Регламент выявления инцидентов информационной безопасности и реагирования на них
1. Общие положения
Настоящий Регламент устанавливает порядок действий по управлению инцидентами информационной безопасности в ____________________________________.
Под инцидентом информационной безопасности (далее – инцидент) понимается событие или совокупность событий, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы информационной безопасности.
2. Порядок выявления инцидентов информационной безопасности и реагирования на них
2.1. В качестве источников информации об инцидентах могут использоваться:
- журналы и оповещения системного и прикладного программного обеспечения информационных систем, обрабатывающих защищаемую информацию, не содержащую сведения, составляющие государственную тайну (далее – ИС);
- журналы и оповещения системы защиты информации (далее – СЗИ);
- оповещения средств обнаружения вторжений;
- информация, получаемая от работников Департамента;
- информация, полученная на основе анализа защищенности ИС и контроля эффективности СЗИ.
2.2. При обнаружении инцидента работник, ответственный за выявление инцидентов информационной безопасности и реагирование на них в _______________ (далее – Ответственный за управление инцидентами), должен оповестить ответственного за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну, в информационных системах __________________________ (далее – Ответственный за обеспечение безопасности защищаемой информации).
2.3. Ответственный за управление инцидентами должен провести анализ инцидента информационной безопасности в целях выявления факта или предпосылки негативного воздействия на защищаемую информацию, не содержащую сведения, составляющие государственную тайну (далее – защищаемая информация). В ходе анализа инцидента по возможности следует выявить следующие показатели:
- факт или потенциальная возможность реализации угрозы безопасности защищаемой информации (далее – угрозы);
- опасность угрозы;
- области, перечни информационных ресурсов, затрагиваемые воздействием угрозы;
- потенциальные нарушители, цели и причины реализации угрозы;
- перечень мер по локализации и остановке распространения действия угрозы.
2.4. Ответственный за управление инцидентами оповещает Ответственного за обеспечение безопасности защищаемой информации о ходе и результатах реагирования на инциденты.
2.5. Ответственный за управление инцидентами составляет предложения Ответственному за обеспечение безопасности защищаемой информации о недопущении повторных инцидентов. При необходимости Ответственный за обеспечение безопасности защищаемой информации обеспечивает реализацию данных предложений.