- ответственный за организацию обработки ПДн;
- внешние эксперты.
6.2. В случае явной необходимости Управление может привлекать к процессу реагирования на инциденты безопасности обработки персональных данных в ИСПДн внешних экспертов. В случае привлечения внешних экспертов ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн обязан:
- обосновать принятие такого решения;
- проинформировать начальника Управления;
- заручиться письменным соглашением о конфиденциальности между Управлением и внешней стороной.
6.3. При получении сообщения об инциденте безопасности обработки персональных данных в ИСПДн по каналам, указанным в п. 4 ответственному за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн необходимо убедиться в достоверности полученной информации (например, путем совершения "обратного" звонка по указанным в сообщении телефонам, проверки данных указанных в подписи сообщения или названных при звонке или иными способами по своему усмотрению).
6.4. Первостепенной задачей ответственного за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн является сдерживание инцидента безопасности, то есть в случае подтверждения информации об инциденте следует обеспечить принятие всех необходимых мер для локализации инцидента и препятствования его дальнейшему распространению.
6.5. Все процессы реагирования на инциденты должны обязательно документироваться. Документирование реагирования на каждый возможный инцидент безопасности обработки персональных данных в ИСПДн проводится путем заведения карточки данных об инциденте (приложение) и внесения соответствующей записи в журнал учета инцидентов безопасности обработки персональных данных в ИСПДн.
6.6. В процессе реагирования на инцидент ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн собирает всю относящуюся к инциденту информацию и принимает решение о необходимости проведения разбирательства.
6.7. По усмотрению ответственного за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн единичный инцидент, не приведший к негативным последствиям и совершенный сотрудником Управления впервые, фиксируется в «Журнале учета инцидентов безопасности обработки персональных данных» с присвоением статуса «Разбирательство не требуется».
6.8. В случае наличия признаков инцидента безопасности обработки персональных данных в ИСПДн в полученной информации, ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн определяет предварительную степень важности инцидента и принимает решение о необходимости проведения разбирательства, информирует начальника Управления об инциденте, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса «В процессе разбирательства».
6.9. В срок не более 4 часов с момента поступления информации об инциденте, ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн, по согласованию с администратором безопасности ИСПДн, ответственным за защиту информации ИСПДн и ответственным за организацию обработки ПДн, определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.
6.10. Целью разбирательства по фактам выявления инцидента безопасности обработки персональных данных в ИСПДн является раскрытие всех причинно-следственных связей и получение следующей информации:
- источники инцидента (нарушители, иные лица, либо форс-мажорные обстоятельства);
- цели инцидента (активы, репутация, др.);
- способы осуществления инцидента.
6.11. В процессе реагирования на инциденты безопасности обработки персональных данных в ИСПДн Управление обязано неукоснительно следовать законодательству РФ.
7. Разбирательство по фактам выявленных инцидентов
7.1. Цели и этапы разбирательства инцидентов безопасности обработки персональных данных в ИСПДн:
7.1.1. Целями разбирательства инцидентов безопасности обработки персональных данных в ИСПДн являются:
выработка организационных и технических решений, направленных на снижение рисков нарушения информационной безопасности, предотвращение и минимизацию подобных нарушений в будущем;
защита прав Управления, установленных законодательством Российской Федерации;
защита репутации Управления и его ресурсов;
обеспечение безопасности обрабатываемых в ИСПДн данных, в том числе персональных данных;
обеспечение прав субъектов персональных данных на обеспечение безопасности и конфиденциальности их персональных данных, обрабатываемых Управлением;
предотвращение несанкционированного доступа к обрабатываемым в ИСПДн персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
7.1.2. Разбирательство инцидента безопасности обработки персональных данных в ИСПДн, состоит из следующих этапов:
подтверждение/опровержение факта возникновения инцидента;
подтверждение/корректировка уровня значимости инцидента;
уточнение дополнительных обстоятельств (деталей) инцидента;
получение (сбор) доказательств возникновения инцидента, обеспечение их сохранности и целостности;
минимизация последствий инцидента;
информирование и консультирование персонала Управления по действиям обнаружения, устранения последствий и предотвращения инцидентов;
разработка мероприятий по обнаружению и/или предупреждению инцидентов.
7.2. Создание Рабочей группы для проведения расследования инцидента безопасности обработки персональных данных в ИСПДн:
При необходимости ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн незамедлительно уведомляет начальника Управления о факте инцидента безопасности обработки персональных данных в ИСПДн и инициирует подготовку Приказа о создании Рабочей группы для разбирательства указанного инцидента безопасности обработки персональных данных в ИСПДн. В Приказе по представлению ответственного за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн определяются: руководитель Рабочей группы, состав Рабочей группы, сроки разбирательства инцидента, при необходимости дополнительные полномочия членов Рабочей группы.
Взаимодействие между членами Рабочей группы осуществляется в рабочем порядке с соблюдением при этом требований конфиденциальности. При необходимости проводятся заседания Рабочей группы, время, место и темы которых определяются ее Руководителем.
7.3. Порядок проведения разбирательства инцидента безопасности обработки персональных данных в ИСПДн:
7.3.1. В процессе проведения разбирательства инцидента безопасности обработки персональных данных в ИСПДн обязательными для установления являются:
дата и время совершения инцидента;
Ф. И.О., должность и отдел Нарушителя (в случае, если Нарушитель является сотрудником Управления);
категория критичности инцидента;
обстоятельства и мотивы совершения инцидента;
информационные ресурсы, затронутые инцидентом;
характер и размер реального и потенциального ущерба;
обстоятельства, способствовавшие совершению инцидента.
7.3.2. В случае временного отключения прав доступа к ИСПДн у предполагаемого Нарушителя (в случае, если Нарушитель является сотрудником Управления) ответственным за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн информация об отключении прав доступа направляется начальнику Управления.
7.3.3. Ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн проводит оценку негативных последствий от реализации инцидента безопасности обработки персональных данных в ИСПДн. В ходе данной оценки учитываются:
прямой финансовый ущерб;
репутационный ущерб;
потенциальный ущерб;
косвенные потери, связанные с недоступностью сервисов, потерей информации;
другие виды ущерба или аспекты негативных последствий для Управления или субъектов персональных данных.
7.3.4. С целью минимизации последствий инцидента безопасности обработки персональных данных в ИСПДн возможно временное отключение прав доступа сотрудников к ИСПДн на время проведения расследования. Подобное отключение инициируется ответственным за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн с обязательным предварительным устным согласованием с руководителем сотрудника.
7.3.5. В случае если у Нарушителя (для случаев, когда Нарушитель является сотрудником Управления) были отключены права доступа к ИСПДн на время проведения разбирательства, то по его результатам осуществляющий разбирательство сотрудник, по согласованию с руководителем Нарушителя, принимает решение и инициирует возвращение в полном или ограниченном объеме ранее имеющихся у Нарушителя прав доступа к ИСПДн либо инициирует официальную процедуру отмены (изменения) прав доступа к ИСПДн. Если нарушение безопасности обработки персональных данных в ИСПДн было вызвано незнанием Нарушителем правил (технологии) работы с ИСПДн, то основанием для возврата прав доступа является успешное прохождение повторного инструктажа, ознакомлением с положениями должностной инструкции, иными локальными нормативными актами Управления, регулирующими работу с ИСПДн.
7.3.6. Инициирование восстановления временно отключенных у Нарушителя прав доступа к ИСПДн (разблокировка пользователя) может производиться только руководителем Нарушителя (по заявке) или ответственным за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн.
8. Оформление результатов, завершение проведенного разбирательства
8.1. Собранная в процессе разбирательства инцидента безопасности обработки персональных данных в ИСПДн информация фиксируется ответственным за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн в карточке данных об инциденте безопасности обработки персональных данных в ИСПДн и учитывается при подготовке итогового заключения по инциденту безопасности обработки персональных данных в ИСПДн (приложение).
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
