ПРАВИТЕЛЬСТВО ОРЕНБУРГСКОЙ ОБЛАСТИ
П О С Т А Н О В Л Е Н И Е
22.08.2017 г.Оренбург № 610-п
Об утверждении регламента реагирования на компьютерные
инциденты, связанные с совершением компьютерных атак и
внедрением вредоносного программного обеспечения
В целях совершенствованиясистемы защиты информации в органах исполнительной власти Оренбургской области,обеспечения информационной безопасности и организации порядка реагирования на событияинформационной безопасности:
1.Утвердить регламентреагирования на компьютерные инциденты, связанные с совершением компьютерных атаки внедрением вредоносного программного обеспечения (далее – регламент), согласноприложению.
2.Органамисполнительной власти Оренбургской области и подведомственным им учреждениям назначитьадминистраторов информационной безопасности.
3.Рекомендоватьорганам местного самоуправления муниципальных образований Оренбургской области руководствоватьсяв своей деятельности регламентом.
4.Контрольза исполнением настоящего постановления возложить на директора департамента информационныхтехнологий Оренбургской области Засинца И.Д.
5.Постановлениевступает в силу со дня его подписания.
Губернатор Ю.А.Берг
Приложение
к постановлению
Правительства области
от 22.08.2017№ 610-п
Регламент
реагирования на компьютерные инциденты, связанные с совершениемкомпьютерных атак и внедрением вредоносного программного обеспечения
I. Общие положения
1. НастоящийРегламент устанавливает порядок действий при возникновении угроз информационнойбезопасности, обусловленных возможностью несанкционированного доступа к государственныминформационным ресурсам сторонних лиц (третьих лиц), внедрения и распространениявредоносного программного обеспечения, проведения массированных атак типа «отказв обслуживании», а также возможными техническими сбоями в работе.
2. В настоящемРегламенте используются следующие понятия:
инцидентинформационной безопасности – любое непредвиденное или нежелательное событие, котороеможет нарушить деятельность информационных систем или информационную безопасность;
информационноевзаимодействие – процесс взаимодействия двух и более участников, целью которогоявляется обработка информации в общих информационных системах и сетях;
участникиинформационного взаимодействия – пользователи информационных систем (далее – пользователи),системные администраторы, специалисты по информационной безопасности (далее – администраторыбезопасности).
3. Действиеположений настоящего Регламента распространяется на деятельность органов исполнительнойвласти Оренбургской области (далее – органы исполнительной власти области) и подведомственныеим учреждения и обязательны к соблюдению всеми сотрудниками органов исполнительнойвласти области, участвующих в выявлении, разбирательстве и предотвращении инцидентовинформационной безопасности.
4. Задачаминастоящего Регламента являются:
организация деятельностисотрудников органов исполнительной власти области, осуществляющих администрированиеинформационных систем в органах исполнительной власти области;
определение порядкаработы пользователей, системных администраторов и администраторов безопасности;
обеспечение целостности,конфиденциальности и доступности информации;
соблюдение требованийправовых актов в области защиты информации.
II. Источники и видыинцидентов информационной безопасности
5. Источникамиинформации об инцидентах информационной безопасности в органах исполнительной властиобласти являются:
факты, выявленные сотрудникамиорганов исполнительной власти области;
результаты работы средствмониторинга информационной безопасности, аудита (внутреннего или внешнего);
журналы и оповещенияоперационных систем серверов и рабочих станций, антивирусной системы, системы резервногокопирования и других систем;
обращения субъектовперсональных данных с указанием инцидента информационной безопасности;
сообщения департаментаинформационных технологий Оренбургской области (далее – департамент);
сообщения Федеральнойслужбы технического и экспортного контроля России;
сообщения Федеральнойслужбы безопасности Российской Федерации;
сообщения Федеральнойслужбы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
иные источники информации.
6. Основнымивидами инцидентов информационной безопасности в органах исполнительной власти областиявляются:
несанкционированный доступ к информационным ресурсам органов исполнительной власти области;
превышение полномочий – несанкционированный доступ к каким-либо ресурсам и помещениям сотрудников органов исполнительнойвласти области;
компрометация учетных записейили паролей;
вирусная атака или вирусное заражение;
сетевые атаки (отказ в обслуживании(DoS-атаки), атаки типа Man-in-the-Middle,сниффер пакетов, переадресация портов, IP-спуфинг, атаки на уровне приложений и другое).
III. Анализ исходной информации
7. Приполучении информации о несанкционированном воздействии на информационную системуи сеть системный администратор совместно с администратором безопасности обязаныубедиться, что инцидент информационной безопасности не является результатом их собственнойошибки или санкционированных действий.
8. Привыявлении инцидента информационной безопасности в органах исполнительной властиобласти системному администратору совместно с администратором безопасности необходимо:
принять меры по пресечению несанкционированноговоздействия в случае, если на момент выявления оно не завершено;
принять меры по устранению причин возникновенияинцидента информационной безопасности;
сохранить образ или содержание информационнойсистемы, в том числе журналы событий (информационного ресурса) на момент обнаружениясобытия (несанкционированного воздействия);
провести мероприятия по восстановлению работоспособностиинформационной системы (информационного ресурса);
провести служебную проверку с целью выявленияпричин, которые могли привести к произошедшему несанкционированному воздействию.
9. Администраторубезопасности информационной системы, подвергшейся несанкционированному воздействию,необходимо в течение трех дней с момента обнаружения несанкционированного воздействияпредставить в департамент результаты служебной проверки и информацию о последствияхнесанкционированного воздействия и принятых мерах по устранению причин несанкционированноговоздействия.
10. Совместнос результатами служебной проверки администратор безопасности также должен представитьв департамент:
наименование информационной системы (информационногоресурса), на которую произведено несанкционированное воздействие;
время несанкционированного воздействияи (или) время обнаружения несанкционированного воздействия;
место несанкционированноговоздействия (площадка, на которой размещается информационный ресурс, хостинг);
краткое изложение (описание) произошедшегонесанкционированного воздействия и его последствий;
контактные данные (фамилия, имя, отчество,номер телефона, адрес электронной почты) системного администратора или администраторабезопасности, ответственного за обеспечение работоспособности информационной системы(информационного ресурса);
правовой акт о создании и (или) вводе в эксплуатациюинформационной системы (информационного ресурса);
паспорт информационной системы (при наличии);
договор об обслуживании или о техническом сопровождении(при наличии);
договор об оказании услуг по предоставлениювычислительных мощностей (договор о размещении на ресурсе, облаке) в случае, еслиинформационная система (информационный ресурс) размещена на коммерческом ресурсе;
порядок работы или положение об информационнойсистеме (информационном ресурсе) (при наличии).
11. Порезультатам рассмотрения полученной информации департамент в течение одного рабочегодня со дня ее получения принимает решение о необходимости совершения конкретныхдействий и информирования Управления Федеральной службы безопасности РоссийскойФедерации по Оренбургской области о несанкционированном воздействии.
IV. Обязанности участников информационного взаимодействия
12. Обязанностями пользователя являются:
предоставление своегоавтоматизированного рабочего места администратору безопасности для контроля;
выполнение требованийи рекомендаций администратора безопасности и системного администратора;
незамедлительное информированиеадминистратора безопасности и системного администратора обо всех выявленных нарушениях,связанных с информационной безопасностью и обнаружением нештатного режима работыинформационных систем и сетей.
13. Обязанностямисистемного администратора являются:
обеспечение бесперебойнойработы системного программного обеспечения, серверного оборудования и автоматизированныхрабочих мест пользователей;
обеспечение резервного копирования данных (восстановлениеданных при необходимости);
незамедлительное информированиеадминистратора безопасности обо всех выявленных нарушениях, связанных с информационнойбезопасностью;
осуществление мероприятийпо предотвращению несанкционированных действий по уничтожению, модификации, искажению,копированию, блокированию информации;
предотвращение незаконноговмешательства в информационные ресурсы и системы в иных формах;
выполнение требованийи рекомендаций администратора безопасности;
ведение журнала учетаинцидентов информационной безопасности, составленного по форме согласно приложению к настоящему Регламенту;
принятие в течение1 рабочего дня мер по восстановлению работоспособности информационных ресурсов иинформационных систем, согласуемых с администратором безопасности и вышестоящимруководством (при необходимости);
проведение совместнос администратором безопасности анализа зарегистрированных инцидентов информационнойбезопасности с целью разработки мероприятий (плана мероприятий) по их предотвращению.
14. Обязанностямиадминистратора безопасности являются:
проведение инструктажапользователей по вопросам информационной безопасности;
обеспечение функционированияустановленных систем защиты информации;
обновление антивирусныхбаз;
осуществление контроляза:
резервным копированиеминформации;
сроками действия сертификатовсоответствия средств защиты информации;
ведением журнала учетаинцидентов информационной безопасности;
проведение не реже1 раза в год внутреннего аудита информационной безопасности;
осуществление совместно с системным администраторомпри получении информации об инцидентах информационной безопасности мероприятий попредотвращению несанкционированных действий по уничтожению, модификации, искажению,копированию, блокированию информации, предотвращение других форм незаконного вмешательствав информационные ресурсы и системы;
информирование непосредственногоруководителя обо всех инцидентах, повлекших выход из строя либо временную приостановкуработоспособности автоматизированных рабочих мест, автоматизированных систем и государственныхинформационных систем (информационных ресурсов, серверного оборудования), а такжео фактах несанкционированного воздействия, заражения вредоносными программами;
проведение совместнос системным администратором анализа зарегистрированных инцидентов информационнойбезопасности с целью разработки плана мероприятий по их предотвращению.
V. Ответственность участников информационноговзаимодействия
15. Каждыйучастник информационного взаимодействия несет персональную ответственность за:
свои действия во времяинформационного взаимодействия в рамках своих служебных обязанностей;
соблюдение требований,установленных настоящим Регламентом.
Системный администратор, администратор безопасностии пользователи несут персональную ответственность за неисполнение или исполнениене в полном объеме своих обязанностей, указанных в разделе IV настоящего Регламента.
Приложение
к регламенту реагированияна компьютерные инциденты, связанные
с совершением компьютерныхатак и внедрением вредоносного программного обеспечения
Журнал
учета инцидентов информационной безопасности
№ п/п | Краткое описание инцидента | Фамилия, имя, отчество, должность сотрудника, обнаружившего инцидент, дата и время обнаружения | Дата и время пресечения несанкционированного воздействия | Дата, время доведения информации об инциденте в департамент; фамилия, имя, отчество, должность сотрудника, принявшего информацию | Подпись системного администратора/администратора безопасности |
1 | 2 | 3 | 4 | 5 | 6 |
1. | | | | | |
2. | | | | | |