Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства сельского хозяйства Алтайского края от 12 октября 2023 г. N 119 "Об осуществлении мероприятий по защите персональных данных"
- Приложение 12. Порядок выявления инцидентов информационной безопасности информационных систем персональных данных Министерства сельского хозяйства Алтайского края
Приложение 12. Порядок выявления инцидентов информационной безопасности информационных систем персональных данных Министерства сельского хозяйства Алтайского края
Приложение 12
УТВЕРЖДЕНО
приказом Министерства
сельского хозяйства
Алтайского края
от 12.10.2023 N 119
Порядок
выявления инцидентов информационной безопасности информационных систем персональных данных Министерства сельского хозяйства Алтайского края
1. Перечень используемых определений, обозначений и сокращений
В настоящем Порядке используются следующие определения, обозначения и сокращения:
АИБ - администратор информационной безопасности;
ИБ - информационная безопасности;
ИС - информационная система;
ИСПД - информационная система персональных данных.
2. Общие положения
2.1. Настоящий Порядок устанавливает правила выявления фактов несоблюдения условий обработки защищаемой информации, использования средств защиты информации, которые могут привести к нарушению конфиденциальности, целостности и доступности защищаемой информации или другим нарушениям, приводящим к снижению класса защищенности государственной информационной системы и уровня защищенности информационных систем персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а также выявления и предотвращения иных инцидентов информационной безопасности ИСПД Министерства сельского хозяйства Алтайского края (далее - "Министерство").
2.2. Порядок разработан в соответствии со следующими нормативными правовыми актами:
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
иные нормативные правовые акты, а также локальные нормативные акты Министерства.
2.3. Настоящий Порядок обязателен к соблюдению всеми пользователями ИСПД Министерства.
2.4. Разбирательство по всем инцидентам ИБ проводится АИБ Министерства.
3. Выявление инцидента информационной безопасности
3.1. Основными источниками информации об инцидентах ИБ являются:
факты, выявленные пользователями ИСПД, администратором информационной системы, АИБ;
результаты работы средств мониторинга ИБ результаты проверок и аудита (внутреннего или внешнего);
запросы и предписания органов надзора;
другие источники информации.
3.2. Пользователь ИСПД может выявить признаки наличия инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям, утвержденных в локальных актах Министерства. Любые сведения об инциденте ИБ должны быть незамедлительно переданы выявившим их пользователем АИБ.
4. Анализ исходной информации и принятие решения о проведении разбирательства
4.1. АИБ после получения информации о предполагаемом инциденте ИБ незамедлительно осуществляет первоначальный анализ полученных данных. В процессе анализа сотрудник проводит проверку наличия в выявленном факте нарушений.
4.2. По решению АИБ единичный инцидент ИБ, не приведший к негативным последствиям и совершенный пользователем ИСПД впервые, фиксируется в карточке данных "Инциденты ИБ" с присвоением статуса "Разбирательство не требуется".
4.3. В случае наличия признаков инцидента ИБ, АИБ определяет предварительную степень его важности и принимает решение о необходимости проведения разбирательства, информирует руководителя структурного подразделения (начальника отдела) об инциденте ИБ, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса "В процессе разбирательства".
4.4. В срок не более 3 рабочих дней с момента поступления информации об инциденте ИБ, АИБ определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.
5. Разбирательство инцидента информационной безопасности
5.1. Цели и этапы разбирательства инцидента ИБ:
Целями разбирательства инцидентов ИБ являются:
выработка организационных и технических решений, направленных на снижение рисков нарушения информационной безопасности, предотвращение и минимизацию подобных нарушений в будущем;
защита прав пользователей ИСПД Министерства, установленных законодательством Российской Федерации;
обеспечение безопасности защищаемой информации;
предотвращение несанкционированного доступа к защищаемой информации.
Разбирательство инцидента ИБ состоит из следующих этапов:
подтверждение (опровержение) факта возникновения инцидента ИБ;
подтверждение (корректировка) уровня значимости инцидента ИБ;
уточнение дополнительных обстоятельств (деталей) инцидента ИБ;
получение (сбор) доказательств возникновения инцидента ИБ, обеспечение их сохранности и целостности;
минимизация последствий инцидента ИБ;
информирование и консультирование пользователей ИСПД по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;
разработка мероприятий по обнаружению и (или) предупреждению инцидентов ИБ.
5.2. Создание Рабочей группы для проведения расследования Инцидента ИБ:
5.2.1. при необходимости АИБ незамедлительно уведомляет министра сельского хозяйства о факте инцидента ИБ и инициирует создание рабочей группы для разбирательства указанного инцидента;
5.2.2. взаимодействие между членами рабочей группы осуществляется в рабочем порядке, с соблюдением при этом требований конфиденциальности. При необходимости проводятся заседания рабочей группы, время, место и темы которых определяются ее руководителем;
5.2.3. в состав рабочей группы могут входить сотрудники отдела развития и управления информационными ресурсами или других отделов на усмотрение АИБ;
5.2.4. в иных случаях АИБ может проводить расследование инцидента ИБ самостоятельно, с подготовкой всех необходимых документов.
5.3. Порядок проведения разбирательства инцидента ИБ.
В процессе проведения разбирательства инцидента ИБ обязательными для установления являются:
дата и время совершения инцидента ИБ;
Ф.И.О., должность и подразделение нарушителя ИБ (в случае если инцидент совершил сотрудник Министерства);
уровень критичности инцидента ИБ;
обстоятельства и мотивы совершения инцидента ИБ;
информационные ресурсы, затронутые инцидентом ИБ;
характер и размер реального и потенциального ущерба;
обстоятельства, способствовавшие совершению инцидента ИБ.
После получения необходимой информации об инциденте ИБ АИБ (рабочая группа) проводит анализ полученных данных и дает оценку негативных последствий реализации инцидента ИБ. В ходе данной оценки учитываются:
прямой финансовый ущерб;
репутационный ущерб;
потенциальный ущерб;
косвенные потери, связанные с недоступностью сервисов, потерей информации;
другие виды ущерба или аспекты негативных последствий для Министерства или его пользователей.
В течение 5 рабочих дней с момента фиксации инцидента ИБ, АИБ (рабочая группа) запрашивает у руководителя структурного подразделения (начальника отдела) объяснительную записку нарушителя ИБ (в случае если инцидент совершил сотрудник Министерства). Объяснительная записка должна быть составлена и подписана нарушителем ИБ в течение 2 рабочих дней и представлена его непосредственным руководителем АИБ (рабочей группе) в течение 3 рабочих дней с момента поступления запроса. В случае отказа нарушителя ИБ предоставить объяснительную записку АИБ (рабочей группе) представляется акт, составленный в соответствии с установленным порядком.
С целью минимизации последствий инцидента ИБ возможно по предварительно сделанной заявке временное отключение прав доступа сотрудника к информационным системам (ИС) на время проведения расследования. Подобное отключение инициируется АИБ (рабочей группой), с обязательным предварительным устным согласованием с руководителем нарушителя (руководителем структурного подразделения).
В случае если у нарушителя ИБ были отключены права доступа к ИС на время проведения разбирательства, то по его результатам АИБ (рабочая группа) по согласованию с руководителем нарушителя ИБ принимает решение и инициирует возвращение в полном или ограниченном объеме ранее имеющихся у него прав доступа к ИС, либо инициирует официальную процедуру отмены (изменения) прав доступа к ИС в соответствии с установленным в Министерстве порядком. Если нарушение ИБ было вызвано незнанием нарушителем ИБ правил (технологии) работы с информационными ресурсами высокого уровня безопасности, то основанием для возврата прав доступа является успешное прохождение сотрудниками отделов повторного инструктажа, ознакомление с положениями должностной инструкции, иными локальными нормативными актами Министерства.
Восстановление временно отключенных у нарушителя ИБ прав доступа к ИС (разблокировка пользователя) может производиться только по заявке руководителя нарушителя ИБ или АИБ (рабочей группы).
6. Оформление результатов проведенного разбирательства
6.1. Собранная в процессе разбирательства инцидента ИБ информация фиксируется АИБ (рабочей группой) в картотеке данных "Инциденты ИБ" и учитывается при подготовке итогового заключения по инциденту.
6.2. АИБ (рабочая группа) формирует, согласовывает со всеми участниками разбирательства и подписывает итоговое заключение по расследованию инцидента ИБ.
6.3. Итоговое заключение об инциденте ИБ АИБ (рабочая группа) направляет министру сельского хозяйства Алтайского края.
6.4. АИБ (рабочая группа) фиксирует завершение разбирательства в карточке "Инциденты ИБ" и присваивает инциденту статус "Разбирательство завершено".
6.5. АИБ (рабочая группа) при необходимости определения правовой оценки инцидента ИБ может обратиться за консультациями в другие подразделения Министерства и в соответствующие организации. В этом случае информацию по инциденту ИБ АИБ (рабочая группа) передает с грифом "Конфиденциально".
6.6. В случае выявления в инциденте ИБ признаков административного правонарушения или уголовного преступления, относящихся к сфере информационных технологий, АИБ (рабочая группа) передает все материалы по инциденту ИБ министру сельского хозяйства Алтайского края для принятия в соответствии с установленным порядком решения о подаче заявления в правоохранительные органы Российской Федерации.
6.7. АИБ (рабочая группа) фиксирует полученную дополнительную информацию в карточке данных "Инциденты ИБ" и информирует министра сельского хозяйства Алтайского края.
7. Завершение разбирательства, превентивные мероприятия
7.1. По завершению разбирательства инцидента ИБ, АИБ (рабочая группа) передает имеющиеся материалы (в объеме, достаточном для принятия решения) вышестоящему руководителю нарушителя ИБ (в случае если инцидент совершил сотрудник Министерства, далее - "нарушитель ИБ") для решения вопроса о целесообразности его привлечения к дисциплинарной ответственности.
7.2. На основании полученных результатов разбирательства руководитель структурного подразделения в срок не более 3 рабочих дней организует проведение одного или нескольких мероприятий, направленных на снижение рисков информационной безопасности в будущем:
повторное ознакомление нарушителя ИБ с правилами;
анализ и пересмотр имеющихся прав доступа к информационным ресурсам у нарушителя ИБ;
доведение до всех пользователей ИСПД требований внутренних нормативных документов Министерства;
отмена неактуальных прав доступа к информационным ресурсам;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
другие обоснованные мероприятия.
8. Права, обязанности и ответственность участников разбирательства
8.1. АИБ (рабочая группа) имеет право:
согласовывать с непосредственным руководителем нарушителя ИБ требование о предоставлении нарушителем ИБ письменных объяснений по обстоятельствам инцидента ИБ;
запрашивать и получать от пользователей ИСПД, в рамках их компетенций, устные и письменные разъяснения и иную информацию, необходимую для проведения разбирательства инцидента ИБ;
инициировать на основании заявок отключение на период проведения расследования инцидента ИБ от информационных ресурсов пользователей ИСПД, нарушивших правила или требования ИБ в случае, если имеется существенный риск того, что продолжение пользования ИС может повлечь значительное увеличение ущерба или новые инциденты ИБ;
инициировать процедуру привлечения нарушителя ИБ к дисциплинарной (материальной ответственности).
8.2. АИБ (рабочая группа) обязан(а):
объективно и основательно проводить разбирательство каждого инцидента ИБ;
определять первоочередные меры, направленные на локализацию инцидента ИБ и минимизацию негативных последствий;
фиксировать в карточке данных "Инциденты ИБ" всю исходную информацию об инциденте и результаты его расследования;
предоставлять отчеты и рекомендации по проведенным разбирательствам министру сельского хозяйства Алтайского края;
проводить анализ обстоятельств, способствовавших совершению каждого инцидента ИБ и на его основе разрабатывать рекомендации и предложения по оптимизации бизнес-процессов, снижению ущерба от подобных инцидентов ИБ и минимизации возможности их повторения в будущем;
составление заключений по фактам инцидентов ИБ, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
8.3. Пользователи ИСПД обязаны:
в рамках своей компетенции предоставлять по запросам АИБ (рабочей группы) устные и письменные разъяснения и иную информацию, необходимую для проведения разбирательства инцидента ИБ;
информировать АИБ о выявленных инцидентах ИБ.