Постановление Главы городского округа Богданович Свердловской области от 03.10.2023 N 1710 "Об утверждении методического руководства по организации технических мероприятий, направленных на проведение служебных проверок при возникновении компьютерных инцидентов в администрации городского округа Богданович и подведомственных учреждениях администрации городского округа Богданович"

С целью обеспечения исполнения требований федеральных законов от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", во исполнение пункта 2.5 распоряжения Губернатора Свердловской области от 07.04.2023 N 86-РГ "Об итогах заседания Координационного совещания по обеспечению правопорядка в Свердловской области от 14 марта 2023 года по вопросу о состоянии защищенности информационной инфраструктуры исполнительных органов государственной власти Свердловской области и органов местного самоуправления муниципальных образований, расположенных на территории Свердловской области, а также подведомственных им учреждений и принимаемых мерах по предупреждению преступлений с применением современных средств коммуникационной связи", руководствуясь статьей 28 Устава городского округа Богданович, постановляю:

1. Утвердить методическое руководство по организации технических мероприятий, направленных на проведение служебных проверок при возникновении компьютерных инцидентов в администрации городского округа Богданович и подведомственных учреждениях администрации городского округа Богданович (прилагается).

2. Руководителям подведомственных учреждений администрации городского округа Богданович принять к исполнению методическое руководство по организации технических мероприятий, направленных на проведение служебных проверок при возникновении компьютерных инцидентов в администрации городского округа Богданович и подведомственных учреждениях администрации городского округа Богданович, утвержденное настоящим постановлением.

3. Контроль за исполнением настоящего постановления возложить на заместителя главы городского округа - руководителя аппарата администрации городского округа Теплоухову Н.С.

Глава городского округа Богданович

О.П. Нейфельд

Утверждено
постановлением главы
городского округа Богданович
от 03.10.2023 N 1710

Методическое руководство
по организации технических мероприятий, направленных на проведение служебных проверок при возникновении компьютерных инцидентов в администрации городского округа Богданович и подведомственных учреждениях администрации городского округа Богданович

1. Введение

Настоящее методическое руководство по организации технических мероприятий, направленных на проведение служебных проверок при возникновении компьютерных инцидентов, (далее - Методическое руководство) разработано для органов местного самоуправления муниципальных образований, расположенных на территории Свердловской области.

Методическое руководство определяет порядок обнаружения, регистрации, классификации, оценки ущерба, реагирования и анализа причин компьютерных инцидентов.

Данное Методическое руководство разработано в соответствии со следующими документами:

- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

- ГОСТ Р 59709-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Термины и определения;

- ГОСТ Р 59710-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Общие положения;

- ГОСТ Р 59711-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами;

- ГОСТ Р 59712-2022. Национальный стандарт Российской Федерации. Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты;

- Концепция технической защиты информации на территории Свердловской области от 08.09.2021 N 01-01-41/58, утвержденная Губернатором Свердловской области;

- Методический документ "Руководство по организации процесса управления уязвимостями в органе (организации)". Утвержден ФСТЭК России 17.05.2023.

Положения Методического руководства обязательны для всех сотрудников, имеющих доступ к программным и программно-аппаратным средствам Организации, информационным системам и ресурсам, защищаемой информации. Все сотрудники Организации обязаны ознакомиться под подпись с положениями данного Методического руководства до начала обработки информации с использованием программных и программно-аппаратных средств Организации.

Задачи Методического руководства:

- создание условий для осуществления своевременного обнаружения и оперативного реагирования на инциденты информационной безопасности, в том числе их закрытия;

- предотвращение и (или) снижение негативного влияния инцидентов информационной безопасности на выполнение технологических процессов обработки информации, информационные системы и ресурсы;

- оперативное совершенствование системы защиты информации в Организации.

2. Термины и сокращения

- исполнительный орган государственной власти Свердловской области, осуществляющий полномочия по вопросам технической защиты информации: Министерство цифрового развития и связи Свердловской области (далее - Министерство);

- орган местного самоуправления, подведомственные учреждения, осуществляющие полномочия по вопросам технической защиты информации: администрация городского округа Богданович, муниципальные подведомственные учреждения администрации городского округа Богданович (далее - Организация);

- инцидент информационной безопасности (далее - инцидент ИБ): непредвиденное или нежелательное событие, группа событий (далее - событие ИБ), которое привело (может привести) к нарушению функционирования информационного ресурса или возникновению угроз безопасности информации, или нарушению требований по защите информации;

- компьютерный инцидент: факт нарушения и (или) прекращения функционирования информационного ресурса, сети электросвязи, используемой для организации взаимодействия информационных ресурсов, и (или) нарушения безопасности обрабатываемой в информационном ресурсе информации, в том числе произошедший в результате компьютерной атаки;

- карточка компьютерного инцидента: документ установленной формы, предназначенный для формализованного описания компьютерных инцидентов;

- тип компьютерного инцидента: классификация разновидностей компьютерных инцидентов;

- компьютерная атака: целенаправленное воздействие программных и (или) программно-аппаратных средств на информационный ресурс в целях нарушения и (или) прекращения его функционирования и (или) создания угрозы безопасности обрабатываемой таким ресурсом информации;

- источник компьютерной атаки: лицо (или инициируемый им процесс), проводящее (проводящий) атаку;

- тактика (проведения компьютерной атаки): совокупность приемов и способов действий, используемых для проведения компьютерной атаки;

- техника (проведения компьютерной атаки): совокупность и порядок действий, используемых для проведения компьютерной атаки в рамках соответствующих тактик;

- тип компьютерной атаки: классификация разновидностей компьютерных атак.

3. Структура методического руководства

Настоящее Методическое руководство определяет содержание трех стадий управления компьютерными инцидентами, которые включают в себя соответствующие этапы:

1) обнаружение и регистрация компьютерных инцидентов:

а) регистрация признаков возможного возникновения компьютерных инцидентов;

б) подтверждение компьютерных инцидентов;

2) реагирование на компьютерные инциденты:

а) определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;

б) локализация компьютерного инцидента;

в) выявление последствий компьютерного инцидента;

г) ликвидация последствий компьютерного инцидента;

д) закрытие компьютерного инцидента;

е) фиксация материалов, связанных с возникновением компьютерного инцидента;

ж) установление причин и условий возникновения компьютерного инцидента;

3) анализ результатов деятельности по управлению компьютерными инцидентами:

а) приобретение и накопление опыта по результатам управления компьютерными инцидентами;

б) разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов;

в) оценка результатов и эффективности реагирования на компьютерные инциденты.

4. Обнаружение и регистрация компьютерных инцидентов

4.1. Общие положения

Деятельность по обнаружению и регистрации компьютерных инцидентов основывается на результатах проводимого в Организации мониторинга информационной безопасности, в рамках которого осуществляется сбор информации о событиях безопасности и иных данных мониторинга

из различных источников.

Стадия "Обнаружение и регистрация компьютерных инцидентов" включает в себя следующие этапы:

- регистрация признаков возможного возникновения компьютерных инцидентов;

- подтверждение компьютерных инцидентов.

4.2. Регистрация признаков возможного возникновения компьютерных инцидентов

Регистрация признаков возможного возникновения компьютерных инцидентов может осуществляться как автоматизированным способом (с использованием средства управления событиями информационной безопасности) на основе правил регистрации признаков возможного возникновения компьютерных инцидентов, так и неавтоматизированным способом (специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от сотрудников Организации).

Информация об инцидентах ИБ может поступать по следующим каналам:

- журналы регистрации сетевого и межсетевого оборудования;

- журналы регистрации общесистемного программного обеспечения;

- журналы систем управления базами данных;

- журналы регистрации инфраструктурного программного обеспечения;

- журналы регистрации прикладного программного обеспечения;

- журналы средств защиты информации;

- оповещения антивирусных подсистем;

- оповещения подсистем обнаружения атак;

- оповещения других подсистем Организации;

- информация, получаемая от сотрудников Организации по любым каналам связи (телефон, электронная почта, речевой канал, др.).

Подсистема мониторинга о событиях ИБ включает в себя журналы программных и программно-аппаратных средств, перечисленных выше. Срок хранения событий ИБ должен быть не менее 3 месяцев, если иное не установлено требованиями законодательства Российской Федерации.

Минимальный перечень типов событий ИБ, подлежащих регистрации приведен в приложении N 2 к настоящему Методическому руководству.

4.2.1. Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом

Регистрация признаков возможного возникновения компьютерных инцидентов автоматизированным способом осуществляется с использованием средства управления событиями информационной безопасности (при наличии такового, при отсутствии с использованием средств защиты информации и журналов безопасности программных и программно-аппаратных средств) на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.

Правила регистрации признаков возможного возникновения компьютерных инцидентов должны позволять реализовать один или совокупность следующих методов анализа, направленных на выявление причинно-следственной связи между событиями безопасности и иными данными мониторинга:

- сигнатурные методы, основанные на сопоставлении конкретных признаков и условий взаимосвязей событий безопасности и иных данных мониторинга;

- бессигнатурные методы, основанные на выявлении статистической и иной зависимости между событиями безопасности и иными данными мониторинга, и формировании профилей функционирования информационных ресурсов.

Сигнатурные методы анализа включают правила регистрации признаков возможного возникновения компьютерных инцидентов, создание и настройку которых осуществляет специалист подразделения, ответственного за управление компьютерными инцидентами.

Бессигнатурные методы анализа реализуются разработчиком средства управления событиями информационной безопасности в программном коде средства, алгоритмы которых не могут быть изменены специалистом подразделения, ответственного за управление компьютерными инцидентами.

Решение о наличии или отсутствии признака возможного возникновения компьютерного инцидента принимается на основе правил регистрации признаков возможного возникновения компьютерных инцидентов.

4.2.2. Регистрация признаков возможного возникновения компьютерных инцидентов неавтоматизированным способом

Регистрация признаков возможного возникновения компьютерных инцидентов неавтоматизированным способом осуществляется специалистами подразделения, ответственного за управление компьютерными инцидентами, при самостоятельном анализе событий безопасности в ходе мониторинга или при получении соответствующей информации от сотрудников Организации. Неавтоматизированная регистрация признаков возможного возникновения компьютерных инцидентов осуществляется в средстве управления инцидентами путем внесения в карточку признака возможного возникновения компьютерного инцидента необходимой информации (при отсутствии средства управления инцидентами в Журнал регистрации инцидентов ИБ, приложение N 1 к настоящему Методическому руководству).

4.3. Подтверждение компьютерных инцидентов

Подтверждение компьютерного инцидента осуществляется в ходе проведения проверки зарегистрированного признака возможного возникновения компьютерного инцидента.

Такая проверка проводится специалистами, ответственными за реагирование на компьютерные инциденты (руководителями рабочих групп реагирования на компьютерные инциденты).

Специалисты, ответственные за реагирование на компьютерные инциденты (руководители рабочих групп реагирования на компьютерные инциденты), осуществляют следующую деятельность:

- проведение проверки фактов возникновения компьютерных инцидентов с целью их подтверждения;

- регистрация компьютерных инцидентов в случае их подтверждения;

- контроль выполнения этапов реагирования на компьютерные инциденты.

При осуществлении контроля выполнения этапов реагирования на компьютерные инциденты специалист, ответственный за реагирование на компьютерный инцидент (руководитель рабочей группы реагирования на компьютерные инциденты), должен принимать решение о необходимости привлечения организации, осуществляющей координацию деятельности в части управления компьютерными инцидентами.

Проверка факта возникновения компьютерного инцидента предусматривает выполнение следующих процедур:

1) анализ информации, содержащейся в карточке признака возможного возникновения компьютерного инцидента;

2) сбор дополнительной информации, требуемой для подтверждения факта возникновения компьютерного инцидента (при необходимости), в ходе которого могут выполняться:

а) опрос пользователей информационных ресурсов, вовлеченных в компьютерный инцидент;

б) опрос специалистов подразделений, ответственных за эксплуатацию информационных ресурсов, вовлеченных в компьютерный инцидент;

в) получение данных о функционировании сервисов, обеспечивающих реализацию критических процессов организации;

г) проверка журналов событий на предмет наличия свидетельств о несанкционированном просмотре, изменении или удалении информации;

д) иные действия, позволяющие получить информацию, необходимую для принятия решения о регистрации компьютерного инцидента.

Карточка признака возможного возникновения компьютерного инцидента должна содержать информацию обо всех событиях безопасности и иных данных мониторинга, которые послужили основанием для регистрации признака возможного возникновения компьютерного инцидента.

Для проведения проверки факта возникновения компьютерного инцидента специалисту, ответственному за реагирование на компьютерный инцидент (руководителю рабочей группы реагирования на компьютерные инциденты), требуется следующая информация:

- подтверждающая или опровергающая факт приведения информационного ресурса в состояние, при котором он полностью или частично не может обрабатывать информацию, необходимую для обеспечения критических процессов, и/или осуществлять управление, контроль или мониторинг критических процессов;

- подтверждающая или опровергающая факт нарушения безопасности информации, необходимой для обеспечения критических процессов (нарушение ее конфиденциальности, целостности и/или доступности).

3) принятие решения о регистрации компьютерного инцидента, его приоритете и уровне влияния.

После подтверждения факта возникновения компьютерного инцидента осуществляется немедленное уведомление специалистов, входящих в состав рабочей группы, назначенной для реагирования на зарегистрированный компьютерный инцидент.

Также осуществляется уведомление исполнительного органа государственной власти Свердловской области (Министерства), исполняющего полномочия по вопросам технической защиты информации о компьютерном инциденте. Если компьютерный инцидент входит в зону ответственности Министерства или назначенного им для этого подведомственного учреждения, данное учреждение и/или Министерство включается в рабочую группу по решению компьютерного инцидента.

В зависимости от типа компьютерного инцидента Организация или Министерство принимает решение об уведомлении правоохранительных органов или контролирующих органов в области информационной безопасности об компьютерном инциденте.

5. Реагирование на компьютерные инциденты

5.1. Общие положения

Стадия "Реагирование на компьютерные инциденты" состоит из следующих последовательных этапов:

- определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;

- локализация компьютерного инцидента;

- выявление последствий компьютерного инцидента;

- ликвидация последствий компьютерного инцидента;

- закрытие компьютерного инцидента.

Отдельными этапами в рамках стадии "Реагирование на компьютерные инциденты" являются:

- фиксация материалов, связанных с возникновением компьютерного инцидента;

- установление причин и условий возникновения компьютерного инцидента.

Данные этапы могут проводиться параллельно с остальными этапами реагирования и даже после этапа "Закрытие компьютерного инцидента". Выполнение данных этапов не влияет на закрытие компьютерного инцидента.

5.2. Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры

На этапе "Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры" специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры, на которых имеются признаки зарегистрированного компьютерного инцидента, с целью их дальнейшей локализации.

На рисунке 1 представлена схема организационного процесса этапа "Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры".

Рисунок 1. Схема организационного процесса этапа "Определение вовлеченных в компьютерный инцидент элементов информационной инфраструктуры"

Для определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры следует изучить состояние элементов информационной инфраструктуры.

Изучение состояния элементов информационной инфраструктуры допускается осуществлять с использованием программных и/или программно - технических средств, предназначенных:

1) для получения доступа к файловой системе;

2) для получения доступа к журналам регистрации событий безопасности:

- операционной системы (ОС);

- средств защиты информации (антивирусные средства, средства обнаружения компьютерных атак и иные средства защиты информации);

- прикладного программного обеспечения (ПО);

3) для сканирования файловой системы с целью выявления вредоносного ПО;

4) для проведения инвентаризации;

5) для проведения анализа уязвимостей;

6) для оценки работоспособности и производительности элементов информационной инфраструктуры;

7) для получения информации из службы каталогов;

8) для получения параметров сетевых настроек и информации о сетевой активности элементов информационной инфраструктуры;

9) для анализа сетевого трафика, циркулирующего между элементами информационной инфраструктуры, а также другими функционирующими в сети Интернет ресурсами, в том числе

зафиксированного в момент возникновения компьютерного инцидента (при наличии такой возможности);

10) для обнаружения компьютерных атак.

5.3. Локализация компьютерного инцидента

На этапе "Локализация компьютерного инцидента" специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на ограничение функционирования элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент, с целью предотвращения его дальнейшего распространения.

На рисунке 2 представлена схема организационного процесса этапа "Локализация компьютерного инцидента".

Рисунок 2. Схема организационного процесса этапа "Локализация компьютерного инцидента"

К примерам возможных действий, которые могут выполняться при локализации компьютерных инцидентов, можно отнести:

- применение блокировок (использование межсетевого экрана).

Блокировки с использованием межсетевых экранов используются для предотвращения несанкционированного воздействия. Например, с использованием межсетевого экрана можно заблокировать информационные потоки с IP-адресов, с которых распространяется вредоносное ПО, шпионское ПО, а также IP-адресов почтовых ретрансляторов, источников фишинга и спама. Почтовые блокировки включают в себя фильтрацию вложений, строк темы и адреса отправителей. Для предотвращения доступа к неразрешенным или вредоносным веб-сайтам или хостам (узлам) могут применяться блокировки URL-адресов и доменных имен;

- отключение (изоляция, исключение).

Отключение зараженного элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) от локальной вычислительной сети может предотвратить заражение остальной части информационной инфраструктуры. Отключение зараженного элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) от сети Интернет или любых других общедоступных сетей связи может предотвратить несанкционированный доступ и, соответственно, нарушение конфиденциальности, целостности и

доступности информации. В некоторых случаях целесообразно осуществлять мониторинг вредоносной активности, ограничив при этом возможности злоумышленника атаковать другие информационные ресурсы;

- выключение.

Если дальнейшее функционирование элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) приведет к уничтожению (потере) данных, может быть принято решение о прекращении функционирования элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом). Следует учитывать, что выключение элемента информационной инфраструктуры может отрицательно сказаться на работе конкретных пользователей, сервисов и различных критических процессов. Данное решение должно приниматься в координации с соответствующим руководителем и/или ответственными за эксплуатацию информационных ресурсов организации;

- изменения маршрутизации.

Изменения маршрутизации осуществляются с целью устранения маршрута, по которому действует злоумышленник, препятствуя ему в получении доступа к информационным ресурсам, которые могут являться объектами атаки, а также блокирования механизмов передачи (распространения) вредоносного ПО;

- отключение или блокирование процессов.

В данном случае осуществляется отключение или блокирование процессов, которые могли быть использованы злоумышленником;

- отключение учетных записей пользователей.

В данном случае осуществляется отключение учетных записей пользователей, которые могли быть использованы злоумышленником.

Любые изменения в информационных ресурсах, включая действия по локализации компьютерного инцидента, могут привести к потере (уничтожению) информации, связанной с возникновением компьютерного инцидента (цифровых свидетельств). Следует убедиться, что вся информация, необходимая для установления причин и условий возникновения компьютерных инцидентов (цифровые свидетельства), собрана в полном объеме перед внесением каких-либо системных изменений.

5.4. Выявление последствий компьютерного инцидента

На этапе "Выявление последствий компьютерного инцидента" специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на выявление признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент.

При выявлении признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент, специалисты, входящие в состав рабочей группы реагирования на компьютерный инцидент, должны провести детальный анализ имеющихся данных о компьютерном инциденте.

На рисунке 3 представлена схема организационного процесса этапа "Выявление последствий компьютерного инцидента".

Рисунок 3. Схема организационного процесса этапа "Выявление последствий компьютерного инцидента"

К примерам признаков негативного воздействия на элементы информационной инфраструктуры, вовлеченные в компьютерный инцидент, которые выявляются в ходе анализа имеющихся данных о компьютерном инциденте, можно отнести следующее:

- нештатная сетевая активность элемента информационной инфраструктуры;

- созданные, модифицированные, удаленные файлы, каталоги, параметры настройки ОС, средств защиты информации, прикладного ПО;

- отклонения от эталонных (допустимых) параметров конфигурации ОС, средств защиты информации, прикладного ПО;

- отклонения от эталонного (допустимого) состава прикладного ПО, установленного в ОС;

- отклонения от эталонного (допустимого) содержания системных и защищаемых файлов;

- выполненные потенциально вредоносные команды, в том числе расположенные в оперативной памяти;

- признаки, идентифицирующие источник компьютерной атаки;

- признаки сбоев, перезагрузок, остановок и других нарушений в штатной работе ОС, средств защиты информации, прикладного ПО;

- признаки нарушений функционирования сетевых служб, аномального использования системных ресурсов;

- другая информация, характерная для отдельных типов компьютерных инцидентов и компьютерных атак.

5.5. Ликвидация последствий компьютерного инцидента

На этапе "Ликвидация последствий компьютерного инцидента" специалистами, входящими в состав рабочей группы реагирования на компьютерный инцидент, должны выполняться действия, направленные на устранение последствий негативного влияния компьютерного инцидента на информационный ресурс (по возможности) и/или восстановление элемента информационной инфраструктуры (группы элементов или информационного ресурса в целом) и/или обрабатываемой в нем информации.

На рисунке 4 представлена схема организационного процесса этапа "Ликвидация последствий компьютерного инцидента".

Рисунок 4. Схема организационного процесса этапа "Ликвидация последствий компьютерного инцидента"

К примерам возможных действий, которые могут быть выполнены для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне сети, можно отнести:

1) внесение изменений в параметры настроек ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах, вовлеченных в компьютерный инцидент;

2) отключение неиспользуемых функций телекоммуникационного оборудования (например, отключение уязвимых сервисов или протоколов, которые использовались для распространения вредоносного ПО);

3) смена аутентификационной информации скомпрометированных учетных записей пользователей:

а) на телекоммуникационном оборудовании;

б) средствах межсетевого экранирования;

в) средствах защиты от компьютерных атак, направленных на отказ в обслуживании;

4) внесение изменений в правила фильтрации межсетевых экранов;

5) внесение изменений в параметры очистки трафика в средствах защиты от компьютерных атак, направленных на отказ в обслуживании;

6) подключение резервных ресурсов (каналы связи, серверное оборудование, виртуальные машины, оборудование из состава запасных инструментов и принадлежностей);

7) миграция (перемещение) виртуальных машин в сторонние виртуальные инфраструктуры.

К примерам возможных мер, которые могут быть приняты для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне прикладного ПО, можно отнести:

- выполнение настройки безопасной конфигурации прикладного или специального ПО, вовлеченного в компьютерный инцидент;

- восстановление из актуальных резервных копий файлов, баз данных, конфигурационных файлов, подвергшихся модификации при компьютерном инциденте;

- восстановление удаленных файлов, в том числе с использованием специальных инструментальных средств;

- удаление ПО, вовлеченного в компьютерный инцидент, и всех его файлов с последующей установкой актуальной версии данного ПО и актуальных обновлений безопасности.

К примерам возможных мер, которые могут быть приняты для ликвидации последствий компьютерного инцидента, приведшего к негативным последствиям на уровне ОС, можно отнести:

- удаление вредоносного ПО;

- отмена изменений, внесенных вредоносным ПО (например, удаление созданных вредоносным ПО файлов, отмена выполненных изменений в конфигурации и настройках ОС,

- удаление созданных вредоносным ПО учетных записей);

- смена аутентификационной информации для скомпрометированных учетных записей пользователей в ОС;

- восстановление средств защиты информации, функционирующих в среде ОС;

- восстановление ОС в целом;

- настройка безопасной конфигурации средств защиты информации, функционирующих в среде ОС;

- настройка безопасной конфигурации ОС;

- переустановка ОС и прикладного ПО с последующей установкой актуальных обновлений безопасности.

5.6. Закрытие компьютерного инцидента

Решение о закрытии компьютерного инцидента принимается по результатам проверки специалистом, ответственным за реагирование на компьютерный инцидент (руководителем рабочей группы реагирования на компьютерный инцидент), в ходе которой определяется полнота выполненных и запротоколированных действий по реагированию на компьютерный инцидент, выполненных на каждом этапе реагирования на компьютерный инцидент.

Карточки компьютерных инцидентов после закрытия соответствующих компьютерных инцидентов не должны удаляться, так как они могут быть использованы в дальнейшем как типовые шаблоны действий по реагированию на аналогичные компьютерные инциденты и при проведении анализа деятельности по их управлению.

Карточки закрытых компьютерных инцидентов могут использоваться в качестве типовых шаблонов действий по реагированию на аналогичные компьютерные инциденты в организации с целью формирования базы знаний, доступной специалистам, входящим в состав рабочих групп реагирования на компьютерные инциденты при работе с новыми компьютерными инцидентами.

6. Фиксация материалов, связанных с возникновением компьютерных инцидентов, и установление причин и условий их возникновения

6.1. Фиксация материалов, связанных с возникновением компьютерных инцидентов

Состав материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), подлежащих фиксации, зависит от типа компьютерного инцидента и его последствий.

В рамках реагирования на компьютерные инциденты могут фиксироваться следующие материалы, связанные с возникновением компьютерных инцидентов (цифровые свидетельства):

- электронные образы штатных машинных носителей информации средств вычислительной техники и/или съемных машинных носителей информации;

- содержимое рабочей памяти (дамп) процесса, ядра ОС или ОС в целом;

- сетевой трафик, циркулирующий между вовлеченными в компьютерный инцидент элементами информационной инфраструктуры, а также между этими элементами и элементами других функционирующих в сети Интернет ресурсов;

- образцы вредоносного ПО;

- отдельные файлы, такие как журналы регистрации событий безопасности, файлы реестра ОС, системные и пользовательские файлы;

- сообщения электронной почты;

- снимки состояния виртуальных машин.

6.2. Установление причин и условий возникновения компьютерных инцидентов

Деятельность по установлению причин и условий возникновения компьютерных инцидентов направлена на определение факторов, обусловивших возможность возникновения компьютерного инцидента и/или способствовавших его возникновению.

Существуют различные виды анализа зафиксированных материалов, связанных с возникновением компьютерных инцидентов (цифровых свидетельств), которые могут быть выполнены для установления причин и условий их возникновения. К таким видам относятся:

- анализ действий пользователей.

К сведениям, подлежащим изучению в ходе анализа действий пользователей, относятся:

- действия пользователей, которые выполнялись до и во время регистрации компьютерного инцидента (например, посещение веб-сайта, открытие сообщения электронной почты, открытие электронного документа, подключение носителя информации и другие);

- сведения об игнорировании пользователем появляющихся сообщений ОС, средств защиты информации и прикладного ПО (например, о необходимости выполнить обновление ОС, ее перезагрузку, о выявленном потенциально вредоносном файле);

- анализ ОС элемента информационной инфраструктуры.

К сведениям, подлежащим изучению в ходе анализа ОС элемента информационной инфраструктуры, относятся:

- журналы (протоколы) регистрации событий безопасности ОС, средств защиты информации и прикладного ПО;

- информация о запущенных программных процессах;

- информация об установленных сетевых сессиях и открытых сетевых портах;

- реестр ОС (при наличии);

- информация об атрибутах объектов файловой системы;

- состав учетных записей пользователей и их прав;

- анализ защищенности.

Анализ защищенности является процессом изучения информации об актуальных уязвимостях ОС, средств защиты информации и прикладного ПО, функционирующего в информационных ресурсах, вовлеченных в компьютерный инцидент.

К сведениям, подлежащим изучению в ходе анализа защищенности, относятся:

- существующие результаты проведения мероприятий по анализу защищенности информационных ресурсов;

- сетевая конфигурация ОС, прикладного ПО;

- групповые политики безопасности ОС;

- функциональные параметры настроек прикладного ПО, служб ОС;

- состав установленных (неустановленных) актуальных обновлений безопасности ОС, средств защиты информации и прикладного ПО;

- состав программного и аппаратного обеспечения элементов информационной инфраструктуры, вовлеченных в компьютерный инцидент;

- анализ сетевого трафика.

К сведениям, подлежащим изучению в ходе анализа сетевого трафика, относятся:

- копия сетевого трафика и/или его фрагменты, зафиксированные средствами записи (анализа) сетевого трафика, из (в) сегмента (сегмент) локальной вычислительной сети, в котором расположен элемент информационной инфраструктуры, вовлеченный в компьютерный инцидент;

- копия сетевого трафика и/или его фрагменты, зафиксированные средством обнаружения компьютерных атак (системой обнаружения вторжений) или иными средствами выявления угроз безопасности информации;

- статистическая и иная информация о потоках сетевого трафика между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент и вероятным источником компьютерной атаки, а также между элементом информационной инфраструктуры, вовлеченным в компьютерный инцидент, и другими сетевыми устройствами локальной вычислительной сети;

- статистическая и иная информация о потоках сетевого трафика, зафиксированная

телекоммуникационным оборудованием или специализированными средствами;

Потоком сетевого трафика считается набор сетевых кадров, проходящих в одном направлении к одному сетевому устройству в рамках одного сетевого сеанса.

- анализ программных и информационных объектов.

Для анализа программных объектов допускается выполнять следующие процедуры:

- обратная разработка исполняемых и бинарных файлов путем дизассемблирования их машинного кода, декомпиляции (восстановления) программного кода до исходного (первоначального), использования режима отладки программного кода;

- изучение поведения программных объектов и влияния их на среду функционирования, файловую систему в автоматизированной замкнутой системе (среде) предварительного выполнения программ.

При установлении причин и условий возникновения компьютерного инцидента допускается проводить несколько видов анализа. Уровень или глубина проводимого анализа часто может зависеть от поставленной в организации задачи.

7. Анализ результатов деятельности по управлению компьютерными инцидентами

7.1. Общие положения

Стадия "Анализ результатов деятельности по управлению компьютерными инцидентами" включает в себя следующие этапы:

- приобретение и накопление опыта по результатам управления компьютерными инцидентами;

- разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов;

- оценка результатов и эффективности реагирования на компьютерные инциденты.

7.2. Приобретение и накопление опыта по результатам управления компьютерными инцидентами

Процесс приобретения и накопления опыта является важной составляющей ведения деятельности по управлению компьютерными инцидентами. После завершения всех этапов реагирования на компьютерный инцидент важно, чтобы организация приобрела и накопила опыт управления компьютерными инцидентами.

Приобретение и накопление опыта по результатам управления компьютерными инцидентами позволяет:

- идентифицировать методы и способы обнаружения и регистрации компьютерных инцидентов и реагирования на компьютерные инциденты, которые показали свою эффективность в отношении уже закрытых компьютерных инцидентов;

- доработать (актуализировать) документацию в части управления компьютерными инцидентами, в том числе настоящее Методическое руководство и план реагирования на компьютерные инциденты.

Все изменения (корректировки, дополнения), предлагаемые к внесению в план реагирования на компьютерные инциденты, относящиеся к этапам "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты", должны быть надлежащим образом проверены и протестированы, т. е. должны быть проведены тренировки по отработке мероприятий плана реагирования на компьютерные инциденты в соответствии с положениями ГОСТ Р 59711-2022.

7.3. Разработка рекомендаций по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов

По результатам реагирования на компьютерные инциденты и установления причин и условий их возникновения следует разрабатывать рекомендации по устранению в информационных ресурсах причин и условий возникновения компьютерных инцидентов. Такие рекомендации могут включать:

- рекомендации по принятию дополнительных мер защиты информации в соответствии с нормативными правовыми актами и методическими документами уполномоченных федеральных органов исполнительной власти (ФСБ России и ФСТЭК России), в том числе доработку (актуализацию) и/или разработку документации, регламентирующей вопросы обеспечения безопасности организации;

- рекомендации по повышению защищенности информационных ресурсов от компьютерных атак;

- рекомендации по устранению технических причин и условий, способствующих проведению деструктивного воздействия на информационные ресурсы.

7.4. Оценка результатов и эффективности реагирования на компьютерные инциденты

После завершения всех этапов реагирования на компьютерный инцидент следует проводить оценку результатов и эффективности предпринятых действий.

Такая оценка направлена на то, чтобы определить, насколько эффективны те или иные процессы и процедуры реагирования на компьютерные инциденты.

Оценку результатов и эффективности действий, предпринятых на каждом этапе реагирования на компьютерный инцидент, целесообразно проводить в отношении компьютерных инцидентов со средним, высоким и критическим уровнями влияния и на основании задокументированных результатов реагирования.

Также после завершения всех этапов реагирования на компьютерный инцидент, целесообразно проводить рабочие совещания со специалистами всех подразделений, участвующих в деятельности по управлению компьютерными инцидентами на стадиях "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты".

На рабочем совещании целесообразно обсудить следующие вопросы:

- оценка достаточности и эффективности процессов и процедур реагирования на компьютерные инциденты, изложенных в плане;

- предложения по включению в план реагирования на компьютерные инциденты дополнительных процессов и процедур, которые могли бы повысить эффективность действий, выполняемых на стадиях "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты";

- предложения по использованию дополнительных инструментальных средств с целью повышения эффективности реагирования и установления причин и условий возникновения компьютерных инцидентов;

- оценка эффективности обмена информацией о компьютерных инцидентах между всеми сторонами, принимающими участие на стадиях "обнаружение и регистрация компьютерных инцидентов" и "реагирование на компьютерные инциденты".

Оценка результатов и эффективности реагирования на компьютерные инциденты может осуществляться на основании следующих показателей:

- среднее время проведения проверки признаков возможного возникновения компьютерных инцидентов;

- среднее время определения вовлеченных в компьютерный инцидент элементов информационной инфраструктуры;

- среднее время локализации компьютерных инцидентов;

- среднее время выявления последствий компьютерных инцидентов;

- среднее время ликвидации последствий компьютерных инцидентов;

- среднее время реагирования на компьютерные инциденты;

- процент компьютерных инцидентов, для которых были нарушены сроки выполнения этапов реагирования.

8. Ответственность

Требования настоящего документа обязательны для выполнения всеми сотрудниками Организации согласно назначенным ролям и должностным (трудовым) обязанностям.

Сотрудники, нарушившие положения настоящего документа, привлекаются к ответственности, установленной законодательством Российской Федерации.

Настоящее Методическое руководство, в том числе предупреждение об ответственности, доводится до всех сотрудников под подпись.

Приложение N 1
к методическому руководству по организации
технических мероприятий, направленных на
проведение служебных проверок при
возникновении компьютерных инцидентов
в администрации городского округа
Богданович и подведомственных учреждениях
администрации городского округа Богданович

                            ЖУРНАЛ

                    РЕГИСТРАЦИИ ИНЦИДЕНТОВ ИБ

N п/п	Время и дата обнаружения инцидента	Время и дата закрытия инцидента	Описание инцидента	Участники реагирования	Затронутые ресурсы Организации и процессы	Причины	Выводы и рекомендации по результатам закрытия инцидента
1
2
3

Приложение N 2
к методическому руководству по организации
технических мероприятий, направленных на
проведение служебных проверок при
возникновении компьютерных инцидентов
в администрации городского округа
Богданович и подведомственных учреждениях
администрации городского округа Богданович

Минимальный перечень
типов событии ИБ

N п/п	Уровень инцидента ИБ	Тип событий ИБ
1	Физический уровень информационной инфраструктуры	физический доступ работников и иных лиц в здания и помещения; физический доступ работников и иных лиц к средствам вычислительной техники и их использование; использование работниками и иными лицами устройств копирования и многофункциональных устройств; изменение параметров настроек средств вычислительной техники, телекоммуникационного оборудования; изменение параметров настроек оборудования, обеспечивающего функционирование средств вычислительной техники; сбои и отказы в работе: средств вычислительной техники, телекоммуникационного оборудования, оборудования, обеспечивающего функционирование средств вычислительной техники, средств защиты информации, сетей передачи данных; физическое воздействие на средства вычислительной техники, телекоммуникационное оборудование, средства защиты информации и сети передачи данных; изменения параметров функционирования сетей передачи данных; замена и (или) модификация программных и (или) аппаратных частей средств вычислительной техники, телекоммуникационного оборудования; осуществление действий с носителями информации, в том числе вынос за пределы контролируемой зоны носителей информации; вынос за пределы контролируемой зоны переносных средств вычислительной техники; использование переносных средств вычислительной техники на территории организации; передача средств вычислительной техники между структурными подразделениями; передача средств вычислительной техники во внешние организации; проведение работниками и иными лицами фото- и (или) видеосъемки в зданиях или помещениях; проведение мероприятий по доступу к телевизионным системам охранного наблюдения, охранной сигнализации, системам контроля и управления доступом; события, формируемые телевизионными системами охранного наблюдения, охранной сигнализации, системами контроля и управления доступом; осуществление действий с носителями информации и системами, позволяющими осуществить физический доступ в здания и помещения
2	Уровень сетевого оборудования	изменение параметров настроек сетевого оборудования и программного обеспечения сетевого оборудования; изменение состава и версий программного обеспечения сетевого оборудования; обнаружение аномальной сетевой активности; аутентификация и завершение сеанса работы на сетевом оборудовании; обнаружение вредоносного кода и его проявлений; изменение топологии вычислительных сетей; подключение оборудования к вычислительным сетям; сбои в работе программного обеспечения сетевого оборудования; обновление программного обеспечения сетевого оборудования; выполнение операций по техническому обслуживанию сетевого оборудования; использование средств анализа уязвимостей сетевого оборудования; отключение/перезагрузка сетевого оборудования; обнаружение атак типа "отказ в обслуживании"; смена и (или) компрометация аутентификационных данных, используемых для доступа к сетевому оборудованию; сбои в работе средств защиты информации; изменение параметров работы средств защиты информации; запуск средств анализа топологии вычислительной сети
3	Уровень сетевых приложений и сервисов	идентификация, аутентификация, авторизация и завершение сеанса работников и иных лиц; изменение параметров настроек, состава и версий программного обеспечения; обнаружение вредоносного кода и его проявлений; установление соединений и обработка запросов, в том числе удаленных, на уровне сетевых приложений и сервисов; сбои и отказы в работе сетевых приложений и сервисов; выполнение операций, связанных с эксплуатацией и администрированием сетевых приложений и сервисов; обнаружение нетипичных (аномальных) запросов на уровне сетевых приложений и сервисов; отключение/перезагрузка или приостановление работы сетевых приложений и сервисов; выполнение операций по предоставлению доступа к использованию сетевых приложений и сервисов, в том числе использованию электронной почты и сети Интернет; выполнение операции по архивированию данных сетевых приложений и сервисов, в том числе данных электронной почты; сбои в осуществлении обменом сообщениями; завершение/приостановка выполнения сетевых приложений и сервисов по ошибке; распространение и (или) сбор информации с использованием сетевых приложений и сервисов; выполнение операций со списками рассылки и адресными книгами; наделение работников и (или) иных лиц правами пользователя конкретного пакета сервисов, в том числе сервисов и ресурсов сети Интернет; использование средств анализа уязвимостей сетевых приложений и сервисов; смена и (или) компрометация аутентификационных данных, используемых для осуществления доступа к сетевым приложениям и сервисам; сбои в работе средств защиты информации; распространение информации, побуждающей работника сообщать информацию, необходимую для осуществления действий от его имени; распространение информации, побуждающей работника совершить действия (переход по ссылке, открытие вложения, т.д.) не характерную для штатного режима его работы (например, требования по совершению действий, которые он ранее не получал/совершал) и (или) канала информационного взаимодействия, который он использует; внешние воздействия из сети Интернет, в том числе сетевые атаки; выполнение операций со средствами криптографической защиты информации и ключевой информацией. выделение и назначение ролей, в том числе ролей, связанных с обеспечением ИБ
4	Уровень операционных систем	аутентификация и завершение работы работников и иных лиц, в том числе на уровне системного программного обеспечения, систем управления базами данных и прикладного программного обеспечения, программного обеспечения ИСПДн (далее - ПО ИС); изменение параметров конфигурации, состава и версий ПО ИС; запуск, остановка и (или) отключение/перезагрузка ПО ИС; обнаружение вредоносного кода и его проявлений; установление соединений и обработка запросов с использованием ПО ИС; сбои в работе ПО ИС; выполнение операций, связанных с эксплуатацией и администрированием ПО ИС; обнаружение нетипичных запросов с использованием ПО ИС; сбои и отказы в работе средств защиты информации; изменение параметров конфигурации средств защиты информации; выполнение операций по предоставлению доступа к ПО ИС и информационным ресурсам, обрабатываемым с использованием ПО ИС; выполнение операций по архивированию, резервированию и восстановлению информации; завершение/приостановка работы ПО ИС по ошибке; использование средств анализа уязвимостей ПО ИС; смена и (или) компрометация аутентификационных данных, используемых для доступа к ПО ИС, и информационным ресурсам, обрабатываемым с использованием ПО ИС; изменение параметров конфигурации средств защиты информации; внешние воздействие из сети Интернет на ПО ИС; создание, уничтожение или изменение информационных ресурсов, баз данных и (или) иных массивов информации; компрометация аутентификационных данных и ключевой информации; выполнение операций со средствами криптографической защиты информации и ключевой информацией; выделение и назначение ролей, в том числе ролей, связанных с обеспечением ИБ