Об утверждении нормативно-правовых актов в сфере защиты информации



Документ подписан электронно-цифровой подписью:

Владелец: Ковешников Владимир Геннадьевич

Емейл: admtozk49@mail.ru

Дата подписи: 26.10.2020 13:19:48

АДМИНИСТРАЦИЯ

ТОЦКОГО РАЙОНА

ОРЕНБУРГСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

02.10.2020                                                                                                                              № 1221-п

Об утверждении нормативно-правовых актов в сфере защиты информации

В целях регламентации комплекса мер безопасности и защиты информации, руководствуясь Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Уставом МО Тоцкий района:

Утвердить:

1.1 «Положение об использовании сети Интернет в администрации Тоцкого района» согласно приложению № 1.

1.2 «Положение об организации антивирусной защиты в администрации Тоцкого района» согласно приложению № 2.

1.3 «Положение об организации парольной защиты в администрации Тоцкого района» согласно приложению № 3.

1.4 «Положение о реагировании на инциденты информационной безопасности в администрации Тоцкого района» согласно приложению № 4.

1.5 Состав группы реагирования на инциденты информационной безопасности согласно приложению № 5.

2. Отделу по информатизации, телекоммуникациям и связям администрации Тоцкого района (Черкашина Е.В.):

2.1. Разработать памятки к документам, определенным в п.п. 1.3, 1.4 пункта 1 настоящего постановления.

2.2.Организовать ознакомление с памятками руководителей структурных подразделений администрации.

2.3. Обеспечить актуализацию информации в памятках не реже одного раза в 6 месяцев или по мере необходимости для принятия оперативных мер.

3.Контроль за исполнением данного постановления возложить на заместителя главы администрации Тоцкого района-руководителя аппарата В.В. Беляева.

4.Постановление вступает в законную силу со дня его подписания и подлежит опубликованию на официальном сайте администрации Тоцкого района.

Глава Тоцкого района                                                                                     В.Г.Ковешников

Приложение № 1

к постановлению администрации

Тоцкого района

от 02.10.2020 № 1221-п

Положение

об использовании сети Интернет в администрации Тоцкого района

Общие положения

Настоящее Положение разработано во исполнение федерального закона № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», с учетом ГОСТ Р ИСО/МЭК 27002-2012 «Практические правила управления информационной безопасностью» и устанавливает порядок использовании сети Интернет в администрации Тоцкого района (далее Организация).

Настоящее положение разработано в целях повышения уровня информационной безопасности и эффективности работы сотрудников Организации.

Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Организации.

Требования настоящего Положения распространяются на всех сотрудников Организации должны применяться для всех объектов информатизации, эксплуатируемых в Организации.

Администратор информационной безопасности (далее Администратор) назначаются распоряжением главы Тоцкого района. Права и обязанности описаны в разделе IVНастоящего положения.

Основные термины, сокращения и определения

Администратор – сотрудник отдела информатизации, назначенный ответственным настройку, обслуживание локальной вычислительной сети, ОИ и АРМ, за информационную безопасность ОИ и АРМ в обслуживаемой локальной вычислительной сети. Является ответственным за подключение к сети Интернет.

Адрес IP – уникальный сетевой адрес объекта информатизации в сети, построенной на основе стека протоколов TCP/IP.

АРМ – автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.

«белый» ip-адрес – ip-адрес, не принадлежащий диапазону частных адресов и доступный из сети Интернет.

ЕИТКС – единая информационно-телекоммуникационная сеть Правительства Оренбургской области, утверждена постановлением Правительства Оренбургской области от 09.02.2017 № 94-п «Об утверждении положения о единой информационно-телекоммуникационной сети Правительства Оренбургской области».

Интернет – компьютерная сеть, представляющая собой глобальную систему соединенных компьютерных сетей, использующих стек протоколов TCP/IP для передачи/обмена данными.

ОИ – объект информатизации, являющийся компонентом ЕИТКС. В данное понятие входят серверы, компьютеры, планшеты, смартфоны, т.п.

ПО – программное обеспечение.

Пользователь – сотрудник Организации, использующий ресурсы Интернет для выполнения своих должностных обязанностей.

Прокси-сервер – промежуточный сервер (комплекс программ), выполняющий роль посредника между пользователем и целевым сервером, позволяющий клиентам как выполнять косвенные запросы к другим сетевым службам, так и получать ответы.

САВЗ – средство антивирусной защиты

Интернет – компьютерная сеть, представляющая собой глобальную систему соединенных компьютерных сетей, использующих стек протоколов TCP/IP для передачи/обмена данными.

NAT – (англ.Network Address Translation – «преобразование сетевых адресов») – это механизм, позволяющий изменять IP-адрес в заголовке сетевого пакета, проходящего через устройство маршрутизации трафика.

VPN (англ. Virtual Private Network «виртуальная частная сеть») – территориально распределенная корпоративная логическая сеть, создаваемая на базе уже существующих сетей (локальных корпоративных сетевых структур, сетей связи общего пользования, сети Интернет, сетей связи операторов связи), имеющая сходный с основной сетью набор услуг и отличающаяся высоким уровнем защиты данных.

VPN-сервер – узел для построения логической сети.

Порядок подключения ОИ к сети Интернет

Для подключения ОИ к сети Интернет сотрудник Организации, использующий данный ОИ, должен обратиться к Администратору узла.

Администратор организует настройку операционной системы на ОИ и ПО для доступа в Интернет.

ОИ может быть подключен к сети интернет по одному из трех способов:

а) стандартное подключение к сети Интернет;

б) подключение к сети Интернет с повышенной безопасностью;

в) прямое подключение к сети Интернет.

Стандартное подключение к сети Интернет осуществляется через прокси-сервер. Выбор используемого прокси-сервера выполняет Администратор. Адрес прокси-сервера указывается в настройках операционной системы или назначается контроллером домена.

Подключение к сети Интернет с повышенной безопасностью осуществляется через прокси-сервер. Выбор используемого прокси-сервера выполняет Администратор. Адрес прокси-сервера не указывается в настройках операционной системы и не назначается контроллером домена. Адрес прокси-сервера указывается в настройках непосредственно того ПО, которому необходимо обеспечить доступ к сети Интернет.

Прямое подключение к сети Интернет осуществляется с назначением ОИ «белого» ip-адреса или c применением технологии преобразования сетевых адресов (NAT).

а) серверы и маршрутизаторы. Данное подключение может использоваться только с разрешения Администратора в Организации (в таких случаях на схеме интеграции сервера/сервиса присутствует подпись Администратора). Для данного способа подключения может использоваться только маршрутизирующее оборудование сегмента/узла ЕИТКС, имеющее действующий сертификат ФСТЭК России на соответствие требованиям документов «Требования к межсетевым экранам» и «Профиль защиты межсетевого экрана типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ».

б) АРМ (ОИ, подключенный к сегменту/узлу ЕИТКС). Допускается кратковременное использование данного типа подключения для АРМ только через VPN-сервер сегмента/узла ЕИТКС, который изолирует доступ к ресурсам ЕИТКС на время сетевой сессии.

Данное подключение осуществляется только с разрешения Администратора в Организации. Действия по данному подключению организуются Администратором в Организации. Для данного способа подключения может использоваться только VPN-сервер с применяемым средством защиты информации, сертифицированным ФСТЭК России на соответствие требованиям документов «Требования к системам обнаружения вторжений» и «Профиль защиты систем обнаружения вторжения уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ». Ответственность за конфиденциальность пароля учетной записи от VPN-сервера персональная для каждого сотрудника Организации.

в) мобильные ОИ (не подключенные к сегменту/узлу ЕИТКС). Данное подключение не должно использовать сеть сегмента/узла ЕИТКС. Данный тип подключения может использовать оборудование операторов мобильной связи, доверенные Wi-Fi сети. Не допускается использование публичных Wi-Fi сетей с доступом без авторизации и Wi-Fi сетей, не входящих в перечень доверенных.

Права и обязанности ответственных лиц

Администратор обязан:

а) производить настройку ОС для работы с прокси-сервером;

б) производить настройку ПО для работы с прокси-сервером;

в) производить настройку VPN подключений;

г) знать актуальную информацию о работе серверов (прокси, VPN).

д) разрабатывать и согласовывать требования по подключению к сети Интернет ОИ Организации;

е) контролировать выполнение требований настоящего Положения на ОИ Организации;

ж) оформлять инцидент информационной безопасности при поступлении информации об обнаружении неправомерного доступа в сеть Интернет ОИ Организации.

Администратор узла имеет право:

а) получать от операторов серверов (прокси, VPN) разъяснения об их работе;

б) получать доступ к любому ОИ Организации для выполнения своих обязанностей.

Порядок использования сети Интернет

Доступ в сеть Интернет осуществляется централизованно с применением программных и программно-технических средств защиты (межсетевых экранов).

На ОИ, подключенному к сети Интернет, в обязательном порядке устанавливается САВЗ, которое эксплуатируется в соответствии с положением по антивирусной защите.

Использование сети Интернет допускается только при выполнении требований положения об антивирусной защите.

Запрещается использовать прямое подключение к сети Интернет, если для выполнения должностных обязанностей и задач достаточно подключения к сети Интернет с повышенной безопасностью или стандартного.

При использовании сети Интернет необходимо:

а) соблюдать требования настоящего Положения;

б) использовать сеть Интернет исключительно для выполнения своих служебных обязанностей;

в) информировать Администратора Организации о любых фактах нарушения требований настоящего Положения.

Перечень типовых угроз при использовании сети Интернет и рекомендации по их предотвращению приведены в Приложении № 1 к Положению.

Общие меры предосторожности при использовании сети Интернет приведены в Приложении № 2 к Положению.

При использовании сети Интернет запрещено:

а) использовать предоставленный <Организацией>доступ к сети интернет в личных целях;

б) использовать специализированные аппаратные и программные средства, позволяющие сотрудникам Организации получить несанкционированный доступ к сети Интернет;

в) публиковать, загружать и распространять материалы содержащие:

конфиденциальную информацию, а также информацию, составляющую персональные данные, за исключением случаев, когда это входит в служебные обязанности и способ передачи является допускает использование сети Интернет;

информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца;

вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности любых аппаратных и программных средств, для осуществления несанкционированного доступа, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию;

угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.;

г) фальсифицировать IP-адрес используемого ОИ, а также прочую служебную информацию;

д) устанавливать на ОИ ПО не соответствующее требованиям п. 24;

е) осуществлять попытки несанкционированного доступа к ресурсам сети Интернет, проведение сетевых атак и сетевого взлома, участие в них, за исключением случаев, если данные действия входят в полномочия сотрудника, проводятся в рамках анализа уязвимостей и согласованы с Администратором в Организации.

Разрешается устанавливать на ОИ только ПО, соответствующее условиям:

а) ПО является лицензионным. Лицензионное ПО может быть бесплатное (GNU General Public License – лицензия на свободное программное обеспечение);

б) источник ПО должен быть официальным и загружено только: с сайта разработчика; из официальных репозиториев операционных систем; из официальных магазинов приложений;

в) в лицензионном соглашении на ПО не должно быть условий передачи любых данных разработчику или третьим лицам, либо в ПО должна быть предусмотрена возможность отключения отправки любых данных разработчику или третьим лицам.

Содержание Интернет-ресурсов, а также файлы, загружаемые из сети Интернет, подлежат обязательной проверке на отсутствие вредоносного ПО на прокси-сервере и САВЗ на ОИ пользователя.

Информация о посещаемых сотрудниками Организации Интернет-ресурсах может протоколироваться для последующего анализа и, при необходимости, предоставляться руководителю Организации.

Оператор прокси-сервера совместно с Администратором узла и Администратором информационной безопасности имеют право блокировать или ограничивать доступ пользователей к Интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, несущим угрозу информационной безопасности Организации, а также к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством.

В случае нарушения условий Положения Администратор вправе, на время проведения проверки и анализа нарушения, отключить ОИ от доступа к сети Интернет, уведомив об этом главу Тоцкого района и руководителя структурного подразделения, в котором произошло нарушение, либо вышестоящего должностного лица.

Расследование нарушений требований Положения производится в соответствии с положением о реагировании на инциденты информационной безопасности.

Ответственность

Сотрудники Организации, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.

Заключительные положения

32. Глава Тоцкого района имеет право в целях обеспечения безопасности давать поручения о проведении администратором проверок любого ОИ без предварительного уведомления сотрудников.

Приложение № 1

к Положению об использовании

сети Интернет в администрации

Тоцкого района

Типовые угрозы

при работе с сетью Интернет

№

п/п

Угроза

Примечание

Рекомендуемые меры предосторожности

Заражение компьютера вирусом

чаще всего, заражение вирусами происходит при посещении специально созданных «вредоносных» веб-страниц, «хакерских» сайтов, сайтов «для взрослых»

установить, своевременно обновлять и не отключать антивирусное программное обеспечение.

Заражения компьютера вирусом при просмотре почтовых сообщений

обычно происходит при открытии прикрепленного к письму файла.

не открывать письма, если электронный адрес отправителя не знаком или выглядит «странно»;

установить, своевременно обновлять и не отключать антивирусное программное обеспечение.

Утечка информации с рабочей станции

уязвимым может оказаться программное обеспечение (чаще всего таковым является свободно распространяемое ПО, а также ПО от неизвестных или малоизвестных производителей).

Также причиной утечки может оказаться заражение компьютера вирусом

использовать только лицензионное ПО;

установить, своевременно обновлять и не отключать антивирусное программное обеспечение.

Предоставление возможности удаленного управления компьютером

такая возможность может быть получена как с ведома пользователя (при использовании им ПО, выполняющего данную функцию), так и без его ведома (при заражении компьютера вирусом)

использовать только лицензионное ПО;

установить, своевременно обновлять и не отключать антивирусное программное обеспечение.

Потеря функциональности (полная или частичная) рабочей станции

чаще всего это происходит вследствие использования уязвимостей программного обеспечения злоумышленником или из-за заражения вирусом

использовать только лицензионное ПО;

установить, своевременно обновлять и не отключать антивирусное программное обеспечение.

Кража личной информации

чаще всего к этому приводит ввод такой информации на веб-страницах (фишинговые страницы), в том числе сайтах-двойниках, которые внешне идентичны настоящим сайтам (например, сайту банка), но на самом деле являются подделкой

не открывать письма (и особенно вложения) от незнакомых адресатов;

внимательно проверять адрес страницы, на которой вы собираетесь оставить личную информацию;

не сохранять пароли в формах веб-страниц и в браузере.

Захват адресов электронной почты, веб-страниц и т.п.

чаще всего к этому приводит использование «слабого» пароля для доступа к ресурсу, а также подбор ответа на контрольной вопрос, используемый для восстановления пароля в случае его возможной утери

выполнять требования положения по парольной защите.

Приложение № 2

к Положению об использовании

сети Интернет в администрации

Тоцкого района

Общие меры предосторожности

при работе с сетью Интернет

№ п/п

Мера предосторожности

Примечание

Мониторинг обновлений ПО, используемого на ОИ Организации, взаимодействующих с сетью Интернет.

ПО может содержать уязвимости, использование которых злоумышленником может привести к утере информации, выходу компонента из строя.

Приостановка эксплуатацию используемого ПО в случае обнаружения критических, с точки зрения безопасности, уязвимостей и невозможности их устранения.

Используемое ПО может содержать уязвимости, использование которых злоумышленником может привести к утере информации, выходу компонента из строя.

Ответственность возлагается на пользователей и администраторов соответствующих ОИ Организации.

При работе с электронной почтой:

антивирусная проверка любых прикрепленных файлов перед их запуском или открытием;

запрет на открытие писем с вложенными файлами от неизвестных авторов.

Одним из наиболее часто используемых каналов распространения вирусов, а также кражи личной информации, является электронная почта.

В случае возникновения вопросов по вложенным файлам во входящих сообщениях электронной почты необходимо обратиться к/в<специалисту/подразделение по защите информации> до принятия решения о дальнейших действиях.

Ответственность возлагается на Пользователей.

Запрет автоматического сохранения и/или запуска файлов и элементов ActiveX, скриптов из сети Интернет на рабочей станции пользователя.

Большинство уязвимостей в программном обеспечении используются через файлы, загружаемые с веб-страниц, или через сами веб-страницы, которые содержат вредоносный/опасный код.

Для опытных пользователей с разрешения отдела по защите информации допускается возможность предоставления выбора о необходимости загрузки/запуска таких элементов.

Ответственность возлагается на Пользователей.

Запрет на сохранение паролей в заполняемых формах при посещении веб-страниц.

Сохранение пароля может привести к тому, что кто-то иной воспользуется (в то числе – изменит пароль на новый) ресурсом, защищенным паролем.

Ответственность возлагается на Пользователей.

Приложение № 2

к постановлению администрации

Тоцкого района

от 02.10.2020 № 1221-п

Положение

об организации антивирусной защиты в администрации Тоцкого района

Общие положения

Настоящее Положение разработано во исполнение федерального закона № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», с учетом ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» и устанавливает порядок антивирусной защиты и антивирусного контроля в администрации Тоцкого района (далее – Организация).

Настоящее Положение разработано в целях осуществления антивирусной защиты информационных ресурсов Организации.

Целью мероприятий по антивирусной защите является:

защита информационных ресурсов Организации от несанкционированного копирования, искажения и разрушения;

минимизация риска отказов и нестабильной работы технологических и информационных процессов, при воздействии вирусов и других вредоносных программ;

минимизация финансовых, репутационных потерь и трудовых затрат при устранении последствий воздействия вредоносного кода.

Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Организации.

Требования настоящего Положения распространяются на сотрудников Организации и применяются для всех объектов информатизации, эксплуатируемых в Организации.

Антивирусная защита в Организации построена на ролевой модели.

Термины, определения, сокращения

Пользователь САВЗ – пользователь ОИ, на котором установлен САВЗ.

САВЗ – средство антивирусной защиты.

ОИ – объект информатизации. В данное понятие входят серверы, компьютеры, планшеты, смартфоны (устройства, операционная система которых позволяет установить САВЗ).

Компьютерный вирус – это программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей без ведома пользователя.

Распределение ролей и ответственности

в системе антивирусной защиты

Администратор антивирусной защиты:

производит установку, настройку САВЗ на серверах, компьютерах пользователей и контролирует их работу;

осуществляет мониторинг работы САВЗ серверов и компьютеров пользователей;

предпринимает необходимые действия по отражению и устранению последствий вирусных атак;

участвует в анализе вирусных инцидентов и предлагает меры по повышению защищенности сети Организации от угрозы вирусных атак.

Ответственный за антивирусный контроль:

разрабатывает и согласовывает требования к системе антивирусной защиты;

осуществляет мониторинг работы САВЗ серверов и компьютеров пользователей;

регистрирует вирусные инциденты и информирует об их возникновении руководство Организации;

совместно с системными администраторами участвует в анализе вирусных инцидентов и предлагает меры по повышению защищенности сети Организации от угрозы вирусных атак;

оформляет инцидент информационной безопасности при поступлении информации об обнаружении вредоносного кода от пользователя САВЗ или системного администратора.

Каждый работник Организации выполняет роль «пользователя САВЗ».

Пользователь САВЗ при обнаружении вредоносного кода (получение оповещения САВЗ) обязан:

прекратить (приостановить) свою работу на ОИ;

немедленно поставить в известность о факте обнаружения зараженных вирусом файлов своего непосредственного руководителя, ответственного за антивирусный контроль, а также смежные подразделения, использующие эти файлы в работе;

оценить необходимость дальнейшего использования файлов, зараженных вирусом;

провести «лечение» или уничтожение зараженных файлов. При необходимости для выполнения требований данного пункта следует привлечь администратора антивирусной защиты.

Пользователю САВЗ запрещается отключать средства антивирусной защиты информации.

Роли «администратор антивирусной защиты» и «ответственный за антивирусный контроль» согласно ролевой модели текущего раздела назначаются конкретным сотрудникам приказом руководителя Организации.

Роли «администратор антивирусной защиты» и «ответственный за антивирусный контроль» согласно ролевой модели текущего раздела должны быть назначены различным сотрудникам. Роль «администратор антивирусной защиты» входит в функции специалиста по информационным технологиям. Роль «ответственный за антивирусный контроль» входит в функции специалиста по информационной безопасности.

Каждый работник Организации несет ответственность за невыполнение или недобросовестное выполнение перечисленных выше обязанностей согласно назначенной роли. Руководители структурных подразделений несут ответственность за ознакомление работников подразделений с настоящим Положением.

Порядок применения средств антивирусной защиты информации

САВЗ устанавливаются на всех объектах информатизации, эксплуатируемых в Организации. При технологической необходимости на отдельные средства вычислительной техники САВЗ могут не устанавливаться, список исключений утверждается ответственным за антивирусный контроль. САВЗ устанавливается централизованно. Допускаются исключения в централизованной установке, список ОИ, не содержащих САВЗ, утверждается ответственным за антивирусный контроль.

Все САВЗ работает в режиме мониторинга в реальном времени. САВЗ проверяют все файлы на локальных и сетевых жестких дисках, съемных носителях, в приложениях к письмам электронной почты, загружаемых из сети Интернет и др., к которым обращается операционная система. Отключение САВЗ допускается только с разрешения ответственного за антивирусный контроль в исключительных случаях.

Проверка критических областей операционной системы и загрузочных секторов накопителей информации ОИ проводится автоматически САВЗ при каждой загрузке операционной системы.

Полная проверка всех накопителей информации ОИ проводиться САВЗ автоматически ежемесячно по расписанию.

В случае наличия признаков вредоносных программ пользователь САВЗ обязан незамедлительно произвести внеплановую полную проверку накопителей информации ОИ и отчуждаемых носителей и создать условия для ее завершения (не извлекать носитель, не останавливать проверку, т.п.).

Обновление антивирусных баз проводиться автоматически не реже одного раза в сутки. Не допускается отключение автоматического обновления САВЗ. В случае невозможности автоматического обновления, обновление баз производится вручную системным администратором с той же периодичностью.

При подключении к ОИ отчуждаемого накопителя информации автоматически проводится полная его проверка на наличие вредоносного кода.

САВЗ настроено на автоматическое удаление или блокировку исполнения обнаруженного вредоносного кода.

К использованию в Организации допускаются только централизованно закупленные лицензионные САВЗ, распространяемые ответственным за антивирусный контроль.

В случае необходимости использования сторонних САВЗ, их применение необходимо согласовать с ответственным за антивирусный контроль.

При обнаружении вирусов на ОИ, работающем в локальной сети (широковещательном сегменте локальной сети), проверке подлежат все ОИ, включенные в эту сеть и работающие с общими данными и программным обеспечением.

Признаки вредоносных программ

Для проведения полной внеплановой проверки накопителей информации ОИ и отчуждаемых носителей определены следующие признаки вредоносных программ:

прекращение работы или неправильная работа ранее успешно функционировавших программ;

медленная работа компьютера;

невозможность загрузки операционной системы;

исчезновение файлов и каталогов или искажение их содержимого;

изменение даты и времени модификации файлов;

изменение размеров файлов;

неожиданное значительное увеличение количества файлов на диске;

существенное уменьшение размера свободной оперативной памяти;

вывод на экран непредусмотренных сообщений или изображений;

подача звуковых сигналов системным блоком, не свойственных при обычной работе;

потеря работоспособности или частые зависания в работе компьютера.

Приложение № 3

к постановлению администрации

Тоцкого района

от 02.10.2020 № 1221-п

Положение

об организации парольной защиты в администрации Тоцкого района

Общие положения

Положение об организации парольной защиты администрации Тоцкого района (далее – Положение) регламентирует:

организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационной среде;

меры обеспечения безопасности при использовании паролей;

меры контроля за действиями пользователей и обслуживающего персонала при работе с паролями.

Требования настоящего Положения:

являются неотъемлемой частью комплекса мер безопасности и защиты информации в администрации Тоцкого района (далее – Организация);

распространяются на сотрудников Организации;

обязательны к применению для всех средств вычислительной техники, эксплуатируемой в Организации, а также информационных систем и сервисов, используемых сотрудниками Организации.

Ознакомление с Положением является выражением согласия с персональной ответственностью за разглашение парольной информации лицам, не имеющим права на доступ к таким сведениям.

Сведения о логине и пароле в сочетании и раздельно – являются конфиденциальной информацией, на которую распространяется действие нормативных правовых актов Организации, принятых в отношении конфиденциальной информации.

Термины и определения:

Автоматизированная система (АС) – совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки информации и производства вычислений.

АРМ (автоматизированное рабочее место) – программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида АС.

Информационная безопасность (ИБ) – обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз с целью обеспечения непрерывности работы и минимизации рисков.

Ключевой носитель – электронный носитель (дискета, флэш-накопитель, компакт-диск, токен и т.п.), на котором находится ключевая информация (ключи доступа, пароли, любая информация, позволяющая получить привилегии, права, полномочия в информационной среде).

Компрометация – утрата доверия к тому, что информация недоступна посторонним лицам.

Несанкционированный доступ (НСД) – доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Принцип минимальных привилегий – принцип, согласно которому каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в результате случайного, ошибочного или несанкционированного использования системы.

Сотрудник – муниципальный  служащий Организации.

Учетная запись – информация о пользователе: имя пользователя, его пароль, права доступа к ресурсам и право выполнения определенных операций с данными в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.).

Общие требования к паролям

Пароли доступа к информационной системе (сервису) первоначально формируются оператором данной системы (сервиса) или назначенным на данную роль сотрудником. В дальнейшем пользователь информационной системы (сервиса) должен самостоятельно изменить пароль на собственный, с учетом требований Положения, предъявляемых к паролю.

Запрещается использовать в качестве пароля любую информацию, относящуюся к сотруднику или месту его работы (дата или год рождения сотрудника или близких ему людей, имена детей, клички домашних животных и др.).

Пароли должны отвечать следующим требованиям:

длина пароля должна быть не менее 10 символов (для привилегированных учетных записей – не менее 12 символов);

при смене пароля новый пароль должен отличаться от старого не менее, чем двумя символами.

Безопасность локальных учетных записей на АРМ работников

Локальные учетные записи на АРМ сотрудников используются только при настройке операционной системы и не предназначены для повседневной работы.

Пользователям запрещено создание и использование учетных записей на АРМ, подключенных к компьютерной сети Организации и входящих в состав домена либо какого-либо из его поддоменов.

Встроенная гостевая учетная запись должна быть заблокирована на всех АРМ в составе компьютерной сети Организации при первоначальном конфигурировании операционной системы.

Встроенная административная учетная запись операционной системы на АРМ Организации должна быть отключена администратором домена. Допускается отсутствие блокировки административной учетной записи операционной системы, если АРМ Организации не включен в домен. В этом случае такая учетная запись должна быть защищена паролем, отвечающим требованиям п. 8 Положения.

Базовая система ввода-вывода (BIOS) рабочих станций на АРМ Организации должна быть защищена паролем длиной не менее 8 символов.

Безопасность учетных записей работников Организации

Создание, изменение, удаление учетной записи сотрудника Организации (домен, электронная почта и др.) производится после получения заявки от руководителя структурного подразделения Организации, для сотрудника которого необходимо выполнить одно из указанных выше действий.

Сотрудник несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

Допускается раскрытие пароля работника при проведении проверочных мероприятий управлением информационной безопасности Организации или при производственных работах. После данных работ работник самостоятельно производит немедленную смену «раскрытых» паролей.

В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имени и пароля сотрудника (в его отсутствие) допускается изменение пароля руководителем сотрудника. В таких случаях, сотрудник, чей пароль был изменен, обязан после выявления факта смены своего пароля, незамедлительно создать новый пароль.

Пароли учетных записей пользователей АС должны соответствовать требованиям п. 8 Положения.

Управление доменными учетными записями пользователей осуществляется исходя из принципа «минимальных привилегий», т.е. пользователь не должен иметь прав доступа как к локальной системе, так и к ресурсам АС больше, чем это необходимо ему для выполнения своих должностных обязанностей.

Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 6 месяцев. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к сотруднику, обслуживающему контроллер домена или АС Организации.

Внеплановая смена личного пароля или удаление учетной записи пользователя АС в случае прекращения его полномочий (увольнение, переход на работу в другое структурное подразделение Организации и иные обстоятельства.) должна организовываться руководителем структурного подразделения Организации, в котором он осуществляет трудовую функцию, либо вышестоящим должностным лицом незамедлительно после окончания последнего сеанса работы данного пользователя.

Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на работу в другое структурное подразделение Организации и иные обстоятельства) сотрудников, которым были предоставлены полномочия по управлению парольной защитой подсистем контроллера домена или АС Организации.

В случае длительного (более 14 дней) отсутствия сотрудника Организации (командировка, болезнь и т.п.) его учетная запись блокируется.

В случае компрометации или утраты личного пароля либо подозрения на компрометацию сотрудником Организации незамедлительно должны быть предприняты меры по внеплановой смене личного пароля с информированием руководителя структурного подразделения Организации в котором он осуществляет трудовую функцию, либо вышестоящего должностного лица.

В случае, если сотрудник Организации забыл личный пароль (и при этом пароль не скомпрометирован и не утрачен) он обязан обратиться к администратору контроллера домена или АС Организации с просьбой о восстановлении пароля. Администратор контроллера домена или АС обязан установить временный пароль в соответствие с требованиями п. 8 Положения. Пользователь после получения временного пароля обязан в кратчайшее время (не более 30 минут) сменить временный пароль.

Для предотвращения подбора паролей в контроллере домена или АС Организации должна осуществляться блокировка учетной записи при пятикратном неправильном вводе пароля.

При временном оставлении рабочего места в течение рабочего дня сотрудник обязан заблокировать АРМ до интерфейса с предложением о входе в операционную систему.

При возникновении вопросов или проблем, связанных с использованием учетных записей домена или АС сотрудник обязан уведомить руководителя структурного подразделения Организации и обратиться к администратору домена или АС.

Временные учетные записи

Для предоставления временного доступа к ресурсам АС Организации используется процедура предоставления временных учетных записей.

Временная учетная запись – учетная запись, имеющая ограничение по времени действия и ограниченный набор прав использования ресурса. Для временных учетных записей проводится подробное протоколирование их использования. Процедура получения временных учетных:

сотрудник Организации оформляет заявку на предоставление временного доступа к информационным, программным и аппаратным ресурсам Организации. В заявке указываются: временной интервал использования временной учетной записи, сведения о лице (ФИО, место работы), которое будет использовать временную учетную запись, права, необходимые для такой учетной записи. Заявка утверждается руководителем структурного подразделения Организации и направляется на согласование в управление информационной безопасности;

после согласования управлением информационной безопасности Организации, заявка направляется оператору ресурса, к которому необходимо предоставить доступ;

временная учетная запись создается оператором ресурса, реквизиты учетной записи передаются заявителю с соблюдением установленных в Организации требований по безопасности конфиденциальной информации;

пользователь, получивший временную учетную запись, информируется об ограничениях, связанных с ее использованием;

при необходимости пользователь может оформить заявку с просьбой продлить срок действия временной учетной записи с кратким объяснением причин такой необходимости.

Безопасность привилегированных учетных записей

К привилегированным учетным записям относятся учетные записи, используемые для управления работой АС (учетные записи администраторов).

При использовании привилегированных учетных записей необходимо руководствоваться принципом «минимальных привилегий», т.е. привилегии администратора должны использоваться только администратором и только если выполняемая задача требует наличия таких привилегий.

Недопустимо использование привилегированных учетных записей в повседневной работе, не связанной с необходимостью их использования (установка, конфигурирование, восстановление операционной системы, сервисов и т.п.).

Учетная запись администратора домена может использоваться только при установке, конфигурировании, восстановлении контроллера домена и иных действиях, при которых использование других учетных записей невозможно. Для этой учетной записи проводится подробное протоколирование всех событий ее использования, а также немедленное расследование любого нецелевого ее использования.

Для служб и сервисов используется принцип «минимальных привилегий», т.е. службы и сервисы функционируют с минимально возможными для их корректной работы привилегиями.

К учетным записям серверов высокой степени критичности (контроллеры домена, серверы баз данных, иные серверы, от которых зависит бесперебойная работа АС Организации) предъявляются повышенные требования к привилегиям удаленного доступа.

В случае компрометации, либо подозрения на компрометацию привилегированной учетной записи проводится внеплановая смена паролей всех зависящих от нее учетных записей.

Аппаратные средства аутентификации

Для повышения степени защиты критически важных объектов АС Организации (рабочие станции и мобильные компьютеры с информацией высокой степени конфиденциальности, иные объекты) от несанкционированного доступа возможно использование двухфакторной аутентификации (по паролю и предмету – далее ключевой носитель информации).

Каждому пользователю АС Организации, для которого предусмотрена двухфакторная аутентификация, выдается персональный ключевой носитель информации, который учитывается отделом информатизации Организации установленным образом (однозначное сопоставление ключевого носителя и его владельца).

Ключевые носители информации маркируются отделом информатизации Организации установленным образом (уникальный номер ключевого носителя) или используется серийный номер производителя.

В случае прекращения необходимости использования персонального ключевого носителя (увольнение сотрудника, прекращение функционирования объекта, для аутентификации на котором носитель использовался и т.п.) информация с данного носителя удаляется установленным образом, либо уничтожается сам носитель в случае невозможности его очистки.

Пользователям АС Организации категорически запрещается оставлять без личного присмотра ключевые носители, сообщать коды от персонального ключевого носителя, если таковые имеются.

Передача ключевого носителя пользователем третьему лицу допускается только при оформлении доверенности в письменной форме с указанием допустимых действий с данным носителем (хранение, использование). Доверенность должна содержать сведения, позволяющие определить:

лиц передающего и получающего ключевой носитель;

цель передачи/получения ключевого носителя;

допустимые действия с ключевым носителем, которые получающая сторона может выполнять с ключевым носителем;

срок, в течении которого получающая сторона в праве совершать указанные действия с ключевым носителем.

В случае утраты персонального ключевого носителя пользователь (доверенное лицо) обязан немедленно сообщить об инциденте руководителю отдела информатизации Организации. При возникновении подобного инцидента необходимо незамедлительно принять меры для недопущения несанкционированного использования утраченного персонального ключевого носителя.

Контроль

Повседневный контроль за соблюдением требований настоящего Положения осуществляется операторами системы обнаружения и предотвращения вторжений путем мониторинга процессов использования и изменения учетных записей, доступа к ресурсам и АС.

Специалист отдела по связям, телекоммуникациям и  информатизации Организации проводит ежеквартальный выборочный контроль за соблюдением сотрудниками требований настоящего Положения. О фактах несоответствия качества паролей или условий обеспечения их сохранно специалист отдела информатизации   сообщает заместителю главы администрации – руководителю аппарата в форме служебной записки.

Ответственность

Пользователи АС Организации несут персональную ответственность за несоблюдение требований настоящего Положения.

Форма и размер ответственности определяются исходя из вида и размера ущерба, нанесенного ресурсам АС Организации действиями либо бездействием соответствующего работника.

Приложение № 4

к постановлению администрации

Тоцкого района

от 02.10.2020 № 1221-п

Положение

о реагировании на инциденты информационной безопасности в администрации Тоцкого района

Термины, определения и сокращения.

АРМ

–

автоматизированное рабочее место.

АСЭД

–

автоматизированная система электронного документооборота Правительства Оренбургской области.

Актив

–

устройства и/или данные, являющиеся объектами защиты в информационной системе. Включает в себя как сами данные, так и все инфраструктурное оборудование и программное обеспечение.

ГРИИБ

–

группа реагирования на инциденты информационной безопасности, сформированная для обработки инцидентов ИБ во время их жизненного цикла.

ЕИТКС

–

единая информационно-телекоммуникационная сеть правительства Оренбургской области в соответствии положением о ЕИТКС утвержденным постановлением Правительства Оренбургской области от 09.02.2017 № 94-п.

ИБ

–

информационная безопасность – сохранение конфиденциальности, целостности и доступности информации

ИС

–

информационная система.

Организация

–

Администрация Тоцкого района

ОС

–

операционная система.

ОИВ

–

орган исполнительной власти Оренбургской области.

ОМСУ

–

орган местного самоуправления Оренбургской области.

ПО

–

программное обеспечение.

СВТ

–

средства вычислительной техники.

СЗИ

–

средства защиты информации.

СОВ

–

система обнаружения вторжений.

САВЗ

–

система антивирусной защиты.

Свойства ИБ

–

группа свойств, включающая в себя конфиденциальность, целостность и доступность.

Событие ИБ

–

любое идентифицированное явление в системе или сети, указывающего на возможное нарушение установленных свойств информационной безопасности данных, отказ защитных мер или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент ИБ

–

событие, являющееся следствием одного или нескольких событий ИБ, имеющих значительную вероятность или подтверждение нарушения установленных свойств информационной безопасности данных, или негативное влияние на состояние системы, сервиса или сети, или создания угрозы информационной безопасности.

Управление инцидентами ИБ

–

деятельность, направленная на своевременное обнаружение инцидентов ИБ и оперативное реагирование на них, минимизацию и (или) ликвидацию негативных последствий от инцидентов ИБ для Министерства, ЕИТКС, ОИВ, ОМСУ и подведомственных им учреждений.

Триггер

–

событие ИБ, являющееся сигналом для инициации процедуры поиска инцидента ИБ в ходе текущего, либо последующих взаимосвязанных событий.

DHCP

–

(DynamicHostConfigurationProtocol) – протокол динамической конфигурации хоста (узла)

DNS

–

(DomainNameSystem) – система доменных имен

NTP

–

(NetworkTimeProtocol) – сетевой протокол времени

SIEM

–

(Securityinformationandeventmanagement) – система управления ИБ и контроля защищенности, обеспечивающая анализ в реальном времени событий ИБ, исходящих от сетевых устройств, приложений, СОВ, САВЗ, и позволяющая реагировать на них до наступления существенного ущерба.

I. Общие положения

1.              Настоящее Положение разработано в целях:

минимизации ущерба от инцидентов ИБ;

предотвращения и (или) снижения негативного влияния инцидентов ИБ на работу администрации Тоцкого района;

создания условий, способствующих своевременному обнаружению и оперативному реагированию на инциденты информационной безопасности;

обеспечения возможности оперативного внесения изменений и доработок в системы обеспечения информационной безопасности администрации Тоцкого района;

повышения уровня осведомленности и эффективности работы сотрудников администрации Тоцкого района в части обеспечения информационной безопасности.

2.              Настоящее Положение определяет:

структуру группы реагирования на инциденты информационной безопасности, права и обязанности её участников,

методику обнаружения событий информационной безопасности,

методику формирования инцидентов информационной безопасности,

порядок реагирования на инциденты ИБ.

3.              Настоящее Положение разработано в соответствии с:

Федеральным законом от 27.07.2006 № 149–ФЗ «Об информации, информационных технологиях и о защите информации»,

Федеральным законом от 27.07.2006 № 152–ФЗ «О персональных данных»,

Постановлением Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,

ГОСТ Р ИСО/МЭК ТО 18044–2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности».

4.              Требования настоящего Положения являются неотъемлемой частью комплекса мер, направленного на обеспечение безопасности и защиты информации, и распространяются на всех сотрудников Министерства.

II. Группа реагирования на инциденты информационной безопасности

5.              Состав и роли участников ГРИИБ утверждаются постановлением администрации Тоцкого района. Структурным подразделениям, из числа сотрудников которых назначаются члены ГРИИБ, является отдел по связям, телекоммуникациям и информатизации.

Сотрудники с функциональными ролями «Куратор» и «Секретарь» (в соответствии с п. 6 настоящего Положения) назначаются исключительно из числа сотрудников, курирующих направление информационной безопасности <Организации>. Дополнительно в состав ГРИИБ включается не менее одного сотрудника из каждого структурного подразделения <Организации>являющихся операторами какой-либо информационной системы или сервиса, с ролью «Оператор» (в соответствии с п. 6 Положения).

6.              В рамках ГРИИБ определены следующие функциональные роли:

Куратор;

Руководитель;

Секретарь;

Аналитик;

Оператор.

Подробное описание функциональной ролевой модели ГРИИБ приведено в Приложении № 2 к Положению.

7.              Правила распространение информации.

Положением определены следующие правила распространение информации о событиях и инцидентах ИБ:

информация об инцидентах ИБ и событиях ИБ является общей для всех участников ГРИИБ и может свободно распространяться между ними;

информация об инцидентах и событиях ИБ может распространяться за пределы ГРИИБ только сотрудниками, имеющими роли «Куратор» и «Руководитель» (только по согласованию с куратором ГРИИБ);

участники ГРИИБ не вправе разглашать сведения, полученные при расследовании инцидента ИБ, за исключением утвержденной куратором или руководителем информации об инциденте ИБ для сотрудников <Организации> и подведомственных им учреждений. Распространение подобной информации за пределы ГРИИБ является инцидентом ИБ и влечет за собой меры юридической ответственности в отношении нарушителя в соответствии с разделом VI Положения.

III. События ИБ

8.              Классификация событий ИБ.

Каждое событие ИБ в ИС считается триггером. Все события разделяются по источнику и категории для классификации и дальнейшей приоритизации обработки.

8.1.              Источники событий ИБ:

источники физического (материального) характера (физические (материальные)носители конфиденциальной информации, человеческий фактор, климатический режим помещений и др.);

сетевое оборудование;

web-приложения;

сервисы (DNS, DHCP, NTP, и др.);

ОС;

СОВ;

САВЗ;

SIEM (генерирует потенциальные инциденты ИБ).

8.2.              Категории событий ИБ.

Для событий ИБ определен следующий набор категорий:

атака;

администрирование;

авторизация / завершение сеанса пользователя;

аномальная активность;

воздействие вредоносного кода;

запуск средств анализа уязвимостей;

изменение прав доступа;

изменение состава / конфигурации;

отключение и / или перезагрузка;

обновление;

приостановка работы;

сбой в работе.

Для источника «SIEM» любой сгенерированный потенциальный инцидент ИБ подлежит обработке Аналитиком ГРИИБ.

8.3. Типовые события.

Перечень типовых событий ИБ приведен в Приложении № 3 к Положению.

9.              Приоритизация.

Каждому событию ИБ в зависимости от источника и категории присваивается уровень критичности от 0 до 3. Приоритет в обработке должен отдаваться событиям с большим уровнем критичности.

Модель приоритизации событий ИБ.

Источник

События ИБ

Категория события ИБ

Источники физического (материального) характера

сетевое оборудование

web-приложения и сервисы

ОС

СОВ

САВЗ

SIEM

атака

1

2

3

2

3

3

3

администрирование

1

1

1

1

2

1

2

авторизация / завершение сеанса пользователя

0

2

1

1

1

1

1

аномальная активность

1

2

3

2

3

3

3

воздействие вредоносного кода

0

2

3

3

3

3

3

запуск средств анализа уязвимостей

0

2

2

1

2

1

3

изменение прав доступа

1

3

1

2

3

2

3

изменение состава / конфигурации

2

2

1

1

3

1

3

отключение и / или перезагрузка

1

3

3

1

3

2

3

обновление

1

2

2

1

3

1

3

приостановка работы

2

3

3

1

3

2

3

сбой в работе

2

3

3

2

3

3

3

IV. Реагирование на инциденты ИБ

10.              В целях реализации реагирования выделяются две основные стадии жизненного цикла инцидента ИБ:

реагирование на инцидент ИБ;

расследование инцидента ИБ.

11.              Реагирование на инцидент ИБ.

Этапы реагирования на инцидент ИБ:

обнаружение;

анализ;

регистрация;

сдерживание;

восстановление.

11.1.              Этап 1 – Обнаружение.

На данном этапе осуществляется сбор информации о событиях ИБ автоматическим, ручным или автоматизированным способом из источников, указанных в пункте 8.1 Положения, с учетом правил приоритизации, установленных п. 9 Положения.

Порядок действий на этапе обнаружения:

ЭТАП

ОТВЕТСТВЕННЫЕ СОТРУДНИКИ

Оператор ГРИИБ

1 – Обнаружение

(1) Сбор информации о событиях в ИС.

(2) Выявление событий ИБ.

(3) Передача выявленных событий Аналитику.

11.2.              Этап 2 – Анализ.

Данный этап разделяется на следующие подэтапы:

сопоставление выявленного события ИБ с другими событиями информационной системы, выявление наступивших или потенциально возможных негативных последствий (если негативные последствия не зафиксированы до момента фиксации инцидента, то это не означает, что негативные последствия не наступят позже;

фиксация индикаторов компрометации (индикаторами компрометации будут являться все следы выявленного события ИБ;

проверка выявленного события ИБ на предмет «ложного срабатывания» СОВ (в случае если негативные последствия не подтвердились, но событие ИБ было зарегистрировано СОВ, принимается решение о присвоения статуса «ложного срабатывания» и вносятся соответствующие корректировки в правила сопоставления, для исключения появления подобного события ИБ в автоматическом режиме).

Потенциальные инциденты ИБ, сгенерированные SIEM в автоматическом режиме подлежат обработке Аналитиком ГРИИБ.

Порядок действий на этапе анализа:

ЭТАП

ОТВЕТСТВЕННЫЕ СОТРУДНИКИ

Аналитик ГРИИБ

2 – Анализ

(1) Поиск и сопоставление события(ий) ИБ с другими событиями Активов.

(2) Выявление наступивших или потенциально возможных негативных последствий для Актива(ов).

(3) Фиксация индикаторов компрометации.

(4) Проверка выявленного события ИБ на предмет «ложного срабатывания» СОВ, САВЗ, SIEM.

(5) Если событие(я) ИБ имеет(ют) признаки инцидента ИБ – доклад Руководителю ГРИИБ.

11.3.              Этап 3 – Регистрация.

На данном этапе принимается решение о регистрации события ИБ в качестве инцидента ИБ в электронном виде, в формате карточки Инцидента ИБ, в соответствии с Приложением № 1 к Положению.

Для каждого инцидента устанавливается уровень критичности и соответствующие ему критерии реакции:

Критерий инцидента

Уровень критичности инцидента

Незначимый

Низкий

Средний

Высокий

Критический

Видимый ущерб активу

Нет

Нет

Нет

Нет

Высокий

Потенциальный ущерб активу

Низкий

Низкий

Средний

Высокий

Высокий

Влияние на информационные процессы в момент инцидента

Нет

Нет

Нет

Да

Да

Возможность спрогнозировать величины ущерба

Да

Да

Да

Да

Нет

Критерии реакции

Уровень критичности инцидента

Незначимый

Низкий

Средний

Высокий

Критический

Начало реагирования с момента обнаружения

По мере возможности

1 ч

30 мин.

15 мин.

Немедленно

Принятие компенсирующих мер

По мере возможности

48 ч.

12 часов.

4 ч.

до 1 ч.

Работа с инцидентом,

внерабочее время/выходные дни

Нет

Нет

Да/Нет

Да

Да

Порядок действий на этапе регистрации:

ЭТАП

ОТВЕТСТВЕННЫЕ СОТРУДНИКИ

Время

3 – Регистрация

Куратор ГРИИБ

(1) Информирование руководства администрации Тоцкого районао выявленном инциденте ИБ.

(2) Согласование способа оповещения сотрудников администрации Тоцкого района об инциденте ИБ.

Руководитель ГРИИБ

(1) Принятие решения о присвоении событию ИБ статуса «Инцидента ИБ».

(2) Присвоение «Уровня критичности» инциденту ИБ.

(3) Назначение ответственного Аналитика ГРИИБ.

(4) Доклад о выявленном инциденте ИБ Куратору ГРИИБ.

Секретарь ГРИИБ

(1) Оповещение сотрудников администрации Тоцкого районаоб инциденте ИБ по согласованию с Куратором ГРИИБ.

(2) Подготовка отчета об инциденте ИБ, доклад Куратору ГРИИБ.

Аналитик ГРИИБ

(1) Формирование карточки инцидента в электронном виде, по распоряжению Руководителя (в соответствии с Приложением №1).

11.4.              Этап 4 – Сдерживание.

На данном этапе членами ГРИИБ осуществляется идентификация всех скомпрометированных Активов, а также перенастройка систем безопасности таким образом, чтобы избежать потенциальных негативных последствий выявленного инцидента ИБ. По возможности, на данном этапе следует временно изолировать от сети скомпрометированные Активы. Вопрос применения компенсирующих мер рассматривается в соответствии с уровнем критичности инцидента, определенном на этапе регистрации.

Ответственным сотрудником является руководитель структурного подразделения администрации Тоцкого района, ответственного за Актив, в котором произошел инцидент ИБ.

Порядок действий на этапе сдерживания:

ЭТАП

ОТВЕТСТВЕННЫЕ СОТРУДНИКИ

Время реакции

4 – Сдерживание

Куратор ГРИИБ

(1) Контроль отправки информации об инциденте ИБ в национальный координационный центр по инцидентам ИБ.

до 12 ч

Руководитель ГРИИБ

(1) Принятие решения о возможности применения компенсирующих мер к скомпрометированным компонентам ИС, доведение данного решения до Аналитика.

По уровню критичности:

до 48 ч (низкий);

до 12 ч (средний);

до 4 ч (высокий);

немедленно (критический)

(2) Принятие решения об исключении из работы ИС скомпрометированных компонентов и их изоляции от сети, доведение данного решения до Аналитика.

до 20 мин.

(3) Согласование рекомендаций и(или) требований по устранению выявленного инцидента ИБ и его последствий (потенциально возможных последствий), предложенных Аналитиком.

до 20 мин.

Секретарь ГРИИБ

(1) Информирование руководителя подразделения, отвечающего за работу скомпрометированной ИС, об инциденте ИБ.

до 15 мин.

(2) Подготовка отчета о реагировании на инциденте ИБ, доклад Куратору о результатах реагирования.

до 12 ч

Аналитик ГРИИБ

(1) Выявление компонентов ИС, скомпрометированных в рамках выявленного инцидента.

до 40 мин.

(2) Формирование рекомендаций и(или) требований по устранению выявленного инцидента ИБ и его последствий (потенциально возможных последствий), согласование их с Руководителем.

до 1,5 ч

(3) Доведение до ответственного сотрудника согласованных Руководителем рекомендаций и(или) требований по устранению выявленного инцидента ИБ и его последствий (потенциально возможных последствий) в свободной форме по наиболее скоростному каналу передачи данных, с указанием уровня критичности и срока исполнения.

до 15 мин.

(4) Оформление служебной записки в АСЭД на Ответственного сотрудника с согласованными рекомендациями (требованиями), запросом информации о сроке их исполнения, последствиях и полученном ущербе от инцидента ИБ, дополнительных сведений, необходимых для заполнения карточки инцидента ИБ. Данный пункт обязателен только для инцидентов ИБ с уровнем критичности «Высокий» и «Критический», в остальных случаях – на усмотрение Аналитика, по согласованию с Руководителем.

до 2 ч.

Ответственный сотрудник

(1) Исполнение требований по устранению выявленного инцидента ИБ и его последствий (потенциально возможных последствий), поступивших от Аналитика в рабочем порядке, при частичной или полной невозможности исполнения указанных в служебной записке рекомендаций и (или) требований – направление мотивированного отказа.

По уровню критичности:

до 48 ч (низкий);

до 12 ч (средний);

до 4 ч (высокий);

немедленно (критический)

(2) Оформление ответа на служебную записку Аналитика в АСЭД.

до 2 ч

Общее время реакции: не более 48 ч с момента принятия Руководителем решения о присвоении событию статуса инцидента ИБ.

11.5. Этап 5 – Восстановление.

Цель данного этапа – приведение Актива в состояние, в котором он находился до возникновения инцидента ИБ.

Порядок действий на этапе восстановления:

ЭТАП

ОТВЕТСТВЕННЫЕ СОТРУДНИКИ

Время реакции

5 – Восстановление

Куратор ГРИИБ

(1) Принятие решения о необходимости расследования выявленного инцидента ИБ.

до 12 ч

Руководитель ГРИИБ

(1) Принятие решения о закрытии Инцидента ИБ.

(2) Контроль возвращения ИС к функционированию в штатном режиме, доклад Куратору по результатам.

до 24 ч

(3) Подготовка по результатам выявленных инцидентов ИБ предложений, касающихся:

внесения изменений в системы ИБ;

внесения изменений в процессы менеджмента инцидентов ИБ;

внесения изменений в регламенты реагирования на инциденты ИБ;

внесения изменений во внутренние нормативные документы.

до 24 ч

Аналитик ГРИИБ

(1) Контроль за возвращением ИС к функционированию в штатном режиме, доклад Руководителю о результатах проведенных мероприятий.

до 24 ч

Ответственный сотрудник

(1) Контроль за возвращением ИС к функционированию в штатном режиме, доклад Руководителю о результатах проведенных мероприятий.

до 24 ч

12.              Расследование инцидента ИБ.

Решение о необходимости проведения расследования принимается Куратором ГРИИБ исходя из уровня критичности инцидента и нанесенного ущерба. Для инцидентов ИБ с уровнем критичности «Высокий» и «Критический» расследование проводится в обязательном порядке. Для проведения расследования Куратором ГРИИБ назначаются ответственные, из числа членов ГРИИБ.

В рамках расследования инцидента ИБ требуется определить:

начальный вектор возникновения инцидента ИБ (пример: внешнее целенаправленное воздействие, внутренний нарушитель и т.д.);

причины возникновения инцидента ИБ (уязвимость, воздействие вредоносного кода, атака и т.д.);

пострадавшие активы, размеры ущерба;

если имела место атака на Актив, то была ли она завершена (была ли атакующими достигнута их цель);

временные рамки инцидента ИБ.

По результатам расследования инцидента ИБ ответственным членом ГРИИБ на имя Куратора формируется служебная записка в АСЭД.

V. Контроль

13.              Контроль за выполнением требований настоящего Положения осуществляет отдел информатизации администрации Тоцкого района.

VI. Ответственность

14.              Требования Положения обязательны для исполнения сотрудниками администрации Тоцкого района, входящими в состав ГРИИБ.

15.              Сотрудники администрации Тоцкого района несут ответственность за нарушение требований Положения в соответствии с законодательством Российской Федерации и локальными актами администрации Тоцкого района

Приложение № 1

к Положение о реагировании на инциденты информационной безопасности в администрации Тоцкого района

Перечень сведений, содержащихся в карточке инцидента ИБ

Карточка инцидента оформляется и хранится в электронном виде, содержит следующие сведения и должна иметь следующую структуру:

Идентификационный номер инцидента ИБ.

Информация о сообщающем лице:

а) фамилия;

б) имя;

в) отчество;

г) адрес электронной почты;

д) контактный телефон;

е) дополнительная информация по усмотрению сообщающего.

Описание события(ий) ИБ (данный раздел может быть не один, поскольку инцидент могут вызвать совокупность событий ИБ):

а) детали события;

б) дата и время возникновения события;

в) дата и время обнаружения события;

г) дата и время сообщения о событии Руководителю ГРИИБ;

д) источник события (Актив, SIEM, сотрудник, внешний источник и т.д.);

е) любая дополнительная информация, которая может быть полезной при дальнейшем расследовании инцидента ИБ (файлы протоколирования, отчеты, скриншоты, изображения, файлы конфигураций и т.д.);

ж) закончилось ли событие на момент обнаружения (Да/Нет);

з) продолжительность события (суммарное время подробно, если были зафиксированы временные интервалы)

Информация об инциденте ИБ:

а) тип инцидента ИБ (действительный, попытка, подозрение);

б) тип угрозы Активу (компрометация, нарушения целостности, нарушение доступности, нарушение отказоустойчивости, утрата);

в) тип воздействия на Актив (намеренный, случайный, ошибка):

если «Намеренный» – выбрать из следующих вариантов:

хищение;

мошенничество;

сознательное причинение физического ущерба;

вредоносная программа;

хакерство/логическое проникновение;

неправильное использование ресурсов;

другое (описать);

если «Случайный» – выбрать из следующих вариантов:

отказ оборудования;

отказ ПО;

отказ связи;

пожар, наводнение;

отказ электропитания;

другое природное явление (определить);

если «Ошибка» выбрать – из следующих вариантов:

ошибка ПО;

ошибка оборудования;

ошибка пользователя;

ошибка администратора;

ошибка проектирования (не выполнение функций при расчетной нагрузке);

другой вариант (описать);

г) пораженные Активы:

информация/данные (описать);

оборудование(описать);

программное обеспечение(описать);

средства связи(описать);

документация (описать).

Информация о разрешении инцидента ИБ:

а) ФИО Аналитика ГРИИБ, ответственного за разрешение инцидента;

б) ФИО ответственного(ых) сотрудников (администраторы Активов, с которыми произошел инцидент);

в) дата и время начала реакции Аналитика ГРИИБ на инцидент;

г) дата и время окончания реакции Аналитика ГРИИБ на инцидент;

д) дата и время направления рекомендаций/требований ответственным сотрудникам;

е) содержание рекомендаций/требований, направленных ответственным сотрудникам;

ж) дата и время исполнения рекомендаций/требований ответственными сотрудниками;

з) дополнительная информация (невозможность исполнить рекомендации/требования, любая дополнительная информация о принятых мерах в рамках реакции на инцидент);

и) дата и время завершения всех работ по инциденту инцидента.

Информация о расследовании инцидента.

Информация о расследовании инцидента ИБ должна быть максимально полной и включать все материалы, обосновывающие выводы о причинах возникновения инцидента.

Информация о расследовании инцидента ИБ должна содержать:

а) ФИО участников расследования (от кого, какая, когда была получена информация о событиях ИБ, способствовавших возникновению инцидента);

б) выводы о причинах возникновения инцидента ИБ;

в) принятые меры для исключение подобных инцидентов в будущем;

дополнительная информация.

Функциональная ролевая модель

Роль в ГРИИБ

Задача в рамках ГРИИБ

Функциональные обязанности

Подчиненность

Совмещение

Ответственность

1

2

3

4

5

6

Куратор

общее руководство деятельностью ГРИИБ, контроль своевременности и достаточности процессов реагирования на инциденты ИБ в администрации Тоцкого района

1. Принятие управленческих решений по результатам реагирования на инциденты ИБ.

2. Информирование руководства Министерства об обнаруженных инцидентах ИБ и результатах реагирования на них.

3. Привлечение сотрудников необходимыми компетенциями в рамках ГРИИБ для реагирования на инциденты ИБ.

4. Оповещение сотрудников Министерства об инциденте ИБ в соответствии с установленными регламентами.

5. Принятие решений о необходимости проведения расследований по инцидентам ИБ.

6. Принятие решений о необходимости привлечения к расследованиям инцидентов ИБ правоохранительных органов, представителей регуляторов в области ИБ, сторонних организаций.

7. Информирование национального координационного центра об инцидентах ИБ, в случае если передача информации о них в центр ГосСОПКА не возможна в полуавтоматическом режиме.

Заместитель главы администрации-руководитель аппарата

совмещение с другими ролями не допускается

персональная ответственность за:

выполнение возложенных функциональных обязанностей;

общую эффективность работы ГРИИБ.

Руководитель

оперативное руководство деятельностью ГРИИБ

1. Организация реагирования на инциденты ИБ в ГРИИБ.

2. Назначение ответственного исполнителя ГРИИБ для реагирования на инцидент ИБ.

3. Координирование деятельности членов ГРИИБ в рамках реагирования на инцидент ИБ.

4. Контроль за соблюдением членами ГРИИБ требований регламентирующих документов.

5. Принятие решений о завершении всех работ по инциденту ИБ.

6. Координирование и контроль оформления инцидента ИБ.

7. Подготовка по результатам выявленных инцидентов ИБ предложений, касающихся:

внесения изменений в системы ИБ,

внесения изменений в процессы управления инцидентами ИБ,

внесения изменений в регламенты реагирования на инциденты ИБ,

внесения изменений в локальные акты.

8. Внесение предложений о взаимодействии в рамках расследования инцидента с правоохранительными органами и сторонними организациями.

Руководитель

отдела по связям, телекоммуникациям и информатизации

возможно совмещение с ролью «Аналитик»

Персональная ответственность за:

выполнение возложенных функциональных обязанностей;

оперативное принятие решений и выработку компенсирующих мер защиты.

Секретарь

сбор и анализ информации о событиях и инцидентах ИБ, формирование аналитических отчетов.

1. Сбор и обобщение сведений о событиях и инцидентах ИБ (в том числе событиях ИБ, ошибочно признанных инцидентами ИБ).

2. Подготовка отчетов о зафиксированных инцидентах ИБ.

3. Подготовка отчетов о результатах реагирования на инциденты ИБ.

4. Подготовка отчетов о результатах расследования инцидентов ИБ.

5. Оповещение сотрудников администрации Тоцкого района об инцидентах ИБ по поручению Куратора и в соответствии с установленными регламентами

Главный специалист отдела по связям, телекоммуникациям и информатизации

возможно совмещение с ролью «Секретарь»

Персональная ответственность за:

выполнение возложенных функциональных обязанностей;

сбор и систематизацию данных об инцидентах и событиях ИБ,

достоверность предоставляемых аналитических отчетов.

Аналитик

Обработка информации обнаруженных и зарегистрированных инцидентах ИБ

1. Проведение вторичной оценки инцидентов ИБ с целью подтверждения правильности оценки события ИБ Оператором.

2. Проведение мероприятий по реагированию на инцидент ИБ.

3. Проведение расследования инцидента ИБ, сбор и фиксация информации об инциденте.

4. Взаимодействие с сотрудниками, имеющими роли «Руководитель» и «Оператор» по вопросам реагирования на инцидент ИБ.

5. Взаимодействие с сотрудником, имеющим роль «Секретарь» по вопросам предоставления информации об инциденте.

Секретарь

возможно совмещение с ролью «Оператор»

Персональная ответственность за:

выполнение возложенных функциональных обязанностей;

оперативное реагирование на поступающие события ИБ.

Оператор

обнаружение и регистрация событий и инцидентов ИБ, первичный сбор информации о них

1. Мониторинг событий ИБ.

2. Сбор информации о событиях ИБ и (или) любых подозрительных событиях, имеющих отношение к ИБ.

3. Проведение первичной оценки выявленных событий ИБ на предмет их принадлежности к категории инцидентов ИБ.

4. Регистрация событий ИБ.

5. Регистрация инцидентов ИБ и незамедлительное информирование сотрудника, имеющего роль «Аналитик» о них.

Аналитик ГРИИБ

совмещение с другими ролями не допускается

Персональная ответственность за:

выполнение возложенных функциональных обязанностей;

оперативное реагирование на поступающие события ИБ.

Типовые события ИБ

Источник событий ИБ

Описание события

Источники физического (материального) характера

– физический доступ к АРМ сотрудников или телекоммуникационному оборудованию;

– изменение параметров настроек СВТ и (или) телекоммуникационного оборудования,

– сбои и отказы в работе СВТ и (или) телекоммуникационного оборудования,

– сбои и отказы в работе СЗИ,

– отказы в работе сетей передачи данных.

– физическое воздействие на СВТ, СЗИ, телекоммуникационное оборудование и сети передачи данных,

– изменение климатического режима помещений, в которых расположены СВТ и (или) телекоммуникационное оборудование,

– изменение параметров функционирования сетей передачи данных,

– вынос СВТ за пределы контролируемых помещений,

– передача СВТ во внешние организации,

– события, формируемые охранной сигнализацией,

– события, формируемые системой контроля и управления доступом,

– физический доступ к компонентам охранной сигнализации,

– физический доступ к компонентам системы контроля и управления доступом.

Сетевое оборудование

– изменение настроек,

– внесение изменений в ПО,

– аномальная сетевая активность,

– аутентификация и завершение сеанса работы сотрудника,

– обнаружение вредоносного кода или следов его воздействия,

– изменение топологии вычислительной сети,

– подключение оборудования к вычислительной сети,

– сбои в работе ПО,

– обновление ПО,

– выполнение технического обслуживания,

– отключение и (или) перезагрузка оборудования,

– обнаружение атак вида «отказ в обслуживании»,

– смена и (или) компрометация аутентификационных данных,

– сбои и отказы в работе СЗИ,

– изменение параметров работы и (или) конфигурации СЗИ,

– применение средств анализа уязвимостей / топологии сети.

Web–приложения и сервисы

– атаки («фишинговые», сетевые и т.д.),

– авторизация и (или) завершение сеанса работы сотрудника,

– изменение состава и (или) конфигурации ПО,

– обнаружение вредоносного кода или следов его воздействия,

– установка удаленных соединений,

– сбои и отказы в обслуживании сетевых приложений и сервисов,

– выполнение операций, связанных с администрированием сетевых приложений и сервисов,

– обнаружение нетипичных (аномальных) запросов,

– отключение / перезагрузка или остановка в работе сетевых приложений и сервисов,

– выполнение операций со списками рассылки и (или) адресными книгами,

– изменение прав доступа сотрудников,

– применение средств анализа уязвимостей,

– смена и (или) компрометация аутентификационных данных сотрудников,

– сбои и отказы в работе СЗИ,

– изменение параметров работы и (или) конфигурации СЗИ,

– переадресация сообщений, в том числе электронной почты,

– выполнение операций со средствами криптографической защиты информации и ключевой информацией.

ОС

– аутентификация и завершение сеанса работы,

– изменение состава и (или) конфигурации ПО,

– запуск, остановка и (или) отключение/перезагрузка ПО,

– обнаружение вредоносного кода или следов его воздействия,

– обнаружение нетипичных (аномальных) запросов с использованием прикладного ПО,

– сбои и отказы в работе СЗИ,

– изменение параметров работы и (или) конфигурации СЗИ,

– применение средств анализа уязвимостей,

– выполнение операций со средствами криптографической защиты информации и ключевой информацией.