 | "infectionMethod" (блок данных) | идентификатор предполагаемого способа "заражения" | В случае необходимости указания нескольких значений полей данных (type, comment) указывается один или несколько объектов в блоке данных "infectionMethod" | |
2.9.1 | "type" (поле данных) | тип предполагаемого способа заражения | Выбирается один код из ограниченного множества возможных значений: - [EML] - по каналам электронной почты; - [DSD] - с носителя информации; - [LCL] - распространение по локальной сети; - [OTH] - иной способ | |
2.9.2 | "comment" (поле данных) | примечание к выбранному типу | текстовое поле (textarea) |
12.3.3. Компьютерные атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления доверием [socialEngineering] (для вектора [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
3.1 | "soiTypes" (поле данных) | идентификаторы методов социальной инженерии | Выбирается один или несколько кодов из ограниченного множества возможных значений: - [MOB] - звонок с мобильного телефонного номера; - [TPH] - звонок с телефонного номера 8-800; - [SMS] - СМС-сообщение; - [SNW] - социальная инженерия с использованием социальных сетей; - [MSG] - социальная инженерия с использованием средств мгновенных сообщений; - [OTH] - иной способ реализации методов социальной инженерии | "socialEngineering": {"soiTypes": ["идентификаторы методов социальной инженерии"],"soiSenders": [{"phoneNumber": "1212312345678","email": "[email protected]","server": "127.0.0.1"}],"messageAttachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","datetimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"},"description": "дополнительное описание"}, |
3.2 | "soiSenders" (блок данных) | идентификаторы реализации методов социальной инженерии | В случае необходимости указания нескольких значений полей данных (phoneNumber, email, server) указывается один или несколько объектов в блоке данных "soiSenders" | |
3.2.1 | "phoneNumber" (поле данных) | телефонный номер | в формате KKKXXXNNNNNNNN, где: KKK - от одного до трех символов кода страны; XXX - код оператора; NNNNNNN - 7 знаков номера. | |
Номер телефона представляется без знака плюс (+), пробелов (_) и знаков разделения (-). | ||||
3.2.2 | "email" (поле данных) | электронный почтовый адрес | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | |
3.2.3 | "server" (поле данных) | IP-адрес последнего почтового сервера | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
3.3 | "message Attachment" (блок данных) | файлы данных, описывающих метод социальной инженерии | ||
3.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
3.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
3.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
3.3.4.1 | "file" (подблок данных) | файлы данных, описывающие метод социальной инженерии | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
3.3.5 | "fileLink" (поле данных) | файлы данных, описывающие метод социальной инженерии | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | |
3.4 | "description" (поле данных) | дополнительное описание | текстовое поле (textarea) |
12.3.4. Компьютерные атаки типа "отказ в обслуживании" (DDoS-атаки) применительно к информационной инфраструктуре участников информационного обмена [ddosAttacks] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
4.2 | "attackType" (блок данных) | тип атаки | "ddosAttacks": [{"attackType": {"type": "тип атаки (по уровням OSI)","comment": "дополнительное описание""sources": [{"ip": "127.0.0.1"}],"power": {"pps": "количество пакетов в секунду","mps": "количество мегабит в секунду","rps": "количество запросов в секунду"},"startTimeAt": "2018-03-22T08:14:38Z","endTimeAt": "2018-03-22T08:14:38Z","negativeImpact": {"type": "тип негативного влияния","comment": "дополнительное описание"}}], | |
4.2.1 | "type" (поле данных) | тип атаки (по уровням OSI) | Выбирается один код из ограниченного множества возможных значений:[1] - "L2/3: ICMP-flood",[2] - "L2/3: NTP-amplification",[3] - "L2/3: TFTP-amplification",[4] - "L2/3: SENTINEL-amplification",[5] - "L2/3: DNS-amplification",[6] - "L2/3: SNMP-amplification",[7] - "L2/3: SSDP-amplification",[8] - "L2/3: CHARGEN-amplification",[9] - "L2/3: RIPv1-amplification",[10] - "L2/3: BitTorrent-amplification",[11] - "L2/3: QTPD-amplification",[12] - "L2/3: Quake-amplification",[13] - "L2/3: LDAP-amplification",[14] - "L2/3: 49ad34-amplification",[15] - "L2/3: Portmap-amplification",[16] - "L2/3: Kad-amplification",[17] - "L2/3: NetBIOS-amplification",[18] - "L2/3: Steam-amplification",[19] - "L3: DPI-attack",[20] - "L4: LAND-attack",[21] - "L4: TCP-SYN-attack",[22] - "L4: TCP-ACK-attack",[23] - "L4: Smurf-attack",[24] - "L4: ICMP/UDP-frag",[25] - "L4: TCP-frag",[26] - "L6: SSL-attack",[27] - "L7: DNS Water Torture Attack",[28] - "L7: Wordpress Pingback DDoS",[29] - "L7: DNS-flood",[30] - "L7: HTTP/S-flood",[31] - "L7: FTP-flood",[32] - "L7: SMTP-flood",[33] - "L7: VoIP/SIP-attack",[34] - "L7: POP3-flood",[35] - "L7: SlowRate-attack,"[36] - "other" | |
4.2.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
4.3 | "sources" (блок данных) | идентификаторы источников реализации атаки | В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources" | |
4.3.1 | "ip" (поле данных) | IP-адрес источника реализации атаки (в случае большого количества источников компьютерной атаки в блоке "sources" указывается топ-100 IP-адресов атакующих, при этом полный перечень прикладывается в текстовом файле) | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
4.4 | "power" (блок данных) | мощность реализации атаки | ||
4.4.1 | "pps" (поле данных) | количество пакетов в секунду | пакет в секунду (Packet per second) | |
4.4.2 | "mps" (поле данных) | количество мегабит в секунду | мегабит в секунду (Megabit per second) | |
4.4.3 | "rps" (поле данных) | количество запросов в секунду | запросов в секунду (Request per second) | |
4.5 | "startTimeAt" (поле данных) | время начала атаки | формат представления данных в соответствии со спецификацией RFC 3339 [11]. | |
4.6 | "endTimeAt" (поле данных) | время окончания атаки | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
4.7 | "negativeImpact" (блок данных) | негативный эффект от реализации атаки | ||
4.7.1 | "type" (поле данных) | тип негативного влияния | Выбирается один код из ограниченного множества возможных значений: - [NAW] - прерывание доступности сервиса; - [OTH] - деградация сервиса; - [NCQ] - негативного влияния на сервис не оказано | |
4.7.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) |
12.3.5. Компьютерные атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам участников информационного обмена [atmAttacks] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
5.1 | "target" (блок данных) | идентификатор объекта атаки | "atmAttacks": {"target": {"type": "тип объекта атаки","description": "дополнительное описание"},"attackType": [{"type": "тип атаки в зависимости от объекта атаки","description": "дополнительное описание"}],"attackImages": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22Т08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}, | |
5.1.1 | "type" (поле данных) | тип объекта атаки | Выбирается один код из ограниченного множества возможных значений: - [ATM] - банкомат; - [CIN] - банкомат с возможностью приема наличных денежных средств; - [REC] - банкомат с функцией ресайклинга (recycling); - [POS] - POS-терминал; - [SST] - платежный терминал; - [OTH] - иной объект | |
5.1.2 | "description" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
5.2 | "attackType" (блок данных) | тип атаки | В случае необходимости указания нескольких значений полей данных (type, description) указывается один или несколько объектов в блоке данных "sources" | |
5.2.1 | "type" (поле данных) | тип атаки в зависимости от объекта атаки | Выбирается один код из ограниченного множества возможных значений: - [BBX] - атаки "блэкбокс"; - [DSP] - атаки "прямой диспенс" и их разновидности; - [SKM] - скимминг; - [OTH] - иной способ | |
5.2.2 | "description" (поле данных) | дополнительное описание | текстовое поле (textarea) | |
5.3 | attackImage (блок данных) | дополнительные материалы реализации атаки | ||
5.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
5.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
5.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
5.3.4.1 | "file" (подблок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
5.3.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] |
12.3.6. Компьютерные атаки, связанные с эксплуатацией уязвимостей информационной инфраструктуры участников информационного обмена и их клиентов [vulnerabilities] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
6.2 | "sources" (блок данных) | идентификаторы источников, с которых была выявлена эксплуатация уязвимости | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "sources" | "vulnerabilities": [{"sources": [{"ip": "127.0.0.1","url": "http://example.com"}],"identifier": "идентификатор уязвимости","CVSS": "метрика CVSS"}], |
6.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
6.2.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | |
6.3 | "identifier" (поле данных) | идентификатор уязвимости | Если выявлена уязвимость, должен быть указан ее тип в соответствии с классификацией ФСТЭК России, CVE: - ФСТЭК России - https://bdu.fstec.ru/vul; - Common Vulnerabilities and Exposures (CVE) - https://cve.mitre.org/data/downloads/allitems.html | |
6.4 | "CVSS" (поле данных) | метрика CVSS | Указывается метрика CVSS v 3.0 (The Common Vulnerability Scoring System (CVSS), если определена <*>. Указывается максимально возможное количество метрик из перечисленных: базовая метрика, временная метрика, контекстная метрика, метрика окружения. | |
<*> В случае если метрика не определена, необходимо использовать калькулятор ФСТЭК России - https://bdu.fstec.ru/cvss3 |
12.3.7. Компьютерные атаки, связанные с подбором (взломом), компрометацией аутентификационных (учетных) данных [bruteForces] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
7.2 | "sources" (блок данных) | идентификаторы источников реализации атаки | В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources" | "bruteForces": [{"sources": [{"ip": "127.0.0.1"}]}], |
7.2.1 | "ip" (поле данных) | IP-адрес источника реализации атаки (в случае большого количества источников компьютерной атаки в блоке данных "sources" указывается топ-100 IP-адресов атакующих, при этом полный перечень прикладывается в текстовом файле) | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] |
12.3.8. Компьютерные атаки, связанные с реализацией спам-рассылки, осуществляемой в отношении участников информационного обмена и их клиентов [spams] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
8.1 | "receivedAt" (поле данных) | дата и время получения спам-сообщения | формат представления данных в соответствии со спецификацией RFC 3339 [11] | "spams": [{"receivedAt": "2018-03-22T08:14:38Z","sources": [{"ip": "127.0.0.1","domain": "example.com","email": "[email protected]"}],"spamImages": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}], |
8.2 | "sources" (блок данных) | идентификаторы источников реализации атаки (отправители спам-сообщения) | В случае необходимости указания нескольких значений полей данных (ip, domain, email) указывается один или несколько объектов в блоке данных "sources" | |
8.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
8.2.2. | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | |
8.2.3 | "email" (поле данных) | электронный почтовый адрес отправителя спам-сообщения | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | |
8.3 | "spamImage" (блок данных) | образец спам-сообщения | ||
8.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
8.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
8.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
8.3.4 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
8.3.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] |
12.3.9. Компьютерные атаки, связанные с выявлением взаимодействия объектов информационной инфраструктуры участников информационного обмена с командными центрами Ботнет [controlCenters] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
9.2 | "hostUrl" (поле данных) | URL, на котором размещен командный центр Ботнет | URL в соответствии со спецификацией RFC 3986 [15] | "controlCenters": [{"hostUrl": "http://example.com","intruderIp": "1.1.1.1","intruderActions": "что предшествовало инциденту","description": "дополнительное описание командного центра Ботнет","nodes": [{"ip": "127.0.0.1","lastRequestRateTime": "2018-03-22T08:14:38Z"}]}], |
9.3 | "intruderIp" (поле данных) | IP-адрес злоумышленника, разместившего командный центр Ботнет | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
9.4 | "intruderActions" (поле данных) | описание несанкционированной активности в информационной инфраструктуре участника информационного обмена | текстовое поле (textarea) | |
9.5 | "description" (поле данных) | дополнительное описание командного центра Ботнет | текстовое поле (textarea) | |
9.6 | "nodes" (блок данных) | идентификаторы обращения к командному центру Ботнет | В случае необходимости указания нескольких значений полей данных (ip, lastRequestRateTimeAt) указывается один или несколько объектов в блоке данных | |
9.6.1 | "ip" (поле данных) | внешний IP-адрес (участника информационного обмена) | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
9.6.2 | "lastRequest RatetimeAt" (поле данных) | дата и время последнего взаимодействия с командным центром Ботнет | формат представления данных в соответствии со спецификацией RFC 3339 [11] |
12.3.10. Компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента (IMSI) номера сим-карты, а также с заменой идентификатора мобильного оборудования (IMEI) [sim] (для вектора [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
9.1 | "mobileOperator" (поле данных) | наименование мобильного оператора связи | текстовое поле (textarea) | "sim": {"mobileOperator": "наименование мобильного оператора связи","phoneNumber": "1212312345678","imsi": "уникальный номер сим-карты","imsiChangedAt": "2018-03-22T08:08:49Z"}, |
9.2 | "phoneNumber" (поле данных) | номер мобильного телефона | в формате KKKXXXNNNNNNNN, где: KKK - от одного до трех символов кода страны; XXX - код оператора; NNNNNNN - 7 знаков номера. | |
Номер телефона представляется без знака плюс (+), пробелов (_) и знаков разделения (-). | ||||
9.3 | "imsi" (поле данных) | уникальный номер сим-карты (номер imsi) | XXXXXXXXXXXXXXX | |
9.4 | "imsiChangedAt" (поле данных) | дата и время фиксации смены IMSI | формат представления данных в соответствии со спецификацией RFC 3339 [11] |
12.3.11. Компьютерные атаки, связанные с распространением информации, касающейся предложений и (или) предоставления на территории Российской Федерации финансовых услуг лицами, не имеющими права их оказывать в соответствии с законодательством Российской Федерации. Размещение в сети Интернет запрещенного контента [prohibitedContents] (для вектора [EXT], [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
12.1 | "sources" (блок данных) | идентификаторы источников запрещенного контента | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "target" | "prohibitedContents": [{"sources": [{"ip": "127.0.0.1","url": "http://example.com"}],"type": "тип контента"}], |
12.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
12.1.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | |
12.2 | "type" (поле данных) | тип запрещенного контента | текстовое поле (textarea) |
12.3.12. Компьютерные атаки, связанные с информацией, вводящей участников информационного обмена и их клиентов, а также иных лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети Интернет, вследствие сходства доменных имен, оформления или содержания. Фишинг [phishingAttacks] (для вектора [EXT], [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
11.2 | "harmful" (блок данных) | идентификаторы источников фишинговых ресурсов | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "harmful" | "phishingAttacks": [{"harmful": [{"ip": "127.0.0.1","url": "http://example.com"}],"fixationAt": "2018-03-22T08:14:38Z","messageAttachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}], |
11.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
11.2.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | |
11.3 | "fixationAt" (поле данных) | дата и время фиксирования фишингового сообщения | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
11.4 | "messageAttachment" (блок данных) | образец фишингового обращения | ||
11.4.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
11.4.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
11.4.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
11.4.4.1 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
11.4.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] |
12.3.15. Компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры участников информационного обмена лицами, не обладающими соответствующими полномочиями [scanPorts] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
15 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "scanPorts": [{"sources": [{"ip": "127.0.0.1"}],"ports": ["23"],"method": "информация о методах сканирования или используемом для этого программном обеспечении","startTimeAt": "2018-03-22T08:14:38Z","endTimeAt": "2018-03-22T08:14:38Z"}], |
15.2 | "sources" (блок данных) | идентификаторы источников вредоносной активности | В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources" | |
15.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
15.3 | "ports" (поле данных) | номера портов, которые подверглись сканированию | текстовое поле (textarea) | |
15.4 | "method" (поле данных) | информация о методах сканирования или используемом для этого программном обеспечении | текстовое поле (textarea) | |
15.5 | "startTimeAt" (поле данных) | время начала сканирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
15.6 | "endTimeAt" (поле данных) | время окончания сканирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] |
12.3.16. Иные компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов [other] (для вектора [INT], [EXT])
16.1 | "description" (поле данных) | описание компьютерной атаки | текстовое поле (textarea) | "other": {"description": "описание компьютерной атаки","target": {"ip": "127.0.0.1","url": "http://example.com"},"type": "тип контента","attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22Т08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}}, |
16.2 | "source" (блок данных) | идентификаторы иного источника вредоносного, запрещенного контента/ресурса | ||
16.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
16.2.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | |
16.2.3 | "type" (поле данных) | иной тип запрещенного, вредоносного, измененного контента | текстовое поле (textarea) | |
16.3 | "attachment" (блок данных) | дополнительные данные для идентификации компьютерной атаки | ||
16.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
16.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
16.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
16.3.4 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
16.3.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] |
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
2.1 | "mainActions" (поле данных) | рекомендованные действия по противодействию компьютерной атаке | текстовое поле (textarea) | "mainActions": "рекомендованные действия по противодействию компьютерной атаке","signatures": [{"identifier": "идентификатор сигнатуры","yara": "yara-правило","snort": ["rule1","rule2"]}]}} |
2.2 | "signatures" (блок данных) | сигнатура | В случае необходимости указания нескольких значений полей данных (identifier, yara, snort) указывается один или несколько объектов в блоке данных "source" | |
2.3 | "identifier" (поле данных) | уникальный идентификатор сигнатуры | последовательность символов, полученных в результате вычисления хэш-функции MD5 | |
2.4 | "yara" (поле данных) | YARA-правило | текстовое поле (textarea) | |
2.5 | "snort" (поле данных) | Snort-правила | формат представления в виде: <Действие> <Протокол> |