ПРИМОРСКИЙ КРАЙ
АДМИНИСТРАЦИЯ НАДЕЖДИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
Р А С П О Р Я Ж Е Н И Е
12.07.2017 с. Вольно-Надеждинское № 120-р
О назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них в сегменте государственной информационной системы «Региональная система межведомственного электронного документооборота»
Руководствуясь Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Постановлением Правительства Российской Федерации от 01.11. 2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных», Уставом Надеждинского муниципального района, в целях исполнения требований о защите информации, не составляющей государственную тайну, содержащейся в государственной информационной системе «Региональная система межведомственного электронного документооборота» (далее - ГИС «РСМЭД»), в части регистрации событий безопасности
1. Создать внутреннюю группу по реагированию на инциденты информационной безопасности в сегменте ГИС «РСМЭД» администрации Надеждинского муниципального района и утвердить ее состав:
-
1.
|
Заместитель главы администрации Надеждинского муниципального района, курирующий вопросы в сфере информационной безопасности на территории Надеждинского муниципального района
|
2.
|
Начальник отдела информатизации администрации Надеждинского муниципального района
|
3.
|
Начальник общего отдела администрации Надеждинского муниципального района
|
4.
|
Главный специалист 1 разряда общего отдела администрации Надеждинского муниципального района
|
5.
|
Старший специалист отдела информатизации администрации Надеждинского муниципального района
|
2. Утвердить инструкцию по реагированию на инциденты информационной безопасности в сегменте ГИС «РСМЭД» администрации Надеждинского муниципального района (прилагается).
3. Группе по реагированию на инциденты информационной безопасности в сегменте ГИС «РСМЭД» администрации Надеждинского муниципального района в своей работе руководствоваться инструкцией по реагированию на инциденты информационной безопасности, руководящими документами ФСТЭК России и ФСБ России, государственными стандартами в области информационной безопасности и общедоступными источниками об угрозах и уязвимостях информационных систем.
3. Контроль над исполнением настоящего распоряжения возложить на заместителя главы администрации Надеждинского муниципального района, курирующего вопросы в сфере информационной безопасности на территории Надеждинского муниципального района.
Глава администрации Надеждинского
муниципального района А.Н. Губарев
|
УТВЕРЖДЕНА
распоряжением администрации Надеждинского муниципального района от ____________ № ___-р
|
Инструкция по реагированию на инциденты информационной безопасности в сегменте государственной информационной системы «Региональная система межведомственного электронного документооборота» администрации Надеждинского муниципального района
Общие положения
1.1. Настоящая Инструкция разработана в соответствии со следующими нормативными правовыми актами:
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Методический документ ФСТЭК России от 11.02.2014 г. «Меры защиты информации в государственных информационных системах».
1.2. Настоящая инструкция регламентирует организационные и технические вопросы по выявлению инцидентов и реагированию на них в государственной информационной системе «Региональная система межведомственного электронного документооборота» администрации Надеждинского муниципального района (далее ГИС «РСМЭД»)
1.3. Настоящая Инструкция применяется для ГИС «РСМЭД» и средств, которые обеспечивают безопасность информации (при ее автоматизированной обработке).
1.4. Цель настоящей Инструкции – выявление инцидентов и реагирование на них, распределение обязанностей и ответственности участвующих в процессе выявления инцидентов и реагированию на них.
1.5. Инцидентом информационной безопасности (далее - инцидент ИБ) является событие, нарушающее одно из свойств защищаемой информации (целостность, доступность или конфиденциальность) или несколько таких свойств одновременно.
1.6. Требования настоящей инструкции обязательны для выполнения всеми пользователями ГИС «РСМЭД» и Администратором информационной безопасности в сегменте ГИС «РСМЭД» администрации Надеждинского муниципального района (далее Администратор).
Регистрация событий безопасности в сегменте ГИС «РСМЭД»
Событиями безопасности, подлежащими регистрации, являются записи в журналах операционных систем, прикладного программного обеспечения и средств защиты информации (электронные журналы сообщений). К событиям безопасности относятся следующие виды записей в таких системных журналах:
записи о входе пользователя в операционную систему или прикладное программное обеспечение;
записи о неудачных попытках аутентификации пользователя в системе (время, количество попыток, время блокировки учетной записи);
записи о времени окончания сеанса работы пользователя в операционной системе или в прикладном программном обеспечении;
записи о доступе к легальной для данного пользователя защищаемой информации;
записи о попытках доступа к запрещенной для данного пользователя защищаемой информации;
записи об использовании разрешенных съемных носителей информации и мобильных устройств (время включения, копируемая информация, время отключения
и т. д.);
записи о попытках использования запрещенных в системе съемных носителей информации и мобильных устройств;
записи о попытках повышения собственных полномочий в системе;
записи об аномальной сетевой активности;
записи о попытках доступа к управлению разграничением доступа к информации и к управлению средствами защиты информации;
записи об обнаружениях вирусов, червей, троянов антивирусными средствами;
записи о попытках установки запрещенного прикладного программного обеспечения;
записи о запуске подозрительных файлов, полученных по электронной почте или по другим каналам;
записи о выводе защищаемой информации на печать;
записи о нарушении правил и политик информационной безопасности;
записи о передаче защищаемой информации по каналам связи.
Информация о событиях безопасности информации является защищаемой информацией и к ней применяются те же, утвержденные правила и политики по защите информации, что и к другой защищаемой конфиденциальной информации в администрации Надеждинского муниципального района.
Инцидентами безопасности являются только запрещенные в ГИС действия, с которыми может быть связано создание угрозы информационной безопасности.
Информация о событиях безопасности также может поступать Администратору безопасности от сотрудников администрации Надеждинского муниципального района, заметивших аномальную активность в сегменте ГИС «РСМЭД». Информацией о событиях безопасности также являются сведения о потере, краже или компрометации машинных и других носителей информации.
Администратор анализирует электронные журналы сообщений и принимает решение, является ли событие безопасности инцидентом информационной безопасности.
По степени возможного ущерба сегменту ГИС «РСМЭД» и администрации Надеждинского муниципального района инциденты информационной безопасности можно условно разделить на незначительные и значительные.
Незначительными признаются инциденты информационной безопасности, соответствующие одному или нескольким критериям:
инцидент был быстро обнаружен и локализован, значительных последствий в результате инцидента не произошло;
инцидент затронул небольшое количество сотрудников администрации Надеждинского муниципального района;
инцидент не требует существенных усилий и затрат на восстановление работоспособности информационной системы или ее частей;
в результате инцидента не была нарушена конфиденциальность, целостность и доступность больших массивов защищаемой информации (например, всей базы данных), нарушена безопасность только небольшого фрагмента информации (одной или нескольких записей базы данных);
инцидент не требует концептуального пересмотра политик информационной безопасности в администрации Надеждинского муниципального района.
в результате инцидента организации нанесен минимальный ущерб или не нанесено никакого ущерба;
инцидент не вызвал долгосрочного простоя информационной системы и не нарушил бизнес-процессы и технологические процессы обработки информации.
Значительными признаются все инциденты информационной безопасности, которые не могут быть признаны незначительным в соответствии с пунктом 2.7 данной Инструкции.
Реагирование на инцидент информационной безопасности и устранение последствий и причин инцидента
В случае обнаружения незначительных инцидентов, Администратор самостоятельно принимает меры по устранению последствий инцидента информационной безопасности.
В случае обнаружения значительных инцидентов, Администратор созывает группу по реагированию на инциденты информационной безопасности, которая оценивает инцидент и реагирует на него наиболее целесообразным и результативным способом.
После устранения последствий инцидента, группой по реагированию на инциденты информационной безопасности делаются соответствующие выводы (оформляемые в виде акта) и вносятся предложения по совершенствованию технических и организационных аспектов защиты информации в ГИС «РСМЭД» с целью предотвращения подобных инцидентов в будущем.
Процесс реагирования на инцидент информационной безопасности и восстановление ущерба, нанесенного ГИС «РСМЭД» , может состоять из следующих этапов:
обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);
сбор информации, связанной с событиями информационной безопасности и оценка этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;
незамедлительное реагирование на инцидент ИБ;
локализация АРМ или сегмента сети, на который распространились негативные последствия инцидента;
при необходимости - привлечение специалистов сторонних организаций для получения качественных консультаций;
выполнение мер по нейтрализации факторов, вызвавших инцидент ИБ;
восстановление ущерба, вызванного инцидентом ИБ;
регистрация всех действий и решений для последующего анализа;
правовая оценка инцидента ИБ;
при необходимости и при наличии правовых оснований, обращение в правоохранительные органы;
принятия мер для предотвращения подобных инцидентов в будущем.
Расследование инцидента информационной безопасности
Расследование инцидента ИБ проводится с целью выявления и наказания лиц, виновных в инциденте, а также с целью выявления недоработок в политиках информационной безопасности и их оперативного устранения.
Расследование инцидента проводится Администратором самостоятельно (в случае незначительного инцидента) либо группу по реагированию на инциденты информационной безопасности (в случае значительного инцидента). В случаях, когда виновником инцидента является внешний нарушитель, к расследованию инцидента могут привлекаться сотрудники правоохранительных органов в установленном порядке.
Расследование инцидента проводится в следующем порядке:
проводится сбор информации об инциденте из всех возможных источников, проводится анализ собранной информации, формируется доказательная база;
анализируются каналы атаки, уязвимости и другие факторы, которые сделали возможным появление инцидента информационной безопасности;
анализируются сценарии действий нарушителя, в случае антропогенной природы инцидента;
составляется список подозреваемых в инциденте лиц, в случае антропогенной природы инцидента;
выявляются лица, виновные в инциденте информационной безопасности, в случае антропогенной природы инцидента;
определяется степень ущерба, нанесенная информационной системе, организации, субъектам персональных данных в результате инцидента информационной безопасности;
составляется отчет о расследовании.
В случаях, если инцидент произошел по вине сотрудников администрации Надеждинского муниципального района, руководство администрации Надеждинского муниципального района принимает решение о мерах, которые будут применены к виновному лицу.
В случаях, если инцидент произошел по вине контрагента или сотрудника сторонней организации, осуществляющей какие-либо работы в администрации Надеждинского муниципального района, виновный в инциденте несет ответственность в соответствии с положениями договора между администрации Надеждинского муниципального района и контрагентом/сторонней организацией.
В случаях, если инцидент произошел по вине внешнего нарушителя, виновный несет ответственность в соответствии с уголовным и административным кодексами Российской Федерации.
После выявления и наказания виновных в инциденте, Администратором безопасности после согласования с руководством администрации Надеждинского муниципального района могут быть проведены занятия с сотрудниками администрации Надеждинского муниципального района по разбору произошедшего инцидента с целью предотвращения повторения инцидента в будущем.
Из каждого инцидента информационной безопасности делаются выводы о необходимости изменения и улучшения организационных и технических частей системы защиты информации в администрации Надеждинского муниципального района. Изменения в системе защиты информации, призванные предотвратить появление выявленного и расследованного инцидента информационной безопасности, должны быть осуществлены в кратчайшие сроки.
Классификация инцидентов информационной безопасности
Инциденты ИБ по происхождению делятся на преднамеренные и случайные. Случайные инциденты могут быть вызваны антропогенными факторами (ошибка сотрудника, техническая неграмотность), социальными явлениями, природными явлениями, техногенными факторами (аварии, катастрофы).
Инциденты ИБ также можно разделить на инциденты, вызванные техническими средствами, и инциденты, вызванные нетехническими средствами.
В целом все инциденты безопасности можно разделить на следующие категории:
вирусная атака (заражение элементов информационной системы вирусами, троянами, бэкдорами и прочим вредоносным программным обеспечением);
попытки несанкционированного доступа к защищаемой информации;
отказ в обслуживании (в результате программного или аппаратного сбоя, либо в результате целенаправленной или веерной атаки);
нарушение сотрудниками администрации Надеждинского муниципального района предписаний внутренних руководящих документов по защите информации (политик, инструкций, регламентов);
нарушение технологического процесса обработки и защиты информации в информационной системе;
потеря, утрата, компрометация машинных и иных носителей информации;
нарушение конфиденциальности защищаемой информации;
нарушение целостности защищаемой информации;
сетевые атаки на информационную систему (как из-за пределов защищаемого периметра, так и внутри него);
техногенная авария;
нештатная ситуация.
Одним из широко распространенных видов инцидентов ИБ является инцидент типа «Отказ в обслуживании». Результатом такого инцидента является неспособность систем, сервисов или сетей продолжать функционирование с прежней производительностью. Часто это сопровождается полным отказом в доступе авторизованным пользователям. Инциденты типа «отказ в обслуживании» могут быть вызваны как техническими, так и нетехническими средствами. Инциденты типа «отказ в обслуживании», вызываемые техническими средствами можно категорировать на инциденты, направленные на уничтожение ресурсов, и на инциденты, направленные на истощение ресурсов. Типовыми примерами таких преднамеренных технических инцидентов ИБ являются:
зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;
передача данных в непредусмотренном формате в систему, сервис или сеть в попытке разрушить или нарушить их нормальную работу;
одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать их ресурсы.
Инциденты ИБ типа «Отказ в обслуживании», создаваемые нетехническими средствами и приводящие к утрате информации, сервиса и (или) устройств обработки информации, могут вызываться, например, следующими факторами:
нарушения систем физической защиты, приводящие к хищениям, преднамеренному нанесению ущерба или разрушению оборудования;
случайное нанесение ущерба техническим средствам ГИС и или месту их расположения от огня или воды;
экстремальные условия окружающей среды, например высокая температура воздуха, вызванная выходом из строя системы кондиционирования воздуха;
неправильной функционирование или перегрузка системы;
неконтролируемые изменения в системе;
неправильное функционирование программного и аппаратного обеспечения.
Инциденты ИБ типа «Сбор информации» подразумевают действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, работающих на идентифицированных целях атаки. Подобные инциденты ИБ предполагают проведение разведки с целью определения:
наличия цели, получения представления об окружающей ее сетевой топологии;
потенциальных уязвимостей цели или непосредственно окружающей ее сетевой среды, которые можно использовать для атаки.
Типичными примерами атак, направленных на сбор информации техническими средствами, являются:
сбрасывание записей DNS;
отправка тестовых запросов по случайным сетевым адресам с целью найти работающие системы;
зондирование системы с целью идентификации операционной системы хоста;
сканирование доступных сетевых портов на протокол передачи файлов системе с целью идентификации соответствующих сервисов и версий программного обеспечения этих сервисов;
сканирование одного или нескольких сервисов с известными уязвимостями по диапазону сетевых адресов.
Инциденты, направленные на сбор информации, создаваемые нетехническими средствами, приводят к:
прямому или косвенному раскрытию или модификации информации;
хищению интеллектуальной собственности;
нарушению учетности, например, при регистрации учетных записей;
неправильному использованию информационных систем (например, с нарушением закона или политики организации).
Инциденты могут вызываться, например, следующими факторами:
нарушениями физической защиты, приводящими к несанкционированному доступу к информации и хищению устройств хранения данных, содержащих значимые данные, например ключи шифрования;
неудачно и (или) неправильно сконфигурированными операционными системами по причине неконтролируемых изменений в системе или неправильным функционированием программного или аппаратного обеспечения, приводящим к тому, что персонал организации или посторонний персонал получает доступ к информации, не имея на это разрешения.
Несанкционированный доступ как тип инцидента включает в себя инциденты, не вошедшие в первые два типа. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа в систему или неправильного использования системы, сервиса или сети. Некоторые примеры несанкционированного доступа с помощью технических средств включают в себя:
попытки извлечь файлы с паролями;
атаки переполнения буфера с целью получения привилегированного доступа к сети;
использование уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений;
попытки расширить привилегии доступа к ресурсам или информации по сравнению с легитимно имеющимися у пользователя.
|
