Приложение N 8. Регламент выявления инцидентов информационной безопасности и порядка реагирования на них в администрации муниципального образования "Город Саратов". Распоряжение администрации муниципального образования "Город Саратов" от 15.06.2023 N 201-р "Об утверждении документов, определяющих политику в отношении обработки персональных данных в администрации муниципального образования "Город Саратов"

Приложение N 8
к распоряжению администрации
муниципального образования
"Город Саратов"
от 15 июня 2023 года N 201-р

Регламент
выявления инцидентов информационной безопасности и порядка реагирования на них в администрации муниципального образования "Город Саратов"

1. Общие положения

1.1. Регламент выявления инцидентов информационной безопасности и порядка реагирования на них в администрации муниципального образования "Город Саратов" разработан в целях организации работ по выявлению инцидентов информационной безопасности, возникающих в информационных системах персональных данных администрации муниципального образования "Город Саратов" (далее - ИСПДн администрации, администрация города), и реагированию на них в соответствии с пунктом 16.2 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.

1.2. Регламент регулирует вопросы обнаружения, идентификации, анализа инцидентов, планирования и принятия мер по их устранению, а также планирования и принятия мер по предотвращению повторного возникновения инцидентов в ИСПДн администрации.

1.3. Организацию работ по реагированию на инцидент, его локализацию, ликвидацию (минимизацию) ущерба выполняет ответственный за обеспечение защиты информации - администратор информационной безопасности (далее - администратор ИБ) ИСПДн администрации.

1.4. В рамках реагирования и расследования инцидента администратор ИБ может опрашивать работников администрации, а также привлекать сторонние организации в качестве экспертов в сфере информационной безопасности.

2. Понятие инцидента информационной безопасности

2.1. Основные используемые термины и определения:

2.1.1. Инцидент информационной безопасности - появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации информационных ресурсов администрации города и создания угрозы информационной безопасности.

2.1.2. Событие информационной безопасности - идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

2.1.3. Угроза информационной безопасности - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

2.2. В общем случае инцидентом называется любое нарушение применяемых в администрации города организационно-технических мер защиты информации.

2.3. Инцидент информационной безопасности может произойти как в ходе реализации угрозы информационной безопасности, заранее спрогнозированной в модели угроз, так и при помощи других методов, например, методов социальной инженерии, направленных на конкретного пользователя с целью несанкционированного получения информации.

2.4. Для учета и последующего анализа администратор ИБ ведет журнал учета инцидентов информационной безопасности по форме согласно приложению N 3 к настоящему регламенту.

3. Обнаружение и идентификация инцидентов

3.1. Информация об инцидентах информационной безопасности на автоматизированном рабочем месте (далее - АРМ) ИСПДн администрации может поступать по следующим каналам:

- от пользователей ИСПДн администрации (далее - пользователей);

- из журналов регистрации событий сетевого оборудования и межсетевых экранов;

- из журналов регистрации событий прикладного программного обеспечения;

- оповещения антивирусных средств и систем;

- оповещения систем обнаружения вторжений;

- оповещения сканеров уязвимостей;

- оповещения других систем.

3.2. Оборудование должно быть настроено таким образом, чтобы администратор ИБ смог оперативно получать информацию о произошедших событиях информационной безопасности.

3.3. Общесистемное программное обеспечение, прикладное программное обеспечение и средства защиты информации должны быть настроены таким образом, чтобы обеспечивать надежное хранение событий информационной безопасности на протяжении не менее трех месяцев со дня регистрации и исключать несанкционированное удаление электронных журналов регистрации.

3.4. Пользователи при получении информации об инциденте информационной безопасности, а также при получении информации обо всех нетипичных событиях, сообщений операционной системы, сообщений систем защиты (например антивирусного средства) обязаны незамедлительно сообщить о происходящем администратору ИБ или руководителю аппарата администрации города.

3.5. Информация об инциденте информационной безопасности сообщается администратору ИБ или руководителю аппарата администрации города в произвольной форме и должна содержать следующую информацию:

- дата, время обнаружения инцидента информационной безопасности;

- Ф.И.О. лица, сообщившего информацию;

- содержание инцидента информационной безопасности (например текст сообщения средства защиты информации, информация о действиях третьих лиц, направленных на получение доступа к автоматизированному рабочему месту и т.д.).

4. Реагирование на инциденты

4.1. После получения информации об инциденте информационной безопасности администратор ИБ должен оперативно провести анализ инцидента и определить категорию инцидента:

- 1-я категория: инцидент может привести к незначительным негативным последствиям (ущербу) для информационных ресурсов (систем);

- 2-я категория: инцидент может привести к негативным последствиям (ущербу) для информационных ресурсов (систем);

- 3-я категория: инцидент может привести к значительным негативным последствиям (ущербу) для информационных ресурсов (систем).

4.2. В ходе анализа инцидента информационной безопасности определяется:

- фактическая или потенциальная возможность реализации угрозы информационной безопасности;

- опасность угрозы информационной безопасности;

- перечень информационных ресурсов, затрагиваемых реализацией угрозы информационной безопасности;

- потенциальные нарушители, цели и причины реализации угрозы информационной безопасности;

- предварительный перечень мер по локализации и нейтрализации угрозы информационной безопасности;

- оценка последствий инцидента, в том числе возможный и фактический ущерб.

4.3. В зависимости от присвоенной категории инциденту информационной безопасности администратор ИБ определяет приоритет и время реагирования согласно таблице:

Категория инцидента	Приоритет	Время реагирования, не более (часов)
1	низкий	8
2	средний	4
3	высокий	1

4.4. В случае определения категории 2 или 3 администратор ИБ в обязательном порядке доводит информацию об инциденте ИБ до сведения руководителя аппарата администрации города.

4.5. Для реагирования на инциденты информационной безопасности категории 3 в администрации создается специальная группа реагирования на инциденты ИБ (далее - группа), состоящая из следующих специалистов:

- руководитель аппарата администрации города;

- администратор ИБ;

- технические специалисты администрации города;

- технические специалисты МКУ "Цифровые технологии".

4.6. Первостепенной задачей администратора ИБ (группы) является сдерживание инцидента информационной безопасности, то есть принятие мер, необходимых для локализации инцидента и предотвращения (препятствования) его распространения.

4.7. В процессе реагирования на инцидент информационной безопасности администратор ИБ (группа) собирает всю информацию для проведения расследования инцидента, планирует и предпринимает меры по устранению инцидентов информационной безопасности, в том числе:

- меры по восстановлению ИСПДн, ее сегментов, персональных данных в случае отказа в обслуживании или после сбоев;

- меры по устранению последствий нарушения правил разграничения доступа;

- меры по устранению последствий неправомерных действий по сбору информации;

- меры по устранению последствий внедрения вредоносных компьютерных программ (вирусов);

- меры по устранению последствий иных действий, приводящих к возникновению инцидентов.

5. Расследование инцидентов

5.1. Расследование инцидента информационной безопасности включает проверку и сбор доказательств с технических средств (серверов, сетевых устройств, АРМ и т.д.) и без использования технических средств.

5.2. Целью расследования инцидента информационной безопасности является раскрытие всех причинно-следственных связей и получение следующей информации:

- источники инцидента информационной безопасности (нарушители);

- цели инцидента информационной безопасности (информационные ресурсы, информация ограниченного доступа, персональные данные и т.д.);

- способы осуществления инцидента информационной безопасности.

5.3. Сбор свидетельств инцидента информационной безопасности представляет собой процедуру сбора фактов злонамеренных действий, направленных на реализацию угроз информационной безопасности. Причины, по которым необходим сбор свидетельств, рассматриваются как получение законных оснований для привлечения к ответственности лица или группы лиц за умышленное или непреднамеренное действие (бездействие), или попытку действия, направленную на реализацию угрозы (угроз) информационной безопасности ИСПДн администрации.

5.4. Основной задачей по расследованию инцидентов информационной безопасности является выявление (идентификация) нарушителя и источника инцидента в целях локализации нарушения и предотвращения дальнейшего распространения инцидента. При этом по поручению руководителя аппарата администрации города администратор ИБ незамедлительно принимает меры по отстранению пользователя, имеющего отношение к инциденту информационной безопасности, от работы на АРМ для исключения дальнейшего развития инцидента и сохранения доказательной базы.

5.5. После выявления нарушителей по инцидентам информационной безопасности 2-й и 3-й категории администратор ИБ (группа) проводит проверку АРМ ИСПДн администрации, к которым имели доступ нарушители. В ходе проверки проводится анализ:

- записей в журналах регистрации событий операционной системы, программного обеспечения (ПО) средств защиты информации, указывающие на реализацию атаки (угрозы) или неизвестную ранее активность;

- истории интернет-обозревателей (включая файлы окружения), сообщения электронной почты (включая прикрепленные файлы), в том числе удаленные сообщения;

- установленного или записанного ПО, не относящегося к основной деятельности пользователя;

- наличия подозрительных файлов (включая графические или с незарегистрированными расширениями имен);

- наличия возможности у пользователя отключать средства защиты информации.

В определенных случаях при явных признаках реализации угрозы пользователем анализ может также включать поиск удаленных файлов и областей, потерянных кластеров, свободного места, а также восстановление данных с обнаруженных в окружении носителей.

5.6. Администратор ИБ должен обеспечить надежное хранение свидетельств расследования инцидентов информационной безопасности в любом виде (электронные журналы регистрации событий, скрины экрана, фотографии и т.д.) с соблюдением требований действующего законодательства Российской Федерации. При этом необходимо учитывать, что:

- доказательства должны храниться в виде, пригодном для представления в судебные инстанции;

- время хранения устанавливается не менее трех лет.

5.7. Факт составления администратором ИБ (группой) отчета об инциденте информационной безопасности является моментом завершения расследования инцидента. В отчете об инциденте информационной безопасности указываются обстоятельства и дата возникновения инцидента, участники инцидента (нарушители), последствия и результаты расследования инцидента. Форма отчета об инциденте информационной безопасности представлена в приложении N 2 к регламенту.

5.8. После проведения расследования инцидента информационной безопасности администратор ИБ (группа) в срок, не превышающий 10 рабочих дней со дня завершения расследования:

- проводит переоценку угроз, повлекших возникновение инцидента информационной безопасности;

- готовит перечень защитных мер для минимизации выявленных рисков в случае повторения инцидента информационной безопасности;

- при необходимости инициирует проведение переработки соответствующих локальных нормативных актов, включая настоящий Регламент. Внесение изменений фиксируется в листе регистрации изменений в Регламент (приложение N 1 к Регламенту).

6. Лица, ответственные за выполнение регламента

6.1. Ответственность за соблюдение требований настоящего Регламента возлагается на администратора ИБ.

6.2. Пользователи, виновные в нарушении требований настоящего Регламента, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.