Приложение N 7. Положение по работе с инцидентами информационной безопасности в Администрации Петрозаводского городского округа. Постановление Администрации Петрозаводского городского округа Республики Карелия от 25.05.2023 N 2018 "Об утверждении Политики в отношении обработки персональных данных в Администрации Петрозаводского городского округа" (с изменениями и дополнениями)

Приложение N 7
УТВЕРЖДЕНО
постановлением Администрации
Петрозаводского городского округа
от 25.05.2023 N 2018

Положение
по работе с инцидентами информационной безопасности в Администрации Петрозаводского городского округа

1. Общие положения

Настоящее положение разработано в целях организации работы с инцидентами информационной безопасности в Администрации Петрозаводского городского округа (далее - Администрация).

Инцидент - одно событие или группа событий, которые могут привести к сбоям или нарушению функционирования информационной системы (далее - ИС) и (или) к возникновению угроз безопасности информации, в том числе персональных данных.

1.1. Положение по работе с инцидентами информационной безопасности (далее - Положение) разработано в соответствии с:

1) Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

2) Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

3) требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119;

4) требованиями по реализации мер, предусмотренных составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом Федеральной службы по техническому и экспортному контролю России от 18 февраля 2013 года N 21;

5) политикой в отношении обработки персональных данных в Администрации Петрозаводского городского округа, утвержденной постановлением Администрации Петрозаводского городского округа.

Работа с инцидентами в области информационной безопасности помогает определить наиболее актуальные угрозы информационной безопасности и создает обратную связь в системе обеспечения информационной безопасности, что способствует повышению общего уровня защиты информационных ресурсов и информационных систем.

1.2. Работа с инцидентами включает в себя следующие направления:

1) определение лиц, ответственных за выявление инцидентов и реагирование на них;

2) обнаружение, идентификация и регистрация инцидентов;

3) своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;

4) анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

5) принятие мер по устранению последствий инцидентов;

6) планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Для анализа инцидентов, в том числе определения источников и причин возникновения инцидентов, а также оценки их последствий; планирования и принятия мер по предотвращению повторного возникновения инцидентов, назначается постоянно действующая комиссия по работе с инцидентами в соответствии с распоряжением Администрации Петрозаводского городского округа о создании постоянно действующей комиссии по работе с инцидентами.

2. Ответственные за выявление инцидентов и реагирование на них

2.1. Ответственными за выявление инцидентов в ИС являются:

1) лица, имеющие право доступа к ИС;

2) ответственный за техническое обслуживание ИС (администратор ИС);

3) ответственный за обеспечение безопасности в ИС (администратор ИБ).

2.2. Ответственными за реагирование на инциденты в ИС являются:

1) лица, имеющие право доступа к ИС;

2) руководитель отраслевого (функционального) подразделения Администрации, в котором выявлен инцидент;

3) ответственный за техническое обслуживание ИС (администратор ИС);

4) ответственный за обеспечение безопасности в ИС (администратор ИБ);

5) ответственный за организацию обработки персональных данных Администрации, в случае, если ИС является информационной системой персональных данных и (или) государственной (муниципальной) информационной системой, обрабатывающей персональные данные;

6) председатель комиссии по работе с инцидентами.

2.3. Ответственными за выявление инцидентов вне ИС являются все сотрудники Администрации.

2.4. Ответственными за реагирование на инциденты вне ИС являются:

1) сотрудники Администрации, обнаружившие инцидент;

2) руководитель отраслевого (функционального) подразделения Администрации, в котором выявлен инцидент;

3) ответственный за организацию обработки персональных данных Администрации, в случае, если существует угроза безопасности персональных данных;

4) председатель комиссии по работе с инцидентами.

3. Обнаружение, идентификация и регистрация инцидентов

3.1. Работа по обнаружению инцидентов в области информационной безопасности включает в себя мероприятия, направленные на:

1) выявление инцидентов в области информационной безопасности с помощью технических средств;

2) выявление инцидентов в области информационной безопасности в ходе контрольных мероприятий;

3) выявление инцидентов с помощью сотрудников Администрации.

3.2. Работа по идентификации инцидентов в области информационной безопасности включает в себя мероприятия, направленные на доведение до сотрудников Администрации информации, позволяющей идентифицировать инциденты.

3.3. Регистрацию инцидентов осуществляет председатель комиссии по работе с инцидентами в журнале регистрации инцидентов информационной безопасности. Рекомендуемая форма журнала приведена в приложении к настоящему Положению.

Хранение журнала должно осуществляется в местах, исключающих доступ к журналу посторонних лиц. Журнал хранится в течение 5 лет после завершения ведения. Ответственный за хранение журнала - председатель комиссии по работе с инцидентами.

4. Информирование о возникновении инцидентов

Сотрудник Администрации (пользователь ИС), обнаруживший инцидент в ИС, должен незамедлительно, любым доступным способом сообщить об инциденте непосредственному своему руководителю отраслевого (функционального) подразделения, администратору ИС, администратору ИБ, ответственному за организацию обработки персональных данных в Администрации, председателю комиссии по работе с инцидентами.

Администратор ИС, в случае необходимости, информирует пользователей ИС о возникновении инцидента и дает указания по дальнейшим действиям.

5. Анализ инцидентов, а также оценка их последствий

Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценку их последствий осуществляет комиссия по работе с инцидентами информационной безопасности.

5.1. Источниками и причинами возникновения инцидентов в области информационной безопасности являются:

1) действия организаций и отдельных лиц враждебные интересам Администрации;

2) отсутствие персональной ответственности сотрудников Администрации и их непосредственных руководителей за обеспечение информационной безопасности, в том числе персональных данных;

3) недостаточная работа с персоналом по обеспечению необходимого режима соблюдения конфиденциальности, в том числе персональных данных;

4) недостаточная техническая оснащенность подразделения (отдела) или лица, ответственного за обеспечение информационной безопасности;

5) совмещение функций по разработке и сопровождению или сопровождению и контролю за информационными системами;

6) наличие привилегированных бесконтрольных пользователей в информационной системе;

7) пренебрежение правилами и требованиями информационной безопасности служащими Администрации;

8) и другие причины.

5.2. Оценка последствий инцидента производится на основании потенциально возможного или фактического ущерба.

6. Принятие мер по устранению последствий инцидентов

Меры по устранению последствий инцидентов включают в себя мероприятия, направленные на:

1) определение границ инцидента и ущерба от реализации угроз информационной безопасности;

2) ликвидацию последствий инцидента и полное либо частичное возмещение ущерба.

7. Планирование и принятие мер по предотвращению инцидентов

7.1. Планирование и принятие мер по предотвращению возникновения инцидентов осуществляет комиссия по работе с инцидентами информационной безопасности и основывается на:

1) планомерной деятельности по повышению уровня осознания информационной безопасности руководством и служащими Администрации;

2) проведении мероприятий по обучению служащих Администрации правилам и способам работы со средствами защиты информационных систем;

3) доведении до служащих норм законодательства, внутренних документов Администрации, устанавливающих ответственность за нарушение требований информационной безопасности;

4) разъяснительной работе с увольняющимися и принимаемыми на работу служащими Администрации;

5) своевременной модернизации системы обеспечения информационной безопасности с учетом возникновения новых угроз информационной безопасности, либо в случае изменения требований руководящих документов по организации обеспечения информационной безопасности;

6) своевременном обновлении программного обеспечения, в том числе баз сигнатур антивирусных средств.

7.2. Работа с персоналом.

Как правило, самым слабым звеном в любой системе безопасности является человек. Поэтому работа с персоналом является основным направлением деятельности по обеспечению требований информационной безопасности.

В работе с персоналом основной упор должен делаться не на наказание служащих за нарушения в области информационной безопасности, а на поощрение за надлежащие выполнение требований информационной безопасности, проявление личной инициативы в укреплении системы информационной безопасности.

Персонал Администрации является важным источником сведений об инцидентах информационной безопасности, поэтому необходимо донести до служащих информацию о том, что оперативно предоставленные сведения об инциденте информационной безопасности могут являться основанием для смягчения либо отмены наказания за нарушение требований информационной безопасности.