Порядок обработки инцидентов информационной безопасности.

1. Общие положения

1.1. В настоящем Порядке используются следующие термины и определения:

Событие информационной безопасности (information security event): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных, или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности.

1.2. Обработка инцидента информационной безопасности включает следующие этапы:

• определение инцидента;
• оповещение о возникновении инцидента;
• регистрация инцидента;
• устранение последствий и причин инцидента;
• расследование инцидента;
• реализация действий, предупреждающих повторное возникновение инцидента.

2. Определение инцидента, оповещение о возникновении и регистрация инцидента информационной безопасности

2.1. Примеры инцидентов информационной безопасности и их причины.

Инциденты информационной безопасности могут быть преднамеренными или случайными (например, являться следствием какой-либо человеческой ошибки или природных явлений) и вызваны как техническими, так и не техническими средствами. Их последствиями могут быть такие события, как несанкционированные раскрытие или изменение информации, ее уничтожение или другие события, которые делают ее недоступной, а также нанесение ущерба активам организации или их хищение. Инциденты информационной безопасности, о которых не было сообщено, но которые были определены как инциденты, расследовать невозможно и защитных мер для предотвращения повторного появления этих инцидентов применить нельзя.

2.1.1 Отказ в обслуживании.

Отказ в обслуживании является обширной категорией инцидентов информационной безопасности, имеющих одну общую черту. Подобные инциденты информационной безопасности приводят к неспособности систем, сервисов или сетей продолжать функционирование с прежней производительностью, чаще всего при полном отказе в доступе авторизованным пользователям.

Существует два основных типа инцидентов информационной безопасности, связанных с отказом в обслуживании, создаваемых техническими средствами: уничтожение ресурсов и истощение ресурсов.

Некоторыми типичными примерами таких преднамеренных технических инцидентов информационной безопасности «отказ в обслуживании» являются:

• зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;
• передача данных в непредусмотренном формате в систему, сервис или сеть в попытке разрушить или нарушить их нормальную работу;
• одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать их ресурсы (то есть замедление их работы, блокирование или разрушение).

Одни технические инциденты информационной безопасности «отказ в обслуживании» могут возникать случайно, например в результате ошибки в конфигурации, допущенной оператором, или из-за несовместимости прикладного программного обеспечения, а другие — преднамеренными. Одни технические инциденты информационной безопасности «отказ в обслуживании» инициируются намеренно с целью разрушения системы, сервиса и снижения производительности сети, тогда как другие — всего лишь побочными продуктами иной вредоносной деятельности. Например, некоторые наиболее распространенные методы скрытого сканирования и идентификации могут приводить к полному разрушению старых или ошибочно сконфигурированных систем или сервисов при их сканировании. Следует заметить, что многие преднамеренные технические инциденты типа «отказ в обслуживании» часто инициируются анонимно (то есть источник атаки неизвестен), поскольку злоумышленник обычно не получает информации об атакуемой сети или системе.

Инциденты информационной безопасности «отказ в обслуживании», создаваемые не техническими средствами и приводящие к утрате информации, сервиса и (или) устройств обработки информации, могут вызываться, например, следующими факторами:

• нарушениями систем физической защиты, приводящими к хищениям, преднамеренному нанесению ущерба или разрушению оборудования;
• случайным нанесением ущерба аппаратуре и (или) ее местоположению от огня или воды/наводнения;
• экстремальными условиями окружающей среды, например высокой температурой (вследствие выхода из строя системы кондиционирования воздуха);
• неправильным функционированием или перегрузкой системы;
• неконтролируемыми изменениями в системе;
• неправильным функционированием программного или аппаратного обеспечения.

2.1.2. Сбор информации

В общих чертах инциденты информационной безопасности «сбор информации» подразумевают действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, работающих на идентифицированных целях атаки. Подобные инциденты информационной безопасности предполагают проведение разведки с целью определения:

• наличия цели, получения представления об окружающей ее сетевой топологии и о том, с кем обычно эта цель связана обменом информации;
• потенциальных уязвимостей цели или непосредственно окружающей ее сетевой среды, которые можно использовать для атаки.

Типичными примерами атак, направленных на сбор информации техническими средствами, являются:

• сбрасывание записей DNS (системы доменных имен) для целевого домена Интернета (передача зоны DNS);
• отправка тестовых запросов по случайным сетевым адресам с целью найти работающие системы;
• зондирование системы с целью идентификации (например, по контрольной сумме файлов) операционной системы хоста;
• сканирование доступных сетевых портов на протокол передачи файлов системе с целью идентификации соответствующих сервисов (например электронная почта, протокол FTP, сеть и т.д.) и версий программного обеспечения этих сервисов;
• сканирование одного или нескольких сервисов с известными уязвимостями по диапазону сетевых адресов (горизонтальное сканирование).

В некоторых случаях технический сбор информации расширяется и переходит в несанкционированный доступ, если, например, злоумышленник при поиске уязвимости пытается получить несанкционированный доступ. Обычно это осуществляется автоматизированными средствами взлома, которые не только производят поиск уязвимости, но и автоматически пытаются использовать уязвимые системы, сервисы и (или) сети.

Инциденты, направленные на сбор информации, создаваемые не техническими средствами, приводят к:

• прямому или косвенному раскрытию, или модификации информации;
• хищению интеллектуальной собственности, хранимой в электронной форме;
• нарушению учетности, например, при регистрации учетных записей;
• неправильному использованию информационных систем (например, с нарушением закона или политики организации).

Инциденты могут вызываться, например, следующими факторами:

• нарушениями физической защиты безопасности, приводящими к несанкционированному доступу к информации и хищению устройств хранения данных, содержащих значимые данные, например ключи шифрования;
• неудачно и (или) неправильно конфигурированными операционными системами по причине неконтролируемых изменений в системе или неправильным функционированием программного или аппаратного обеспечения, приводящим к тому, что персонал организации или посторонний персонал получает доступ к информации, не имея на это разрешения.

2.1.3. Несанкционированный доступ

Несанкционированный доступ как тип инцидента включает в себя инциденты, не вошедшие в первые два типа. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа в систему или неправильного использования системы, сервиса или сети. Некоторые примеры несанкционированного доступа с помощью технических средств включают в себя:

• попытки извлечь файлы с паролями;
• атаки переполнения буфера с целью получения привилегированного (например, на уровне системного администратора) доступа к сети;
• использование уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений;
• попытки расширить привилегии доступа к ресурсам или информации по сравнению с легитимно имеющимися у пользователя или администратора.

Инциденты несанкционированного доступа, создаваемые не техническими средствами, которые приводят к прямому или косвенному раскрытию, или модификации информации, нарушениям учетности или неправильному использованию информационных систем, могут вызываться следующими факторами:

• разрушением устройств физической защиты с последующим несанкционированным доступом к информации;
• неудачной и (или) неправильной конфигурацией операционной системы вследствие неконтролируемых изменений в системе или неправильного функционирования программного или аппаратного обеспечения.

2.2. Ключевые процессы реагирования на инцидент информационной безопасности.

2.2.1. Обнаружение события информационной безопасности осуществляется любым работником, а также автоматически (например, срабатыванием модуля противодействия мошенничеству).

В случае обнаружения события информационной безопасности работник обязан:

• принять меры по локализации инцидента: прекратить (приостановить) работу, выключить компьютер путем «жесткого» отключения питания;
• доложить своему непосредственному руководителю и начальнику отдела информационной безопасности и защиты информации департамента экономической безопасности (ОИБиЗИ);
• при наличии возможности принять меры к сохранению свидетельств инцидента (скриншоты экрана, сохранение копий документов).

При автоматическом обнаружении события информационной безопасности начальник ОИБиЗИ:

• анализирует причину и группу риска подозрительных программ;

2.2.2. Регистрация инцидента информационной безопасности.

При поступлении информации о событии информационной безопасности начальник ОИБиЗИ с привлечением специалистов департамента информационных технологий проводит анализ информации с целью ее отнесения к инциденту информационной безопасности и формирует отчет (Приложение № 1 к настоящему Порядку).

Критериями отнесения события информационной безопасности к инциденту является нарушение следующих типов событий:

а) Физический уровень информационной инфраструктуры:

• физический доступ работников и иных лиц в здания и помещения;
• физический доступ работников и иных лиц к средствам вычислительной техники и использование указанными субъектами средств вычислительной техники;
• использование работниками и иными лицами устройств копирования и многофункциональных устройств;
• использование работниками и иными лица аппаратов факсимильной связи;
• изменение параметров настроек средств вычислительной техники, телекоммуникационного оборудования;
• изменение параметров настроек оборудования, обеспечивающего функционирование средств вычислительной техники;
• сбои и отказы в работе средств вычислительной техники, телекоммуникационного оборудования;
• сбои и отказы в работе оборудования, обеспечивающего функционирование средств вычислительной техники;
• сбои и отказы в работе средств защиты информации;
• сбои и отказы в работе сети телефонной связи;
• отказы в работе сетей передачи данных;
• физическое воздействие на средства вычислительной техники, телекоммуникационное оборудование, средства защиты информации и сети передачи данных;
• изменения климатических режимов помещений, в которых расположены средства вычислительной техники, телекоммуникационное оборудование;
• изменения параметров функционирования сетей передачи данных;
• замена и (или) модификация программных и (или) аппаратных частей средств вычислительной техники, телекоммуникационного оборудования;
• осуществление действий с носителями информации, в том числе вынос за пределы территории носителей информации;
• вынос за пределы организации переносных средств вычислительной техники;
• использование переносных средств вычислительной техники на территории объектов организации;
• передача средств вычислительной техники между подразделениями организации;
• передача средств вычислительной техники во внешние организации;
• проведение работниками организации и иными лицами фото- и (или) видеосъемки в зданиях или помещениях организации;
• проведение мероприятий по доступу к телевизионным системам охранного наблюдения, охранной сигнализации, системам контроля и управления доступом;
• события, формируемые телевизионными системами охранного наблюдения, охранной сигнализации, системами контроля и управления доступом;
• осуществление действий с носителями информации и системами, позволяющими осуществить физический доступ в здания и помещения.

б) Уровень сетевого оборудования:

• изменение параметров настроек сетевого оборудования и программного обеспечения сетевого оборудования;
• изменение состава и версий программного обеспечения сетевого оборудования;
• обнаружение аномальной сетевой активности;
• аутентификация и завершение сеанса работы на сетевом оборудовании;
• обнаружение вредоносного кода и его проявлений;
• изменение топологии вычислительных сетей;
• подключение оборудования к вычислительным сетям;
• сбои в работе программного обеспечения сетевого оборудования;
• обновление программного обеспечения сетевого оборудования;
• выполнение операций по техническому обслуживанию сетевого оборудования;
• использование средств анализа уязвимостей сетевого оборудования;
• отключение/перезагрузка сетевого оборудования;
• обнаружение атак типа «отказ в обслуживании»;
• смена и (или) компрометация аутентификационных данных, используемых для доступа к сетевому оборудованию;
• сбои в работе средств защиты информации;
• изменение параметров работы средств защиты информации;
• запуск средств анализа топологии вычислительной сети.

в) Уровень сетевых приложений и сервисов:

• идентификация, аутентификация, авторизация и завершение сеанса работников организации и иных лиц;
• изменение параметров настроек, состава и версий программного обеспечения;
• обнаружение вредоносного кода и его проявлений;
• установление соединений и обработка запросов, в том числе удаленных, на уровне сетевых приложений и сервисов;
• сбои и отказы в работе сетевых приложений и сервисов;
• выполнение операций, связанных с эксплуатацией и администрированием сетевых приложений и сервисов;
• обнаружение нетипичных (аномальных) запросов на уровне сетевых приложений и сервисов;
• отключение/перезагрузка или приостановление работы сетевых приложений и сервисов;
• выполнение операций по предоставлению доступа к использованию сетевых приложений и сервисов, в том числе использованию электронной почты и сети Интернет;
• выполнение операции по архивированию данных сетевых приложений и сервисов, в том числе данных электронной почты;
• осуществление операций по обмену сообщениями, в том числе обмену платежными сообщениями;
• сбои в осуществлении обменом сообщениями, в том числе в обмене платежными сообщениями;
• искажение, модификация сообщений, в том числе платежных сообщений;
• аутентификация сообщений, в том числе платежных сообщений;
• аутентификация автоматизированных рабочих мест — участников обмена сообщениями, в том числе платежными сообщениями;
• завершение/приостановка выполнения сетевых приложений и сервисов по ошибке;
• распространение и (или) сбор информации с использованием сетевых приложений и сервисов;
• выполнение операций со списками рассылки и адресными книгами;
• наделение работников организации и (или) иных лиц правами пользователя конкретного пакета сервисов, в том числе сервисов и ресурсов сети Интернет;
• использование средств анализа уязвимостей сетевых приложений и сервисов;
• смена и (или) компрометация аутентификационных данных, используемых для осуществления доступа к сетевым приложениям и сервисам;
• сбои в работе средств защиты информации;
• переадресация сообщений, в том числе платежных сообщений;
• распространение информации, побуждающей клиента сообщать информацию, необходимую для осуществления действий от его имени;
• внешние воздействия из сети Интернет, в том числе сетевые атаки;
• выполнение операций со средствами криптографической защиты информации и ключевой информацией.

г) Уровень операционных систем:

• аутентификация и завершение работы работников организации и иных лиц, в том числе на уровне системного программного обеспечения, систем управления базами данных и прикладного программного обеспечения;
• изменение параметров конфигурации, состава и версий программного обеспечения уровня операционных систем;
• запуск, остановка и (или) отключение/перезагрузка программного обеспечения уровня операционных систем;
• обнаружение вредоносного кода и его проявлений;
• установление соединений и обработка запросов с использованием программного обеспечения уровня операционных систем;
• сбои в работе программного обеспечения уровня операционных систем;
• выполнение операций, связанных с эксплуатацией и администрированием программного обеспечения уровня операционных систем;
• обнаружение нетипичных запросов с использованием программного обеспечения уровня операционных систем;
• сбои и отказы в работе средств защиты информации;
• изменение параметров конфигурации средств защиты информации;
• выполнение операций по предоставлению доступа к программному обеспечению уровня операционных систем и информационным ресурсам, обрабатываемым с использованием программного обеспечения уровня операционных систем;
• выполнение операций по архивированию, резервированию и восстановлению информации;
• завершение/приостановка работы программного обеспечения уровня операционных систем по ошибке;
• использование средств анализа уязвимостей программного обеспечения уровня операционных систем;
• смена и (или) компрометация аутентификационных данных, используемых для доступа к программному обеспечению уровня операционных систем, и информационным ресурсам, обрабатываемым с использованием программного обеспечения уровня операционных систем;
• изменение параметров конфигурации средств защиты информации;
• внешнее воздействие из сети Интернет на программное обеспечение уровня операционных систем;
• создание, авторизация, уничтожение или изменение платежной информации;
• создание, уничтожение или изменение информационных ресурсов, баз данных и (или) иных массивов информации;
• компрометация аутентификационных данных и ключевой информации;
• выполнение операций со средствами криптографической защиты информации и ключевой информацией.

д) Уровень технологических процессов и приложений и уровень бизнес-процессов:

• выполнение отдельных операций и информационных технологических процессов;
• контроль выполнения операций или процедур;
• осуществление операций или процедур с использованием средств криптографической защиты информации;
• выделение и назначение ролей, в том числе ролей, связанных с обеспечением информационной безопасности.

В случае отнесения события информационной безопасности к инциденту информационной безопасности формируется отчет об инциденте информационной безопасности (Приложение № 2 к настоящему Порядку).

Инциденты информационной безопасности классифицируются по следующим признакам:

• по степени тяжести последствий для деятельности организации (в денежном выражении, в балльной шкале);
• по степени вероятности повторного возникновения инцидента информационной безопасности;
• по видам источников угроз информационной безопасности, вызывающих инциденты информационной безопасности;
• по преднамеренности возникновения инцидента информационной безопасности (случайный, намеренный, ошибочный);
• по видам объектов информационной инфраструктуры, задействованных (пораженных) при реализации инцидента информационной безопасности;
• по уровню информационной инфраструктуры, на котором происходит инцидент информационной безопасности;
• по нарушенным свойствам информационной безопасности (конфиденциальность, целостность, доступность);
• по типу инцидента информационной безопасности (свершившийся инцидент информационной безопасности, попытка осуществления инцидента информационной безопасности, подозрение на инцидент информационной безопасности);
• по сложности обнаружения инцидента информационной безопасности;
• по сложности закрытия инцидента информационной безопасности.

3. Устранение последствий и причин инцидента информационной безопасности
   

Для устранения последствий и причин инцидента информационной безопасности в организации создается специальная группа, состоящая из следующих специалистов:

• специалисты Департамента Экономической Безопасности;
• специалисты Департамента Информационных Технологий;
• специалисты Юридического департамента;
• специалисты Управления по работе с персоналом;
• специалисты Службы внутреннего аудита;
• специалисты других необходимых подразделений.

Все процессы устранения последствий и причин инцидентов, типизированных по признаку принадлежности нарушения какой-либо политики информационной безопасности, должны обязательно документироваться. Документирование сценариев реагирования на каждый возможный инцидент информационной безопасности проводится экспертным путем и оформляется в виде набора соответствующих регламентов и правил. Задачей Департамента Экономической Безопасности является сдерживание инцидента информационной безопасности, то есть принятия всех необходимых мер для локализации инцидента информационной безопасности и препятствующих его распространению. Сроки устранения последствий и причин инцидента зависят от уровня инцидента.

Ключевыми процессами устранения последствий и причин инцидентов являются:

• определение конкретных параметров нарушения (нападения), его характера (конкретных сегментов сети, серверов, групп рабочих станций, приложений, затронутых нападением);
• предварительный анализ действий нарушителя и сценария, произошедшего (происходящего) нападения, алгоритма работы появившегося вируса и т.п.;
• блокирование действий нарушителя (если нарушение является длящимся);
• блокирование (полное или частичное) работы информационной системы (сервера, базы данных, сегмента сети и т.п.) с целью недопущения дальнейших разрушительных действий, распространения вредоносных программ или утечки конфиденциальной информации.

Прекращение нападения и восстановление нормальной работы информационных систем требует скоординированных действий не только сотрудников организации, но и:

• пользователей атакованных информационных систем;
• партнеров, имеющих отношение к атакованным информационным ресурсам;
• разработчиков и поставщиков атакованных информационных систем;
• поставщиков телекоммуникационных услуг, через которых осуществляется атака.

Заключительным этапом процесса устранения последствий и причин инцидентов является локализация ущерба, причиненного инцидентом информационной безопасности, который включает:

• смену скомпрометированных паролей отдельных пользователей;
• переустановку поврежденных операционных систем, а также поврежденного программного обеспечения;
• восстановление нарушенной конфигурации (настроек) программного обеспечения и операционных систем;
• восстановление поврежденной информации (баз данных, файлов), как из ранее созданных резервных копий, так и другими способами.

В процессе восстановления работоспособности информационных систем на некоторое время могут быть задействованы резервные (альтернативные) аппаратные и программные платформы.

Кроме того, необходимым завершающим шагом может быть дополнительная информационная работа, которая включает:

• рассылку информации о произошедших инцидентах (в виде обязательных отчетов, специальных писем и бюллетеней, публикация на сайте организации);
• передачу некоторых сведений в средства массовой информации;
• передачу сведений крупным группам реагирования на инциденты, связанные с информационной безопасностью (таким как, например, CERT/CC), а также в научно-исследовательские центры, занимающиеся проблемами защиты информации;
• дополнительную информационную работу с поставщиками информационных систем и подрядчиками, осуществлявшими их поставку, внедрение и настройку.

4. Расследование инцидента информационной безопасности
   

Для проведения внутреннего расследования назначается должностное лицо (группа расследования), имеющее навыки проведения подобных расследований.

4.1. Полная оценка ситуации

Данная оценка определяет текущее и потенциальное воздействие инцидента на бизнес организации, позволяет идентифицировать затронутую инфраструктуру и как можно полнее оценить ситуацию и быстрее определить соответствующее направление работы.

Для получения полной оценки ситуации:

• для описания ситуации используются вся возможная информация, ее потенциальные опасности, потенциально затрагиваемые стороны и, если возможно, информацию о подозреваемой стороне;
• оценивается, затрагивает ли инцидент данные клиентов, финансовые или конфиденциальные данные организации. Оценивается потенциальное влияние инцидента на репутационный риск организации;
• проводится анализ воздействия инцидента на бизнес организации, определяется количество времени и ресурсов, необходимых для полной ликвидации последствий инцидента, время простоя, стоимость поврежденного оборудования, оценивается возможная потеря доходов и стоимость разглашенной конфиденциальной информации. Такая оценка должна быть реалистичной. Фактические затраты на преодоление последствий инцидента определяются позднее;
• идентификация всех вовлеченных в инцидент лиц и их интервьюирование, документирование всех результатов интервью;
• восстановление и сохранение информации (файлы журналов) внешних и внутренних устройств сети, таких как систем сетевой защиты и маршрутизаторов, которые могли бы находиться на возможном пути атаки;
• получение общедоступной информации, типа IP-адреса и имени домена, для возможной идентификации атакующего.

Для проведения идентификации, анализа и документирования сетевой инфраструктуры и компьютеров, затронутых инцидентом, необходимо выполнить следующее:

• идентификация сети, вовлеченной в инцидент, количество, типы и роли затронутых инцидентом компьютеров;
• изучение топологии сети, включая детальную информацию о серверах, сетевых аппаратных средствах, системах сетевой защиты, подключениях к Интернет;
• идентификация внешних запоминающих устройств;
• идентификация удаленных компьютеров, подключаемых к сети;
• фиксация сетевого трафика.

Для исследования состояния приложений и операционных систем на компьютерах, которые затрагивает расследование, используются инструментальные средства (например, файлы журналов Windows, Windows Sysinternals PsTools и др.).

 4.2. Сбор доказательств

На стадии сбора доказательств нужно учесть, что если инцидент становится больше, чем просто внутреннее расследование и требует обращения в правоохранительные органы, то вполне возможно, что все процессы, используемые для сбора доказательств.

Доказательства должны содержать следующую информацию:

• начальная оценка воздействия инцидента на бизнес организации;
• детальная топология сети с подробными указаниями о том, какие компьютерные системы и каким образом скомпрометированы;
• результаты интервью с пользователями и администраторами скомпрометированных систем;
• результаты любых юридических и сторонних взаимодействий;
• сообщения и файлы журналов, сгенерированные инструментальными средствами, используемыми на стадии оценки;
• предложенное направление и план действий.

Сбор цифровых доказательств выполняется локально или по сети. Преимуществом локального сбора данных является большее управление компьютером и соответствующими данными. Однако локальный сбор данных не всегда возможен. В случае сбора данных по сети, необходимо учитывать тип собираемых данных и усилия, которые для этого потребуются.

В процесс сбора данных создается документация, которая позволит идентифицировать и подтвердить подлинность собранных доказательств включая следующую информацию:

• Кто выполнил действие и почему?
• Что этим пытались достигнуть?
• Как конкретно выполнено действие?
• Какие при этом использованы инструменты и процедуры?
• Когда (дата и время) выполнено действие?
• Какие результаты достигнуты?

При проведении расследования, как правило, используется комбинация автономных и интерактивных методов. При проведении автономных расследований дополнительный анализ выполняется на поразрядной копии оригинального доказательства. Поразрядная копия — законченная копия всех данных из целенаправленного источника, включая информацию загрузочного сектора, разделов и свободного дискового пространства. Автономный метод расследования применяется всегда, когда это возможно, так как это уменьшает риск повреждения оригинального доказательства. Данный метод может использоваться только в тех случаях, когда может быть создана соответствующая копия и не может быть использован для сбора некоторых энергозависимых данных.

4.3. Анализ данных

При анализе сетевых данных используется следующая процедура:

• исследование сетевых лог-файлов;
• исследование системы сетевой защиты, прокси-сервера, системы обнаружения вторжения и лог-файлы служб удаленного доступа и сетевого монитора;

Анализ данных рабочих станций  включают информацию о таких компонентах, как операционная система и установленные приложения.

Анализ носителей данных для определения их причастность (или непричастности) к инциденту. При этом необходимо установить факт применения шифрования данных на основе ключей реестра, а также инструментальные средства восстановления файлов.

По результатам анализа данных готовится заключение, в котором устанавливаются причины инцидента для принятия превентивных мер, и лица, виновные в возникновении инцидента.

Выявление нарушителя — задача не всегда выполнимая, особенно при выявлении сложных и удаленных атак, но в случае внутренних нарушений это почти всегда удается. Работа по идентификации виновника (виновников) зависит от множества факторов: полноты свидетельств, их непротиворечивости, сложности инцидента и т.д. Кроме того, свидетельства должны однозначно указывать на виновного и характеризовать наличие или отсутствие умысла. В случае, когда установить виновного удалось, можно выносить рекомендации о привлечении его к ответственности (в том числе обращаться в суд в роли истца — в целях компенсации нанесенного материального ущерба).

5. Реализация действий, предупреждающих повторное возникновение инцидента информационной безопасности
   

После устранения последствий инцидента проводятся следующие мероприятия:

а) Организационные:

•  совершенствование политик информационной безопасности;
• проведение дополнительного обучения сотрудников, ознакомление с правилами обращения с конфиденциальной информацией;
• разработка соответствующих регламентов;
• правовая оценка документов (договоры ДБО; документы, регламентирующие режим конфиденциальности, и т.п.);
• доведение до сотрудников информации о недопустимости несанкционированной передачи конфиденциальной информации за пределы организации и ответственности за нарушение установленных в организации правил;
• ограничение доступа сотрудника к конфиденциальной информации;
• вынесение предупреждений и другие меры административного характера.

б) Технические:

• установка средств защиты информации;
• модернизация или замена компонентов информационных систем;
• пересмотр и настройка минимальных прав доступа;
• аудит защищенности, тесты на проникновение;
• другие.

Хранение отчетов о событии информационной безопасности и отчетов об инцидентах информационной безопасности осуществляется отделом информационной безопасности и защиты информации в течении пяти лет, после чего данные отчеты сдаются на архивное хранение.

Приложение № 1

к Порядку обработки инцидентов

информационной безопасности

Отчет о событии информационной безопасности

Описание события информационной безопасности

Описание события:

Что произошло

Как произошло

Почему произошло

Пораженные компоненты

Негативное воздействие

Любые идентифицированные уязвимости

Подробности о событии информационной безопасности

Дата и время наступления события

Дата и время обнаружения события

Дата и время сообщения о событии

___________________ ____________ _____________________

^{(должность)                            (подпись)                (расшифровка подписи)}

Приложение № 2

к Порядку обработки инцидентов

информационной безопасности

Отчет об инциденте информационной безопасности

_______________
* Номера инцидентов привязываются к номеру(ам) соответствующих событий.
Описание инцидента информационной безопасности

Дополнительное описание инцидента:

Что произошло

Как произошло

Почему произошло

Пораженные компоненты

Негативное воздействие на бизнес

Любые идентифицированные уязвимости

Подробности об инциденте информационной безопасности

Дата и время возникновения инцидента

Дата и время обнаружения инцидента

Дата и время сообщения об инциденте

Тип инцидента информационной безопасности

Поражение активы

Негативное воздействие/влияние инцидента на бизнес

Сделать отметку в соответствующих квадратах для указанных ниже нарушений, затем в колонке «значимость» указать степень негативного воздействия на бизнес по шкале 110, используя следующие сокращения (указатели категорий): (FD) — финансовые убытки/разрушение бизнес-операций, (СЕ) — коммерческие и экономические интересы, (PI) — информация, содержащая персональные данные, (LR) — правовые и нормативные обязательства (это необходимо сравнить с английским оригиналом), (МО) — менеджмент и бизнес-операции, (LG) — потеря престижа (см. примеры в приложении В). Записать кодовые буквы в колонке «указатели», а если известны действительные издержки, — указать их в колонке «стоимость».

Общие расходы на восстановление после инцидента информационной безопасности

Разрешение инцидента

Причастные к инциденту лица/нарушители

Описание нарушителя
Действительная или предполагаемая мотивация

Заключение

Привлеченные лица

Скачать ZIP файл (64961)

Пригодились документы — поставь «лайк» или поддержи сайт материально: