Экспорт инцидентов в НКЦКИ

Инциденты, созданные в KUMA, можно экспортировать в НКЦКИ. Перед экспортом инцидентов требуется настроить интеграцию с НКЦКИ. Инцидент можно экспортировать только один раз. Экспорт инцидентов в НКЦКИ доступен пользователя с включенным флажком Может взаимодействовать с НКЦКИ в параметрах пользователя.

Экспорт инцидентов в НКЦКИ доступен, только если лицензия программы включает модуль GosSOPKA.

Чтобы экспортировать инцидент в НКЦКИ:

В разделе Инциденты веб-интерфейса KUMA выберите инцидент, который вы хотите экспортировать, одним из указанных ниже способов:
- Установите флажок рядом с нужным инцидентом.
- Откройте нужный инцидент.
Нажмите Экспортировать в НКЦКИ.
Откроется окно с параметрами экспорта.

Укажите параметры в закладке Основные окна Экспорт в НКЦКИ:

Категория инцидента и Тип инцидента – укажите тип и категорию инцидента. В НКЦКИ можно экспортировать только инциденты определенных категорий и типов.

Категории и типы инцидентов, которые можно экспортировать в НКЦКИ

TLP (обязательно) – присвойте инциденту маркер протокола Traffic Light, определяющий характер сведений об инциденте. По умолчанию используется значение RED. Доступные значения:
- WHITE – раскрытие не ограничено;
- GREEN – раскрытие только для сообщества;
- AMBER – раскрытие только для организаций;
- RED – раскрытие только для круга лиц.
Название информационной системы (обязательно) – укажите название информационного ресурса, в котором произошел инцидент. В поле можно ввести до 500 000 символов.
Категория КИИ системы (обязательно) – укажите категорию критической информационной структуры (КИИ) вашей организации. Если у вашей организации нет категории КИИ, выберите пункт Информационный ресурс не является объектом КИИ.
Сфера деятельности компании (обязательно) – укажите сферу деятельности вашей организации. По умолчанию используется значение, указанное в параметрах интеграции с НКЦКИ.
Доступные сферы деятельности компании
- Атомная энергетика
- Банковская сфера и иные сферы финансового рынка
- Горнодобывающая промышленность
- Государственная/муниципальная власть
- Здравоохранение
- Металлургическая промышленность
- Наука
- Оборонная промышленность
- Образование
- Ракетно-космическая промышленность
- Связь
- СМИ
- Топливно-энергетический комплекс
- Транспорт
- Химическая промышленность
- Иная
Местоположение (обязательно) – выберите в раскрывающемся списке местоположение вашей организации.
Затронутая система имеет подключение к интернету – установите этот флажок, если активы, относящиеся к инциденту, имеют подключение к интернету. Кроме того, дополнительно после завершения экспорта в личном кабинете ГосСОПКА в карточке уведомления укажите технические сведения о компьютерном инциденте, компьютерной атаке или уязвимости. По умолчанию этот флажок снят.
Сведения о продукте (обязательно) – эта таблица становится доступна, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
С помощью кнопки Добавить элемент можно добавить в таблицу строку. В столбце Название требуется указать название программы (например, MS Office), а в столбце Версия – версию программы (например, 2.4).
Идентификатор уязвимости – при необходимости укажите идентификатор обнаруженной уязвимости. Например, CVE-2020-1231.
Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.
Наименование и версия уязвимого продукта – при необходимости укажите наименование и версию уязвимого продукта. Например, Операционные системы Microsoft и их компоненты.
Это поле становится доступно, если в качестве категории инцидента вы выбрали пункт Уведомление о наличии уязвимости.

При необходимости укажите параметры в закладке Дополнительно окна Экспорт в НКЦКИ.
Набор параметров в закладке зависит от выбранных категории и типа инцидента:
- Средство обнаружения инцидента – укажите название продукта, с помощью которого был зарегистрирован инцидент. Например, KUMA 1.5.
- Требуется привлечение сил ГосСОПКА – установите этот флажок, если вам требуется помощью сотрудников ГосСОПКА.
- Время завершения инцидента – укажите дату и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
- Влияние на доступность – оцените степень последствий инцидента для доступности системы:
  - Высокое
  - Низкое
  - Отсутствует
- Влияние на целостность – оцените степень последствий инцидента для целостности системы:
  - Высокое
  - Низкое
  - Отсутствует
- Влияние на конфиденциальность – оцените степень последствий инцидента для конфиденциальности информации:
  - Высокое
  - Низкое
  - Отсутствует
- Иные последствия – укажите иные значимые последствия инцидента.
- Город – укажите город, в котором находится ваша организация.
Нажмите Экспорт.
Подтвердите экспорт.

Сведения об инциденте переданы в НКЦКИ, параметр инцидента Экспорт в НКЦКИ меняется на Успешно экспортирован. Если в экспортированный инцидент требуется внести изменения, это следует делать в вашем личном кабинете ГосСОПКА.

В начало

Категория инцидента	Тип инцидента
Уведомление о компьютерном инциденте	Вовлечение контролируемого ресурса в инфраструктуру ВПО
	Замедление работы ресурса в результате DDoS-атаки
	Заражение ВПО
	Захват сетевого трафика
	Использование контролируемого ресурса для фишинга
	Компрометация учетной записи
	Несанкционированное изменение информации
	Несанкционированное разглашение информации
	Публикация на ресурсе запрещенной законодательством РФ информации
	Рассылка спам-сообщений с контролируемого ресурса
	Успешная эксплуатация уязвимости
Уведомление о компьютерной атаке	DDoS-атака
	Неудачные попытки авторизации
	Попытки внедрения ВПО
	Попытки эксплуатации уязвимости
	Публикация мошеннической информации
	Сетевое сканирование
	Социальная инженерия
Уведомление о наличии уязвимости	Уязвимый ресурс