Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Распоряжение Администрации Красноармейского района Чувашской Республики от 1 февраля 2017 г. N 16р Об утверждении Регламента выявления инцидентов информационной безопасности и реагирования на них в администрации Красноармейского района Чувашской Республики
- Приложение N 1. Регламент выявления инцидентов информационной безопасности и реагирования на них в Администрации Красноармейского района Чувашской Республики
Приложение N 1. Регламент выявления инцидентов информационной безопасности и реагирования на них в Администрации Красноармейского района Чувашской Республики
Приложение N 1
к распоряжению администрации
Красноармейского района
от 1 февраля 2017 г. N 16р
Регламент
выявления инцидентов информационной безопасности и реагирования на них в Администрации Красноармейского района Чувашской Республики
I. Общие положения
1.1. Настоящий Регламент устанавливает порядок действий по управлению инцидентами информационной безопасности в администрации Красноармейского района Чувашской Республики (далее - Администрация).
1.2. Под инцидентом информационной безопасности понимается любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
1.3. Примерный перечень инцидентов информационной безопасности приведен в приложении N 1 к настоящему Регламенту.
II. Порядок выявления инцидентов информационной безопасности
2.1. В качестве источников информации об инцидентах информационной безопасности (далее - инцидент) могут использоваться:
электронные журналы и оповещения системного и прикладного программного обеспечения информационных систем Администрации (далее - ИС);
электронные журналы и оповещения системы защиты информации (далее - СЗИ);
оповещения средств обнаружения вторжений;
информация, получаемая от сотрудников;
информация, полученная на основе анализа защищенности ИС и контроля эффективности СЗИ.
2.2. В информационных системах Администрации в обязательном порядке должны регистрироваться следующие события безопасности:
попытки входа (выхода) пользователей в операционную систему (из операционной системы);
загрузка и инициализация операционной системы и ее программного останова для рабочих станций и серверов;
попытка доступа к средствам виртуализации;
факт изменения конфигурации средств виртуализации;
запуск и остановка служб (системных сервисов) средств виртуализации;
попытки подключения к серверам и рабочим станциям по информационно-телекоммуникационной сети;
попытки подключения к серверам и рабочим станциям мобильных устройств и внешних носителей информации.
2.3. В параметрах регистрации событий безопасности в обязательном порядке должны указываться следующие параметры:
тип события;
дата и время события;
результат события;
источник события;
идентифицирующие сведения (сетевой адрес, данные учетной записи, сетевое имя компьютера, и т.п.).
2.4. Хранение электронных журналов регистрации и учета событий безопасности операционных систем, систем управления базами данных, системного и прикладного программного обеспечения, средств защиты информации, а также специализированных средств анализа защищенности информационных систем должно осуществляться в течение срока, достаточного для проведения анализа инцидента, но не менее 3 месяцев.
2.5. Хранение электронных журналов регистрации и учета событий безопасности должно осуществляться сотрудником, ответственным за обеспечение безопасности защищаемой информации, с учетом требований обеспечения конфиденциальности и целостности электронных журналов.
2.6. Учет инцидентов осуществляется сотрудником, ответственным за выявления инцидентов информационной безопасности и реагирования на них в Администрации (далее - Ответственный за управление инцидентами), в соответствии с формой журнала учета инцидентов информационной безопасности в Администрации, приведенной в приложении N 2 к настоящему Регламенту.
III. Порядок реагирования на инциденты информационной безопасности
3.1. При обнаружении инцидента или предпосылок для возникновения инцидента сотрудник, Ответственный за управление инцидентами, в целях выявления факта или предпосылки негативного воздействия на защищаемую информацию, не содержащую сведения, составляющие государственную тайну (далее - защищаемая информация), осуществляет анализ инцидента и его классификацию в соответствии с приложением N 1 к настоящему Регламенту.
3.2. В ходе анализа инцидента определяются:
категория инцидента;
факт или потенциальная возможность реализации угрозы безопасности защищаемой информации (далее - угрозы);
опасность угрозы;
области, перечни информационных ресурсов, затрагиваемые воздействием угрозы;
потенциальные нарушители, цели и причины реализации угрозы;
предварительный перечень мер по локализации и остановке распространения действия угрозы.
3.3. Принятие мер по локализации инцидентов категории 1, реализация корректирующих и превентивных мероприятий осуществляется сотрудником, ответственным за обеспечение безопасности защищаемой информации на основании предложений Ответственного за управление инцидентами и по согласованию с ответственным за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Администрации (далее - Ответственный за организацию обработки защищаемой информации).
3.4. В случае, если зафиксированный инцидент относится к категории 2 или категории 3, Ответственный за управление инцидентами обязан незамедлительно оповестить сотрудника, ответственного за обеспечение безопасности защищаемой информации и Ответственного за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Администрации.
3.5. Ответственный за управление инцидентами исходя из анализа инцидента составляет предложения по локализации инцидента и реализации корректирующих и превентивных мероприятий, согласованные с ответственным за обеспечение безопасности защищаемой информации, и представляет их Ответственному за организацию обработки защищаемой информации.
3.6. Ответственный за организацию обработки защищаемой информации рассматривает данные предложения и организует выполнение работ по реализации локализации инцидента, корректирующих и превентивных мероприятий, направленных на устранение причин и последствий инцидентов и на предотвращение подобных нарушений в дальнейшем.
3.7. Ответственный за управление инцидентами предоставляет Ответственному за организацию обработки защищаемой информации информацию о ходе и результатах реагирования на инцидент.
3.8. Контроль за своевременным и качественным выполнением работ по реагированию на инциденты осуществляет Ответственный за организацию обработки защищаемой информации.
ГАРАНТ:
Приложение не приводится