Приложение к Приказу

от «04» августа 2015 

ИНСТРУКЦИЯ

по выявлению и реагированию на инциденты безопасности обработки

персональных данных



Общие положения Назначение и область действия документа

Целью данной Инструкции является определение действий по выявлению и соответствующему оперативному реагированию на инциденты безопасности обработки персональных данных в информационной системе персональных данных Управления внутренней политики Липецкой области (далее – Управление).

Данный документ применяется при выполнении таких процедур, как:

    выявление инцидентов безопасности обработки персональных данных в информационных системах персональных данных (далее - ИСПДн); разбирательство по факту выявленных инцидентов; минимизация последствий свершившихся инцидентов; принятие мер по устранению свершившихся инцидентов; принятие мер по предотвращению возникновения инцидентов.

Настоящая Инструкция утверждается и вводится в действие приказом начальника Управления и является обязательным для исполнения всеми работниками, имеющими доступ к ИСПДн.

Приказом начальника Управления назначается сотрудник, ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн.

Понятие инцидента

Инцидентом безопасности обработки персональных данных в ИСПДн является нежелательное или неожиданное событие в системе защиты информации, которое имеет определенный шанс подвергнуть риску информационные активы (в том числе персональные данные), деловые операции, репутацию Управления, а также поставить под угрозу саму систему защиту информации ИСПДн.

НЕ нашли? Не то? Что вы ищете?

Инцидентом безопасности обработки персональных данных в ИСПДн преследуют нарушение одного или сразу нескольких основополагающих свойств информации:

    нарушение конфиденциальности; нарушение целостности; нарушение доступности.

Инцидентом безопасности обработки персональных данных в ИСПДн могут преследовать нарушение дополнительных (производных) свойств информации:

    нарушение надежности; нарушение достоверности; нарушение принципа неотказуемости.

Инциденты безопасности обработки персональных данных в ИСПДн возникают в процессе противоборства собственника и злоумышленника над получением контроля над информационными активами Управления.

Инциденты безопасности обработки персональных данных в ИСПДн могут возникать, как при наличии уязвимостей в информационно-технологическом обеспечении информационных процессов, так и в их отсутствие путем применения злоумышленниками методов социальной инженерии, либо вследствие форс-мажорных ситуаций (стихийных бедствий, аварий, катастроф и т. п.).

Для учета и последующего ретроспективного анализа инцидентов ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн ведет «Журнал учета инцидентов безопасности обработки персональных данных в информационной системе персональных данных».


Жизненный цикл Жизненный цикл процесса по выявлению и реагированию на инциденты безопасности обработки персональных данных в ИСПДн состоит из 4 стадий, которые следуют одна за другой и все вместе составляют непрерывный цикл. Схема жизненного цикла приведена на рисунке 1.

Рисунок 1. Жизненный цикл процесса по выявлению и реагированию на инциденты безопасности обработки персональных данных в ИСПДн


Настоящая Инструкция должна пересматриваться (актуализироваться) не реже, чем раз в три года. Настоящая Инструкция должна пересматриваться (актуализироваться) после каждого инцидента безопасности обработки персональных данных в ИСПДн, при необходимости. Все положения настоящей Инструкции должны проверяться на регулярной основе. В Управлении документально определено ответственное лицо, выполняющее при возникновении инцидентов задачи по обнаружению, классификации, реагированию, анализу и разбирательству по фактам выявленных инцидентов безопасности обработки персональных данных в ИСПДн, с привлечением (по необходимости) других сотрудников Управления и внешних экспертов (при условии обоснования необходимости такого решения и заключения с ними соглашения о конфиденциальности). Обнаружение инцидентов Информация об инцидентах безопасности обработки персональных данных в ИСПДн может поступать по следующим каналам:
    электронные журналы регистрации событий сетевого оборудования; электронные журналы регистрации событий системного программного обеспечения; электронные журналы регистрации событий прикладного программного обеспечения; электронные журналы регистрации событий средств защиты информации (средства и (или) системы защиты информации от несанкционированного доступа, антивирусное программное обеспечение, средства криптографической защиты информации (СКЗИ), средства защиты информации при межсетевом взаимодействии); журнал учета и выдачи машинных носителей персональных данных; оповещения средств защиты информации; просмотр и анализ информации о действиях отдельных пользователей в информационной системе персональных данных; информация, получаемая от сотрудников Управления по каналам связи, указанным в п. 4 данной Инструкции.
Все процессы обнаружения и реагирования на инциденты безопасности обработки персональных данных в ИСПДн должны подлежать обязательному документированию. Все процедуры с необходимой степенью детализации описываются в данной инструкции и документах, на которые данная инструкция ссылается для детализации некоторых положений. Информирование об инцидентах Ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн отвечает за все процессы по обнаружению и реагированию на инциденты безопасности обработки персональных данных в ИСПДн. Ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн получает информацию о свершившихся инцидентах и принимает меры по их устранению. Администратор безопасности ИСПДн, Администратор ИСПДн и пользователи ИСПДн при получении информации обо всех нетипичных событиях должны незамедлительно сообщить о происходящем ответственному за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн. Для оперативного получения информации об инцидентах ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн имеет специально выделенные каналы получения информации:
    личный визит на рабочее место ответственного за реагирование на инциденты безопасности обработки информации (ул. Зегеля, д. 1, ) в рабочие часы (с понедельника по пятницу: с 8 ч. 30 мин. до 17 ч. 30 мин. по московскому времени); телефон для обращений в рабочие часы (с понедельника по пятницу: с 8 ч. 30 мин. до 17 ч. 30 мин. по московскому времени): (4742) 28-08-17; телефон для обращений в нерабочие часы: 8 (***) ***-**-**; адрес электронной почты.
Сотрудники Управления, имеющие доступ к ИСПДн, обязаны перед началом работы с ИСПДн ознакомиться, подписать и в процессе работы неукоснительно следовать положениям данной Инструкции и другим документам, на которые данная инструкция ссылается для детализации некоторых положений. Классификация инцидентов Ответственный за выявление и реагирование на инциденты безопасности выполняет классификацию инцидентов по категориям критичности. В Управлении используются 4 категории классификации критичности инцидентов:
    1 категория. Инцидент может привести к значительным негативным последствиям (ущербу) для информационных активов или репутации Управления; 2 категория. Инцидент может привести к негативным последствиям (ущербу) для информационных активов или репутации Управления. 3 категория. Инцидент может привести к незначительным негативным последствиям (ущербу) для информационных активов или репутации Управления; 4 категория. Инцидент не может привести к негативным последствиям (ущербу) для информационных активов или репутации Управления.

Под информационными активами подразумеваются информационные ресурсы (в том числе персональные данные), либо средства обработки информации Управления.

Для классификации инцидентов безопасности обработки персональных данных в ИСПДн ответственный за выявление и реагирование на инциденты безопасности может привлекать администратора безопасности ИСПДн и ответственного за организацию обработки ПДн. В зависимости от присвоенной категории критичности происходит определение приоритета и времени реагирования по каждому типу инцидента. Сопоставление приоритетов и категорий инцидентов определяется следующим образом:
    очень высокий. Соответствует 1-й категории критичности. Время реагирования не более 1 рабочего дня; высокий. Соответствует 2-й категории критичности. Время реагирования не более 3 рабочих дней; средний. Соответствует 3-й категории критичности. Время реагирования не более 7 рабочих дней; низкий. Соответствует 4-й категории критичности. Время реагирования не определено.
В зависимости от приоритета инцидента, происходит выделение необходимых ресурсов Управлении для осуществления разбирательства по фактам выявленного инцидента (инцидентов). Реагирование на инциденты Реагированием на инциденты безопасности обработки персональных данных в ИСПДн в Управлении занимается специально назначенный ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн сотрудник, при необходимости привлекающий следующих лиц:
    администратор безопасности ИСПДн; ответственный за организацию обработки ПДн; внешние эксперты.
В случае явной необходимости Управление может привлекать к процессу реагирования на инциденты безопасности обработки персональных данных в ИСПДн внешних экспертов. В случае привлечения внешних экспертов ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн обязан:
    обосновать принятие такого решения; проинформировать начальника Управления; заручиться письменным соглашением о конфиденциальности между Управлением и внешней стороной.
При получении сообщения об инциденте безопасности обработки персональных данных в ИСПДн по каналам, указанным в п. 4 ответственному за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн необходимо убедиться в достоверности полученной информации (например, путем совершения "обратного" звонка по указанным в сообщении телефонам, проверки данных указанных в подписи сообщения или названных при звонке или иными способами по своему усмотрению). Первостепенной задачей ответственного за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн является сдерживание инцидента безопасности, то есть в случае подтверждения информации об инциденте следует обеспечить принятие всех необходимых мер для локализации инцидента и препятствования его дальнейшему распространению. Все процессы реагирования на инциденты должны обязательно документироваться. Документирование реагирования на каждый возможный инцидент безопасности обработки персональных данных в ИСПДн проводится путем заведения карточки данных об инциденте (приложение) и внесения соответствующей записи в журнал учета инцидентов безопасности обработки персональных данных в ИСПДн. В процессе реагирования на инцидент ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн собирает всю относящуюся к инциденту информацию и принимает решение о необходимости проведения разбирательства. По усмотрению ответственного за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн  единичный инцидент, не приведший к негативным последствиям и совершенный сотрудником Управления впервые, фиксируется в «Журнале учета инцидентов безопасности обработки персональных данных» с присвоением статуса «Разбирательство не требуется». В случае наличия признаков инцидента безопасности обработки персональных данных в ИСПДн в полученной информации, ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн определяет предварительную степень важности инцидента и принимает решение о необходимости проведения разбирательства, информирует начальника Управления об инциденте, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса «В процессе разбирательства». В срок не более 4 часов с момента поступления информации об инциденте, ответственный за выявление и реагирование на инциденты безопасности обработки персональных данных в ИСПДн, по согласованию с администратором безопасности ИСПДн, ответственным за защиту информации ИСПДн и ответственным за организацию обработки ПДн, определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий. Целью разбирательства по фактам выявления инцидента безопасности обработки персональных данных в ИСПДн является раскрытие всех причинно-­следственных связей и получение следующей информации:
    источники инцидента (нарушители, иные лица, либо форс-мажорные обстоятельства); цели инцидента (активы, репутация, др.); способы осуществления инцидента.
В процессе реагирования на инциденты безопасности обработки персональных данных в ИСПДн Управление обязано неукоснительно следовать законодательству РФ. Разбирательство по фактам выявленных инцидентов

7.1. Цели и этапы разбирательства инцидентов безопасности обработки персональных данных в ИСПДн:

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3