Инструкция по выявлению и реагированию на инциденты безопасности обработки персональных данных (стр. 1 )

Приложение к Приказу

от «04» августа 2015 № 21-ах

ИНСТРУКЦИЯ

по выявлению и реагированию на инциденты безопасности обработки

персональных данных

1.  Общие положения

1.1.  Назначение и область действия документа

Целью данной Инструкции является определение действий по выявлению и соответствующему оперативному реагированию на инциденты безопасности обработки персональных данных в информационной системе персональных данных Управления внутренней политики Липецкой области (далее – Управление).

Данный документ применяется при выполнении таких процедур, как:

-  выявление инцидентов безопасности обработки персональных данных в информационных системах персональных данных (далее - ИСПДн);

-  разбирательство по факту выявленных инцидентов;

-  минимизация последствий свершившихся инцидентов;

-  принятие мер по устранению свершившихся инцидентов;

-  принятие мер по предотвращению возникновения инцидентов.

Настоящая Инструкция утверждается и вводится в действие приказом начальника Управления и является обязательным для исполнения всеми работниками, имеющими доступ к ИСПДн.

Приказом начальника Управления назначается сотрудник, ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн.

1.2.  Понятие инцидента

Инцидентом безопасности обработки персональных данных в ИСПДн является нежелательное или неожиданное событие в системе защиты информации, которое имеет определенный шанс подвергнуть риску информационные активы (в том числе персональные данные), деловые операции, репутацию Управления, а также поставить под угрозу саму систему защиту информации ИСПДн.

Инцидентом безопасности обработки персональных данных в ИСПДн преследуют нарушение одного или сразу нескольких основополагающих свойств информации:

-  нарушение конфиденциальности;

-  нарушение целостности;

-  нарушение доступности.

Инцидентом безопасности обработки персональных данных в ИСПДн могут преследовать нарушение дополнительных (производных) свойств информации:

-  нарушение надежности;

-  нарушение достоверности;

-  нарушение принципа неотказуемости.

Инциденты безопасности обработки персональных данных в ИСПДн возникают в процессе противоборства собственника и злоумышленника над получением контроля над информационными активами Управления.

Инциденты безопасности обработки персональных данных в ИСПДн могут возникать, как при наличии уязвимостей в информационно-технологическом обеспечении информационных процессов, так и в их отсутствие путем применения злоумышленниками методов социальной инженерии, либо вследствие форс-мажорных ситуаций (стихийных бедствий, аварий, катастроф и т. п.).

Для учета и последующего ретроспективного анализа инцидентов ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн ведет «Журнал учета инцидентов безопасности обработки персональных данных в информационной системе персональных данных».

2.  Жизненный цикл

2.1.  Жизненный цикл процесса по выявлению и реагированию на инциденты безопасности обработки персональных данных в ИСПДн состоит из 4 стадий, которые следуют одна за другой и все вместе составляют непрерывный цикл. Схема жизненного цикла приведена на рисунке 1.

Рисунок 1. Жизненный цикл процесса по выявлению и реагированию на инциденты безопасности обработки персональных данных в ИСПДн

2.2.  Настоящая Инструкция должна пересматриваться (актуализироваться) не реже, чем раз в три года. Настоящая Инструкция должна пересматриваться (актуализироваться) после каждого инцидента безопасности обработки персональных данных в ИСПДн, при необходимости.

2.3.  Все положения настоящей Инструкции должны проверяться на регулярной основе. В Управлении документально определено ответственное лицо, выполняющее при возникновении инцидентов задачи по обнаружению, классификации, реагированию, анализу и разбирательству по фактам выявленных инцидентов безопасности обработки персональных данных в ИСПДн, с привлечением (по необходимости) других сотрудников Управления и внешних экспертов (при условии обоснования необходимости такого решения и заключения с ними соглашения о конфиденциальности).

3.  Обнаружение инцидентов

3.1.  Информация об инцидентах безопасности обработки персональных данных в ИСПДн может поступать по следующим каналам:

-  электронные журналы регистрации событий сетевого оборудования;

-  электронные журналы регистрации событий системного программного обеспечения;

-  электронные журналы регистрации событий прикладного программного обеспечения;

-  электронные журналы регистрации событий средств защиты информации (средства и (или) системы защиты информации от несанкционированного доступа, антивирусное программное обеспечение, средства криптографической защиты информации (СКЗИ), средства защиты информации при межсетевом взаимодействии);

-  журнал учета и выдачи машинных носителей персональных данных;

-  оповещения средств защиты информации;

-  просмотр и анализ информации о действиях отдельных пользователей в информационной системе персональных данных;

-  информация, получаемая от сотрудников Управления по каналам связи, указанным в п. 4 данной Инструкции.

3.2.  Все процессы обнаружения и реагирования на инциденты безопасности обработки персональных данных в ИСПДн должны подлежать обязательному документированию. Все процедуры с необходимой степенью детализации описываются в данной инструкции и документах, на которые данная инструкция ссылается для детализации некоторых положений.

4.  Информирование об инцидентах

4.1.  Ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн отвечает за все процессы по обнаружению и реагированию на инциденты безопасности обработки персональных данных в ИСПДн. Ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн получает информацию о свершившихся инцидентах и принимает меры по их устранению.

4.2.  Администратор безопасности ИСПДн, Администратор ИСПДн и пользователи ИСПДн при получении информации обо всех нетипичных событиях должны незамедлительно сообщить о происходящем ответственному за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн.

4.3.  Для оперативного получения информации об инцидентах ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн имеет специально выделенные каналы получения информации:

-  личный визит на рабочее место ответственного за реагирование на инциденты безопасности обработки информации (ул. Зегеля, д. 1, ) в рабочие часы (с понедельника по пятницу: с 8 ч. 30 мин. до 17 ч. 30 мин. по московскому времени);

-  телефон для обращений в рабочие часы (с понедельника по пятницу: с 8 ч. 30 мин. до 17 ч. 30 мин. по московскому времени): (4742) 28-08-17;

-  телефон для обращений в нерабочие часы: 8 (***) ***-**-**;

-  адрес электронной почты.

4.4.  Сотрудники Управления, имеющие доступ к ИСПДн, обязаны перед началом работы с ИСПДн ознакомиться, подписать и в процессе работы неукоснительно следовать положениям данной Инструкции и другим документам, на которые данная инструкция ссылается для детализации некоторых положений.

5.  Классификация инцидентов

5.1.  Ответственный за выявление и реагирование на инциденты безопасности выполняет классификацию инцидентов по категориям критичности. В Управлении используются 4 категории классификации критичности инцидентов:

-  1 категория. Инцидент может привести к значительным негативным последствиям (ущербу) для информационных активов или репутации Управления;

-  2 категория. Инцидент может привести к негативным последствиям (ущербу) для информационных активов или репутации Управления.

-  3 категория. Инцидент может привести к незначительным негативным последствиям (ущербу) для информационных активов или репутации Управления;

-  4 категория. Инцидент не может привести к негативным последствиям (ущербу) для информационных активов или репутации Управления.

Под информационными активами подразумеваются информационные ресурсы (в том числе персональные данные), либо средства обработки информации Управления.

5.2.  Для классификации инцидентов безопасности обработки персональных данных в ИСПДн ответственный за выявление и реагирование на инциденты безопасности может привлекать администратора безопасности ИСПДн и ответственного за организацию обработки ПДн.

5.3.  В зависимости от присвоенной категории критичности происходит определение приоритета и времени реагирования по каждому типу инцидента. Сопоставление приоритетов и категорий инцидентов определяется следующим образом:

-  очень высокий. Соответствует 1-й категории критичности. Время реагирования не более 1 рабочего дня;

-  высокий. Соответствует 2-й категории критичности. Время реагирования не более 3 рабочих дней;

-  средний. Соответствует 3-й категории критичности. Время реагирования не более 7 рабочих дней;

-  низкий. Соответствует 4-й категории критичности. Время реагирования не определено.

5.4.  В зависимости от приоритета инцидента, происходит выделение необходимых ресурсов Управлении для осуществления разбирательства по фактам выявленного инцидента (инцидентов).

6.  Реагирование на инциденты

6.1.  Реагированием на инциденты безопасности обработки персональных данных в ИСПДн в Управлении занимается специально назначенный ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн сотрудник, при необходимости привлекающий следующих лиц:

-  администратор безопасности ИСПДн;

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3