Приложение N 2. Порядок подключения к системе обнаружения вторжений муниципального образования город Губкинский и устранения инцидентов, сформированных на основе анализа событий информационной безопасности. Постановление Администрации муниципального образования г. Губкинский Ямало-Ненецкого автономного округа от 03.08.2018 N 1894 "Об утверждении порядков подключения к системе обнаружения вторжений и устранения инцидентов, сформированных на основе анализа событий информационной безопасности"

Приложение N 2
к постановлению
от 03.08.2018 года N 1894

Порядок
подключения к системе обнаружения вторжений муниципального образования город Губкинский и устранения инцидентов, сформированных на основе анализа событий информационной безопасности

1. Настоящий порядок разработан с целью организации работы по оперативному реагированию и устранению инцидентов, сформированных на основе анализа событий информационной безопасности системы обнаружения вторжений муниципального образования город Губкинский, а также повышения уровня защищенности муниципальных информационных ресурсов.

2. Система обнаружения вторжений муниципального образования город Губкинский (далее - Система) состоит из:

2.1. программно-аппаратного комплекса (далее - ПАК) обнаружения компьютерных атак (вторжений). Работа ПАК обнаружения компьютерных атак (вторжений) строится на основе динамического анализа сетевого трафика.

2.2. ПАК для автоматического выявления инцидентов на основе анализа событий информационной безопасности. ПАК в автоматическом режиме анализирует весь поток входящих событий от сенсоров, находит взаимосвязи между событиями, выявляет значимые угрозы, являющиеся инцидентами информационной безопасности и формирует перечень действий и рекомендаций по их устранению. Для осуществления контроля состояния событий информационной безопасности предусмотрена возможность установки статусов на каждое событие: "Не обработан", "В работе", "Подтвержден" и "Не подтвержден".

3. Выполнение работ по анализу, координации, изменению статуса и контролю устранения инцидентов, сформированных на основе анализа событий информационной безопасности Системы осуществляется специалистом управления информационных технологий и связи Администрации города (далее - Специалист).

4. Руководители органов Администрации города Губкинского и муниципальных учреждений:

4.1. осуществляют подключение к Системе, находящейся в серверной комнате Администрации города Губкинского, путем дублирования входящего и исходящего Интернет-траффика возглавляемого учреждения;

4.2. обеспечивают идентификацию конечных Интернет-пользователей и устройств, имеющих доступ к сети Интернет (в том числе подведомственных учреждений, в случае использования централизованной модели доступа к сети Интернет);

4.3. при получении от Специалиста посредством электронной почты информации об инцидентах информационной безопасности, сформированных на основе анализа событий информационной безопасности Системы, в течение 7 рабочих дней принимают необходимые меры для устранения выявленных инцидентов (в том числе в подведомственных учреждениях, в случае использования централизованной модели доступа к сети Интернет) в соответствии с рекомендациями системы обнаружения вторжений, и направляют на электронную почту Специалиста, направившего информацию об инцидентах информационной безопасности, сообщение об устранении выявленных инцидентов.

5. Специалист после получения информации об устранении инцидентов информационной безопасности меняет в Системе статус выявленных инцидентов.

6. При отсутствии в течение 7 рабочих дней реакции на выявленные инциденты информационной безопасности, информация направляется курирующему орган Администрации города Губкинского или муниципальное учреждение заместителю главы Администрации города. Для исключения компьютерных атак (вторжений) принимаются меры по ограничению доступа пользователей, устройств или учреждений, в которых выявлены инциденты информационной безопасности к муниципальным информационным ресурсам, электронной почте и сети Интернет.