"___" ____________ 2013 г.
Инструкция
о действиях лиц, допущенных к информации, содержащей персональные
данные, в случае нештатных ситуаций
(Проект)
СОГЛАСОВАНО СОГЛАСОВАНО
2013
1. Общие положения
1.1. Настоящая инструкция определяет действия работников Росреестра (далее - Росреестра) в случае возникновения нештатных ситуаций в процессах обработки персональных данных в информационных системах персональных данных (ИСПДн) Росреестра.
1.2. Положения инструкции обязательны для исполнения всеми должностными лицами территориального органа Росреестра в части выполнения вмененных им обязанностей.
1.3. Общими требованиями ко всем работникам Росреестра и территориальных органов Росреестра в случае возникновения нештатной ситуации являются:
- работник, обнаруживший нештатную ситуацию, немедленно ставит в известность своего непосредственного руководителя и администратора информационной безопасности;
- администратор информационной безопасности (далее - администратор безопасности) обязан проводить анализ ситуации и, в случае невозможности исправить положение, ставит в известность руководство Росреестра (территориальных органов Росреестра). Кроме этого, администратор безопасности для локализации (блокирования) проявлений угроз информационной безопасности может привлекать пользователей ИСПДн Росреестра, а также уполномоченного работника, ответственного за сопровождение технических средств ИСПДн;
- по факту возникновения нештатной ситуации и выяснению причин ее проявления проводится служебное расследование.
2. Действия пользователей ИСПДн при возникновении нештатных ситуаций
2.1. Сбой программного обеспечения.
2.1.1. Администратор безопасности совместно с уполномоченным работником подразделения информационных технологий (далее - подразделение информационных технологий (ИТ)) выясняют причину сбоя программного обеспечения. Если привести систему в работоспособное состояние своими силами (в том числе после консультации с разработчиками программного обеспечения) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику программного обеспечения для устранения причин, приведших к сбою. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения информационной безопасности (далее - подразделение информационной безопасности (ИБ)) для принятия решения по существу.
2.2. Отключение электропитания технических средств ИСПДн
2.2.1. Администратор безопасности совместно с уполномоченным работником подразделения ИТ проводят анализ на наличие потерь и (или) разрушения данных и программного обеспечения, а также проверяют работоспособность оборудования. В случае необходимости производится восстановление программного обеспечения и данных из последней резервной копии с составлением акта. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.
2.3. Выход из строя технических средств ИСПДн (серверов, рабочих станций).
2.3.1. Уполномоченный работник подразделения ИТ совместно с администратором безопасности выполняют мероприятия по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы ИСПДн (замене рабочей станции).
2.3.2. О выходе из строя сервера (рабочей станции) уполномоченный работник подразделения ИТ, ответственный за эксплуатацию сервера (рабочей станции), сообщает руководителю подразделения ИТ.
2.3.3. При необходимости производятся работы по восстановлению программного обеспечения и данных из резервных копий с составлением акта. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.
2.4. Потеря данных.
2.4.1. При обнаружении потери данных уполномоченный работник подразделения ИТ проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность программного обеспечения, целостность и работоспособность оборудования).
2.4.2. При необходимости уполномоченным работником подразделения ИТ производится восстановление программного обеспечения и данных из резервных копий с составлением акта. О произошедшем инциденте уполномоченный работник подразделения ИТ сообщает администратору безопасности. Администратор безопасности сообщает руководителю подразделения ИБ для принятия решения но существу.
2.5. Обнаружение вредоносной программы в программной среде средств автоматизации ИСПДн Росреестра.
2.5.1. При обнаружении вредоносной программы (ВП) производится её локализация с целью предотвращения её дальнейшего распространения. При этом зараженная рабочая станция (сервер) физически отсоединяется от локальной вычислительной сети, и уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ состояния рабочей станции (сервера).
2.5.2. В результате анализа может быть предпринята попытка сохранения данных, так как после перезагрузки рабочей станции (сервера) данные могут быть потеряны. После успешной ликвидации ВП сохранённые данные подвергаются повторной проверке на наличие ВП. Кроме того, при обнаружении ВП следует руководствоваться инструкцией по эксплуатации применяемого антивирусного программного обеспечения.
2.5.3. После ликвидации ВП проводится внеочередная проверка на всех средствах локальной вычислительной системы с применением обновлённых антивирусных баз. При необходимости производится восстановление программного обеспечения и данных из резервных копий с составлением акта.
2.5.4. По факту появления ВП в локальной вычислительной сети Группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.
2.6. Утечка информации.
2.6.1. При обнаружении утечки информации ставится в известность администратор безопасности и начальник структурного подразделения. По факту инициируется процедура служебного расследования. Если утечка информации произошла по техническим причинам, проводится анализ защищённости процессов ИСПДн Росреестра и, если необходимо, принимаются меры по устранению каналов утечки и предотвращению их возникновения.
2.7. Взлом операционной системы средств автоматизации ИСПДн (несанкционированное получение доступа к ресурсам операционной системы).
2.7.1. При обнаружении взлома сервера ставится в известность руководитель подразделения ИТ и руководитель подразделения ИБ.
2.7.2. По возможности производится временное отключение сервера от локальной вычислительной сети Росреестра (территориального органа Росреестра) для проверки на наличие ВП. Возможен временный переход на резервный сервер.
2.7.3. Уполномоченным работником подразделения ИТ проверяется целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения. Уполномоченным работником подразделения ИТ проводится анализ состояния файлов - скриптов и журналов сервера, производится смена всех паролей, которые имели отношение к данному серверу.
2.7.4. В случае необходимости уполномоченным работником подразделения ИТ производится восстановление программного обеспечения и восстановление данных из эталонного архива и резервных копий с составлением акта.
2.7.5. По результатам анализа ситуации проверяется вероятность проникновения несанкционированных программ в локальную вычислительную сеть, после чего проводятся аналогичные работы по проверке и восстановлению программного обеспечения и данных на других информационных узлах ИСПДн.
2.8. Попытка несанкционированного доступа (НСД).
2.8.1. При попытке НСД уполномоченным работником подразделения ИТ и администратором безопасности проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости (есть реальная угроза НСД), принимаются меры по предотвращению НСД.
2.8.2. Проводится внеплановая смена паролей. В случае появления обновлений программного обеспечения, устраняющих уязвимости системы безопасности, уполномоченным работником подразделения ИТ устанавливаются такие обновления.
2.8.3. По факту попытки НСД Группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.
2.8.4. В случае установления в ходе служебного расследования факта осуществления попытки НСД со стороны внешних по отношению к ИСПДн субъектов, лицами, уполномоченными на проведение такого расследования, принимаются меры по фиксации и документированию факта инцидента и готовятся материалы для передачи в компетентные органы дознания для проведения предварительного расследования, установления субъекта-нарушителя, определения наличия состава преступления и принятия решения о возбуждении уголовного дела.
2.9. Компрометация ключевой информации (паролей доступа).
2.9.1. При компрометации ключевой информации (пароля доступа) администратором безопасности проводится смена пароля, анализируется ситуация на наличие последствий компрометации и принимаются необходимые меры по минимизации возможного (или нанесённого) ущерба.
2.9.2. О произошедшем инциденте администратор безопасности сообщает руководителю подразделения ИБ для принятия решения по существу.
2.10. Физическое повреждение или хищение оборудования технических средств ИСПДн.
2.10.1. Работником, обнаружившим физическое повреждение элементов ИСПДн, ставятся в известность: непосредственный руководитель, руководители подразделений ИБ и ИТ.
2.10.2. Уполномоченным работником подразделения ИТ совместно с администратором безопасности проводится анализ с целью оценки возможности утечки или повреждения информации. Определяется причина повреждения элементов ИСПДн и возможные угрозы информационной безопасности.