Приложение N 1. Регламент выявления инцидентов информационной безопасности и реагирования на них в администрации Красночетайского района Чувашской Республики. Распоряжение Администрации Красночетайского района Чувашской Республики от 24.01.2017 N 29 "О регламенте выявления инцидентов информационной безопасности и реагирования на них в администрации Красночетайского района Чувашской Республики"

Приложение N 1
к распоряжению администрации
Красночетайского района
Чувашской Республики
от 24 января 2017 г. N 29

Регламент
выявления инцидентов информационной безопасности и реагирования на них в администрации Красночетайского района Чувашской Республики

1. Общие положения

1.1. Настоящий Регламент разработан в целях организации работы с инцидентами информационной безопасности (далее - инцидент) в администрации Красночетайского района Чувашской Республики (далее - администрация района).

1.2. Инцидент - одно событие или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы (далее - ИС) и (или) к возникновению угроз безопасности информации, в том числе персональных данных.

1.3. Регламент выявления инцидентов информационной безопасности и реагирования на них в администрации Красночетайского района Чувашской Республики (далее - Регламент) разработано в соответствии с:

1) Федеральным законом Российской Федерации от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

2) Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных";

3) требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119;

4) требованиями по реализации мер, предусмотренных составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждёнными приказом ФСТЭК России от 18 февраля 2013 года N 21;

5) политикой информационной безопасности администрации района.

1.4. Работа с инцидентами в области информационной безопасности помогает определить наиболее актуальные угрозы информационной безопасности и создает обратную связь в системе обеспечения информационной безопасности, что способствует повышению общего уровня защиты информационных ресурсов и информационных систем.

1.5. Работа с инцидентами включает в себя следующие направления:

1) определение лиц, ответственных за выявление инцидентов и реагирование на них;

2) обнаружение, идентификация и регистрация инцидентов;

3) своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами;

4) анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а так же оценка их последствий;

5) принятие мер по устранению последствий инцидентов;

6) планирование и принятие мер по предотвращению повторного возникновения инцидентов.

1.7. Примерный перечень инцидентов информационной безопасности приведен в приложении N 1 к настоящему Регламенту.

2. Ответственные за выявление инцидентов и реагирование на них

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

1.1. Ответственными за выявление инцидентов в ИС являются:

1) лица, имеющие право доступа к ИС;

2) ответственный за техническое обслуживание ИС;

3) администратор ИС;

4) администратор информационной безопасности ИС.

1.2. Ответственными за реагирование на инциденты в ИС являются:

1) лица, имеющих право доступа к ИС;

2) руководитель подразделения администрации района, в котором выявлен инцидент;

3) ответственный за техническое обслуживание ИС;

4) администратор ИС;

5) администратор информационной безопасности ИС;

6) ответственный за организацию обработки персональных данных в администрации района в случае, если ИС является информационной системой персональных данных (далее - ИСПДн);

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

2. Обнаружение, идентификация и регистрация инцидентов

3.1. Работа по идентификации инцидентов в области информационной безопасности включает в себя мероприятия, направленные на доведение до сотрудников администрации района информации, позволяющей идентифицировать инциденты.

3.2. В качестве источников информации об инцидентах информационной безопасности могут использоваться:

электронные журналы и оповещения системного и прикладного программного обеспечения информационных систем администрации района;

электронные журналы и оповещения системы защиты информации (далее - СЗИ);

оповещения средств обнаружения вторжений;

информация, получаемая от сотрудников;

информация, полученная на основе анализа защищенности ИС и контроля эффективности СЗИ.

3.3. В информационных системах администрации района в обязательном порядке должны регистрироваться следующие события безопасности:

попытки входа (выхода) пользователей в операционную систему (из операционной системы);

загрузка и инициализация операционной системы и ее программного останова для рабочих станций и серверов;

попытка доступа к средствам виртуализации;

факт изменения конфигурации средств виртуализации;

запуск и остановка служб (системных сервисов) средств виртуализации;

попытки подключения к серверам и рабочим станциям по информационно-телекоммуникационной сети;

попытки подключения к серверам и рабочим станциям мобильных устройств и внешних носителей информации.

3.4. В параметрах регистрации событий безопасности в обязательном порядке должны указываться следующие параметры:

тип события;

дата и время события;

результат события;

источник события;

идентифицирующие сведения (сетевой адрес, данные учетной записи, сетевое имя компьютера, и т.п.).

3.5. Хранение электронных журналов регистрации и учета событий безопасности операционных систем, систем управления базами данных, системного и прикладного программного обеспечения, средств защиты информации, а также специализированных средств анализа защищенности информационных систем должно осуществляться в течение срока, достаточного для проведения анализа инцидента, но не менее 3 месяцев.

3.6. Хранение электронных журналов регистрации и учета событий безопасности должно осуществляться администратором информационной безопасности администрации района с учетом требований обеспечения конфиденциальности и целостности электронных журналов.

3.7. Учет инцидентов осуществляется администратором информационной безопасности администрации района, в соответствии с формой журнала учета инцидентов информационной безопасности в администрации района, приведенной в приложении N 2 к настоящему Регламенту.

4. Информирование о возникновении инцидентов

4.1. Сотрудник администрации района (пользователь ИС), обнаруживший инцидент в ИС, должен незамедлительно, любым доступным способом, сообщить об инциденте непосредственному руководителю, администратору ИС, администратору информационной безопасности ИС, ответственному за организацию обработки персональных данных в администрации района (в случае если ИС является ИСПДн).

4.2. Администратор ИС, в случае необходимости, информирует пользователей ИС о возникновении инцидента и дает указания по дальнейшим действиям.

5. Анализ инцидентов, а также оценка их последствий

5.1. Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценки их последствий, осуществляет постоянно действующая техническая комиссия.

5.2. Источниками и причинами возникновения инцидентов в области информационной безопасности являются:

1) действия организаций и отдельных лиц враждебные интересам администрации района;

2) отсутствие персональной ответственности сотрудников администрации и их руководителей за обеспечение информационной безопасности, в том числе персональных данных;

3) недостаточная работа с персоналом по обеспечению необходимого режима соблюдения конфиденциальности, в том числе персональных данных;

4) отсутствие дисциплинарной мотивации соблюдения правил и требований информационной безопасности;

5) недостаточная техническая оснащённость подразделений, ответственных за обеспечение информационной безопасности;

6) совмещение функций по разработке и сопровождению или сопровождению и контролю за информационными системами;

7) наличие привилегированных бесконтрольных пользователей в информационной системе;

8) пренебрежение правилами и требованиями информационной безопасности сотрудниками администрации района;

9) и другие причины.

5.3. В ходе анализа инцидента определяются:

категория инцидента;

факт или потенциальная возможность реализации угрозы безопасности защищаемой информации (далее - угрозы);

опасность угрозы;

области, перечни информационных ресурсов, затрагиваемые воздействием угрозы;

потенциальные нарушители, цели и причины реализации угрозы;

предварительный перечень мер по локализации и остановке распространения действия угрозы.

5.4. Оценка последствий инцидента производится на основании потенциально возможного или фактического ущерба.

6. Принятие мер по устранению последствий инцидентов

Меры по устранению последствий инцидентов включает в себя мероприятия, направленные на:

1) определение границ инцидента и ущерба от реализации угроз информационной безопасности;

2) ликвидацию последствий инцидента и полное либо частичное возмещение ущерба.

7. Планирование и принятие мер по предотвращению инцидентов

7.1. Планирование и принятие мер по предотвращению возникновения инцидентов осуществляет постоянно действующая техническая комиссия и основывается на:

1) планомерной деятельности по повышению уровня осознания информационной безопасности руководством и сотрудниками администрации района;

2) проведении мероприятий по обучению сотрудников администрации района правилам и способам работы со средствами защиты информационных систем;

3) доведении до сотрудников норм законодательства, внутренних документов администрации района, устанавливающих ответственность за нарушение требований информационной безопасности;

4) разъяснительной работе с увольняющимися сотрудниками и сотрудниками, принимаемыми на работу;

5) своевременной модернизации системы обеспечения информационной безопасности, с учетом возникновения новых угроз информационной безопасности, либо в случае изменения требований руководящих документов по организации обеспечения информационной безопасности;

6) своевременном обновлении программного обеспечения, в том числе баз сигнатур антивирусных средств.

7.2. Работа с персоналом.

Как правило, самым слабым звеном в любой системе безопасности является человек. Поэтому работа с персоналом является основным направлением деятельности по обеспечению требований информационной безопасности.

Персонал администрации района является важным источником сведений об инцидентах информационной безопасности, поэтому необходимо донести до сотрудников информацию о том, что оперативно предоставленные сведения об инциденте информационной безопасности являются основанием для смягчения либо отмены наказания за нарушение требований информационной безопасности.