6.4. Классификация инцидента. Блок данных [INCIDENT]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 3.1 | "location" (блок данных) | идентификатор географического местоположения реализации инцидента | "location": {"subjectOfFederation": "00","locality": "наименование населенного пункта"},"classification": {"typeOfIncident": "тип инцидента","ext": [{"events": "события защиты информации","method": "способ формирования и передачи распоряжений на осуществление транзакций, позволяющий совершить финансовую операцию"}],"int": [{"events": "события защиты информации","typeOfIntruder": "тип нарушителя"}],"damage": {"operating": "оценка операционных расходов участника информационного обмена в момент представления сведений о реализации инцидента (вектор INT)","relative": "относительная (качественная) оценка масштаба (тяжести последствий) от реализации инцидента (вектор INT)"},"schemaConclusion": "описание схемы вывода денежных средств","attachments": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}]}, | [O] | [1], [2], [3], [*] | |
| 3.1.1 | "subjectOf Federation" (поле данных) | код ОКТМО верхнего уровня | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 3.1.2 | "locality" (поле данных) | наименование населенного пункта | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 3.2 | "classification" (блок данных) | классификация инцидента | [O] | [1], [2], [3], [*] | ||
| 3.2.1 | "typeOflncident" (поле данных) | тип инцидента | Выбирается один код из ограниченного множества возможных значений: - [MTR] - инцидент, связанный с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств; - [BAC] - инцидент, связанный с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности; - [FMA] - инцидент, связанный с нарушением требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков; - [DT_MTR] - инцидент, связанный с неоказанием или несвоевременным оказанием услуг по переводу денежных средств; - [DT_FS] - инцидент, связанный с неоказанием или несвоевременным оказанием финансовых услуг | [O] | [1], [2], [3], [*] | |
| 3.2.2. | "ext" (подблок данных) | реализация инцидента у клиента участника информационного обмена | В случае необходимости указания нескольких значений полей данных (events, method) указывается один или несколько объектов в подблоке данных "ext" | [O] | [1], [2], [3], [*] | |
| 3.2.2.1 | "events" (поле данных) | события защиты информации | Выбирается один код из ограниченного множества возможных значений: - [MTR_WC] - получение оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа; - [A_SC] - получение расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы; - [UO_WC] - выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети Интернет; - [FMA_WC] - получение уведомлений от клиентов - физических лиц, и (или) индивидуальных предпринимателей, и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, и (или) юридических лиц о проведении финансовой (банковской) операции без их согласия; - [OTH] - иные события, последствия или выявление которых могут привести к инцидентам, указанным в кодах [MTR], [BAC], [FMA], [DT_MTR], [DT_FS] | [O] | [1], [2], [3], [*] | |
| 3.2.2.2 | "method" (поле данных) | способ формирования и передачи распоряжений на осуществление транзакций, позволяющий совершить финансовую операцию | Выбирается один код из ограниченного множества возможных значений: - [SMS] - технология дистанционного обслуживания, при которой обмен информацией между клиентом и участником информационного обмена осуществляется с применением коротких текстовых сообщений с определенного в договоре банковского счета номера телефона; - [MBB] - технология дистанционного обслуживания, при которой обмен информацией между клиентом и участником информационного обмена осуществляется с применением программного обеспечения, разрабатываемого для использования в операционных системах мобильных устройств (например, iOS, Android); - [BRW] - технология дистанционного обслуживания, при которой обмен информацией между клиентом и участником информационного обмена осуществляется с применением интернет-браузера без установки дополнительного программного обеспечения; - [PCW] - технология дистанционного обслуживания, при которой обмен информацией между клиентом и участником информационного обмена осуществляется с персонального компьютера с применением дополнительного программного обеспечения, предоставляемого участником информационного обмена; - [ATM] - банкомат; - [CIN] - банкомат с возможностью приема наличных денежных средств; - [REC] - банкомат с функцией ресайклинга (recycling); - [POS] - POS-терминал; - [SST] - платежный терминал; - [CNP] - осуществление переводов с использованием платежных карт без непосредственного использования платежных карт (CNP-транзакции); - [OTH] - иной способ формирования и передачи распоряжений на осуществление транзакций, позволяющий совершить финансовую операцию | [O] | [1], [2], [3], [*] | |
| 3.2.3 | "int" (подблок данных) | реализация инцидента в информационной инфраструктуре участника информационного обмена | В случае необходимости указания нескольких значений полей данных (events, typeOfIntruder) указывается один или несколько объектов в подблоке данных "int" | [O] | [1], [2], [3], [*] | |
| 3.2.3.1 | "events" (поле данных) | события защиты информации | Выбирается один код из ограниченного множества возможных значений: - [MTR_UA] - выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и получения наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт; - [FMS_UA] - выполнение финансовых (банковских) операций в результате несанкционированного доступа к объектам информационной инфраструктуры некредитной финансовой организации; - [UPT_PSP] - осуществление несанкционированного снятия денежных средств оператора по переводу денежных средств в банкоматах; - [UPT_EMP] - осуществление несанкционированного снятия денежных средств оператора электронных денежных средств в банкоматах; - [DT_ALL] - неоказание услуг оператора по переводу денежных средств на период более двух часов в целом по всем субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания; | [O] | [1], [2], [3], [*] | |
- [DT_SELECTED] - неоказание услуг оператора по переводу денежных средств на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания; - [DT_SC] - неоказание расчетным центром расчетных услуг на период более одного операционного дня; - [DTPT_SC] - невыполнение расчетным центром в течение операционного дня расчетов для принятых к исполнению распоряжений платежного клирингового центра или участников платежной системы; - [DT_CC] - прерывание клиринговым центром предоставления услуг платежного клиринга на период более одного операционного дня; - [DTPT_CC] - невыполнение клиринговым центром в течение операционного дня платежного клиринга для принятых к исполнению распоряжений участников платежной системы; - [DT_OC] - прерывание операционным центром предоставления операционных услуг на период более двух часов; - [DT_FS_ALL] - неоказание услуг некредитной финансовой организацией на период более двух часов в целом по всем субъектам Российской Федерации, в которых некредитная финансовая организация предоставляет финансовые (банковские) услуги; - [DT_FS_SEL] - неоказание услуг некредитной финансовой организацией на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых некредитная финансовая организация предоставляет финансовые (банковские) услуги; | ||||||
- [PSP_CMTR] - выявление оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры атак, последствия от реализации которых, могут привести к случаям и попыткам осуществления переводов денежных средств без согласия клиента; - [CO_CFS] - выявление кредитной организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления финансовой (банковской) операции без согласия клиента; - [NCFI_CFS] - выявление некредитной финансовой организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления операции на финансовом рынке без согласия клиента; - [OTH] - иные события, последствия или выявление которых могут привести к инцидентам, указанным в кодах [MTR], [BAC], [FMA], [DT_MTR], [DT_FS] | ||||||
| 3.2.3.2 | "typeOfIntruder" (поле данных) | тип нарушителя | Выбирается один код из ограниченного множества возможных значений: - [INT_ORG] - реализация несанкционированного доступа работников участника информационного обмена или иных лиц, обладающих полномочиями доступа к объектам информационной инфраструктуры участника информационного обмена (действия внутреннего нарушителя); - [EXT_ORG] - реализация компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры участника информационного обмена (действия внешнего нарушителя) | [O] | [1], [2], [3], [*] | |
| 3.3 | "damage" (блок данных) | выявление ущерба от несанкционированных операций | [O] | [2], [3] | ||
| 3.3.1 | "operating" (поле данных) | оценка операционных расходов участника информационного обмена в момент представления сведений о реализации инцидента (вектор INT) | текстовое поле (textarea) | [N] | [2], [3] | |
| 3.3.2 | "relative" (поле данных) | относительная (качественная) оценка масштаба (тяжести последствий) от реализации инцидента (вектор INT) | Выбирается один код (в соответствии с разделом 14 настоящего документа) из ограниченного множества возможных значений: - [MOD] - умеренное влияние; - [ESS] - существенное влияние; - [CRIT] - критическое влияние | [O] | [2], [3] | |
| 3.4 | "schema Conclusion" (поле данных) | описание схемы вывода денежных средств | текстовое поле (textarea) | [O <1>] | [2], [3] | |
| 3.5 | "attachments" (блок данных) | дополнительные данные для идентификации инцидента | В случае необходимости указания нескольких значений полей данных (sourceId, comment, dateTimeAt, file, fileLink) указывается один или несколько объектов в блоке данных "attachments" | [N] | [1], [2], [3] | |
| 3.5.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [1], [2], [3] | |
| 3.5.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [1], [2], [3] | |
| 3.5.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [1], [2], [3] | |
| 3.5.4 | "file" (блок данных) | файл данных | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [1], [2], [3] | |
| 3.5.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [1], [2], [3] |
--------------------------------
<1> Обязательность информирования устанавливается только для некредитных финансовых организаций.
6.5. Блок данных "антифрод" [ANTIFRAUD]
Блок данных "антифрод" используется участниками информационного обмена в случаях:
информирования Банка России операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента [4];
информирования Банка России операторами по переводу денежных средств о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств [20].
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 4.1 | "antifraud" (блок данных) | В случае необходимости указания нескольких значений блоков данных (payerIdentifier, payer, payee, additionalStatus) указывается один или несколько объектов в блоке данных "antifraud" | "antifraud": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","victim": "информация о субъектном статусе плательщика","payerIdentifier": {"hash": "E25059612A71BAB224C7CB534FD7A0D3C1C78AD40664C48F12A9AE48FA441E44","hashSnils": "C49337884A71BAB224C7CB438FD7A0D3C1C78AD40664C48F12A9AE48FA441E44"},"payer": {"bik": "123456789","inn": "123456789000","payerName": "наименование организации, являющейся плательщиком","payerTransferId": {"transferType": "тип способа реализации перевода денежных средств","paymentCard": {"number": "123412341234123412","sum": "сумма операции по осуществлению перевода денежных средств с использованием платежных карт","currency": "валюта операции по осуществлению перевода денежных средств","dateTimeAt": "2018-01-13T09:14:38Z","rrn": "номер, генерируемый для операции по переводу денежных средств при выполнении ее авторизации"},"settlement": {"number": "12345123451234512345","sum": "сумма операции по переводу денежных средств","currency": "валюта операции по переводу денежных средств","dateTimeAt": "2018-01-13T09:14:38Z",},"phoneNumber": {"number": "1212312345678","sum": "сумма операции","currency": "валюта операции","dateTimeAt": "2018-01-13T09:14:38Z"},"idNumber": {"number": "1KoX6AA5VTdbBTkw27YEqKFaTtEQq97AAT","sum": "сумма операции","currency": "валюта операции", | [O] | [1], [2], [3], [*] | |
| 4.1.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена, являющимся плательщиком | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [O] | [1], [2], [3], [*] | |
| 4.1.2 | "victim" (поле данных) | информация о субъектном статусе плательщика | Выбирается один код из ограниченного множества возможных значений: - [person] - физическое лицо; - [entity] - юридическое лицо | [O] | [1], [2], [3], [*] | |
| 4.2 | "payerIdentifier" (блок данных) | идентификационные данные, определяющие конкретного плательщика | [O] | [1], [2], [3], [*] | ||
| 4.2.1 | "hash" (поле данных) | результат вычисления функции хэширования номера документа, удостоверяющего личность в целях идентификации лица - плательщика, направившего уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа | Последовательность символов, полученных в результате вычисления хэш-функции SHA-256 от серии и номера документа, удостоверяющего личность. | [O] | [1], [2], [3], [*] | |
Серия и номер документа, удостоверяющего личность, представляется для вычисления хэш-функции: без пробелов (_), знака номера (N), букв (при их наличии) в верхнем регистре (ABC). | ||||||
Для российского паспорта это XXXXYYYYYY, где: XXXX - четырехзначная серия паспорта; YYYYYY - шестизначный номер паспорта. | ||||||
Кодировка исходного текста (до хэширования) - Windows-1251; Кодировка текста хэша - Windows-1251. | ||||||
| 4.2.2 | "hashSnils" (поле данных) | результат вычисления функции хэширования страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации (далее - СНИЛС) плательщика, направившего уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа при его наличии | Последовательность символов, полученных в результате вычисления хэш-функции SHA-256 от СНИЛС плательщика. | "dateTimeAt": "2018-01-13T09:14:38Z"}},"device": {"ip": "127.0.0.1","imsi": "международный идентификатор мобильного абонента (индивидуальный номер абонента)","imei": "международный идентификатор мобильного оборудования","aiic": "Acquiring institution identification code (32 поле ISO 8583)","cati": "Card acceptor terminal identification (41 поле ISO 8583)","caic": "Card acceptor identification code (42 поле ISO 8583)"}},"payee": {"bik": "123456789","inn": "123456789000","payeeName": "наименование организации, являющейся получателем средств","payeeTransferId": {"transferType": "тип способа реализации перевода денежных средств","paymentCard": {"number": "123412341234123412"},"settlement": {"number": "12345123451234512345"},"phoneNumber": {"number": "1212312345678"},"idNumber": { | [O] | [1], [2], [3], [*] |
СНИЛС представляется для вычисления хэш-функции: без пробелов (_) и знаков разделения (-). СНИЛС вида: XXXXXXXXXXX | ||||||
Кодировка исходного текста (до хэширования) - Windows-1251; Кодировка текста хэша - Windows-1251. | ||||||
| 4.3 | "payer" (блок данных) | информация, определяющая плательщика | [O] | [1], [2], [3], [*] | ||
| 4.3.1 | "bik" (поле данных) | БИК оператора по переводу денежных средств, включая оператора электронных денежных средств, обслуживающего плательщика | в формате AAAAAAAAA | [O] | [1], И, [3], [*] | |
| 4.3.2 | "inn" (поле данных) | ИНН плательщика - юридического лица, и (или) индивидуального предпринимателя, и (или) лица, занимающегося частной практикой | в формате XXXXXXXXXX - для юридических лиц, в формате XXXXXXXXXX или XXXXXXXXXXXX - для индивидуальных предпринимателей и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой | "number": "1KoX6AA5VTdbBTkw27YEqKFaTtEQq97AAT"}}},"additionalStatus": {"crossBorder": "идентификатор трансграничности","additionalTransactionApprove": ["идентификатор дополнительного подтверждения операции"]}}], | [O] | [1], [2], [3], [*] |
[O] | [1], [2], [3], [*] | |||||
| 4.3.3 | "payerName" (поле данных) | наименование организации, являющейся плательщиком | текстовое поле (textarea) | |||
| 4.3.4 | "payerTransferId" (подблок данных) | идентификационные данные в зависимости от способа реализации перевода денежных средств | [O] | [1], [2], [3], [*] | ||
| 4.3.4.1 | "transferType" (поле данных) | тип способа реализации перевода денежных средств | Выбирается один код из ограниченного множества возможных значений: - [paymentCard] - при осуществлении операций по переводу денежных средств с использованием платежных карт; - [settelment] - при осуществлении переводов денежных средств по банковским счетам; - [phoneNumber] - при осуществлении переводов денежных средств по абонентскому номеру телефона; - [idNumber] - при изменении остатка электронных денежных средств | [O] | [1], [2], [3], [*] | |
| 4.3.4.2 | "paymentCard" (подблок данных) | при осуществлении операций по переводу денежных средств с использованием платежных карт | [O] | [1], [2], [3], [*] | ||
| 4.3.4.2.1 | "number" (поле данных) | номер платежной карты плательщика, выданной ему и (или) лицу, уполномоченному плательщиком, оператором по переводу денежных средств - эмитентом | в формате XXXXXXXXXXXXXXXXXX | [O] | [1], [2], [3], [*] | |
номер платежной карты представляется без пробелов (_) и знаков разделения (-). | ||||||
| 4.3.4.2.2 | "sum" (поле данных) | сумма операции по осуществлению перевода денежных средств с использованием платежных карт | сумма операции - поле "F004" стандарта финансовых сообщений ISO 8583 [7], [8], [9] | [O] | [1], [2], [3], [*] | |
| 4.3.4.2.3 | "currency" (поле данных) | валюта операции по осуществлению перевода денежных средств | валюта операции - поле "F049" стандарта финансовых сообщений ISO 8583 [7], [8], [9] | [O] | [1], [2], [3], [*] | |
| 4.3.4.2.4 | "dateTimeAt" (поле данных) | дата и время операции | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | [1], [2], [3], [*] | |
| 4.3.4.2.5 | "rrn" (поле данных) | номер, генерируемый для операции по переводу денежных средств при выполнении ее авторизации | номер, генерируемый для операции по переводу денежных средств при выполнении ее авторизации - поле "F037" <*> стандарта финансовых сообщений ISO 8583 [7], [8], [9] | [O] | [1], [2], [3], [*] | |
<*> Значение поля "F037" (Retrieval Reference Number) должно формироваться хостом банка-эквайрера по следующему правилу: YJJJXXNNNNNN, где: Y - последняя цифра года; JJJ - юлианская дата; XX - идентификатор, присвоенный хосту банка-эквайрера оператором; NNNNNN - последовательный номер транзакции в течение дня | ||||||
| 4.3.4.3 | "settlement" (подблок данных) | при осуществлении переводов денежных средств по банковским счетам посредством списания денежных средств с банковских счетов плательщиков | [O] | [1], [2], [3], [*] | ||
| 4.3.4.3.1 | "number" (поле данных) | номер банковского счета плательщика, открытого у оператора по переводу денежных средств, обслуживающего плательщика | в формате XXXXXXXXXXXXXXXXXXXX | [O] | [1], [2], [3], [*] | |
номер банковского счета представляется без пробелов (_) и знаков разделения (-). | ||||||
| 4.3.4.3.2 | "sum" (поле данных) | сумма операции по переводу денежных средств | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.3.4.3.3 | "currency" (поле данных) | валюта операции по переводу денежных средств | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.3.4.3.4 | "dateTimeAt" (поле данных) | дата и время операции | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | [1], [2], [3], [*] | |
| 4.3.4.4 | "phoneNumber" (подблок данных) | при осуществлении переводов денежных средств по абонентскому номеру телефона | [O] | [1], [2], [3], [*] | ||
| 4.3.4.4.1 | "number" (поле данных) | номер телефона плательщика, указанный в договоре банковского счета и (или) договоре об использовании электронного средства платежа, заключенном с плательщиком | в формате KKKXXXNNNNNNNN, где: KKK - от одного до трех символов кода страны; XXX - код оператора; NNNNNNN - 7 знаков номера. | [O] | [1], [2], [3], [*] | |
Номер телефона представляется без знака плюс (+), пробелов (_) и знаков разделения (-). | ||||||
| 4.3.4.4.2 | "sum" (поле данных) | сумма операции | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.3.4.4.3 | "currency" (поле данных) | валюта операции | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.3.4.4.4 | "dateTimeAt" (поле данных) | дата и время операции | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | [1], [2], [3], [*] | |
| 4.3.4.5 | "idNumber" (подблок данных) | при изменении остатка электронных денежных средств | [O] | [1], [2], [3], [*] | ||
| 4.3.4.5.1 | "number" (поле данных) | идентификационный номер плательщика, в частности номер электронного кошелька плательщика, используемого им на основании договора банковского счета и (или) договора об использовании электронного средства платежа, заключенного с оператором по переводу денежных средств | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.3.4.5.2 | "sum" (поле данных) | сумма операции | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.3.4.5.3 | "currency" (поле данных) | валюта операции | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.3.4.5.4 | "dateTimeAt" (поле данных) | дата и время операции | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | [1], [2], [3], [*] | |
| 4.3.5 | "device" (подблок данных) | параметры устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента | [N] | [1], [2], [3] | ||
| 4.3.5.1 | "ip" (поле данных) | сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора) (IP) | Сетевой адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [1], [2], [3] | |
| 4.3.5.2 | "imsi" (поле данных) | International Mobile Subscriber Identity (IMSI) - международный идентификатор мобильного абонента (индивидуальный номер абонента (клиента - физического лица), по которому система распознает пользователя мобильной связи, использующего стандарты GSM и UMTS | число (15-разрядное в десятичном представлении) AA-BBBBBB-CCCCCC-EE | [N] | [1], [2], [3] | |
| 4.3.5.3 | "imei" (поле данных) | International Mobile Equipment Identity (IMEI) - международный идентификатор мобильного оборудования (мобильного устройства клиента - физического лица) | число (15-разрядное в десятичном представлении) AA-BBBBBB-CCCCCC-EE | [N] | [1], [2], [3] | |
| 4.3.5.4 | "aiic" (поле данных) | идентификатор участника, являющегося банком- эквайрером при осуществлении операций по переводу денежных средств с использованием платежных карт | идентификатор участника, являющегося банком-эквайрером при осуществлении операций по переводу денежных средств с использованием платежных карт (Acquiring institution identification code) - поле "F032" стандарта финансовых сообщений ISO 8583 [7], [8], [9] | [N] | [1], [2], [3] | |
| 4.3.5.5 | "cati" (поле данных) | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств (Card acceptor terminal identification), - поле "F041" <*> стандарта финансовых сообщений ISO 8583 [7], [8], [9] | [N] | [1], [2], [3] | |
<*> Значение идентификатора терминала должно быть выровнено влево и дополнено пробелами справа до 8 символов | ||||||
| 4.3.5.6 | "caic" (поле данных) | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств, по его географическому местоположению | идентификатор банкомата и (или) электронного терминала, на котором осуществляется операция по переводу и (или) снятию денежных средств, по его географическому местоположению (Card acceptor identification code) - поле "F042" <*> стандарта финансовых сообщений ISO 8583 [7], [8], [9] | [N] | [1], [2], [3] | |
<*> Значение идентификатора пункта обслуживания должно быть выровнено влево и дополнено пробелами справа до 15 символов | ||||||
| 4.4 | "payee" (блок данных) | информация, определяющая получателя средств | [O] | [1], [2], [3], [*] | ||
| 4.4.1 | "bik" (поле данных) | БИК оператора по переводу денежных средств, обслуживающего получателя средств | в формате AAAAAAAAA | [O] | [1], [2], [3], [*] | |
| 4.4.2 | "inn" (поле данных) | ИНН получателя средств - юридического лица, и (или) индивидуального предпринимателя, и (или) лица, занимающегося частной практикой | в формате XXXXXXXXXX - для юридических лиц, в формате XXXXXXXXXX или XXXXXXXXXXXX - для индивидуальных предпринимателей и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой | [O] | [1], [2], [3], [*] | |
| 4.4.3 | "payeeName" (поле данных) | наименование организации, являющейся получателем средств | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.4.4 | "payeeTransferId" (подблок данных) | идентификационные данные в зависимости от способа реализации перевода денежных средств | [O] | [1], [2], [3], [*] | ||
| 4.4.4.1 | "transferType" (поле данных) | тип способа реализации перевода денежных средств | Выбирается один код из ограниченного множества возможных значений: - [paymentCard] - при осуществлении операций по переводу денежных средств с использованием платежных карт; - [settelment] - при осуществлении переводов денежных средств по банковским счетам; - [phoneNumber] - при осуществлении переводов денежных средств по абонентскому номеру телефона; - [idNumber] - при изменении остатка электронных денежных средств | [O] | [1], [2], [3], [*] | |
| 4.4.4.2 | "paymentCard" (подблок данных) | при осуществлении операций по переводу денежных средств с использованием платежных карт | [O] | [1], [2], [3], [*] | ||
| 4.4.4.2.1 | "number" (поле данных) | номер платежной карты получателя средств, выданной ему и (или) лицу, уполномоченному получателем средств, оператором по переводу денежных средств - эмитентом | в формате XXXXXXXXXXXXXXXXXX | [O] | [1], [2], [3], [*] | |
номер платежной карты представляется без пробелов (_) и знаков разделения (-). | ||||||
| 4.4.4.3 | "settlement" (подблок данных) | при осуществлении переводов денежных средств по банковским счетам посредством списания денежных средств с банковских счетов плательщиков | [O] | [1], [2], [3], [*] | ||
| 4.4.4.3.1 | "number" (поле данных) | номер расчетного счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств | в формате XXXXXXXXXXXXXXXXXXXX | [O] | [1], [2], [3], [*] | |
номер банковского счета представляется без пробелов (_) и знаков разделения (-). | ||||||
| 4.4.4.4 | "phoneNumber" (подблок данных) | при осуществлении переводов денежных средств по абонентскому номеру телефона | [N] | [1], [2], [3], [*] | ||
| 4.4.4.4.1 | "number" (поле данных) | номер телефона получателя средств | в формате KKKXXXNNNNNNNN, где: KKK - от одного до трех символов кода страны; XXX - код оператора; NNNNNNN - 7 знаков номера. | [N] | [1], [2], [3], [*] | |
Номер телефона представляется без знака плюс (+), пробелов (_) и знаков разделения (-). | ||||||
| 4.4.4.5 | "idNumber" (подблок данных) | при изменении остатка электронных денежных средств | [O] | [1], [2], [3], [*] | ||
| 4.4.4.5.1 | "number" (поле данных) | идентификационный номер получателя средств, в частности номер электронного кошелька получателя средств, используемого им на основании договора банковского счета и (или) договора об использовании электронного средства платежа, заключенного с оператором по переводу денежных средств | текстовое поле (textarea) | [O] | [1], [2], [3], [*] | |
| 4.5 | "additionalStatus" (блок данных) | дополнительные статусы реализации несанкционированной операции | [O] | [1], [2], [3], [*] | ||
| 4.5.1 | "crossBorder" (поле данных) | идентификатор трансграничности | Выбирается один код из ограниченного множества возможных значений: - [CRB] - трансграничный перевод; - [DOM] - перевод внутри страны | [O] | [1], [2], [3], [*] | |
| 4.5.2 | "additionalTransactionApprove" (поле данных) | идентификатор дополнительного подтверждения операции | Выбирается один или несколько кодов из ограниченного множества возможных значений: - [3DS] - операция подтверждена с использованием 3D Secure; - [DCS] - реализация технологических мер по использованию раздельных технологий [3]; - [NAA] - операция без подтверждения; - [SMS] - подтверждение операции выполнено с применением коротких текстовых сообщений (СМС-сообщений); - [LTR] - операция выполнена в соответствии со списком доверенных получателей средств; - [TEL] - операция подтверждена по телефону; - [OAA] - иной способ подтверждения | [O] | [1], [2], [3], [*] |
6.6. Информация о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов, а также соответствующие формы электронных сообщений. Блок данных [IMPACTS]
6.6.1. Компьютерные атаки, связанные с изменением маршрутно-адресной информации [trafficHijackAttacks] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 1.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "impacts": {"trafficHijackAttacks": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","legalAsPath": "штатный AS-Path","wrongAsPath": "подставной AS-Path","lookingGlass": "ссылка на используемый Looking Glass для проверки AS-Path","legalPrefix": "штатный prefix","wrongPrefix": "подставной prefix"}], | [N] | [2], [3] |
| 1.2 | "legalAsPath" (поле данных) | штатный AS-Path | текстовое поле (textarea) | [N] | [2], [3] | |
| 1.3 | "wrongAsPath" (поле данных) | подставной AS-Path | текстовое поле (textarea) | [N] | [2], [3] | |
| 1.4 | "lookingGlass" (поле данных) | ссылка на используемый Looking Glass для проверки AS-Path | текстовое поле (textarea) | [N] | [2], [3] | |
| 1.5 | "legalPrefix" (поле данных) | штатный prefix | текстовое поле (textarea) | [N] | [2], [3] | |
| 1.6 | "wrongPrefix" (поле данных) | подставной prefix | текстовое поле (textarea) | [N] | [2], [3] |
6.6.2. Компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры участников информационного обмена и их клиентов [malware] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 2 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "malware": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","target": {"ip": "127.0.0.1"},"sources": [{"ip": "127.0.0.1","domain": "example.com","url": "http://example.com"}],"classifications": [{"vendorName": "наименование средства от ВВК","vendorVerdict": "классификация ВК"}],"malwareSamples": [{"hash": {"md5": "4BA5139A444538479D9D750E2E2779BF","sha1": "D2B063763378A8CB38B192B2F71E78BC13783EFE","sha256": "E25059612A71BAB224C7CB438FD7A0D3C1C78AD40664C48F12A9AE48FA441E44"},"attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}],"malwareMessageSenders": [{"email": "qwerty@example.ru","server": "127.0.0.1"}],"malwareMessageAttachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"},"harmfulResourceAddress": [{"ip": "127.0.0.1","domain": "example.com","url": "http://example.com"}],"iocs": [{"net": [{"impact": "тип выявленного компрометирующего идентификатора", | [N] | [2], [3] |
| 2.1 | "target" (блок данных) | идентификатор объекта атаки | [N] | [2], [3] | ||
| 2.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 2.2 | "sources" (блок данных) | идентификаторы источников вредоносных ресурсов в сети Интернет, с которыми взаимодействует атакуемый объект | В случае необходимости указания нескольких значений полей данных (ip, domain, url) указывается один или несколько объектов в блоке данных "sources" | [N] | [2], [3] | |
| 2.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 2.2.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | [N] | [2], [3] | |
| 2.2.3 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 2.3 | "classifications" (блок данных) | классификация ВК | В случае необходимости указания нескольких значений полей данных (vendorName, vendorVerdict) указывается один или несколько объектов в блоке данных "classifications" | [N] | [2], [3] | |
| 2.3.1 | "vendorName" (поле данных) | наименование используемого участником информационного обмена средства от ВВК | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.3.2 | "vendorVerdict" (поле данных) | класс ВК в соответствии со средством от ВВК участника информационного обмена | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.4 | "malwareSamples" (блок данных) | указываются образцы ВК, которые могут характеризоваться хэш-функцией или прикрепленным вложением | В случае необходимости указания нескольких значений подблоков данных (hash, attachment) указывается один или несколько объектов в блоке данных "malwareSamples" | "comment": "дополнительное описание"}],"fil": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}],"reg": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}],"prc": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}],"oth": [{"impact": "тип выявленного компрометирующего идентификатора","comment": "дополнительное описание"}]}],"infectionMethods": [{"type": "тип предполагаемого способа заражения","comment": "дополнительное описание"}]}], | [N] | [2], [3] |
| 2.4.1 | "hash" (подблок данных) | образец ВК в виде хэш-функций (для каждого образца ВК вычисляется хэш-функция MD5, SHA-1, SHA-256) | [N] | [2], [3] | ||
| 2.4.1.1 | "md5" (поле данных) | образец ВК в виде хэш-функции MD5 | последовательность символов, полученных в результате вычисления хэш-функции MD5 | [N] | [2], [3] | |
| 2.4.1.2 | "sha1" (поле данных) | образец ВК в виде хэш-функции SHA-1 | последовательность символов, полученных в результате вычисления хэш-функции SHA-1 | [N] | [2], [3] | |
| 2.4.1.3 | "sha256" (поле данных) | образец ВК в виде хэш-функции SHA-256 | последовательность символов, полученных в результате вычисления хэш-функции SHA-256 | [N] | [2], [3] | |
| 2.4.2 | "attachment" (подблок данных) | образец ВК в виде файла | [N] | [2], [3] | ||
| 2.4.2.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [2], [3] | |
| 2.4.2.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.4.2.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 2.4.2.4.1 | "file" (подблок данных) | дополнительные материалы, содержащие образцы ВК | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [2], [3] | |
| 2.4.2.5 | "fileLink" (поле данных) | дополнительные материалы, содержащие образцы ВК | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 2.5 | "malwareMessage Senders" (блок данных) | идентификаторы электронных почтовых ящиков, с которых поступило письмо с вложенным ВК | В случае необходимости указания нескольких значений полей данных (email, server) указывается один или несколько объектов в блоке данных "malwareMessage" | [N] | [2], [3] | |
| 2.5.1 | "email" (поле данных) | адрес электронного почтового ящика отправителя | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | [N] | [2], [3] | |
| 2.5.2 | "server" (поле данных) | IP-адрес последнего почтового сервера | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 2.6 | "malwareMessageAttachment" (подблок данных) | файл с исходным кодом электронного письма (в случае, если ВК был прислан на электронный почтовый ящик) | [N] | [2], [3] | ||
| 2.6.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [2], [3] | |
| 2.6.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.6.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 2.6.4.1 | "file" (блок данных) | файл данных, содержащий образец ВК | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [2], [3] | |
| 2.6.4 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего образцы ВК | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 2.7 | "harmfulResourceAddress" (блок данных) | идентификаторы вредоносных ресурсов, с которых был загружен ВК | В случае необходимости указания нескольких значений полей данных (ip, domain, url) указывается один или несколько объектов в блоке данных "harmfulResourceAddress" | [N] | [2], [3] | |
| 2.7.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 2.7.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | [N] | [2], [3] | |
| 2.7.3 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15]. | [N] | [2], [3] | |
| 2.8 | "iocs" (блок данных) | выявленные индикаторы компрометации | В случае необходимости указания нескольких значений полей данных (net, fil, reg, prc, oth) указывается один или несколько объектов в блоке данных "iocs" | [N] | [2], [3] | |
| 2.8.1 | "net" (подблок данных) | сетевые индикаторы | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "net" | [N] | [2], [3] | |
| 2.8.1.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | [N] | [2], [3] | |
| 2.8.1.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.8.2 | "fil" (подблок данных) | файловые индикаторы | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "fil" | [N] | [2], [3] | |
| 2.8.2.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | [N] | [2], [3] | |
| 2.8.2.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.8.3 | "reg" (подблок данных) | индикаторы реестра ОС | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "reg" | [N] | [2], [3] | |
| 2.8.3.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | [N] | [2], [3] | |
| 2.8.3.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.8.4 | "prc" (подблок данных) | индикаторы процессов ОС | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "prc" | [N] | [2], [3] | |
| 2.8.4.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | [N] | [2], [3] | |
| 2.8.4.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.8.5 | "oth" (подблок данных) | индикаторы, не учтенные в (2.8.1 - 2.8.4.2) | В случае необходимости указания нескольких значений полей данных (impact, comment) указывается один или несколько объектов в блоке данных "oth" | [N] | [2], [3] | |
| 2.8.5.1 | "impact" (поле данных) | тип выявленного компрометирующего идентификатора | Выбирается один код из ограниченного множества возможных значений: - [CRT] - создание технических данных; - [UPD] - изменение технических данных; - [DLT] - удаление технических данных | [N] | [2], [3] | |
| 2.8.5.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 2.9 | "infectionMethods" (блок данных) | идентификаторы предполагаемых способов "заражения" | В случае необходимости указания нескольких значений полей данных (type, comment) указывается один или несколько объектов в блоке данных "infectionMethods" | [N] | [2], [3] | |
| 2.9.1 | "type" (поле данных) | тип предполагаемого способа заражения | Выбирается один код из ограниченного множества возможных значений: - [EML] - по каналам электронной почты; - [DSD] - с носителя информации; - [LCL] - распространение по локальной сети; - [OTH] - иной способ | [N] | [2], [3] | |
| 2.9.2 | "comment" (поле данных) | примечание к выбранному типу | текстовое поле (textarea) | [N] | [2], [3] |
6.6.3. Компьютерные атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления доверием [socialEngineering] (для вектора [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 3 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "socialEngineering": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","soiTypes": ["идентификаторы методов социальной инженерии"],"soiSenders": [{"phoneNumber": "1212312345678","email": "qwerty@example.ru","server": "127.0.0.1"}],"messageAttachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в форматеbase64"},"fileLink": "http://domain.com/archive.rar"},"description": "дополнительное описание"}, | [N] | [2], [3] |
| 3.1 | "soiTypes" (поле данных) | идентификаторы методов социальной инженерии | Выбирается один или несколько кодов из ограниченного множества возможных значений: - [MOB] - звонок с мобильного телефонного номера; - [TPH] - звонок с телефонного номера 8-800; - [SMS] - СМС-сообщение; - [SNW] - социальная инженерия с использованием социальных сетей; - [MSG] - социальная инженерия с использованием средств мгновенных сообщений; - [OTH] - иной способ реализации методов социальной инженерии | [N] | [2], [3] | |
| 3.2 | "soiSenders" (блок данных) | идентификаторы реализации методов социальной инженерии | В случае необходимости указания нескольких значений полей данных (phoneNumber, email, server) указывается один или несколько объектов в блоке данных "soiSenders" | [N] | [2], [3] | |
| 3.2.1 | "phoneNumber" (поле данных) | телефонный номер | в формате KKKXXXNNNNNNNN, где: KKK - от одного до трех символов кода страны; XXX - код оператора; NNNNNNN - 7 знаков номера. | [N] | [2], [3] | |
Номер телефона представляется без знака плюс (+), пробелов (_) и знаков разделения (-). | ||||||
| 3.2.2 | "email" (поле данных) | электронный почтовый адрес | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | [N] | [2], [3] | |
| 3.2.3 | "server" (поле данных) | IP-адрес последнего почтового сервера | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 3.3 | "message Attachment" (блок данных) | файлы данных, описывающие метод социальной инженерии | [N] | [2], [3] | ||
| 3.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [2], [3] | |
| 3.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [2], [3] | |
| 3.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 3.3.4.1 | "file" (подблок данных) | файлы данных, описывающие метод социальной инженерии | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [2], [3] | |
| 3.3.5 | "fileLink" (поле данных) | файлы данных, описывающие метод социальной инженерии | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 3.4 | "description" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] |
6.6.4. Компьютерные атаки типа "отказ в обслуживании" (DDoS-атаки) применительно к информационной инфраструктуре участников информационного обмена [ddosAttacks] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 4 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "ddosAttacks": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","target": {"ip": "127.0.0.1","domain": "example.com","url": "http://example.com","assignment": "назначение атакуемого объекта","serviceType": "тип информационного сервиса","network": "адрес сети"},"attackType": {"type": "тип атаки (по уровням OSI)","comment": "дополнительное описание"},"sources": [{"ip": "127.0.0.1"}],"power": {"pps": "количество пакетов в секунду","mps": "количество мегабит в секунду","rps": "количество запросов в секунду"},"startTimeAt": "2018-03-22T08:14:38Z","endTimeAt": "2018-03-22Т09:15:44Z","negativeImpact": {"type": "тип негативного влияния","comment": "примечание к выбранному типу"}}], | [N] | [2], [3] |
| 4.1 | "target" (блок данных) | идентификаторы объекта атаки | [N] | [2], [3] | ||
| 4.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 4.1.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | [N] | [2], [3] | |
| 4.1.3 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 4.1.4 | "assignment" (поле данных) | назначение атакуемого объекта | назначение объекта атаки в информационной инфраструктуре участника информационного обмена (сервер, система хранения данных, телеком, персональный компьютер, межсетевой экран и т.д.) | [N] | [2], [3] | |
| 4.1.5 | "serviceType" (поле данных) | тип информационного сервиса | текстовое поле (textarea) | [N] | [2], [3] | |
| 4.1.6 | "network" (поле данных) | адрес сети | Логический адрес IPv4 в соответствии со спецификацией RFC 791 [12] с указанием маски сети (Subnet Mask) согласно спецификации RFC 997 [17] | [N] | [2], [3] | |
| 4.2 | "attackType" (блок данных) | тип атаки | [N] | [2], [3] | ||
| 4.2.1 | "type" (поле данных) | тип атаки (по уровням OSI) | Выбирается один код из ограниченного множества возможных значений: [1] - "L2/3: ICMP-flood",[2] - "L2/3: NTP-amplification",[3] - "L2/3: TFTP-amplification",[4] - "L2/3: SENTINEL-amplification",[5] - "L2/3: DNS-amplification",[6] - "L2/3: SNMP-amplification",[7] - "L2/3: SSDP-amplification",[8] - "L2/3: CHARGEN-amplification",[9] - "L2/3: RIPv1-amplification",[10] - "L2/3: BitTorrent-amplification",[11] - "L2/3: QTPD-amplification",[12] - "L2/3: Quake-amplification",[13] - "L2/3: LDAP-amplification",[14] - "L2/3: 49ad34-amplification",[15] - "L2/3: Portmap-amplification",[16] - "L2/3: Kad-amplification",[17] - "L2/3: NetBIOS-amplification",[18] - "L2/3: Steam-amplification",[19] - "L3: DPI-attack",[20] - "L4: LAND-attack",[21] - "L4: TCP-SYN-attack",[22] - "L4: TCP-ACK-attack",[23] - "L4: Smurf-attack",[24] - "L4: ICMP/UDP-frag",[25] - "L4: TCP-frag",[26] - "L6: SSL-attack",[27] - "L7: DNS Water Torture Attack",[28] - "L7: Wordpress Pingback DDoS",[29] - "L7: DNS-flood",[30] - "L7: HTTP/S-flood",[31] - "L7: FTP-flood",[32] - "L7: SMTP-flood",[33] - "L7: VoIP/SIP-attack",[34] - "L7: POP3-flood",[35] - "L7: SlowRate-attack,"[36] - "other" | [N] | [2], [3] | |
| 4.2.2 | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 4.3 | "sources" (блок данных) | идентификаторы источников реализации атаки | В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources" | [N] | [2], [3] | |
| 4.3.1 | "ip" (поле данных) | IP-адрес источника реализации атаки (в случае большого количества источников компьютерной атаки в блоке "sources" указывается топ 100 IP-адресов атакующих, при этом полный перечень прикладывается в текстовом файле) | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 4.4 | "power" (блок данных) | мощность реализации атаки | [N] | [2], [3] | ||
| 4.4.1 | "pps" (поле данных) | количество пакетов в секунду | пакет в секунду (Packet per second) | [N] | [2], [3] | |
| 4.4.2 | "mps" (поле данных) | количество мегабит в секунду | мегабит в секунду (Megabit per second) | [N] | [2], [3] | |
| 4.4.3 | "rps" (поле данных) | количество запросов в секунду | запросов в секунду (Request per second) | [N] | [2], [3] | |
| 4.5 | "startTimeAt" (поле данных) | время начала атаки | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 4.6 | "endTimeAt" (поле данных) | время окончания атаки | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 4.7 | "negativeImpact" (блок данных) | негативный эффект от реализации атаки | [N] | [2], [3] | ||
| 4.7.1. | "type" (поле данных) | тип негативного влияния | Выбирается один код из ограниченного множества возможных значений: - [NAW] - прерывание доступности сервиса; - [OTH] - деградация сервиса; - [NCQ] - негативного влияния на сервис не оказано | [N] | [2], [3] | |
| 4.7.2. | "comment" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] |
6.6.5. Компьютерные атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам участников информационного обмена [atmAttacks] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 5 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "atmAttacks": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","target": {"type": "тип объекта атаки","description": "дополнительное описание"},"attackType": [{"type": "тип атаки в зависимости от объекта атаки","description": "дополнительное описание"}],"attackImage": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}, | [N] | [2], [3] |
| 5.1 | "target" (блок данных) | идентификатор объекта атаки | [N] | [2], [3] | ||
| 5.1.1 | "type" (поле данных) | тип объекта атаки | Выбирается один код из ограниченного множества возможных значений: - [ATM] - банкомат; - [CIN] - банкомат с возможностью приема денежных средств; - [REC] - банкомат с функцией ресайклинга (recycling); - [POS] - POS-терминал; - [SST] - платежный терминал; - [OTH] - иной объект | [N] | [2], [3] | |
| 5.1.2 | "description" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 5.2 | "attackType" (блок данных) | тип атаки | В случае необходимости указания нескольких значений полей данных (type, description) указывается один или несколько объектов в блоке данных "sources" | [N] | [2], [3] | |
| 5.2.1 | "type" (поле данных) | тип атаки в зависимости от объекта атаки | Выбирается один код из ограниченного множества возможных значений: - [BBX] - атаки "блэкбокс"; - [DSP] - атаки "прямой диспенс" и их разновидности; - [SKM] - скимминг; - [OTH] - иной способ | [N] | [2], [3] | |
| 5.2.2 | "description" (поле данных) | дополнительное описание | текстовое поле (textarea) | [N] | [2], [3] | |
| 5.3 | "attackImage" (блок данных) | дополнительные материалы реализации атаки | [N] | [2], [3] | ||
| 5.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [2], [3] | |
| 5.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [2], [3] | |
| 5.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 5.3.4.1 | "file" (подблок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [2], [3] | |
| 5.3.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] |
6.6.6. Компьютерные атаки, связанные с эксплуатацией уязвимостей информационной инфраструктуры участников информационного обмена и их клиентов [vulnerabilities] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 6 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "vulnerabilities": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","target": {"ip": "127.0.0.1","domain": "example.com","url": "http://example.com","serviceType": "тип информационного сервиса"},"sources": [{"ip": "127.0.0.1","url": "http://example.com"}],"identifier": "идентификатор уязвимости","cvss": "Метрика CVSS","idCustom": {"description": "описание уязвимости","swName": "наименование программного обеспечения","swVer": "версия программного обеспечения","cweType": "тип ошибки CWE","class": "класс уязвимости","osName": "операционная система, под управлением которой функционирует программное обеспечение с обнаруженной уязвимостью","detectedAt": "дата и время выявления уязвимости","baseCVSS": "базовый вектор уязвимости","danger": "уровень опасности выявленной уязвимости","measures": "возможные меры по устранению уязвимости","status": "статус уязвимости","exploit": "наличие эксплойта","recommendation": "информация об устранении уязвимости","link": "ссылки на источники информации об устранении уязвимости","manufacturer": "компания (организация) - производитель (разработчик) программного обеспечения, в котором обнаружена уязвимость"}}], | [N] | [2], [3] |
| 6.1 | "target" (блок данных) | идентификаторы объекта атаки | [N] | [2], [3] | ||
| 6.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 6.1.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | [N] | [2], [3] | |
| 6.1.3 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 6.1.4 | "serviceType" (поле данных) | тип информационного сервиса | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.2 | "sources" (блок данных) | идентификаторы источников, с которых была выявлена эксплуатация уязвимости | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "sources" | [N] | [2], [3] | |
| 6.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 6.2.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 6.3 | "identifier" (поле данных) | идентификатор уязвимости | Если выявлена уязвимость, должен быть указан ее тип в соответствии с классификацией ФСТЭК России, CVE: - ФСТЭК России - https://bdu.fstec.ru/vul; - Common Vulnerabilities and Exposures (CVE), https: //cve.mitre.org/data/downloads/allitems.html | [N] | [2], [3] | |
| 6.4 | "cvss" (поле данных) | метрика CVSS | Указывается метрика CVSS v 3.0 (The Common Vulnerability Scoring System (CVSS), если определена <*>. Указывается максимально возможное количество метрик из перечисленных: базовая метрика, временная метрика, контекстная метрика, метрика окружения. | [N] | [2], [3] | |
(<*> В случае если метрика не определена, необходимо использовать калькулятор ФСТЭК России - https://bdu.fstec.ru/cvss3) | ||||||
| 6.5 | "idCustom" (блок данных) | формирование идентификатора уязвимости | [N] | [2], [3] | ||
| 6.5.1 | "description" (поле данных) | описание уязвимости | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.2 | "swName" (поле данных) | наименование программного обеспечения | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.3 | "swVer" (поле данных) | версия программного обеспечения | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.4 | "cweType" (поле данных) | тип ошибки, установленный в соответствии с общим перечнем ошибок CWE | в соответствии с Common Weakness Enumeration (CWE) (https://cwe.mitre.org/) | [N] | [2], [3] | |
| 6.5.5 | "class" (поле данных) | класс уязвимости | Выбирается один код из ограниченного множества возможных значений: - [COD] - уязвимость кода - уязвимость, появившаяся в результате разработки программного обеспечения без учета требований по безопасности информации; - [ARH] - уязвимость архитектуры - уязвимость, появившаяся в результате выбора, компоновки компонентов программного обеспечения, содержащих уязвимости; - [MULT] - уязвимость многофакторная (обусловленная наличием в программном обеспечении уязвимостей различных классов) | [N] | [2], [3] | |
| 6.5.6 | "osName" (поле данных) | операционная система, под управлением которой функционирует программное обеспечение с обнаруженной уязвимостью | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.7 | "dateTimeAt" (поле данных) | дата и время выявления уязвимости | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 6.5.8 | "baseCVSS" (поле данных) | базовый вектор уязвимости | в соответствии с CVSS 3.0 (https://bdu.fstec.ru/cvss3) | [N] | [2], [3] | |
| 6.5.9 | "danger" (поле данных) | уровень опасности выявленной уязвимости | Выбирается один код из ограниченного множества возможных значений в соответствии с результатами базового вектора уязвимости: - [LL] - низкий уровень, если 0,0 <= V <= 3,9; - [ML] - средний уровень, если 4,0 <= V <= 6,9; - [HL] - высокий уровень, если 7,0 <= V <= 9,9; - [CL] - критический уровень, если V = 10,0 | [N] | [2], [3] | |
| 6.5.10 | "measures" (поле данных) | возможные меры по устранению уязвимости | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.11 | "status" (поле данных) | статус уязвимости | Выбирается один код из ограниченного множества возможных значений: - [APR_M] - "подтверждена производителем" - если наличие уязвимости было подтверждено производителем (разработчиком) программного обеспечения, в котором содержится уязвимость; - [APR_R] - "подтверждена в ходе исследований" - если наличие уязвимости было подтверждено исследователем (организацией), не являющимся производителем (разработчиком) программного обеспечения; - [Potential] - "потенциальная уязвимость" - во всех остальных случаях | [N] | [2], [3] | |
| 6.5.12 | "exploit" (поле данных) | наличие эксплойта | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.13 | "recommendation" (поле данных) | информация об устранении уязвимости | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.14 | "link" (поле данных) | ссылки на источники информации об устранении уязвимости | текстовое поле (textarea) | [N] | [2], [3] | |
| 6.5.15 | "manufacturer" (поле данных) | компания (организация) - производитель (разработчик) программного обеспечения, в котором обнаружена уязвимость | текстовое поле (textarea) | [N] | [2], [3] |
6.6.7. Компьютерные атаки, связанные с подбором (взломом), компрометацией аутентификационных (учетных) данных [bruteForces] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 7 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "bruteForces": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","target": {"ip": "127.0.0.1","url": "http://example.com","serviceType": "тип сервиса"},"sources": [{"ip": "127.0.0.1"}],"accountOs": {"name": "имя учетной записи","privileges": "уровень (привилегии) учетной записи"}}], | [N] | [2], [3] |
| 7.1 | "target" (блок данных) | идентификаторы объекта атаки | [N] | [2], [3] | ||
| 7.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 7.1.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | [N] | [2], [3] | |
| 7.1.3 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 7.1.4 | "serviceType" (поле данных) | тип информационного сервиса | текстовое поле (textarea) | [N] | [2], [3] | |
| 7.2 | "sources" (блок данных) | идентификаторы источников реализации атаки | В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources" | [N] | [2], [3] | |
| 7.2.1 | "ip" (поле данных) | IP-адрес источника реализации атаки (в случае большого количества источников компьютерной атаки в блоке данных "sources" указывается топ-100 IP-адресов атакующих, при этом полный перечень прикладывается в текстовом файле) | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 7.3 | "accountOs" (блок данных) | идентификаторы скомпрометированной учетной записи | [N] | [2], [3] | ||
| 7.3.1 | "name" (поле данных) | имя учетной записи | текстовое поле (textarea) | [N] | [2], [3] | |
| 7.3.2 | "privileges" (поле данных) | уровень (привилегии) учетной записи | текстовое поле (textarea) | [N] | [2], [3] |
6.6.8. Компьютерные атаки, связанные с реализацией спам-рассылки, осуществляемой в отношении участников информационного обмена и их клиентов [spams] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 8 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "spams": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","receivedAt": "2018-03-22T08:14:38Z","targets": [{"email": "qwerty@example.ru"}],"sources": [{"ip": "127.0.0.1","domain": "example.com","email": "qwerty@example.ru"}],"spamImages": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}], | [N] | [2], [3] |
| 8.1 | "receivedAt" (поле данных) | дата и время получения спам-сообщения | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 8.2 | "targets" (блок данных) | идентификаторы объектов атаки (получатели спам-сообщения) | В случае необходимости указания нескольких значений поля данных (email) указывается один или несколько объектов в блоке данных "targets" | [N] | [2], [3] | |
| 8.2.1 | "email" (поле данных) | электронный почтовый адрес получателя спам-сообщения | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | [N] | [2], [3] | |
| 8.3 | "sources" (блок данных) | идентификаторы источников реализации атаки (отправители спам-сообщения) | В случае необходимости указания нескольких значений полей данных (ip, domain, email) указывается один или несколько объектов в блоке данных "sources" | [N] | [2], [3] | |
| 8.3.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 8.3.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | [N] | [2], [3] | |
| 8.3.3 | "email" (поле данных) | электронный почтовый адрес отправителя спам-сообщения | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | [N] | [2], [3] | |
| 8.4 | "spamImage" (блок данных) | образец спам-сообщения | [N] | [2], [3] | ||
| 8.4.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [2], [3] | |
| 8.4.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [2], [3] | |
| 8.4.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 8.4.4.1 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [2], [3] | |
| 8.4.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] |
6.6.9. Компьютерные атаки, связанные с выявлением взаимодействия объектов информационной инфраструктуры участников информационного обмена с командными центрами Ботнет [controlCenters] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 9 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "controlCenters": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","target": {"ip": "127.0.0.1","url": "http://example.com"},"hostUrl": "http://example.com","intruderIp": "1.1.1.1","intruderActions": "что предшествовало инциденту","description": "известные сведения о командном центре Ботнет","nodes": [{"ip": "127.0.0.1","lastRequestRateTimeAt": "2018-03-22T08:08:49Z"}]}], | [N] | [2], [3] |
| 9.1 | "target" (блок данных) | идентификаторы объекта атаки | [N] | [2], [3] | ||
| 9.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 9.1.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 9.2 | "hostUrl" (поле данных) | URL, на котором размещен командный центр Ботнет | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 9.3 | "intruderIp" (поле данных) | IP-адрес злоумышленника, разместившего командный центр Ботнет | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 9.4 | "intruderActions" (поле данных) | описание несанкционированной активности в информационной инфраструктуре участника информационного обмена | текстовое поле (textarea) | [N] | [2], [3] | |
| 9.5 | "description" (поле данных) | дополнительное описание командного центра Ботнет | текстовое поле (textarea) | [N] | [2], [3] | |
| 9.6 | "nodes" (блок данных) | идентификаторы обращения к командному центру Ботнет | В случае необходимости указания нескольких значений полей данных (ip, lastRequestRateTimeAt) указывается один или несколько объектов в блоке данных | [N] | [2], [3] | |
| 9.6.1 | "ip" (поле данных) | внешний IP-адрес (участника информационного обмена) | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 9.6.2 | "lastRequest RatetimeAt" (поле данных) | дата и время последнего взаимодействия с командным центром Ботнет | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] |
6.6.10. Компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента (IMSI) номера сим-карты, а также с заменой идентификатора мобильного оборудования (IMEI) [sim] (для вектора [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 10 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "sim": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","mobileOperator": "название оператора связи","phoneNumber": "1212312345678","imsi": "123456789000000","imsiChangedAt": "2018-03-22T08:08:49Z"}, | [N] | [2], [3] |
| 10.1 | "mobileOperator" (поле данных) | наименование мобильного оператора связи | текстовое поле (textarea) | [N] | [2], [3] | |
| 10.2 | "phoneNumber" (поле данных) | номер мобильного телефона | в формате KKKXXXNNNNNNNN, где: KKK - от одного до трех символов кода страны; XXX - код оператора; NNNNNNN - 7 знаков номера. | [N] | [2], [3] | |
Номер телефона представляется без знака плюс (+), пробелов (_) и знаков разделения (-). | ||||||
| 10.3 | "imsi" (поле данных) | уникальный номер сим-карты (номер IMSI) | в формате: XXXXXXXXXXXXXXX | [N] | [2], [3] | |
| 10.4 | "imsiChangedAt" (поле данных) | дата и время фиксации смены IMSI | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] |
6.6.11. Компьютерные атаки, связанные с информацией, вводящей участников информационного обмена и их клиентов, а также иных лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети Интернет, вследствие сходства доменных имен, оформления или содержания. Фишинг [phishingAttacks] (для вектора [EXT], [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 11 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "phishingAttacks": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","target": {"ip": "127.0.0.1","domain": "example.com"},"harmful": [{"ip": "127.0.0.1","url": "http://example.com"}],"fixationAt": "2018-03-22T08:08:49Z ","messageAttachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:08:49Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}], | [N] | [2], [3] |
| 11.1 | "target" (блок данных) | идентификаторы объекта атаки (легитимный ресурс) | [N] | [2], [3] | ||
| 11.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 11.1.2 | "domain" (поле данных) | доменное имя | Доменное имя согласно спецификации RFC 1034 [14], а также международной иерархии доменных зон в соответствии со спецификацией RFC 5890 [13] | [N] | [2], [3] | |
| 11.2 | "harmful" (блок данных) | идентификаторы источников фишинговых ресурсов | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "harmful" | [N] | [2], [3] | |
| 11.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 11.2.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 11.3 | "fixationAt" (поле данных) | дата и время фиксирования фишингового сообщения | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 11.4 | "message Attachment" (блок данных) | образец фишингового обращения | [N] | [2], [3] | ||
| 11.4.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [2], [3] | |
| 11.4.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [2], [3] | |
| 11.4.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 11.4.4.1 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [2], [3] | |
| 11.4.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] |
6.6.12. Компьютерные атаки, связанные с распространением информации, касающейся предложений и (или) предоставления на территории Российской Федерации финансовых услуг лицами, не имеющими права их оказывать в соответствии с законодательством Российской Федерации. Размещение в сети Интернет запрещенного контента [prohibitedContents] (для вектора [EXT], [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 12 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "prohibitedContents": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","sources": [{"ip": "127.0.0.1","url": "http://example.com"}],"type": "тип запрещенного контента"}], | [N] | [2], [3] |
| 12.1 | "sources" (блок данных) | идентификаторы источников запрещенного контента | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "target" | [N] | [2], [3] | |
| 12.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 12.1.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 12.2 | "type" (поле данных) | тип запрещенного контента | текстовое поле (textarea) | [N] | [2], [3] |
6.6.13. Компьютерные атаки, связанные с размещением в сети Интернет информации, позволяющей осуществить неправомерный доступ к информационным системам участников информационного обмена и их клиентов, используемым при предоставлении (получении) финансовых услуг, в том числе путем неправомерного доступа к конфиденциальной информации клиентов. Размещение в сети Интернет вредоносного ресурса [maliciousResources] (для вектора [EXT], [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 13 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "maliciousResources": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","sources": [{"ip": "127.0.0.1","url": "http://example.com"}],"activityType": "описание вредоносной активности"}], | [N] | [2], [3] |
| 13.1 | "sources" (блок данных) | идентификаторы источников вредоносного ресурса | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "target" | [N] | [2], [3] | |
| 13.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 13.1.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 13.2 | "activityType" (поле данных) | тип вредоносной активности | текстовое поле (textarea) | [N] | [2], [3] |
6.6.14. Компьютерные атаки, связанные с изменением контента [changeContent] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 14 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "changeContent": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","targets": [{"ip": "127.0.0.1","url": "http://example.com"}],"type": "тип контента"}], | [N] | [2], [3] |
| 14.1 | "targets" (блок данных) | идентификаторы объектов атаки, на которых произведено изменение контента | В случае необходимости указания нескольких значений полей данных (ip, url) указывается один или несколько объектов в блоке данных "target" | [N] | [2], [3] | |
| 14.1.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 14.1.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 14.2 | "type" (поле данных) | тип измененного контента | текстовое поле (textarea) | [N] | [2], [3] |
6.6.15. Компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры участников информационного обмена лицами, не обладающими соответствующими полномочиями [scanPorts] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 15 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "scanPorts": [{"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","sources": [{"ip": "IP-адрес"}],"ports": ["21"],"method": "информация о методах сканирования или используемом для этого программном обеспечении","startTimeAt": "2018-03-22T08:08:49Z","endTimeAt": "2018-03-22T08:09:49Z"}], | [N] | [2], [3] |
| 15.2 | "sources" (блок данных) | идентификаторы источников вредоносной активности | В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources" | [N] | [2], [3] | |
| 15.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 15.3 | "ports" (поле данных) | номера портов, которые подверглись сканированию | текстовое поле (textarea) | [N] | [2], [3] | |
| 15.4 | "method" (поле данных) | информация о методах сканирования или используемом для этого программном обеспечении | текстовое поле (textarea) | [N] | [2], [3] | |
| 15.5 | "startTimeAt" (поле данных) | время начала сканирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 15.6 | "endTimeAt" (поле данных) | время окончания сканирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] |
6.6.16. Иные компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов [other] (для вектора [INT], [EXT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 16 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "other": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","description": "описание компьютерной атаки","source": {"ip": "127.0.0.1","url": "http://example.com"},"type": "иной тип запрещенного, вредоносного, измененного контента","attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:08:49Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}}, | [N] | [2], [3] |
| 16.1 | "description" (поле данных) | описание компьютерной атаки | текстовое поле (textarea) | [N] | [2], [3] | |
| 16.2 | "source" (блок данных) | идентификаторы иного источника вредоносного, запрещенного контента/ресурса | [N] | [2], [3] | ||
| 16.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | [N] | [2], [3] | |
| 16.2.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] | |
| 16.2.3 | "type" (поле данных) | иной тип запрещенного, вредоносного, измененного контента | текстовое поле (textarea) | [N] | [2], [3] | |
| 16.3 | "attachment" (блок данных) | дополнительные данные для идентификации компьютерной атаки | [N] | [2], [3] | ||
| 16.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [2], [3] | |
| 15.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [2], [3] | |
| 15.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [2], [3] | |
| 16.3.4 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [2], [3] | |
| 16.3.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [2], [3] |
6.7. Информация по результатам завершения реализации инцидента и соответствующие формы электронных сообщений
6.7.1. Организационная информация [finalReport]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 1.1 | "closeDateAt" (поле данных) | дата и время закрытия инцидента | формат представления данных в соответствии со спецификацией RFC 3339 [11] | "finalReport": {"closeDateAt": "дата и время закрытия инцидента","recovery": "идентификатор восстановления после реализации инцидента","description": "дополнительное описание в случае невозможности восстановления","rootCause": "ключевые причины возникновения инцидента","mainActions": "предпринятые действия для предотвращения возникновения инцидента в будущем", | [O] | [3] |
| 1.2 | "recovery" (поле данных) | идентификатор восстановления после реализации инцидента | Выбирается один код из ограниченного множества возможных значений: - [Full] - предоставление финансовых (банковских) услуг восстановлено полностью; - [Not_Full] - предоставление финансовых (банковских) услуг восстановлено частично | [O] | [3] | |
| 1.3 | "description" (поле данных) | дополнительное описание в случае невозможности восстановления | текстовое поле (textarea) | [O] | [3] | |
| 1.4 | "rootCause" (поле данных) | ключевые причины возникновения инцидента | текстовое поле (textarea) | [O] | [3] | |
| 1.5 | "mainActions" (поле данных) | предпринятые действия для предотвращения возникновения инцидента в будущем | текстовое поле (textarea) | [O] | [3] |
6.7.2. Техническая информация, описывающая сигнатуру компьютерных атак [signatures]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 2.1 | "signatures" (блок данных) | сигнатура | В случае необходимости указания нескольких значений полей данных (identifier, name, source, eventsAmount) указывается один или несколько объектов в блоке данных "signatures" | "signatures": [{"identifier": "идентификатор сигнатуры","name": "средство обнаружения","source": "источник получения сигнатуры","eventsAmount": "количество срабатываний сигнатуры"}],"snort": ["rule1","rule2"],"attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}}} | [N] | [3] |
| 2.2 | "identifier" (поле данных) | уникальный идентификатор сигнатуры | последовательность символов, полученных в результате вычисления хэш-функции MD5 | [N] | [3] | |
| 2.3 | "name" (поле данных) | средство обнаружения | текстовое поле (textarea) | [N] | [3] | |
| 2.4 | "source" (поле данных) | источник получения сигнатуры | текстовое поле (textarea) | [N] | [3] | |
| 2.5 | "eventsAmount" (поле данных) | количество срабатываний сигнатуры | текстовое поле (textarea) | [N] | [3] | |
| 2.6 | "snort" (поле данных) | Snort-правила | формат представления в виде: <Действие> <Протокол> | [N] | [3] | |
| 2.7 | "attachment" (блок данных) | дополнительные данные по результатам завершения реализации инцидента | [N] | [3] | ||
| 2.7.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [3] | |
| 2.7.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [3] | |
| 2.7.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [3] | |
| 2.7.4 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [3] | |
| 2.7.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае, если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [3] |
7. Форма запроса Банка России к участнику информационного обмена, обслуживающему получателя средств
Банк России при получении информации в соответствии с главой 6 раздела 6.5 настоящего стандарта от участника информационного обмена, обслуживающего плательщика, в целях проверки конкретного получателя средств, направляет запрос участнику информационного обмена, обслуживающему получателя средств, а также уведомление о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличении остатка электронных денежных средств получателя средств.