Группа реагирования на инциденты информационной безопасности (ГРИИБ) – орган, который оператор персональных данных создает в расчете на то, что в случае возникновения инцидента информационной безопасности (например, угрозы возможной утечки персональных данных), негативные последствия могут быть незамедлительно локализованы и устранены, или как минимум, снижены. Для того, чтобы иметь план действий по устранению последствий, следует подготовить отдельную инструкцию, которой должны будут следовать как непосредственно группа, так и администратор безопасности (в случае его наличия).
В приказе поименно указывается перечень лиц, которые будут принимать меры реагирования в отношении инцидентов. Как правило, указываются здесь руководители подразделений, осуществляющих обработку персональных данных, системные администраторы, а также лицо, ответственное за организацию обработки, администратор безопасности. Именно издание приказа, утверждающего состав группы, юридически формализует как особый статус ответственных лиц, так и придает статус локального нормативного акта для инструкции. А значит, после ознакомления с приказом, инструкция станет обязательна для сотрудников. Подготовить данный документ поможет представленный на этой странице интерактивный шаблон.
(Полное наименование оператора) |
Приказ о назначении Группы реагирования на инциденты информационной безопасности
№ |
Руководствуясь ст. 19 Федерального закона "О персональных данных" и в целях обеспечения реализации требований к защите персональных данных, утвержденных Постановлением Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных",
ПРИКАЗЫВАЮ:
Установить состав внутренней группы по реагированию на инциденты информационной безопасности (далее – ГРИИБ):
- |
Утвердить прилагаемую Инструкцию по обработке инцидентов информационной безопасности.
Обязать ГРИИБ в своей работе руководствоваться инструкцией по реагированию на инциденты информационной безопасности, руководящими документами ФСТЭК России и ФСБ России, а также общедоступными источниками об угрозах и уязвимостях информационных систем.
Контроль за исполнением настоящего приказа оставляю за собой.
Приложение:
Инструкция по обработке инцидентов информационной безопасности.
Руководитель | |||||
(должность) | (личная подпись) | (расшифровка подписи) |
УТВЕРЖДЕНА
приказом
от №
Инструкция по обработке инцидентов информационной безопасности
ОБЩИЕ ПОЛОЖЕНИЯ
Политики информационной безопасности или защитные меры в отношении информации в ИСПДн не могут полностью гарантировать защиту информации, информационных систем, сервисов или сетей. После внедрения защитных мер, вероятно, останутся слабые места, которые могут сделать обеспечение информационной безопасности неэффективным, и, следовательно, инциденты информационной безопасности - осуществимыми. Инциденты информационной безопасности могут оказывать прямое или косвенное негативное воздействие на бизнес-деятельность . Кроме того, неизбежно выявление новых, ранее не идентифицированных угроз безопасности информации. Руководствуясь вышесказанным, важно использовать структурный и плановый подход к:
- обнаружению, оповещению об инцидентах безопасности и их оценке;
- реагированию на инциденты информационной безопасности, включая активизацию соответствующих защитных мер для предотвращения, уменьшения последствий и (или) восстановления после наступления негативных воздействий вследствие инцидента безопасности информации;
- извлечению уроков из инцидентов информационной безопасности, совершенствованию, введению превентивных защитных мер и улучшению общего подхода к менеджменту инцидентов информационной безопасности.
Инцидент информационной безопасности (далее - инцидент ИБ) - событие, нарушающее одно либо несколько свойств защищаемой информации - целостность, доступность или конфиденциальность.
Выявление инцидентов информационной безопасности не ограничивается исключительно использованием средств регистрации событий безопасности, но в обязательном порядке включает выявление и мониторинг инцидентов в СМИ, интернет-ресурсах и иных открытых источниках.
События безопасности, выявление среди них инцидентов безопасности информации, их регистрация и отработка производится для реализации требований Приказа ФСТЭК № 21 от 18.02.2013 с индексами: РСБ.1, РСБ.2, РСБ.3,РСБ.7.
Для отработки инцидентов информационной безопасности создается группа реагирования на инциденты информационной безопасности (далее – ГРИИБ).
В состав ГРИИБ входит Администратор безопасности информации (далее – Администратор), назначаемый приказом руководителя . Он осуществляет централизованный мониторинг событий безопасности в соответствии с Инструкцией администратора безопасности.
РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ В ИСПДн
В электронных журналах операционных систем, прикладного программного обеспечения, средств защиты информации регистрируются события безопасности:
Не все события безопасности информации представляют собой инциденты безопасности информации. Под категорию инцидентов безопасности подпадают исключительно запрещенные в ИСПДн действия, с которыми может быть связано создание угрозы информационной безопасности.
Информация о событиях безопасности информации подлежит защите в соответствии с утвержденными правилами и политиками по защите информации в .
Сотрудники могут информировать Администратора безопасности об аномальной активности в информационной системе, обладающей признаками инцидента безопасности информации, либо создающие угрозу информационной безопасности, в том числе сведения о потери, краже, компрометации носителей информации.
Решение о том, является ли то или иное событие в электронном журнале сообщений инцидентом информационной безопасности, принимается Администратором безопасности.
Инциденты информационной безопасности по степени возможного вреда разделяются на высокую, среднюю и низкую степень возможного вреда в соответствии с проведенной оценкой, подтвержденной Актом оценки уровня возможного вреда.
В случае, если произошел инцидент, повлекший нарушение прав субъектов персональных данных, в течение 24 часов уведомляется Роскомнадзор о предполагаемых причинах инцидента, предполагаемом вреде, нанесенном правам субъектов персональных данных, и о предпринятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по предмету инцидента
ОБРАБОТКА ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, УСТРАНЕНИЕ ПРИЧИН И ПОСЛЕДСТВИЙ
Администратор самостоятельно устраняет последствия незначительных инцидентов информационной безопасности.
Реагирование на инцидент информационной безопасности и восстановление ущерба, нанесенного ИСПДн, может включать в себя следующие этапы:
- обнаружение и уведомление о возникших событиях ИБ (человеком или автоматическими средствами);
- аккумулирование информации, относящейся к событиям информационной безопасности и оценка относимости событий к категории инцидентов ИБ;
- неотложная реакция на инцидент ИБ;
- локализация АРМ или сегмента сети, затронутые негативными последствиями инцидента, иные действия с целью предупреждения распространения этих последствий на остальные сегменты сетевой инфрастуктуры ;
- консультирование со сторонними специалистами в случае таковой необходимости;
- нейтрализация факторов, вызвавших инцидент ИБ;
- устранение ущерба от инцидента ИБ;
- запись всех предпринятых действий и решений для возможности анализа в дальнейшем;
- юридическая оценка инцидента ИБ и обращение в правоохранительные органы в случае обнаружения признаков совершения деяний, образующих состав административного правонарушения или состав преступления;
- предупреждение повторных инцидентов.
Для устранения значительных инцидентов привлекается ГРИИБ, созываемая .
По итогам обработки инцидента (устранения его последствий) ГРИИБ оформляет акт. Акт содержит выводы по инциденту и вносит предложения совершенствования организационных и технических аспектов защиты информации в ИСПДн для предупреждения повторных инцидентов.
РАССЛЕДОВАНИЕ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Целью проведения расследования является выявление виновных в возникновении инцидента лиц, подготовке представления для применения к ним мер дисциплинарной ответственности, а также для устранения недостатков политик информационной безопасности.
Расследование незначительного инцидента информационной безопасности проводится Администратором безопасности. Расследование значительного инцидента осуществляется ГРИИБ. Если к нарушению причастен внещний нарушитель, возможно привлечение сотрудников правоохранительных органов.
Порядок проведения расследования:
- сбор информации об инциденте из всех возможных источников, её анализ, формирование доказательной базы;
- выявление каналов атаки, уязвимостей и прочих факторов, наличие которых повлияло на возникновение инцидента информационной безопасности;
- выявление сценариев действий нарушителя, в случае антропогенной природы инцидента;
- формирование списка подозреваемых в инциденте, в случае антропогенной природы инцидента;
- установление лиц, виновных в инциденте информационной безопасности, в случае антропогенной природы инцидента;
- анализ ущерба, нанесенного информационной системе, организации, субъектам персональных данных в результате инцидента информационной безопасности;
- составление отчета о расследовании с представлением о привлечении к дисциплинарной ответственности сотрудников ( в случае наличия признаков вины)..
В случае установления вины сотрудника сторононней организации (контрагента) , к виновной стороне применяются меры ответственности, установленные договором с данной организацией (контрагентом), по усмотрению руководства .
При обнаружении признаков вины сотрудников , решение о применении мер дисциплинарной ответственности к последним принимается руководством .
Виновные внешние нарушители привлекаются к ответственности в соответствии с уголовным и административным законодательством Российской Федерации.
В случае необходимости после устранения последствий инцидента Администратор безопасности по согласованию с руководством может проводить занятия с сотрудниками по разбору инцидента и пресечения повторных инцидентов.
Любой инцидент информационной безопасности рассматривается как основание для извлечения выводов о необходимости корректировки системы защиты информации, организационных и технических мер по защите персональных данных. Необходимые изменения для пресечения повторных инцидентов должны осуществляться в кратчайшие сроки.
О результатах внутреннего расследования инцидента, повлекшего нарушение прав субъекта персональных данных, уведомляется Роскомнадзор в течение 72 часов, вместе с указанием лиц, действия которых стали причиной выявленного инцидента.
КЛАССИФИКАЦИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
По степени возможного вреда для субъектов персональных данных инциденты могут иметь высокую, среднюю, низкую степени вреда в соответствии с критериями, установленными Приказом Роскомнадзора от 27.10.2022 № 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
Инциденты ИБ подразделяются на преднамерянные и случайные. Причиной случайного инцидента могут стать как разнообразные антропогенные факторы, так и социальные, природные явления, техногенные факторы (катастрофы, аварии). Также инциденты разделяются на вызванные техническими и на вызванные нетехническими средствами
В целом все инциденты безопасности могут быть разделены на следующие категории:
Распространенные категории инцидентов: "Отказ в обслуживании", "Сбор информации", "Несанкциоинрованный доступ".
Инцидент категории "Отказ в обслуживании" представляет собой прекращение функционирования систем с прежней производительностью, а зачастую и полный отказ в доступе авторизованным пользователям. Инциденты данной категории могут произойти в силу воздействия как технических, так и нетехнических средств, и могут представлять собой как инциденты, направленные на уничтожение ресурсов, и на инциденты, направленные на истощение ресурсов. Примеры преднамеренных инцидентов категории "Отказ в обслуживании":
- зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;
- передача данных в непредусмотренном формате в систему, сервис или сеть в попытке разрушить или нарушить их нормальную работу;
- одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать их ресурсы.
Инциденты ИБ «Отказ в обслуживании», создаваемые нетехническими средствами и приводящие к утрате информации, сервиса и (или) устройств обработки информации, могут вызываться, например, следующими факторами:
- нарушениями систем физической защиты, приводящими к хищениям, преднамеренному нанесению ущерба или разрушению оборудования;
- случайным нанесением ущерба аппаратуре ИСПДн, месту её расположения от огня или воды;
- экстремальными условиями окружающей среды, например высокой температурой воздуха, по причине выхода из строя системы кондиционирования воздуха;
- неправильным функционированием или перегрузкой системы;
- неконтролируемыми изменениями в системе;
- неправильным функционированием программного и аппаратного обеспечения.
Инциденты ИБ «Сбор информации» подразумевают действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, работающих на идентифицированных целях атаки. Подобные инциденты ИБ предполагают проведение разведки с целью определения:
- наличия цели, получения представления об окружающей ее сетевой топологии;
- потенциальных уязвимостей цели или непосредственно окружающей ее сетевой среды, которые можно использовать для атаки.
Типичными примерами атак, направленных на сбор информации техническими средствами, являются:
- сбрасывание записей DNS;
- отправка тестовых запросов по случайным сетевым адресам с целью найти работающие системы;
- зондирование системы с целью идентификации операционной системы хоста;
- сканирование доступных сетевых портов на протокол передачи файлов системе с целью идентификации соответствующих сервисов и версий программного обеспечения этих сервисов;
- сканирование одного или нескольких сервисов с известными уязвимостями по диапазону сетевых адресов.
Инциденты, направленные на сбор информации, создаваемые нетехническими средствами, приводят к:
- прямому или косвенному раскрытию или модификации информации;
- хищению интеллектуальной собственности;
- нарушению учетности, например, при регистрации учетных записей;
- неправильному использованию информационных систем (например, с нарушением закона или политики организации).
Инциденты могут вызываться, например, следующими факторами:
- нарушениями физической защиты, приводящими к несанкционированному доступу к информации и хищению устройств хранения данных, содержащих значимые данные, например ключи шифрования;
- неудачно и (или) неправильно сконфигурированными операционными системами по причине неконтролируемых изменений в системе или неправильным функционированием программного или аппаратного обеспечения, приводящим к тому, что персонал организации или посторонний персонал получает доступ к информации, не имея на это разрешения.
Несанкционированный доступ как тип инцидента включает в себя инциденты, не вошедшие в первые два типа. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа в систему или неправильного использования системы, сервиса или сети. Некоторые примеры несанкционированного доступа с помощью технических средств включают в себя:
- попытки извлечь файлы с паролями;
- атаки переполнения буфера с целью получения привилегированного доступа к сети;
- использование уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений;
- попытки расширить привилегии доступа к ресурсам или информации по сравнению с легитимно имеющимися у пользователя/администратора.