Приложение N 8. Регламент выявления инцидентов информационной безопасности и порядка реагирования на них в администрации муниципального образования "Город Саратов". Распоряжение администрации муниципального образования "Город Саратов" от 15.06.2023 N 201-р "Об утверждении документов, определяющих политику в отношении обработки персональных данных в администрации муниципального образования "Город Саратов"

Приложение N 8
к распоряжению администрации
муниципального образования
"Город Саратов"
от 15 июня 2023 года N 201-р

Регламент
выявления инцидентов информационной безопасности и порядка реагирования на них в администрации муниципального образования "Город Саратов"

1. Общие положения

1.1. Регламент выявления инцидентов информационной безопасности и порядка реагирования на них в администрации муниципального образования "Город Саратов" разработан в целях организации работ по выявлению инцидентов информационной безопасности, возникающих в информационных системах персональных данных администрации муниципального образования "Город Саратов" (далее - ИСПДн администрации, администрация города), и реагированию на них в соответствии с пунктом 16.2 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

1.2. Регламент регулирует вопросы обнаружения, идентификации, анализа инцидентов, планирования и принятия мер по их устранению, а также планирования и принятия мер по предотвращению повторного возникновения инцидентов в ИСПДн администрации.

1.3. Организацию работ по реагированию на инцидент, его локализацию, ликвидацию (минимизацию) ущерба выполняет ответственный за обеспечение защиты информации - администратор информационной безопасности (далее - администратор ИБ) ИСПДн администрации.

1.4. В рамках реагирования и расследования инцидента администратор ИБ может опрашивать работников администрации, а также привлекать сторонние организации в качестве экспертов в сфере информационной безопасности.

2. Понятие инцидента информационной безопасности

2.1. Основные используемые термины и определения:

2.1.1. Инцидент информационной безопасности - появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации информационных ресурсов администрации города и создания угрозы информационной безопасности.

2.1.2. Событие информационной безопасности - идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

2.1.3. Угроза информационной безопасности - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

2.2. В общем случае инцидентом называется любое нарушение применяемых в администрации города организационно-технических мер защиты информации.

2.3. Инцидент информационной безопасности может произойти как в ходе реализации угрозы информационной безопасности, заранее спрогнозированной в модели угроз, так и при помощи других методов, например, методов социальной инженерии, направленных на конкретного пользователя с целью несанкционированного получения информации.

2.4. Для учета и последующего анализа администратор ИБ ведет журнал учета инцидентов информационной безопасности по форме согласно приложению N 3 к настоящему регламенту.

3. Обнаружение и идентификация инцидентов

3.1. Информация об инцидентах информационной безопасности на автоматизированном рабочем месте (далее - АРМ) ИСПДн администрации может поступать по следующим каналам:

- от пользователей ИСПДн администрации (далее - пользователей);

- из журналов регистрации событий сетевого оборудования и межсетевых экранов;

- из журналов регистрации событий прикладного программного обеспечения;

- оповещения антивирусных средств и систем;

- оповещения систем обнаружения вторжений;

- оповещения сканеров уязвимостей;

- оповещения других систем.

3.2. Оборудование должно быть настроено таким образом, чтобы администратор ИБ смог оперативно получать информацию о произошедших событиях информационной безопасности.

3.3. Общесистемное программное обеспечение, прикладное программное обеспечение и средства защиты информации должны быть настроены таким образом, чтобы обеспечивать надежное хранение событий информационной безопасности на протяжении не менее трех месяцев со дня регистрации и исключать несанкционированное удаление электронных журналов регистрации.

3.4. Пользователи при получении информации об инциденте информационной безопасности, а также при получении информации обо всех нетипичных событиях, сообщений операционной системы, сообщений систем защиты (например антивирусного средства) обязаны незамедлительно сообщить о происходящем администратору ИБ или руководителю аппарата администрации города.

3.5. Информация об инциденте информационной безопасности сообщается администратору ИБ или руководителю аппарата администрации города в произвольной форме и должна содержать следующую информацию:

- дата, время обнаружения инцидента информационной безопасности;

- Ф.И.О. лица, сообщившего информацию;

- содержание инцидента информационной безопасности (например текст сообщения средства защиты информации, информация о действиях третьих лиц, направленных на получение доступа к автоматизированному рабочему месту и т.д.).

4. Реагирование на инциденты

4.1. После получения информации об инциденте информационной безопасности администратор ИБ должен оперативно провести анализ инцидента и определить категорию инцидента:

- 1-я категория: инцидент может привести к незначительным негативным последствиям (ущербу) для информационных ресурсов (систем);

- 2-я категория: инцидент может привести к негативным последствиям (ущербу) для информационных ресурсов (систем);

- 3-я категория: инцидент может привести к значительным негативным последствиям (ущербу) для информационных ресурсов (систем).

4.2. В ходе анализа инцидента информационной безопасности определяется:

- фактическая или потенциальная возможность реализации угрозы информационной безопасности;

- опасность угрозы информационной безопасности;

- перечень информационных ресурсов, затрагиваемых реализацией угрозы информационной безопасности;

- потенциальные нарушители, цели и причины реализации угрозы информационной безопасности;

- предварительный перечень мер по локализации и нейтрализации угрозы информационной безопасности;

- оценка последствий инцидента, в том числе возможный и фактический ущерб.

4.3. В зависимости от присвоенной категории инциденту информационной безопасности администратор ИБ определяет приоритет и время реагирования согласно таблице:

Категория инцидента	Приоритет	Время реагирования, не более (часов)
1	низкий	8
2	средний	4
3	высокий	1

4.4. В случае определения категории 2 или 3 администратор ИБ в обязательном порядке доводит информацию об инциденте ИБ до сведения руководителя аппарата администрации города.

4.5. Для реагирования на инциденты информационной безопасности категории 3 в администрации создается специальная группа реагирования на инциденты ИБ (далее - группа), состоящая из следующих специалистов:

- руководитель аппарата администрации города;

- администратор ИБ;

- технические специалисты администрации города;

- технические специалисты МКУ "Цифровые технологии".

4.6. Первостепенной задачей администратора ИБ (группы) является сдерживание инцидента информационной безопасности, то есть принятие мер, необходимых для локализации инцидента и предотвращения (препятствования) его распространения.

4.7. В процессе реагирования на инцидент информационной безопасности администратор ИБ (группа) собирает всю информацию для проведения расследования инцидента, планирует и предпринимает меры по устранению инцидентов информационной безопасности, в том числе:

- меры по восстановлению ИСПДн, ее сегментов, персональных данных в случае отказа в обслуживании или после сбоев;

- меры по устранению последствий нарушения правил разграничения доступа;

- меры по устранению последствий неправомерных действий по сбору информации;

- меры по устранению последствий внедрения вредоносных компьютерных программ (вирусов);

- меры по устранению последствий иных действий, приводящих к возникновению инцидентов.

5. Расследование инцидентов

5.1. Расследование инцидента информационной безопасности включает проверку и сбор доказательств с технических средств (серверов, сетевых устройств, АРМ и т.д.) и без использования технических средств.

5.2. Целью расследования инцидента информационной безопасности является раскрытие всех причинно-следственных связей и получение следующей информации:

- источники инцидента информационной безопасности (нарушители);

- цели инцидента информационной безопасности (информационные ресурсы, информация ограниченного доступа, персональные данные и т.д.);

- способы осуществления инцидента информационной безопасности.

5.3. Сбор свидетельств инцидента информационной безопасности представляет собой процедуру сбора фактов злонамеренных действий, направленных на реализацию угроз информационной безопасност