Руководитель подразделения ИБ проводит предварительный анализ ситуации.
По факту возникновения инцидента ИБ по решению руководителя подразделения ИБ Группой реагирования на инциденты ИБ*(5) проводится выяснение причин его возникновения. Результаты расследования фиксируются в акте. К акту прилагаются (при наличии) поясняющие материалы (копии экрана, распечатка журнала событий и др.) и при выявлении виновных докладывается руководителю Росреестра/территориального органа.
Рекомендуемый состав Группы реагирования на инциденты ИБ и общие обязанности членов Группы реагирования на инциденты ИБ:
- работники подразделения ИТ - обеспечение координационной, административной, экспертной и технологической деятельности;
- работники подразделения ИБ- обеспечение координационной, административной, экспертной деятельности (в рамках своей компетенции);
- работники правового обеспечения - обеспечение экспертной и нормативно-правовой деятельности;
- начальники профильных структурных подразделений - поддержка обеспечения административной, экспертной и технологической деятельности;
- внешние эксперты (при необходимости) - обеспечение консультативной, экспертной и технологической деятельности.
Инструкция о действиях лиц, допущенных к информации, содержащей ПДн, в случае нештатных ситуаций приведена в Приложении (см. Приложение И).
3.6. Требования к резервированию ИР
Резервное копирование защищаемой информации (ПДн) применяется для оперативного восстановления данных в случае утери или по другим причинам.
В состав ИР, подлежащих резервному копированию, в обязательном порядке включаются ИР, являющиеся объектом защиты в Росреестре и его территориальных органах.
При организации резервирования ИР обеспечивается выполнение следующих требований:
- резервные копии ИР и инструкции по их восстановлению хранятся в специально выделенном месте, территориально отдаленном от места хранения основной копии информации;
- к резервным копиям применяется комплекс физических и организационных мер защиты;
- носители, на которые осуществляется резервное копирование, регулярно проверяются на отсутствие сбоев;
- применяемая система резервного копирования обеспечивает производительность, достаточную для сохранения информации, в установленные сроки и с заданной периодичностью;
- предусмотрены регулярная проверка процедур восстановления и практический тренинг работников по восстановлению данных.
Резервное копирование информации осуществляется работниками подразделения ИТ в пределах своих полномочий в соответствии с графиком резервного копирования. Допускается осуществление резервного копирования в автоматизированном режиме.
График резервного копирования составляется для каждого вида информации, подлежащей периодическому резервному копированию, утверждается руководителем подразделения ИТ и согласовывается с руководителем подразделения ИБ. Периодичность проведения резервного копирования устанавливается Графиком резервного копирования не реже одного раза в неделю и может осуществляться ежедневно (в автоматизированном режиме).
Резервное копирование информации производится в соответствии с документацией на используемое ПО.
Программно-аппаратные средства, обеспечивающие проведение резервного копирования и носители, на которые осуществляется резервное копирование, не реже одного раза в месяц проверяются на отсутствие сбоев работниками подразделения ИТ в соответствии с документацией на программно-аппаратные средства с отметкой в Журнале проверки работоспособности системы резервного копирования.
Резервные копии данных хранятся вместе с инструкцией по восстановлению данных из резервных копий в отдельном помещении от используемых данных.
Восстановление данных из резервной копии производится работниками подразделения ИТ на основании Заявки начальника структурного подразделения - обладателя ИР, согласованной с руководителем подразделения ИБ. Заявка может предоставляться в электронной форме.
Восстановление данных из резервных копий осуществляется в соответствии с документацией на используемое ПО в максимально сжатые сроки, ограниченные техническими возможностями системы, но не более одного рабочего дня.
Инструкция по организации резервного копирования приведена в Приложении (см. Приложение К).
3.7. Правила защиты ИСПДн от вредоносных программ
При использовании в ИСПДн средств антивирусной защиты и защиты от вредоносных программ выполняются следующие организационные меры:
- использование съемных носителей ПДн пользователя ИСПДн на других компьютерах только с механической защитой от записи;
- запрет на использование посторонних съемных носителей ПДн при работе в ИСПДн;
- запрет на передачу съемных носителей ПДн посторонним лицам
- запрет на запуск программ с внешних съемных носителей информации при работе в ИСПДн;
- запрет на несанкционированное использование отчуждаемых носителей информации (оптических дисков, флэш-карт и т. п.);
- использование в ИСПДн только дистрибутивов программных продуктов, приобретенных у официальных дилеров фирм-разработчиков этих продуктов;
- обязательная проверка всех программных продуктов;
- проверка всех программных файлов и файлов документов, полученных по электронной почте, специальными антивирусными средствами;
- систематическая проверка содержимого дисков файловых хранилищ обновленными версиями антивирусных программ;
- контроль и обновление списка разрешенных ссылок на веб-ресурсы сети Интернет.
Ответственность за эксплуатацию средств антивирусной защиты и защиты от вредоносных программ возлагается:
- на работников подразделения ИТ в части наличия антивирусного ПО на клиентских рабочих станциях и использования данного ПО пользователями;
- на работников подразделения ИБ в части централизованного управления СЗИ.
Инструкция по проведению антивирусного контроля приведена в Приложении (см. Приложение Л).
3.8. Требования по обеспечению безопасности при работе в сети Интернет
Доступ в сеть Интернет и другие глобальные сети пользователям предоставляется исключительно в целях повышения эффективности выполнения ими свои служебных обязанностей.
Организация доступа пользователей ИСПДн к сети Интернет осуществляется работником подразделения ИТ на основании мотивированного запроса руководителя подразделения Росреестра и/или его территориального органа, согласованного с подразделением ИБ. Установка дополнительного оборудования и ПО для осуществления доступа пользователей ИСПДн Росреестра осуществляется в порядке, установленным настоящим Положением для внесения изменений в ПО и аппаратные средства Росреестра. Запрещается использование подключений к сети Интернет и каналов связи, использование которых не согласовано с подразделением ИТ. Подразделениям по защите государственной тайны доступ к ресурсам сети Интернет запрещен.
Пользователи ИСПДн Росреестра могут использовать сети Интернет в качестве:
- транспортной среды при обмене информацией между несколькими территориально разнесенными элементами ИСПДн или другими ИС (транспортная задача);
- средства предоставления открытой общедоступной информации, содержащейся в ИР Росреестра, внешнему абоненту (портальная задача);
- средства получения необходимой пользователям ИСПДн Росреестра информации, содержащейся в ИР сети Интернет или других корпоративных сетей (информационная задача).
Подразделение ИТ может ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены международным и российским законодательством, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.