Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Утверждение Регламента выявления компьютерных инцидентов и реагирования на них

1 1 31

Цель: определение и установление общих правил, требований и процедур выявления компьютерных инцидентов в системах (сетях) и реагирования на них в:

информационных системах персональных данных с установленным 1 или 2 уровнем защищенности персональных данных;
значимых объектах критической информационной инфраструктуры (ЗОКИИ);
объектах критической информационной инфраструктуры (ОКИИ), не отнесенным к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры.

Регламент устанавливает:

основные этапы выявления компьютерных инцидентов;
категории компьютерных инцидентов и связанные с ними типы событий информационной безопасности;
порядок реагирования на компьютерные инциденты;
задачи и обязанности группы реагирования на инциденты информационной безопасности, а также ответственность ее участников.

Рекомендации к заполнению карточки:
Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Регламент выявления компьютерных инцидентов и реагирования на них.docx

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Риск	Связи
Нарушение требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры Право	19

Заметки

SECURITM

4 недели назад

Community

Регламент выявления компьютерных инцидентов в [наименование организации] и реагирования на них

1. Общие положения
1.1. Настоящий регламент выявления компьютерных инцидентов в [наименование организации] и реагирования на них (далее – Регламент) разработан с учетом следующих документов:

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
Приказ Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
Национальный стандарт РФ ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».

1.2. Целью разработки данного Регламента является установление общих правил, требований и процедур выявления компьютерных инцидентов в системах (сетях) [наименование организации] и реагирования на них.
1.3. Под системами (сетями) в рамках настоящего Регламента рассматриваются:

информационные системы персональных данных (далее – ИСПДн) с установленным первым или вторым уровнем защищенности персональных данных;
информационные системы (далее – ИС), являющиеся значимыми объектами критической информационной инфраструктуры или в отношении которых [наименование должности руководителя организации] [наименование организации]принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры.

1.4. Настоящий Регламент предназначен для сотрудников, ответственных за выявление компьютерных инцидентов и реагирование на них.
1.5. Настоящий Регламент устанавливает:

основные этапы выявления компьютерных инцидентов и реагирования на них;
задачи и обязанности группы реагирования на инциденты информационной безопасности, а также ответственность ее участников.

2. Термины и определения
2.1. Термины и определения, применяемые для целей настоящего Регламента:

Группа реагирования на инциденты информационной безопасности (ГРИИБ) – сотрудник или группа сотрудников [наименование организации], назначенные ответственными за выявление компьютерных инцидентов и реагирование на них.
Значимый объект критической информационной инфраструктуры (ЗОКИИ) – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Критическая информационная инфраструктура (КИИ) – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Компьютерная атака – целенаправленное воздействие программных и (или) программно-аппаратных средств на информационную систему, информационно-телекоммуникационные сети, автоматизированную систему управления или сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации.
Компьютерный инцидент – факт нарушения и (или) прекращения функционирования информационной системы, информационно-телекоммуникационной сети, автоматизированной системы управления или сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Событие информационной безопасности (событие ИБ) – идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

3. Выявление компьютерных инцидентов
3.1. Обнаружение и оповещение о событиях ИБ
3.1.1. Обнаружению компьютерного инцидента предшествует обнаружение событий ИБ.
3.1.2. Информация о событиях ИБ может поступать ГРИИБ из различных источников. В качестве таких источников информации, как минимум, следует рассматривать:

средства защиты информации, входящие в состав систем защиты информации информационных (автоматизированных) систем;
программное обеспечение информационной (автоматизированной) системы;
системы мониторинга событий и журналов событий ИБ (при наличии таковых);
сотрудников [наименование организации].

3.1.3. Информация о событии ИБ предоставляется сотрудниками ГРИИБ в свободной форме, если иное не установлено [наименование должности руководителя организации] [наименование организации].

3.2. Оценка и принятие решений
3.2.1. Все события ИБ, поступающие ГРИИБ, должны быть рассмотрены ГРИИБ.
3.2.2. В ходе рассмотрения ГРИИБ должна произвести анализ, относится ли событие ИБ к компьютерному инциденту или является ложным. С этой целью ГРИИБ может производить получение любых уточнений от лица, сообщившего о событии ИБ, и собирать требуемую дополнительную информацию, считающуюся доступной, как от лица, сообщившего о событии ИБ, так и из любого другого источника. Категории компьютерных инцидентов и связанные с ними типы событий информационной безопасности представлены в приложении № 1 к настоящему Регламенту.
3.2.3. По всем событиям ИБ, отнесенным к компьютерным инцидентам, ГРИИБ должна обеспечить:
3.2.3.1. Проведение предварительной оценки последствий компьютерного инцидента. Оценка должна быть проведена в отношении каждого из свойств безопасности информации: конфиденциальности, целостности и доступности. При оценке необходимо руководствоваться следующими правилами:

если компьютерный инцидент не влечет нарушение свойства безопасности информации, то оценка должна иметь значение «Отсутствует»;
если компьютерный инцидент влечет нарушение свойства безопасности информации, вследствие чего информационная (автоматизированная) система может выполнять свои функции только с привлечением дополнительных сил и средств, то оценка должна иметь значение «Низкое»;
если компьютерный инцидент влечет нарушение свойства безопасности информации, вследствие чего информационная (автоматизированная) система не может выполнять свои функции, то оценка должна иметь значение «Высокое».

3.2.3.2. Немедленное уведомление о выявленном компьютерном инциденте любым доступным способом следующих лиц:

руководителя структурного подразделения (должностного лица (сотрудника)), ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну, если компьютерный инцидент выявлен в ГИС и ИСПДн;
администратора безопасности объектов критической информационной инфраструктуры, если компьютерный инцидент выявлен в ИС, АСУ или ИТКС, являющейся значимым объектом критической информационной инфраструктуры или в отношении которой [наименование должности руководителя организации] [наименование организации]принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры (далее – администратор безопасности).

4. Реагирование на инциденты
4.1. Регистрация и уведомление
4.1.1. После подтверждения компьютерного инцидента ГРИИБ выполняет действия по его регистрации, в рамках которой проводится:

заведение карточки компьютерного инцидента;
введение в базу данных компьютерных инцидентов – запись в журнале компьютерных инцидентов;
информирование Национального координационного центра по компьютерным инцидентам (НКЦКИ) в соответствии с порядком и требованиями, изложенными в Положении о внешнем взаимодействии при обеспечении безопасности КИИ.

4.2. Анализ и определение действий по реагированию
4.2.1. Анализ компьютерного инцидента проводится с целью определения порядка действий по устранению причин и условий возникновения, а также последствий компьютерного инцидента. В ходе анализа компьютерного инцидента ГРИИБ принимает решение о дальнейших действиях в отношении компьютерного инцидента. Если для принятия решений о дальнейших действиях сведений о компьютерном инциденте недостаточно, то ГРИИБ может осуществлять сбор дополнительных данных по компьютерному инциденту и связанным с ним событиям ИБ.
4.2.2. В рамках принятия решений о дальнейших действиях ГРИИБ должна:
4.2.2.1. Подготовить порядок локализации (предотвращение дальнейшего распространения компьютерного инцидента) и устранения последствий компьютерного инцидента.
4.2.2.2. Назначить ответственных за локализацию, устранение последствий и сбор доказательств.
4.2.2.3. Определить перечень средств, необходимых для принятия мер по ликвидации последствий компьютерных инцидентов.
4.2.2.4. Определить очередность информационных (автоматизированных) систем и (или) их структурных элементов, в отношении которых будут приниматься меры по ликвидации последствий компьютерного инцидента.
4.2.2.5. Совместно с [наименование должности ответственного заместителя руководителя организации] [наименование организации], администратором безопасности, руководителем структурного подразделения или должностным лицом (сотрудником), ответственным за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну, принять решение:

об обращении в сторонние организации с целью их привлечения для реагирования и (или) расследования компьютерного инцидента (в том числе в правоохранительные органы);
о необходимости сбора доказательств для дальнейшего расследования компьютерного инцидента.

4.2.3. Все решения, принятые в ходе анализа компьютерного инцидента, должны протоколироваться ГРИИБ путем фиксации информации в карточке компьютерного инцидента.

4.3. Устранение причин, условий и последствий
4.3.1. Устранение причин, условий и последствий компьютерного инцидента осуществляется в соответствии с порядком, подготовленным в соответствии с пунктом 4.2.2.1 настоящего Регламента, и направлено на восстановление пораженных информационных (автоматизированных) систем(ы), сервисов(а) и (или) сетей(и) до нормального рабочего состояния.
4.3.2. В случае принятия решения о необходимости сбора доказательств для дальнейшего расследования компьютерного инцидента лица, ответственные за сбор доказательств, должны обеспечить максимально полное документальное фиксирование сведений, которые могут быть связаны с компьютерным инцидентом. К таким сведениям могут относиться:

сведения об инфраструктуре (параметры настроек аппаратного и программного обеспечения, в том числе средств защиты информации, сведения о составе программного обеспечения);
журналы системного и прикладного программного обеспечения информационной (автоматизированной) системы;
журналы информационно-телекоммуникационного оборудования информационной (автоматизированной) системы;
журналы регистрации событий безопасности средств защиты информации;
записи систем видеонаблюдения.

4.3.3. О результатах мероприятий по реагированию на компьютерный инцидент и принятию мер по ликвидации последствий компьютерных атак ГРИИБ должна проинформировать НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий в соответствии с установленным в[наименование организации] порядком и требованиями.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.