-
a/A
+
Версия для слабовидящих
Прием обращений

Регламент выявления инцидентов информационной безопасности информационных систем персональных данных

РЕГЛАМЕНТ

выявления инцидентов информационной безопасности в администрации Октябрьского района г. Барнаула

1.ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящий Регламент устанавливает порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений, а так же выявления, разбирательства и предотвращения иных инцидентов информационной безопасности в администрации Октябрьского района г. Барнаула (далее - Администрация).

2. Регламент разработан в соответствии с:

Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»; Федеральным законом от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; иными нормативными правовыми актами, а также в соответствии с локальными нормативными актами организации.

3. Настоящий Регламент обязателен к соблюдению всеми работниками Администрации, участвующими в выявлении, разбирательстве и предотвращении инцидентов ИБ.

4. Разбирательство по всем инцидентам ИБ проводится сотрудниками отдела по работе с населением и общим вопросам с привлечением, в необходимых случаях руководителей и сотрудников других подразделений.

5. Разбирательство инцидентов ИБ, затрагивающих два или более подразделения Администрации, проводится сотрудниками отдела по работе с населением и общим вопросам с привлечением руководителей соответствующих подразделений.

6. Разбирательство по вопросам инцидентов ИБ, которые затрагивают ресурсы Администрации, в обязательном порядке проводится рабочей группой. Состав рабочей группы зависит от характера бизнес-процессов и информационных ресурсов, затронутых Инцидентом ИБ. Рабочая группа создается на основании Распоряжения о создании Рабочей группы.

2. ВЫЯВЛЕНИЕ ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1. Основными источниками информации об Инцидентах ИБ являются:

-          факты, выявленные руководителем структурного подразделения Администрации, администратором информационной системы персональных данных - лицо, назначенное ответственным за информационную безопасность (ИБ) Приказом по Администрации, а также другими сотрудниками организации.

-         результаты работы средств мониторинга ИБ результаты проверок и аудита (внутреннего или внешнего);

-         обращения субъектов персональных данных с указанием Инцидента ИБ;

-         запросы и предписания органов надзора за соблюдением прав субъектов ПДн;

-         другие источники информации.

2.1.           Работник Администрации может выявить признаки наличия Инцидента ИБ путем анализа текущей ситуации на предмет ее соответствия требованиям, утвержденным в Администрации. Выявленные несоответствия дают основания предполагать факт возникновения Инцидента ИБ. Любые сведения о Происшествие или Инциденте ИБ должны быть незамедлительно переданы выявившим их сотрудником ответственному лицу в отдел по работе с населением и общим вопросам любым доступным способом:

-        по контактам, указанным в внутрикорпоративном справочнике;

-        через непосредственного Руководителя.

2.2. Работники Администрации при подозрении на Инцидент ИБ обязаны также дополнительно уведомить Администратора информационной системы персональных данных.

З.АНАЛИЗ ИСХОДНОЙ ИНФОРМАЦИИ И ПРИНЯТИЕ РЕШЕНИЯ О ПРОВЕДЕНИИ РАЗБИРАТЕЛЬСТВА

3.1. Ответственный сотрудник отдела по работе с населением и общим вопросам после получения информации о предполагаемом Инциденте ИБ незамедлительно проводит первоначальный анализ полученных данных. В процессе анализа сотрудник проводит проверку наличия в выявленном факте нарушений.

3.2. По усмотрению руководителя отдела по работе с населением и общим вопросам единичный Инцидент ИБ, не приведший к негативным последствиям и совершенный сотрудником Администрации впервые, фиксируется сотрудником отдела в карточке данных «Инциденты ИБ» (приложение Ml) с присвоением статуса «Разбирательство не требуется».

3.3. В случае наличия признаков Инцидента ИБ в полученной информации, сотрудник отдела по работе с населением и общим вопросам определяет предварительную степень важности Инцидента ИБ и принимает решение о необходимости проведения разбирательства, информирует руководителя подразделения отдела об Инциденте ИБ, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса «В процессе разбирательства».

3.4. В срок не более 3 (трех) рабочих дней с момента поступления информации об Инциденте ИБ, сотрудник отдела по работе с населением и общим вопросам по согласованию с руководителем отдела определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.

3.5. Руководитель отдела по работе с населением и общим вопросам определяет сотрудника, осуществляющего разбирательство, и передает ему всю имеющуюся исходную информацию для проведения разбирательства, а также информацию о проведенных мероприятиях по локализации Инцидента ИБ.

4. РАЗБИРАТЕЛЬСТВО ИНЦИДЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

4.1. Цели и этапы разбирательства Инцидента ИБ:

4.1.1. Целями разбирательства инцидентов ИБ являются:

-        выработка организационных и технических решений, направленных на снижение рисков нарушения информационной безопасности, предотвращение и минимизацию подобных нарушений в будущем;

-        защита прав Администрации установленных законодательством Российской Федерации;

-        защита репутации Администрации и его ресурсов;

-        обеспечение безопасности персональных данных;

-        обеспечение прав субъектов персональных данных на обеспечение безопасности и конфиденциальности их персональных данных, обрабатываемых Администрацией;

-        предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

4.1.2. Разбирательство Инцидента ИБ, состоит из следующих этапов:

-        подтверждение/опровержение факта возникновения Инцидента ИБ;

-        подтверждение/корректировка уровня значимости Инцидента ИБ;

-        уточнение дополнительных обстоятельств (деталей) Инцидента ИБ;

-        получение (сбор) доказательств возникновения Инцидента ИБ, обеспечение их сохранности и целостности;

-         минимизация последствий Инцидента ИБ;

-         информирование и консультирование персонала Администрации по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;

-        разработка мероприятий по обнаружению и/или предупреждению инцидентов ИБ.

4.2. Создание Рабочей группы для проведения расследования Инцидента ИБ:

При необходимости руководитель отдела по работе с населением и общим вопросам незамедлительно уведомляет руководителя Администрации о факте Инцидента ИБ и инициирует подготовку Распоряжения о создании Рабочей группы для разбирательства указанного Инцидента ИБ, Подготовка, согласование и организация издания распоряжения о создании Рабочей группы по разбирательству Инцидента ИБ осуществляется в установленном порядке распоряжением за подписью руководителя Администрации. В Распоряжении по представлению Руководителя отдела: Руководитель Рабочей группы, состав Рабочей группы, сроки разбирательства Инцидента ИБ, при необходимости определяются дополнительные полномочия членов Рабочей группы. Рабочая группа может состоять из руководителей и сотрудников отдела по работе с населением и общим вопросам, и других подразделений Администрации в зависимости от характера бизнес-процессов и ресурсов, затронутых Инцидентом ИБ.

Взаимодействие между членами Рабочей группы осуществляется в рабочем порядке с соблюдением при этом требований конфиденциальности. При необходимости проводятся заседания Рабочей группы, время, место и темы которых определяются ее Руководителем.

4.3. Порядок проведения разбирательства Инцидента ИБ:

4.3.1. В процессе проведения разбирательства Инцидента ИБ обязательными для установления являются:

-        дата и время совершения Инцидента ИБ;

-        ФИО, должность и подразделение Нарушителя ИБ;

-        уровень критичности Инцидента ИБ;

-        обстоятельства и мотивы совершения Инцидента ИБ;

-        информационные ресурсы, затронутые Инцидентом ИБ;

-        характер и размер реального и потенциального ущерба;

-        обстоятельства, способствовавшие совершению Инцидента ИБ.

4.3.2. При Инциденте ИБ, затрагивающем не более одного структурного подразделения, сотрудник отдела по работе с населением и общим вопросам информирует о факте инцидента руководителя соответствующего структурного подразделения.

4.3.3. При Инциденте ИБ, затрагивающим более одного структурного подразделения, осуществляющий разбирательство сотрудник информирует руководителей соответствующих подразделений и инициирует проведение разбирательства с привлечением ресурсов сотрудников отдела по работе с населением и общим вопросам.

4.3.4. В случае проведения временного отключения прав доступа у предполагаемого Нарушителя ИБ информация об отключении прав доступа ответственным за проведение разбирательства направляется руководителю предполагаемого Нарушителя ИБ.

4.3.5. Осуществляющий разбирательство сотрудник в процессе проведения расследования Инцидента ИБ при необходимости запрашивает информацию в структурных подразделениях, запрос направляется на имя руководителя подразделения с обязательным указанием сроков предоставления информации (с учетом необходимости ее анализа, сбора и подготовки).

4.3.6. После получения необходимой информации по Инциденту ИБ осуществляющий разбирательство сотрудник проводит анализ полученных данных.

4.3.7. В течение 5 (пяти) рабочих дней с момента назначения осуществляющего разбирательство сотрудника (формирования Рабочей группы), осуществляющий разбирательство сотрудник запрашивает у руководителя структурного подразделения объяснительную записку Нарушителя ИБ. Объяснительная записка должна быть составлена, подписана Нарушителем ИБ в течение (двух) рабочих дней и представлена его непосредственным руководителем осуществляющему разбирательство сотруднику в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа Нарушителя ИБ предоставить объяснительную записку, осуществляющему разбирательство сотруднику предоставляется акт, составленный в соответствии с установленным в Администрации порядке.

4.3.8. Осуществляющий разбирательство сотрудник проводит оценку негативных последствий от реализации Инцидента ИБ. В ходе данной оценки учитываются;

-       прямой финансовый ущерб;

-       репутационный ущерб;

-       потенциальный ущерб;

-       косвенные потери, связанные с недоступностью сервисов, потерей информации;

  -       другие виды ущерба или аспекты негативных последствий для Администрации или

субъектов персональных данных.

4.3.9.     С целью минимизации последствий Инцидента ИБ возможно временное отключение прав доступа сотрудника к Информационным ресурсам (ИР) на время проведения расследования предварительно сделав заявку. Подобное отключение инициируется осуществляющим разбирательство сотрудником с обязательным предварительным устным согласованием с руководителем сотрудника.

4.3.10. В случае, если у Нарушителя ИБ были отключены права доступа к ИР на время проведения разбирательства, то по его результатам осуществляющий разбирательство сотрудник по согласованию с руководителем Нарушителя ИБ принимает решение и инициирует возвращение в полном или ограниченном объеме ранее имеющихся у 1-1арушителя ИБ прав доступа к ИР либо инициирует официальную процедуру отмены (изменения) прав доступа к ИР в соответствии с установленным порядком в Администрации. Если Нарушение ИБ было вызвано незнанием Нарушителем ИБ правил (технологии) работы с информационными ресурсами высокого уровня безопасности, то основанием для возврата прав доступа является успешное прохождение повторного инструктажа сотрудниками отдела по работе с населением и общим вопросам, ознакомлением с положениями должностной инструкции, иными локальными нормативными актами Администрации.

4.3.11. Восстановление временно отключенных у Нарушителя ИБ прав доступа к ИР (разблокировка пользователя) может производиться только по заявке руководителя Нарушителя ИБ или осуществляющего разбирательство сотрудника.

5, ОФОРМЛЕНИЕ РЕЗУЛЬТАТОВ ПРОВЕДЕННОГО РАЗБИРАТЕЛЬСТВА

5.1. Собранная в процессе разбирательства Инцидента ИБ информация фиксируется осуществляющим разбирательство сотрудником в картотеке данных «Инциденты ИБ» и учитывается при подготовке итогового заключения по Инциденту ИБ (Приложение №1).

5.2. Осуществляющий разбирательство сотрудник формирует, согласовывает со всеми участниками разбирательства и подписывает итоговое заключение по расследованию Инцидента ИБ.

5.3. Итоговое заключение по Инциденту ИБ осуществляющий разбирательство сотрудник направляет Руководителю отдела по работе с населением и общим вопросам, руководителям структурных подразделений, затронутых Инцидентом ИБ.

5.4. Осуществляющий разбирательство сотрудник фиксирует завершение разбирательства в карточке «Инциденты ИБ» и присваивает инциденту статус «Разбирательство завершено».

5.5. Осуществляющий разбирательство сотрудник, при необходимости определения правовой оценки Инцидента ИБ, может обратиться за консультациями в юридическое подразделение Администрации. В этом случае информацию по Инциденту ИБ осуществляющий разбирательство сотрудник передает с грифом «Конфиденциально» от руководства отдела по работе с населением и общим вопросам.

О результатах проведенного анализа и других мероприятий, руководство в течение не более 5 (пяти) рабочих дней после получения запроса информирует руководство отдела по работе с населением и общим вопросам.

5.6. В случае выявления в Инциденте ИБ признаков административного правонарушения или уголовного преступления, относящихся к сфере информационных технологий, осуществляющий разбирательство сотрудник передает все материалы по Инциденту ИБ руководству Администрации для принятия решения, в соответствии с установленным в Администрации порядком, о подаче заявления в правоохранительные органы Российской Федерации.

5.7. Осуществляющий разбирательство сотрудник фиксирует полученную дополнительную информацию в карточке данных «Инциденты ИБ» и информирует Руководителя Администрации.

6. ЗАВЕРШЕНИЕ РАЗБИРАТЕЛЬСТВА, ПРЕВЕНТИВНЫЕ МЕРОПРИЯТИЯ

6.1. По завершению разбирательства Инцидента ИБ, осуществляющий разбирательство сотрудник передает имеющиеся материалы (в объеме, достаточном для принятия решения) вышестоящему руководителю Нарушителя ИБ для решения вопроса о целесообразности привлечения Нарушителя ИБ к дисциплинарной ответственности.

6.2. На основании полученных результатов разбирательства руководитель структурного подразделения в срок не более 3 (трех) рабочих дней организовывает проведение одного или нескольких мероприятий, направленных на снижение рисков информационной безопасности в будущем:

-        повторное ознакомление Нарушителя ИБ с Правилами;

-         анализ и пересмотр имеющихся прав доступа к информационным ресурсам у Нарушителя ИБ;

-         доведение до всех сотрудников структурного подразделения требований внутренних нормативных документов Администрации;

-        обсуждение Инцидента ИБ на совещании руководителей или собрании коллектива;

-        отмена неактуальных прав доступа к информационным ресурсам;

-         проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

-         и другие обоснованные мероприятия.

6.3. О результатах проведенного разбирательства Инцидента ИБ Руководитель отдела _ по работе с населением и общим вопросам по необходимости инициирует подготовку сообщения об Инциденте ИБ в адрес руководства Администрации.

7. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ УЧАСТНИКОВ РАЗБИРАТЕЛЬСТВА

7.1. Осуществляющий разбирательство сотрудник имеет право:

7.1.1. По согласованию с непосредственным руководителем Нарушителя ИБ требовать предоставлений письменных объяснений по обстоятельствам Инцидента ИБ у Нарушителя ИБ.

-        Запрашивать и получать от руководителей и сотрудников Администрации, в рамках их компетенций, устные и письменные разъяснения и иную информацию, необходимую для проведения разбирательства Инцидента ИБ.

-        Инициировать на основании заявок отключение от информационных ресурсов сотрудников Администрации, нарушивших правила или требования ИБ, на период проведений расследования Инцидента ИБ в случае если имеется существенный риск того, что продолжение работы сотрудника с ИР может повлечь значительное увеличение ущерба или новые инциденты ИБ.

-        По результатам расследования Инцидента ИБ инициировать изменения в бизнес- процессах и информационных ресурсах Администрации с целью повышения их защищенности и снижения рисков Инцидентов ИБ.

-        Инициировать процедуры привлечения Нарушителя ИБ к дисциплинарной/ материальной ответственность согласно внутренним нормативным документам Администрации.

7.2. Осуществляющий разбирательство сотрудник обязан:

-        Объективно и основательно проводить разбирательство каждого Инцидента ИБ.

-        Определять первоочередные меры, направленные на локализацию Инцидента ИБ и минимизацию негативных последствий.

-         Фиксировать в карточке данных «Инциденты ИБ» всю исходную информацию об Инциденте ИБ и результаты его расследования.

-         Предоставлять отчеты и рекомендации по проведенным разбирательствам Руководству отдела по работе с населением и общим вопросам.

-         Проводить анализ обстоятельств, способствовавших совершению каждого Инцидента ИБ, и на его основе, совместно с сотрудниками смежных подразделений, разрабатывать рекомендации и предложения по оптимизации бизнес-процессов и снижения ущерба от подобных Инцидентов ИБ и минимизации возможности их повторения в будущем.

-         Составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

7.3. Руководители структурных подразделений и сотрудники Администрации обязаны:

-         предоставлять по запросам Проводящего разбирательство сотрудника устные и письменные разъяснения и иную информацию в рамках своей компетенции, необходимую для проведения разбирательства Инцидента ИБ;

-         информировать отдел по работе с населением и общим вопросам о выявленных Инцидентах ИБ; по работе с населением и общим вопросам

-         информировать отдел по работе с населением и общим вопросам об имеющихся запросах и обращениях субъектов персональных данных.

Заведующий отделом информатизации В.В.Москвичев