Постановление Администрации Атяшевского муниципального района Республики Мордовия от 05.04.2021 N 167 "Об утверждении Порядка реагирования на компьютерные инциденты, связанные с совершением компьютерных атак и внедрением вредоносного программного обеспечения в Администрации Атяшевского муниципального района Республики Мордовия"

В целях совершенствования системы защиты информации в Администрации Атяшевского муниципального района Республики Мордовия (далее - Администрация), обеспечения информационной безопасности и организации порядка реагирования на события информационной безопасности постановляю:

1. Утвердить Порядок реагирования на компьютерные инциденты, связанные с совершением компьютерных атак и внедрением вредоносного программного обеспечения в Администрации Атяшевского муниципального района Республики Мордовия (далее - Порядок).

2. Настоящее постановление вступает в силу после его официального опубликования.

3. Контроль за исполнением настоящего постановления возложить на Сюмкина А.М. - заместителя Главы района - начальника управления делами Администрации Атяшевского муниципального района.

Глава Атяшевского муниципального района

В.Г. Прокин

Порядок
реагирования на компьютерные инциденты, связанные с совершением компьютерных атак и внедрением вредоносного программного обеспечения в Администрации Атяшевского муниципального района Республики Мордовия
(утв. постановлением Администрации Атяшевского муниципального района Республики Мордовия от 5 апреля 2021 г. N 167)

I. Общие положения

1. Настоящий Порядок устанавливает действия при возникновении угроз информационной безопасности, обусловленных возможностью несанкционированного доступа к муниципальным информационным ресурсам сторонних лиц (третьих лиц), внедрения и распространения вредоносного программного обеспечения, проведения массированных атак типа "отказ в обслуживании", а также возможными техническими сбоями в работе.

Порядок разработан для Администрации Атяшевского муниципального района Республики Мордовия и подведомственных организаций.

2. В настоящем Порядке используются следующие понятия:

инцидент информационной безопасности - любое непредвиденное или нежелательное событие, которое может нарушить деятельность информационных систем или информационную безопасность;

информационное взаимодействие - процесс взаимодействия двух и более участников, целью которого является обработка информации в общих информационных системах и сетях;

участники информационного взаимодействия - пользователи информационных систем (далее - пользователи) Администрации Атяшевского муниципального района, системные администраторы, специалисты по информационной безопасности (далее - администраторы безопасности) Администрации Атяшевского муниципального района.

3. Действие положений настоящего Порядка распространяется на деятельность Администрации Атяшевского муниципального района и подведомственные организации и обязательны к соблюдению всеми сотрудниками Администрации Атяшевского муниципального района, участвующими в выявлении, разбирательстве и предотвращении инцидентов информационной безопасности.

4. Задачами настоящего Порядка являются:

организация деятельности сотрудников Администрации Атяшевского муниципального района осуществляющих администрирование информационных систем в Администрации Атяшевского муниципального района;

определение порядка работы пользователей, системных администраторов и администраторов безопасности;

обеспечение целостности, конфиденциальности и доступности информации;

соблюдение требований правовых актов в области защиты информации.

II. Источники и виды инцидентов информационной безопасности

5. Источниками информации об инцидентах информационной безопасности в Администрации Атяшевского муниципального района являются:

факты, выявленные сотрудниками Администрации Атяшевского муниципального района;

результаты работы средств мониторинга информационной безопасности, аудита (внутреннего или внешнего);

журналы и оповещения операционных систем серверов и рабочих станций, антивирусной системы, системы резервного копирования и других систем;

обращения субъектов персональных данных с указанием инцидента информационной безопасности;

сообщения Министерства информатизации и связи Республики Мордовия (далее - Мининформсвязи) и ГУП Республики Мордовия "НПЦ информатизации и новых технологий" (далее - ГУП НПЦ);

сообщения Федеральной службы технического и экспортного контроля России;

сообщения Федеральной службы безопасности Российской Федерации;

сообщения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;

иные источники информации.

6. Основными видами инцидентов информационной безопасности в Администрации Атяшевского муниципального района являются:

несанкционированный доступ к информационным ресурсам Администрации Атяшевского муниципального района;

превышение полномочий - несанкционированный доступ к каким-либо ресурсам и помещениям сотрудников Администрации Атяшевского муниципального района;

компрометация учетных записей или паролей;

вирусная атака или вирусное заражение;

сетевые атаки (отказ в обслуживании (DoS-атаки), атаки типа Man-in-the-Middle, сниффер пакетов, переадресация портов, IP-спуфинг, атаки на уровне приложений и другое).

III. Анализ исходной информации

7. При получении информации о несанкционированном воздействии на информационную систему и сеть системный администратор совместно с администратором безопасности обязаны убедиться, что инцидент информационной безопасности не является результатом их собственной ошибки или санкционированных действий.

8. При выявлении инцидента информационной безопасности в Администрации Атяшевского муниципального района системному администратору совместно с администратором безопасности необходимо:

принять меры по пресечению несанкционированного воздействия в случае, если на момент выявления оно не завершено;

принять меры по устранению причин возникновения инцидента информационной безопасности;

сохранить образ или содержание информационной системы, в том числе журналы событий (информационного ресурса) на момент обнаружения события (несанкционированного воздействия);

провести мероприятия по восстановлению работоспособности информационной системы (информационного ресурса);

провести служебную проверку с целью выявления причин, которые могли привести к произошедшему несанкционированному воздействию.

9. Администратору безопасности информационной системы, подвергшейся несанкционированному воздействию, необходимо в течение трех рабочих дней с момента обнаружения несанкционированного воздействия представить в Мининформсвязи Республики Мордовия (8342-39-14-08, 8342-39-14-12, RKurmakaev@e-mordovia.ru, svs-zi@e-mordovia.ru) и ГУП НПЦ (8342-39-10-00, IT@e-mordovia.ru) результаты служебной проверки и информацию о последствиях несанкционированного воздействия и принятых мерах по устранению причин несанкционированного воздействия.

10. Совместно с результатами служебной проверки администратор безопасности также должен представить в Мининформсвязи Республики Мордовия и ГУП НПЦ:

наименование информационной системы (информационного ресурса), на которую произведено несанкционированное воздействие;

время несанкционированного воздействия и (или) время обнаружения несанкционированного воздействия;

место несанкционированного воздействия (площадка, на которой размещается информационный ресурс, хостинг);

краткое изложение (описание) произошедшего несанкционированного воздействия и его последствий;

контактные данные (фамилия, имя, отчество, номер телефона, адрес электронной почты) системного администратора или администратора безопасности, ответственного за обеспечение работоспособности информационной системы (информационного ресурса);

правовой акт о создании и (или) вводе в эксплуатацию информационной системы (информационного ресурса);

паспорт информационной системы (при наличии);

договор об обслуживании или о техническом сопровождении (при наличии);

договор об оказании услуг по предоставлению вычислительных мощностей (договор о размещении на ресурсе, облаке) в случае, если информационная система (информационный ресурс) размещена на коммерческом ресурсе;

порядок работы или положение об информационной системе (информационном ресурсе) (при наличии).

11. По результатам рассмотрения полученной информации Мининформсвязи и ГУП НПЦ в течение одного рабочего дня со дня ее получения принимает решение о необходимости совершения конкретных действий и информирования Управления Федеральной службы безопасности Российской Федерации по Республике Мордовия о несанкционированном воздействии.

IV. Обязанности участников информационного взаимодействия

12. Обязанностями пользователя являются:

предоставление своего автоматизированного рабочего места администратору безопасности для контроля;

выполнение требований и рекомендаций администратора безопасности и системного администратора;

незамедлительное информирование администратора безопасности и системного администратора обо всех выявленных нарушениях, связанных с информационной безопасностью и обнаружением нештатного режима работы информационных систем и сетей.

13. Обязанностями системного администратора являются:

обеспечение бесперебойной работы системного программного обеспечения, серверного оборудования и автоматизированных рабочих мест пользователей;

обеспечение резервного копирования данных (восстановление данных при необходимости);

незамедлительное информирование администратора безопасности обо всех выявленных нарушениях, связанных с информационной безопасностью;

осуществление мероприятий по предотвращению

несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

предотвращение незаконного вмешательства в информационные ресурсы и системы в иных формах;

выполнение требований и рекомендаций администратора безопасности;

ведение журнала учета инцидентов информационной безопасности, составленного по форме согласно приложению, к настоящему Порядку;

принятие в течение 1 рабочего дня мер по восстановлению работоспособности информационных ресурсов и информационных систем, согласуемых с администратором безопасности и вышестоящим руководством (при необходимости);

проведение совместно с администратором безопасности анализа зарегистрированных инцидентов информационной безопасности с целью разработки мероприятий (плана мероприятий) по их предотвращению.

14. Обязанностями администратора безопасности являются:

проведение инструктажа пользователей по вопросам информационной безопасности;

обеспечение функционирования установленных систем защиты информации;

обновление антивирусных баз;

осуществление контроля за резервным копированием информации, сроками действия сертификатов соответствия средств защиты информации, ведением журнала учета инцидентов информационной безопасности;

проведение не реже 1 раза в год внутреннего аудита информационной безопасности;

осуществление совместно с системным администратором при получении информации об инцидентах информационной безопасности мероприятий по предотвращению несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и системы;

информирование непосредственного руководителя обо всех инцидентах, повлекших выход из строя либо временную приостановку работоспособности автоматизированных рабочих мест, автоматизированных систем и государственных информационных систем (информационных ресурсов, серверного оборудования), а также о фактах несанкционированного воздействия, заражения вредоносными программами;

проведение совместно с системным администратором анализа зарегистрированных инцидентов информационной безопасности с целью разработки плана мероприятий по их предотвращению.

V. Ответственность участников информационного взаимодействия

15. Каждый участник информационного взаимодействия несет персональную ответственность за:

свои действия во время информационного взаимодействия в рамках своих служебных обязанностей;

соблюдение требований, установленных настоящим Порядком.

Системный администратор, администратор безопасности и пользователи несут персональную ответственность за неисполнение или исполнение не в полном объеме своих обязанностей, указанных в разделе IV настоящего Порядка.

Приложение
к порядку реагирования на компьютерные
инциденты, связанные с совершением
компьютерных атак и внедрением вредоносного
программного обеспечения

Журнал
учета инцидентов информационной безопасности

N п/п	Краткое описание инцидента ИБ	Кем обнаружен (ФИО. должность)	Дата и время обнаружения	Дата и время решения проблемы	Подпись системного администратора /АИБ