Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Федерального агентства водных ресурсов от 30 апреля 2021 г. N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов"
- Приложение N 4. Инструкция по реагированию на инциденты информационной безопасности
Приложение N 4. Инструкция по реагированию на инциденты информационной безопасности
Приложение N 4
к приказу Федерального
агентства водных ресурсов
от 30.04.2021 г. N 117
Инструкция по реагированию на инциденты информационной безопасности
1. Введение
1.1 Цели и назначение
Настоящая Инструкция по реагированию на инциденты ИБ (далее - Инструкция) Росводресурсов описывает порядок реагирования на инциденты ИБ и устанавливает порядок управления инцидентами.
Данный документ направлен на достижение следующих целей:
- определение инцидентов ИБ, их выявление в ИС Росводресурсов и подведомственных организаций и устранение последствий инцидентов;
- определение прав и обязанностей администратора ИБ и системных администраторов при реагировании на инциденты ИБ;
- информирование пользователей ИС Росводресурсов о правилах реагирования на инциденты ИБ.
1.2 Область применения
Настоящая Инструкция распространяется на все структурные и обособленные подразделения Росводресурсов, территориальные органы Росводресурсов, подведомственные организации, персонал и взаимодействующие с Росводресурсами сторонние организации, обеспечивающие поддержку функционирования ИС Росводресурсов и/или имеющие права доступа к информационным ресурсам в составе ИС Росводресурсов.
Настоящая Инструкция не распространяется на любые виды деятельности, связанные с защитой и обработкой информации, содержащей сведения, составляющие государственную тайну.
2. Обнаружение инцидентов и уведомление ответственных лиц
Источником информации об инциденте ИБ может служить следующее:
- сообщения работников, посетителей, подрядных организаций, направленные в Росводресурсы в виде сообщений по электронной почте, служебных записок, писем, заявлений и т.д.;
- уведомления/сообщения органов, осуществляющих контроль или надзор за деятельностью Росводресурсов;
- данные, полученные на основании анализа журналов регистрации информационных систем, систем защиты.
Ниже перечислены основные типы инцидентов ИБ (некоторые инциденты могут соответствовать нескольким типам инцидентов ИБ или типам, не указанным в настоящей Инструкции):
- сбои в работе информационных систем и/или недоступность сервиса;
- выход из строя информационной системы;
- ошибки, вызванные неполными и недостоверными данными;
- вирусы, трояны, шпионское программное обеспечение;
- злоупотребление должностными полномочиями для доступа к защищаемой информации;
- несанкционированный доступ, утрата или кража информации ограниченного доступа;
- недостатки системы защиты информации.
При получении сообщения об инциденте ИБ по электронной почте или по телефонному звонку необходимо убедиться в достоверности полученной информации (например, путем совершения "обратного" звонка по указанным в сообщении телефонам, проверки данных, указанных в подписи сообщения или названных при звонке).
Инциденты могут быть идентифицированы в ходе автоматизированных проверок, таких как антивирусное сканирование, анализ журналов регистрации событий средств защиты информации и других механизмов аудита.
Работник, получивший информацию об инциденте, должен сообщить об этом системному администратору и руководителю своего структурного подразделения.
3. Оценка критичности инцидента
Инциденты ИБ должны оцениваться с точки зрения величины ущерба и возможных последствий для деятельности Росводресурсов и граждан Российской Федерации.
Повторяющиеся события (например, вирусы, передаваемые по почте), предусматривающие рутинные действия (как правило, автоматические) по их блокированию, не наносящие ущерба компании, могут регистрироваться автоматически соответствующим программным обеспечением.
Инциденты ИБ разделяются на категории в зависимости от критичности информации и/или затрагиваемых функций Росводресурсов:
- высокой критичности - приводят или могут привести к значительным последствиям на уровне деятельности Росводресурсов (например, невозможность выполнения ключевых функций органа власти, выход из строя государственной информационной системы, нарушение деятельности Центрального аппарата Росводресурсов);
- средней критичности - приводят или могут привести к значительным последствиям на уровне отдельной информационной системы (например, полная недоступность основных телекоммуникационных сервисов или выход из строя системы ведения реестров);
- низкой критичности - последствия на уровне отдельного сервиса или отдельной функции информационной системы;
- незначительной критичности - последствия на уровне отдельного рабочего места.
Определение категории и типа инцидента возлагается на системного администратора, по согласованию с администратором ИБ.
4. Приоритеты и реагирование на инциденты
При определении категории инцидента учитываются настоящее и потенциальное воздействие инцидента на деятельность Росводресурсов, а также критичность информации, подверженной инциденту.
Реагирование на инциденты, первичное расследование с целью проверки достоверности фактов, указывающих на инцидент, возлагается на системного администратора и администратора ИБ. Непрерывный мониторинг информационных систем на наличие инцидентов осуществляется системным администратором.
Нижеследующая таблица определяет время начала реагирования на инциденты безопасности с момента его обнаружения и уведомления уполномоченных сотрудников (Таблица 1)1)#
Таблица 1 - Время начала реагирования на инциденты ИБ
|
Категория инцидента (критичности) |
Высокая |
Средняя |
Низкая |
Незначительная |
|
Реагирование |
15 мин |
30 мин в рабочее время и 1 час в нерабочее |
1 час* |
2 часа* |
------------------------------
* - в рабочее время.
------------------------------
5. Устранение и расследование инцидентов
Устранение инцидента высокой и средней критичности начинается сразу после его обнаружения.
Расследованию подлежат все инциденты высокой и средней критичности. Расследование инцидентов других категорий проводится по инициативе администратора ИБ, руководства Росводресурсов или руководителей затронутых инцидентом подразделений.
Расследование инцидентов проводится с целью выявления причин возникновения инцидента, разработки корректирующих действий, позволяющих минимизировать воздействие инцидента и избежать его повторения в будущем, и проводится после устранения инцидента.
Расследование инцидентов проводится под руководством ответственного за ИБ группой расследования, которая формируется из администратора ИБ, сотрудников системного администратора и работников затронутых подразделений (в зоне ответственности которых произошел инцидент).
Группа расследования ответственна за сбор возможных документированных материалов расследования (свидетельств инцидента). Собранная информация должна храниться в течение пяти 5# лет.
В рамках расследования инцидента представители группы расследования имеют право:
- на непосредственный доступ в помещения Росводресурсов и системного администратора, где произошел инцидент, в том числе к рабочему месту работников, принявших прямое или косвенное участие в инциденте;
- требовать от работников Росводресурсов и системного администратора представления документов или иной информации, относящейся к расследованию, для ознакомления с ней и приобщения к материалам расследования;
- требовать от работников Росводресурсов и системного администратора написания объяснительных по факту прямого или косвенного участия в инциденте;
- вызывать работников Росводресурсов и системного администратора для проведения личной беседы по факту прямого или косвенного участия в инциденте;
- требовать предоставления образа жесткого диска персонального компьютера, установленного на рабочем месте работника Росводресурсов, принявшего прямое или косвенное участие в инциденте, для ознакомления с информацией, содержащейся на жестком диске персонального компьютера и приобщения к материалам расследования.
В рамках проведения расследования инцидента работники Росводресурсов и системного администратора, по требованию представителей группы, обязаны предоставить:
- запрашиваемую информацию;
- письменные объяснения;
- доступ в помещения Росводресурсов, в том числе к своему рабочему месту;
- возможность для снятия образа жесткого диска персонального компьютера, который установлен на рабочем месте сотрудника.
В рамках расследования инцидента представители группы расследования обязаны:
- руководствоваться требованиями законодательства РФ;
- соблюдать права и свободы граждан РФ, согласно Конституции РФ;
- принимать все меры, необходимые для объективного проведения расследования;
- обеспечивать сохранность и конфиденциальность материалов, приобщаемых к расследованию инцидента.
По результатам проведения расследования инцидента группа расследования формирует протокол о проведении расследования.
В приложениях к протоколу указываются описание инцидента, результаты расследования и рекомендации по снижению риска повторения инцидента или подобных инцидентов.
6. Рассылка и актуализация
Настоящая Инструкция должна быть доступна для ознакомления всем работникам Росводресурсов и системному администратору, а также предоставляться по необходимости подрядным организациям.
Периодическая проверка актуальности настоящей Инструкции проводится администратором ИБ, системным администратором по мере необходимости, а также в случае изменений модели угроз ИС Росводресурсов.
Основанием для пересмотра и совершенствования Инструкции являются результаты внутренних и внешних аудитов безопасности, а также результаты анализа системы защиты информации в сочетании с использованием превентивных и корректирующих мер.
7. Ответственность и контроль исполнения
Работники, нарушающие требования настоящей Инструкции, могут быть подвергнуты дисциплинарным взысканиям, предусмотренным трудовым законодательством Российской Федерации.