- •Выбор мер по обеспечению безопасности пДн в испДн «Клиентская база» ао «Городская управляющая компания»
- •1. Исходные данные
- •2. Базовый набор мер для уз-1
- •3. Перечень локальных документов и средств защиты информации
- •1. Общие положения
- •2. Термины и определения
- •3. Лица, ответственные за выявление инцидентов и реагирование на них (инц.1)
- •4. Классификация инцидентов иб
- •5. Порядок обнаружения, идентификации и регистрации инцидентов (инц.2)
- •6. Порядок реагирования на инциденты иб
- •7. Анализ инцидентов (инц.4)
- •8. Планирование мер по предотвращению повторного возникновения инцидентов (инц.6)
- •9. Журнал инцидентов иб
- •10. Ответственность
- •11. Заключительные положения
4. Классификация инцидентов иб
4.1. Инциденты ИБ классифицируются по степени критичности
Уровень |
Описание |
Примеры |
Время реагирования |
Критический |
Подтверждённая утечка ПДн, компрометация сервера 1С, массовое заражение вредоносным ПО |
Эксплуатация НДВ в системном ПО (УБИ.006), утечка базы данных жильцов |
Не более 1 часа |
Высокий |
Попытка НСД к ИСПДн, обнаружение вредоносного ПО, нарушение целостности данных |
НСД создание учётной записи (УБИ.090), перехват данных (УБИ.116) |
Не более 4 часов |
Средний |
Множественные неуспешные попытки аутентификации, нарушение политик доступа |
Обход аутентификации (УБИ.100), доступ обходным путём (УБИ.015) |
Не более 8 часов |
Низкий |
Единичные события безопасности, не приведшие к нарушению |
Ошибочные действия пользователей, сбои оборудования |
Не более 24 часов |
5. Порядок обнаружения, идентификации и регистрации инцидентов (инц.2)
5.1. Обнаружение инцидентов осуществляется:
• автоматически – средствами SIEM-системы R-Vision (анализ логов, корреляция событий, обнаружение аномалий).
• автоматически – средствами Kaspersky Endpoint Security (обнаружение вредоносного ПО, контроль приложений).
• автоматически – средствами ViPNet Personal Firewall (обнаружение сетевых атак).
• вручную – по сообщениям работников организации.
5.2. При обнаружении подозрительного события администратор ИСПДн выполняет первичную верификацию:
• подтверждение факта события по данным SIEM.
• определение затронутых объектов (АРМ, сервер 1С, база 1С:ЖКХ, каналы связи).
• классификация по уровню критичности (п. 4.1).
5.3. Каждый подтверждённый инцидент регистрируется в Журнале инцидентов ИБ со следующими сведениями:
• уникальный номер инцидента.
• дата и время обнаружения.
• источник обнаружения (SIEM, антивирус, МЭ, сообщение работника).
• описание инцидента.
• уровень критичности.
• затронутые объекты ИСПДн.
• ФИО ответственного за расследование.
• статус (обнаружен / расследуется / локализован / устранён / закрыт).
6. Порядок реагирования на инциденты иб
6.1. Реагирование на инцидент выполняется в следующей последовательности:
Этап 1 – Локализация (немедленно после подтверждения):
• изоляция заражённого АРМ от локальной сети,
• блокирование скомпрометированных учётных записей,
• при критическом инциденте отключение сетевого подключения к ГИС ЖКХ и внешним сервисам,
• сохранение текущего состояния затронутых систем (снятие образов, копирование логов).
Этап 2 – Устранение:
• удаление вредоносного ПО,
• восстановление целостности данных из резервных копий (NAS, зашифрованное облачное хранилище),
• смена скомпрометированных паролей и средств аутентификации;
• устранение выявленных уязвимостей.
Этап 3 – Восстановление:
• возврат затронутых систем в штатный режим работы,
• верификация корректности функционирования ИСПДн,
• снятие ограничений, введённых на этапе локализации,
• мониторинг восстановленных систем на предмет рецидива.