Приложение 3. Положение по выявлению инцидентов информационной безопасности информационной системы персональных данных. Приказ комитета по культуре города Барнаула от 21.04.2023 N 50 "Об организации работы с персональными данными в комитете по культуре города Барнаула"

Приложение 3
к приказу комитета по культуре
города Барнаула
от 21.04.2023 N 50

Положение
по выявлению инцидентов информационной безопасности информационной системы персональных данных

1. Общие положения

1.1. Положение по выявлению инцидентов информационной безопасности информационной системы персональных данных (далее - Положение) устанавливает правила выявления инцидентов информационной безопасности системы персональных данных, которые могут привести к нарушению конфиденциальности, целостности и доступности защищаемой информации или другим нарушениям, приводящим к снижению класса защищенности информационной системы (далее - ИС), правила принятия мер по предотвращению возможных опасных последствий подобных нарушений, а так же выявления и предотвращения иных инцидентов информационной безопасности (далее - ИБ) в информационной системе персональных данных (далее - ИСПДн) комитета по культуре города Барнаула (далее - Оператор).

1.2. Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", иными нормативными правовыми актами, а также в соответствии с правовыми актами Оператора.

1.3. Положение обязательно к соблюдению всеми пользователями ИСПДн Оператора.

1.4. Разбирательство по всем инцидентам ИБ проводится администратором информационной безопасности (далее - АИБ) Оператора.

2. Выявление инцидента информационной безопасности

2.1. Основными источниками информации об инцидентах ИБ являются:

2.1.1. факты, выявленные пользователями ИСПДн, администратором ИС, АИБом;

2.1.2. результаты работы средств мониторинга ИБ, результаты проверок и аудита (внутреннего или внешнего);

2.1.3. запросы и предписания органов надзора;

2.1.4. другие источники информации.

2.2. Пользователь ИСПДн может выявить признаки наличия инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям, утвержденным правовыми актами Оператора. Любые сведения о происшествии или инциденте ИБ должны быть незамедлительно переданы выявившим их пользователем АИБ.

3. Анализ исходной информации и принятие решения о проведении разбирательства

3.1. АИБ после получения информации о предполагаемом инциденте ИБ незамедлительно проводит первоначальный анализ полученных данных. В процессе анализа АИБ проводит проверку наличия в выявленном факте нарушений.

3.2. По решению АИБ единичный инцидент ИБ, не приведший к негативным последствиям и совершенный пользователем ИСПДн впервые, фиксируется в карточке данных "Инциденты ИБ" с присвоением статуса "Разбирательство не требуется".

3.3. В случае наличия признаков инцидента ИБ АИБ определяет предварительную степень важности инцидента ИБ и принимает решение о необходимости проведения разбирательства, информирует работодателя об инциденте ИБ, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса "В процессе разбирательства".

3.4. В срок не более 3 рабочих дней с момента поступления информации об инциденте ИБ АИБ определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.

4. Разбирательство инцидента информационной безопасности

4.1. Целями разбирательства инцидентов ИБ являются:

4.1.1. выработка организационных и технических решений, направленных на снижение рисков нарушения информационной безопасности, предотвращение и минимизацию подобных нарушений в будущем;

4.1.2. защита прав пользователей ИСПДн Оператора, установленных законодательством Российской Федерации;

4.1.3. обеспечение безопасности защищаемой информации;

4.1.4. предотвращение несанкционированного доступа к защищаемой информации.

4.2. Разбирательство инцидента ИБ состоит из следующих этапов:

4.2.1. Подтверждение или опровержение факта возникновения инцидента ИБ;

4.2.2. Подтверждение или корректировка уровня значимости инцидента ИБ;

4.2.3. уточнение дополнительных обстоятельств (деталей) инцидента ИБ;

4.2.4. сбор доказательств возникновения инцидента ИБ, обеспечение их сохранности и целостности;

4.2.5. минимизация последствий инцидента ИБ;

4.2.6. информирование и консультирование пользователей ИСПДн по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;

4.2.7. разработка мероприятий по обнаружению и предупреждению инцидентов ИБ;

4.2.8. создание рабочей группы для проведения расследования Инцидента ИБ.

4.3. АИБ незамедлительно уведомляет работодателя о факте инцидента ИБ.

4.4. АИБ вправе проводить расследование инцидента ИБ самостоятельно или в день выявления инцидента ИБ вправе инициировать создание рабочей группы. Взаимодействие между членами рабочей группы осуществляется с соблюдением требований конфиденциальности. При необходимости проводятся заседания рабочей группы, время, место и темы которых определяются ее руководителем.

4.5. Порядок проведения разбирательства инцидента ИБ:

В процессе проведения разбирательства инцидента ИБ обязательными для установления являются дата, время совершения инцидента ИБ, фамилия, имя, отчество, должность нарушителя ИБ (в случае внутреннего нарушителя ИБ), уровень критичности инцидента ИБ, обстоятельства и мотивы совершения инцидента ИБ, информационные ресурсы, затронутые инцидентом ИБ, характер и размер реального и потенциального ущерба, обстоятельства, способствовавшие совершению инцидента ИБ.

После получения необходимой информации по инциденту ИБ проводится анализ полученных данных, а также оценка негативных последствий от реализации инцидента ИБ. В ходе указанной оценки учитываются прямой финансовый ущерб, репутационный ущерб, потенциальный ущерб, косвенные потери, связанные с недоступностью сервисов, потерей информации, другие виды ущерба или аспекты негативных последствий для Оператора.

4.6. В течение 5 рабочих дней с момента выявления инцидента ИБ АИБ запрашивает объяснительную записку у нарушителя ИБ (в случае внутреннего нарушителя ИБ). Объяснительная записка должна быть составлена, подписана нарушителем ИБ и передана АИБ в течение 3 рабочих дней с момента поступления запроса. В случае отказа нарушителя ИБ предоставить объяснительную записку АИБ составляет акт об отказе предоставить объяснения.

4.7. С целью минимизации последствий инцидента ИБ АИБ вправе на время проведения разбирательства инициировать отключение права доступа нарушителя ИБ к ИС.

4.8. В случае, если у нарушителя ИБ были отключены права доступа к ИС на время проведения разбирательства, то по его результатам АИБ инициирует возвращение в полном или ограниченном объеме ранее имеющихся у нарушителя ИБ прав доступа к ИС либо инициирует официальную процедуру отмены или изменения его прав доступа к ИС. Если нарушение ИБ было вызвано незнанием нарушителем ИБ правил работы с информационными ресурсами высокого уровня безопасности, то основанием для возврата прав доступа является успешное прохождение повторного инструктажа, ознакомлением с положениями должностной инструкции, иными локальными нормативными актами Оператора.

4.9. Восстановление временно отключенных у нарушителя ИБ прав доступа к ИС (разблокировка пользователя) может производиться только по заявке работодателя.

5. Оформление результатов проведенного разбирательства

5.1. Собранная в процессе разбирательства инцидента ИБ информация фиксируется АИБ в картотеке данных "Инциденты ИБ" и учитывается при подготовке итогового заключения по инциденту ИБ.

5.2. АИБ формирует, согласовывает со всеми участниками разбирательства и подписывает итоговое заключение по расследованию инцидента ИБ.

5.3. Итоговое заключение по инциденту ИБ АИБ направляет работодателю.

5.4. АИБ фиксирует завершение разбирательства в карточке "Инциденты ИБ" и присваивает инциденту статус "Разбирательство завершено".

5.5. В случае выявления в инциденте ИБ признаков административного правонарушения или уголовного преступления, относящихся к сфере информационных технологий, АИБ передает все материалы по инциденту ИБ работодателю для принятия решения о подаче заявления в правоохранительные органы Российской Федерации.

5.6. АИБ фиксирует полученную дополнительную информацию в карточке данных "Инциденты ИБ" и информирует работодателя.

6. Завершение разбирательства, превентивные мероприятия

6.1. По завершению разбирательства инцидента ИБ АИБ передает имеющиеся материалы работодателю для решения вопроса о целесообразности привлечения нарушителя ИБ к дисциплинарной ответственности.

6.2. На основании полученных результатов разбирательства работодатель в срок не более 3 рабочих дней с момента окончания разбирательства организует проведение одного или нескольких мероприятий, направленных на снижение рисков ИБ в будущем:

6.2.1 повторное ознакомление нарушителя ИБ с положениями должностной инструкции, иными правовыми актами Оператора;

6.2.2. анализ и пересмотр имеющихся прав доступа к информационным ресурсам у нарушителя ИБ;

6.2.3. доведение до всех пользователей ИСПДн требований правовых актов Оператора;

6.2.4. отмена неактуальных прав доступа к информационным ресурсам;

6.2.5. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

6.2.6. другие обоснованные мероприятия.

7. Права, обязанности и ответственность участников разбирательства

7.1. АИБи члены рабочей группы имеют право:

7.1.1. требовать у нарушителя ИБ предоставлений письменных объяснений по обстоятельствам инцидента ИБ;

7.1.2. запрашивать и получать от пользователей ИСПДн в рамках их компетенций устные и письменные объяснения и иную информацию, необходимую для проведения разбирательства инцидента ИБ;

7.1.3. инициировать отключение от информационных ресурсов пользователей ИСПДн, нарушивших правила или требования ИБ, на период проведений расследования инцидента ИБ в случае, если имеется существенный риск увеличение ущерба или возникновения новых инцидентов ИБ;

7.1.4. инициировать процедуры привлечения нарушителя ИБ к дисциплинарной и материальной ответственности.

7.2. АИБ и члены рабочей группы обязаны:

7.2.1. объективно и основательно проводить разбирательство каждого инцидента ИБ;

7.2.2. определять первоочередные меры, направленные на локализацию инцидента ИБ и минимизацию негативных последствий;

7.2.3. фиксировать в карточке данных "Инциденты ИБ" всю исходную информацию об инциденте ИБ и результаты его расследования;

7.2.4. предоставлять отчеты и рекомендации по проведенным разбирательствам работодателю;

7.2.5. проводить анализ обстоятельств, способствовавших совершению каждого инцидента ИБ, и на его основе разрабатывать рекомендации и предложения по оптимизации бизнес-процессов и снижения ущерба от подобных инцидентов ИБ и минимизации возможности их повторения в будущем;

7.2.6. составлять заключения по фактам инцидентов ИБ, принимать меры по предотвращению возможных опасных последствий инцидентов ИБ.

7.3. Пользователи ИСПДн обязаны:

7.3.1. предоставлять по запросам АИБ и членов рабочей группы письменные объяснения и иную информацию в рамках своей компетенции, необходимую для проведения разбирательства инцидента ИБ;

7.3.2. информировать АИБа о выявленных инцидентах ИБ.