Инструкция по действиям персонала Архивной службы и подведомственных ей государственных архивов РСО-Алания в нештатных ситуациях
ПРОЕКТ
Приложение № 4
УТВЕРЖДЕНО
Приказом Архивной службы
РСО-А от 30.08. 2011 г. № 23
Инструкция по действиям персонала Архивной службы и подведомственных ей государственных архивов РСО-Алания в нештатных ситуациях
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
ИСПДн | - информационная система персональных данных; |
ОИ | - объект информатизации; |
ПДн | - персональные данные; |
ПО | - программное обеспечение; |
ПЭВМ | - персональная электронно-вычислительная машина; |
СЗПДн | - система защиты персональных данных; |
ТС | - технические средства. |
1. Общие положения
Инструкция по действиям персонала Архивной службы и подведомственных ей государственных архивов (далее – госархивов) Республики Северная Осетия-Алания в нештатных ситуациях предназначена для определения порядка действий сотрудников при возникновении нештатных ситуаций.
В случае наличия нештатной ситуации, порядок действий при которой не регламентирован настоящей Инструкцией, администратором ИБ ИСПДн, ответственным за обеспечение безопасности ПДн в Архивной службе и госархивах Республики Северная Осетия-Алания, вырабатывается конкретный план действий с учетом текущей ситуации.
Резервируемые в Архивной службе и госархивах Республики Северная Осетия-Алания информационные ресурсы и способы их резервирования представлены в приложении №1 к настоящей Инструкции.
Порядок оповещения должностных лиц и сроки выполнения мероприятий при нештатных ситуациях определены в приложении №2 к настоящей Инструкции.
Для эффективной реализации мероприятий по реагированию в случае нештатных ситуаций должны проводиться регулярные тренировки по различным нештатным ситуациям. По результатам тренировки в случае необходимости проводится уточнение настоящей Инструкции.
Должностные лица Архивной службы и госархивов Республики Северная Осетия-Алания знакомятся с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
Ознакомление с требованиями Инструкции сотрудников Архивной службы и госархивов Республики Северная Осетия-Алания осуществляет администратор ИСПДн под роспись с выдачей электронных копий соответствующих приложений и разделов Инструкции непосредственно для повседневного использования в работе.
Нештатными (кризисными) ситуациям являются:
1) разглашение информации ограниченного доступа, не составляющей государственной тайны (далее – защищаемая информация), сотрудниками Архивной службы и госархивов Республики Северная Осетия-Алания, имеющими к ней право доступа, в том числе:
разглашение информации лицам, не имеющим права доступа к защищаемой информации;
передача информации по открытым линиям связи;
обработка информации на незащищенных технических средствах обработки информации;
опубликование информации в открытой печати и других средствах массовой информации;
передача носителя информации лицу, не имеющему права доступа к ней;
утрата носителя с информацией;
2) неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации:
несанкционированное изменение информации;
несанкционированное копирование информации;
3) несанкционированный доступ к защищаемой информации:
подключение технических средств к средствам и системам объекта информатизации;
использование закладочных устройств;
маскировка под зарегистрированного пользователя;
использование дефектов программного обеспечения объекта информатизации (ОИ);
использование программных закладок;
применение программных вирусов;
хищение носителя защищаемой информации;
нарушение функционирования технических средств (ТС) обработки информации;
блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку;
4) дефекты, сбои, отказы, аварии ТС и систем ОИ;
5) дефекты, сбои и отказы программного обеспечения ОИ;
6) сбои, отказы и аварии систем обеспечения ОИ;
7) природные явления, стихийные бедствия:
термические, климатические факторы (пожары, наводнения и т. д.);
механические факторы (землетрясения и т. д.);
электромагнитные факторы (грозовые разряды и т. д.).
2. Порядок действий при обнаружении нештатных ситуаций
2.1. Классификация нештатных ситуаций
Нештатные ситуации классифицируются в соответствии с оценками, представленными в таблице Оценки нештатных ситуаций
Нештатная ситуация |
Оценка ситуации (раздел Инструкции) |
||
Разглашение защищаемой информации сотрудниками, имеющими к ней право доступа |
(2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003500390036000000 ) |
||
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации |
Несанкционированное копирование конфиденциальной информации |
Обнаружился случившийся факт (2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003600310039000000 ) |
|
Производится в текущий момент (2.3 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003800360033003300370034000000 ) |
|||
Несанкционированное изменение конфиденциальной информации |
Обнаружился случившийся факт (2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003600360035000000 ) |
||
Производится в текущий момент (2.3 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003800360033003300370034000000 ) |
|||
Несанкциониро-ванный доступ к защищаемой информации |
Подключение технических средств к средствам и системам объекта информатизации (ОИ) |
Обнаружился случившийся факт (2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003700330031000000 ) |
|
Производится в текущий момент (2.4 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003800360033003500380034000000 ) |
|||
Установка закладочных устройств |
Обнаружение установленных (2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003700330031000000 ) | ||
Устанавливаются в настоящий момент (2.5 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003800360034003500300037000000 ) | |||
Маскировка под зарегистрированного пользователя |
Внешним злоумышленником в текущий момент (2.6 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003800360033003900380037000000 ) | ||
Внутренним злоумышленником либо производилась в прошлом (2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003700330031000000 ) | |||
Использование дефектов программного обеспечения ОИ |
Внешним злоумышленником в текущий момент (2.7 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003100320037003300300038000000 ) | ||
Внутренним злоумышленником либо производилось в прошлом (2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003700330031000000 ) | |||
Использование программных закладок |
Внешним злоумышленником в текущий момент (2.8 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003800360034003700380038000000 ) | ||
Внутренним злоумышленником либо производилось в прошлом (2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003700330031000000 ) |
|||
Обнаружение программных вирусов |
(2.9 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003900350030003800300035000000 ) |
||
Хищение носителя защищаемой информации |
(2.2 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320032003700330031000000 ) |
||
Нарушение функционирования ТС обработки информации злоумышленником |
Производится в текущий момент (2.10 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003900350035003900310037000000 ) |
||
Обнаружился случившийся факт (2.11 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003900350038003200340030000000 ) |
|||
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку |
Производится в текущий момент внешним злоумышленником (2.12 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003900350038003500350034000000 ) |
||
Производится в текущий момент внутренним злоумышленником (2.13 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003900360030003200370035000000 ) |
|||
Обнаружился случившийся факт (2.14 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380037003900360031003500340036000000 ) |
|||
Ошибки пользователей системы при эксплуатации программных средств, ТС, средств и систем защиты информации |
Ошибка повлекла утерю или повреждение защищаемой информации (2.15 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000310038003100390033000000 ) | ||
Ошибка привела к нарушению работоспособности ТС и ПО (2.16 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000310038003300310033000000 ) |
|||
Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ |
(2.17 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000310039003300330030000000 ) |
||
Сбои, отказы и аварии систем обеспечения ОИ |
(2.18 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320031003200340038000000 ) |
||
Природные явления, стихийные бедствия |
Несущие угрозу жизни человека |
(2.19 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000320031003200360032000000 ) |
|
Не несущие угрозу жизни человека |
(2.20 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000D0000005F00520065006600380038003000330034003400350035000000 ) |
||
2.2. Нештатные ситуации, которые повлекли утечку или повреждение защищаемой информации, либо созданы внутренним злоумышленником.
При обнаружении нештатных ситуаций, которые повлекли утечку или повреждение защищаемой информации, либо созданы внутренним злоумышленником, создается комиссия.
При нештатных ситуациях, связанных с:
разглашением конфиденциальной информации;
обнаружением несанкционированно скопированной или измененной конфиденциальной информации;
обнаружением подключения технических средств к средствам и системам объекта информатизации;
обнаружением закладочных устройств;
маскировкой под зарегистрированного пользователя внутренним злоумышленником или обнаружением факта маскировки в прошлом (как внутренним, так и внешним злоумышленником);
использованием дефектов программного обеспечения ОИ внутренним злоумышленником или обнаружением факта их использования в прошлом (как внутренним, так и внешним злоумышленником);
использованием программных закладок внутренним злоумышленником или обнаружением факта их использования в прошлом (как внутренним, так и внешним злоумышленником);
хищением носителя защищаемой информации, –
в первую очередь:
администратором ИБ ИСПДн предпринимаются действия по сбору и обеспечению сохранности улик незаметно для злоумышленника.
Комиссия, дополнительно к общему порядку действий (в соответствии с разделом 3, должна:
если это возможно, определить организации, в которые произошла утечка конфиденциальной информации;
определить возможные контрмеры, призванные уменьшить потери от утечки информации.
2.3. Несанкционированное копирование или изменение конфиденциальной информации в текущий момент времени со стороны лиц, имеющих право доступа к ней
В случае обнаружения злоумышленника, неправомерно копирующего, либо изменяющего защищаемую информацию выполняются следующие действия:
2.3.1. Первоочередные действия:
1) администратор ИБ ИСПДн прерывает несанкционированный процесс;
2) администратор ИБ ИСПДн блокирует доступ к ИСПДн Архивной службы и госархивов РСО-Алания для злоумышленника;
3) администратор ИБ ИСПДн совместно с ответственным за обеспечение безопасности ПДн Архивной службы и госархивов РСО-Алания удаляют нарушителя от средств ИСПДн;
4) ответственным за обеспечение безопасности ПДн совместно с администратором ИБ ИСПДн предпринимаются действия по сбору и обеспечению сохранности улик.
2.3.2. Последующие действия:
создается комиссия для расследования инцидента.
2.4. Подключение технических средств к средствам и системам ОИ в текущий момент времени
В случае обнаружения злоумышленника, производящего подключение к техническим средствам и системам ОИ в текущий момент времени, выполняются следующие действия:
2.4.1. Первоочередные действия
1). администратор ИБ ИСПДн прерывает процесс работы нарушителя;
2). в случае если нарушитель – пользователь ИСПДн, администратор ИБ ИСПДн блокирует доступ в ИСПДн Архивной службы и госархивов РСО-Алания для нарушителя.
2.4.2. Последующие действия:
создается комиссия для расследования инцидента.
2.5. Установка закладочных устройств злоумышленником в текущий момент времени
В случае обнаружения злоумышленника, устанавливающего закладочные устройства, выполняются следующие действия:
2.5.1. Первоочередные действия:
администратор ИБ ИСПДн принимает меры к задержанию злоумышленника.
2.5.2. Последующие действия
создается комиссия для расследования инцидента.
2.6. Маскировка под зарегистрированного пользователя внешним злоумышленником в текущий момент времени
В случае обнаружения внешнего злоумышленника маскирующегося под зарегистрированного пользователя, выполняются следующие действия:
2.6.1. Первоочередные действия:
администратор ИБ ИСПДн блокирует доступ к ИСПДн Архивной службы и госархивов РСО-Алания для злоумышленника.
2.6.2. Последующие действия:
Создается комиссия для расследования инцидента.
2.7. Использование дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени
В случае обнаружения использования дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени выполняются следующие действия:
2.7.1. Первоочередные действия:
администратор ИБ ИСПДн блокирует доступ из внешних сетей к оборудованию, на котором используется уязвимое ПО.
2.7.2. Последующие действия:
создается комиссия для расследования инцидента.
2.8. Использование программных закладок внешним нарушителем в текущий момент времени
В случае обнаружения использования программных закладок внешним нарушителем в текущий момент времени выполняются следующие действия:
2.8.1. Первоочередные действия:
администратор ИБ ИСПДн блокирует доступ из внешних сетей к оборудованию, на котором установлена программная закладка.
2.8.2. Последующие действия:
1) администратор ИБ ИСПДн определяет возможный ущерб, нанесенный программной закладкой;
2) администратор ИБ ИСПДн проводит мероприятия по обнаружению внедренных программных закладок и их нейтрализации, планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента;
3) составляет акт об инциденте.
2.9.Обнаружение программных вирусов
В случае обнаружения программных вирусов выполняются действия, предусмотренные Инструкцией по антивирусной защите.
2.10. Нарушение функционирования ТС обработки информации в текущий момент времени злоумышленником
В случае обнаружения злоумышленника, нарушающего функционирование ТС обработки информации в текущий момент времени, выполняются следующие действия:
Первоочередные действия:
1) администратор ИБ ИСПДн принимает меры по немедленному удалению злоумышленника от средств вычислительной техники;
2) в случае если злоумышленник является пользователем системы, администратор ИБ ИСПДн блокирует доступ к ИСПДн Архивной службы и госархивов РСО-Алания для злоумышленника.
2.10.1. Последующие действия:
1) в случае наличия повреждений администратор ИБ ИСПДн определяет ущерб, нанесенный ТС и информации.
2) администратор ИБ ИСПДн производит восстановление работоспособности системы.
3) создается комиссия для расследования инцидента.
2.11. Обнаружение нарушения функционирования ТС обработки информации, произведенного злоумышленником
В случае обнаружения нарушений в функционировании ТС обработки информации, выполняются следующие действия:
1) администратор ИБ ИСПДн определяет возможный круг лиц, причастных к нарушению функционирования ТС, определяет объем повреждений техническим и информационным ресурсам;
2) администратор ИБ ИСПДн производит восстановление работоспособности системы;
3) создается комиссия для расследования инцидента.
2.12. Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внешним злоумышленником в текущий момент времени
В случае обнаружения внешней атаки, направленной на блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку в текущий момент времени, выполняются следующие действия:
2.12.1. Первоочередные действия:
1) администратор ИБ ИСПДн выявляет источник ложных заявок;
2) администратор ИБ ИСПДн вырабатывает решение по блокированию потока ложных заявок и реализует выбранное решение.
2.12.2. Последующие действия:
1) администратор ИБ ИСПДн уведомляет провайдера, от которого идут ложные заявки, планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента;
2) администратор ИБ ИСПДн составляет акт об инциденте.
2.13. Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внутренним злоумышленником в текущий момент времени.
В случае обнаружения внутренней атаки, направленной на блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку в текущий момент времени, выполняются следующие действия:
1) администратор ИБ ИСПДн выявляет источник ложных заявок и блокирует доступ к ИСПДн Архивной службы и госархивов РСО-Алания для злоумышленника;
2) создается комиссия для расследования инцидента.
2.14.Блокировка доступа к защищаемой информации, произошедшая в прошлом
При обнаружении факта блокировки доступа к защищаемой информации, произошедшей в прошлом, выполняются следующие действия:
1) администратор ИБ ИСПДн выявляет источник ложных заявок;
2) в случае если злоумышленник является внешним, администратор ИБ ИСПДн уведомляет провайдера, от которого идут ложные заявки. Планирует и организует мероприятия по предотвращению повторения, нейтрализации последствий инцидента;
3) в случае если злоумышленник является внешним, администратор ИБ ИСПДн составляет акт об инциденте;
4) создается комиссия для расследования инцидента.
2.15. Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации
В случае обнаружения ошибок пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации, выполняются следующие действия:
2.15.1.Первоочередные действия:
1) администратор ИБ ИСПДн проводит анализ и идентификацию причин инцидента;
2) в случае возможности злоумышленных действий выполняется последовательность действий, предусмотренная в соответствующем разделе Инструкции;
3) администратор ИБ ИСПДн определяет ущерб, нанесенный нештатной ситуацией;
4) администратор ИБ ИСПДн проводит мероприятия по восстановлению работоспособности системы и информации.
2.15.2.Последующие действия:
1) проводится проверка знаний сотрудника, виновного в инциденте, а в случае необходимости его обучение;
2) администратор ИБ ИСПДн составляет акт об инциденте, в случае необходимости выносит предложение руководителю Архивной службы РСО-Алания о применении дисциплинарной меры в отношении нарушителя.
2.16. Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО.
В случае обнаружения ошибок пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО, выполняются следующие действия:
2.16.1. Первоочередные действия:
1) администратор ИБ ИСПДн проводит анализ и идентификацию причин инцидента;
2) в случае возможности злоумышленных действий выполняется последовательность действий, предусмотренная в соответствующем разделе Инструкции.
2.16.2. Последующие действия:
1) администратор ИБ ИСПДн определяет ущерб, нанесенный нештатной ситуацией, восстанавливают работоспособность системы;
2) администратор ИБ ИСПДн составляет акт об инциденте, в случае необходимости выносят предложение руководителю Архивной службы РСО-Алания о применении дисциплинарной меры в отношении нарушителя;
3) проводится проверка знаний сотрудника, виновного в инциденте, а в случае необходимости – его обучение.
2.17. Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ
В случае возникновения дефектов, сбоев, отказов, аварий ТС и систем ОИ выполняются следующие действия:
2.17.1. Первоочередные действия:
1) администратор ИБ ИСПДн выявляют возможные причины проявления дестабилизирующих факторов;
2) в случае наличия злоумышленных действий выполняется порядок действий соответствующего раздела Инструкции.
2.17.2. Последующие действия:
1) администратор ИБ ИСПДн восстанавливает работоспособность систем;
2) в случае потери данных администратором ИСПДн по возможности проводится восстановление их из резервных копий;
3) администратором ИБ ИСПДн производится составление акта.
2.18. Сбои, отказы и аварии систем обеспечения ОИ
В случае сбоев, отказов и аварий систем электроснабжения, вентиляции, других обеспечивающих инженерных систем выполняется следующая последовательность действий:
1) в случае если наблюдается продолжительное отключение электропитания, администратором ИБ ИСПДн производится отключение серверов до момента истечения резервов системы бесперебойного питания;
2) ответственным за материально-техническое обеспечение организуются работы по максимально быстрому восстановлению систем обеспечения;
3) в случае потери защищаемых данных администратором ИБ ИСПДн по возможности проводится восстановление их из резервных копий;
4) ответственным за материально-техническое обеспечение производится составление акта.
2.19. Природные явления, стихийные бедствия, несущие угрозу жизни человека
В случае проявления стихийных бедствий и природных явлений, которые несут угрозу жизни человека, выполняются следующие действия:
1) все сотрудники (руководители подразделений в том числе) обязаны личные реквизиты защиты (например: металлические и/или электронные ключи, карты-идентификаторы, ключевые дискеты, печати и пр.) собрать и упаковать в водонепроницаемый пакет (непосредственный руководитель обеспечивает заранее) и лично обеспечивать сохранность этого пакета во время эвакуации;
2) по списку имущества и(или) документов в личном пользовании сотрудника, подлежащего эвакуации в первую очередь (разрабатываются сотрудниками заранее и постоянно хранятся на рабочем месте) произвести сбор, упаковку, опись (в двух экз. – 1 экз. в тару) документов и технических средств в водонепроницаемую тару (обеспечивает заранее непосредственный руководитель). Упакованное имущество сотрудник передает под роспись (на своем экз. описи) лицам, обеспечивающим доставку имущества на эвакопункт, иначе – лично сопровождает груз во время его транспортировки;
3) сотрудник вкладывает в вышеназванный пакет картонную табличку с указанием текущей даты, своих персональных данных (ФИО, наименование организации, номер служебного телефона) и содержащую опись содержимого пакета, заверенную собственноручной подписью.
Руководители обязаны собрать в помещениях подразделения и лично упаковать (и далее лично хранить, как свои) реквизиты защиты и документы (согласно спискам первой очереди) тех сотрудников, которых на момент эвакуации нет на рабочем месте (болезнь, командировка, учеба, отпуск и т.д.).
Руководители обязаны:
При подготовке к эвакуации проверить обеспеченность (а при отсутствии – обеспечить) сотрудников подразделения и/или администраторов упаковочным материалом, списками документов, дел и имущества, подлежащих эвакуации в первую очередь.
Перед выездом в эвакопункт – проконтролировать исполнение задач эвакуации, приняв соответствующие доклады от сотрудников о готовности к эвакуации, провести выборочную проверку готовности (комплектности) документов, дел, имущества подразделения и/или ИСПДн к эвакуации.
2.20. Природные явления, стихийные бедствия, не несущие угрозу жизни человека
В случае проявления стихийных бедствий и природных явлений, которые не несут угрозу жизни и/или человека, выполняются следующие действия:
1) сотрудники Архивной службы и госархивов РСО-Алания выключают свои персональные компьютеры;
2) администратор ИБ ИСПДн выключает серверы и сетевое оборудование;
3) администратор ИБ ИСПДн принимает меры к эвакуации резервных копий с информацией, системных блоков компьютеров, содержащих особо ценную информацию, документов и другого имущества. В первую очередь эвакуируется имущество по списку имущества и (или) документов в личном пользовании сотрудника, подлежащего эвакуации в первую очередь;
4) в случае локальных пожаров и частичных затоплений ответственный за материально-техническое обеспечение организует работы по ликвидации нештатной ситуации и ее последствий.
3. Производство расследований
3.1. Для расследования опасных ситуаций в случаях, предусмотренных настоящей Инструкцией, может создаваться комиссия. В состав комиссии должны входить:
председатель;
ответственный за обеспечение безопасности ПДн;
администратор ИБ ИСПДн;
юрист;
другие лица по решению председателя комиссии.
Деятельность комиссии должна по возможности происходить в режиме строгой конфиденциальности.
3.2. В общем случае комиссия проводит:
анализ и идентификацию причин инцидента, определение виновных;
определение ущерба, нанесенного нештатной ситуацией;
планирование мер для предотвращения повторения, нейтрализации последствий (если это возможно);
анализ и сохранение доказательств, следов инцидента, улик и свидетельств;
определение меры взыскания с виновного;
взаимодействие, при необходимости с правоохранительными органами.
При сохранении улик:
если есть возможность, администратором ИБ ИСПДн производится резервное копирование системной и защищаемой информации технических средств, вовлеченных в инцидент, включая логи (контрольные записи);
3.3. По результатам деятельности комиссии составляется акт с описанием ситуации. К акту прилагаются поясняющие материалы (копии экрана, распечатки журнала событий и др.).
По результатам расследования администраторами организуются мероприятия по реализации предложенных комиссией мер для предотвращения либо уменьшения вероятности проявления подобных инцидентов в дальнейшем.
При проведении расследований, кроме того, необходимо ответить на следующие вопросы:
можно ли было предусмотреть нештатную ситуацию?
вызвана ли она слабостью средств защиты и регистрации?
это первая кризисная ситуация такого рода?
достаточно ли имеющегося резерва?
есть ли необходимость пересмотра системы защиты?
есть ли необходимость пересмотра настоящей инструкции?
4. ОТВЕТСТВЕННЫЕ ЗА КОНТРОЛЬ ВЫПОЛНЕНИЯ ИНСТРУКЦИИ
Ответственным за постоянный контроль выполнения требований данной Инструкции является:
администратор ИБ ИСПДн в части задач, возложенных на него настоящей Инструкцией;
ответственный за обеспечение безопасности ПДн в части общего контроля информационной безопасности;
ответственный за материально-техническое обеспечение в части задач, возложенных на него настоящей Инструкцией.
5. Порядок замещения ответственных лиц
В случае отсутствия кого-либо из ответственных лиц при нештатной ситуации (отпуск, болезнь и т.п.) производится их замещение в соответствии с последовательностями, определенными ниже. Ответственное лицо замещает следующий идущий по списку сотрудник.
Ответственные за информационную безопасность и ИСПДн:
1) руководитель Архивной службы РСО-Алания;
2) ответственный за обеспечение безопасности ПДн
3) директора госархивов РСО-Алания;
4) администратор ИБ ИСПДн.
Ответственные за материально-техническое обеспечение:
1) руководитель Архивной службы РСО-Алания;
2) директора госархивов РСО-Алания.
6.ПОРЯДОК ПЕРЕСМОТРА ИНСТРУКЦИИ
Инструкция подлежит полному пересмотру при изменении приоритетов угроз безопасности ИСПДн Архивной службы и госархивов РСО-Алания.
Инструкция подлежит частичному пересмотру в следующих случаях:
при изменении местоположения, состава и объема информационных ресурсов, подлежащих резервному копированию;
при определении такой необходимости комиссией по результатам расследования нештатной ситуации;
в целях повышения эффективности мероприятий, определенных в настоящей Инструкции;
при изменении состава, обязанностей и полномочий должностных лиц Архивной службы и госархивов РСО-Алания, которые задействованы в мероприятиях, определенных настоящей Инструкцией.
Полный пересмотр Инструкции проводится администратором ИБ ИСПДн, ответственным за обеспечение безопасности ПДн Архивной службы и госархивов РСО-Алания с целью проверки соответствия определенных данным документом мер защиты реальным условиям применения их в ИСПДн Архивной службы и госархивов РСО-Алания.
Частичный пересмотр Инструкции проводится администратором ИБ ИСПДн. При этом могут быть добавлены, удалены или изменены приложения к Инструкции с обязательным внесением оснований и изменений в Лист регистрации изменений в Инструкции (приложение №4) без переутверждения всей Инструкции.
ПРИЛОЖЕНИЕ 1.
СРЕДСТВА ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ
Резервному копированию (РК) подлежит следующая информация:
системные программы и наборы данных – невозобновляемому (однократному, эталонному) РК;
прикладное программное обеспечение и наборы данных – невозобновляемому РК;
наборы данных, генерируемые в течение рабочего дня и содержащие ценную информацию – периодическому возобновляемому РК.
Резервному копированию в ИСПДн подлежат следующие программные и информационные ресурсы:
Наименование информационного ресурса |
Где размещается ресурс в системе |
Вид резервного копирования |
Ответственный за резервное копирование (используемые технические средства) |
Где хранится резервная копия |
Частота периодического резервирования |
Информация ИСПДн |
ЭВМ 3/1, ЭВМ 5/1 |
периодическое, возобновляемое |
ответственный за обеспечение безопасности ИБ ИСПДн |
каждую пятницу |
|
Эталонное программное обеспечение |
ЭВМ 8/1 |
невозобновляемое |
ответственный за обеспечение безопасности ИБ ИСПДн |
обновляется при появлении нового ПО |
ПРИЛОЖЕНИЕ 2.
ПЛАН ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ ИНФОРМАЦИИ
Тип кризисной ситуации |
Критерии кризисной ситуации |
Кому [1]и в какие сроки докладывается |
Срок реализации первоочеред-ных действий |
Максимальное время для выполнения всех мероприятий |
|
в рабочее время |
в нерабочее время |
||||
Неправомерные действия со стороны лиц допущенных к защищаемой информации |
|||||
Разглашение защищаемой информации сотрудниками, имеющими к ней право доступа |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
|||
Обнаружение несанкционированно скопированной или измененной конфиденциальной информации |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
|||
Несанкционированное копирование или изменение конфиденциальной информации в текущий момент времени со стороны лиц, имеющих право доступа к ней |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
10 минут в рабочее время (1 час в нерабочее) |
||
Несанкционированный доступ к информации |
|||||
Обнаружение подключения технических средств к средствам и системам объекта информатизации |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
|||
Подключение технических средств к средствам и системам ОИ в текущий момент времени |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
10 минут в рабочее время (1 час в нерабочее) |
||
Обнаружение закладочных устройств |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
|||
Установка закладочных устройств злоумышленником в текущий момент времени |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
10 минут в рабочее время (1 час в нерабочее) |
||
Маскировка под зарегистрированного пользователя внешним злоумышленником в текущий момент времени |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
5 минут в рабочее время (1 час в нерабочее) |
||
Маскировка под зарегистрированного пользователя внутренним злоумышленником или обнаружение факта маскировки |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
|||
Использование дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
10 минут в рабочее время (1 час в нерабочее) |
||
Использование программных закладок внешним нарушителем в текущий момент времени |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
10 минут в рабочее время (1 час в нерабочее) |
||
Использование программных закладок внутренним злоумышленником или обнаружение факта использования |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
|||
Обнаружение программных вирусов |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
12 часов |
||
Хищение носителя защищаемой информации |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
|||
Нарушение функционирования ТС обработки информации в текущий момент времени злоумышленником |
нарушена работа одного пользователя |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
10 минут в рабочее время (1 час в нерабочее) |
2 дня |
нарушена работа группы пользователей |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
10 минут в рабочее время (1 час в нерабочее) |
1 день |
|
Обнаружение нарушения функционирования ТС обработки информации, произведенного злоумышленником |
нарушена работа одного пользователя |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
2 дня |
|
нарушена работа группы пользователей |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
1 день |
||
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку |
|||||
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внешним злоумышленником в текущий момент времени |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
20 минут в рабочее время (1 час в нерабочее) |
7 дней |
|
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внутренним злоумышленником в текущий момент времени |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
20 минут в рабочее время (1 час в нерабочее) |
1 день |
|
Обнаружение произошедшего факта блокировки доступа к защищаемой информации |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
1 день |
||
Ошибки пользователей системы |
|||||
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
2 часа в рабочее время (12 часов в нерабочее) |
1 день |
|
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО |
нарушена работа одного пользователя |
администратору ИБ ИСПДн сразу после инцидента |
администратору ИБ ИСПДн в первый рабочий день после инцидента |
20 минут |
2 дня |
нарушена работа группы пользователей |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
20 минут |
1 день |
|
Объективные факторы |
|||||
Дефекты, сбои, отказы, аварии ТС, программных средств и систем ОИ |
сбой ТС и систем ОИ |
администратору ИБ ИСПДн сразу после инцидента |
администратору ИБ ИСПДн сразу после инцидента |
1 час |
2 дня |
отказ ТС и систем ОИ, затронувший работу группы пользователей |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
1 час в рабочее время (8 часов в нерабочее) |
1 день |
|
отказ ТС и систем ОИ, затронувший работу одного пользователя |
администратору ИБ ИСПДн сразу после инцидента |
администратору ИБ ИСПДн в первый рабочий день после инцидента |
1 час |
2 дня |
|
авария ТС и систем ОИ |
администратору ИБ ИСПДн сразу после обнаружения инцидента |
администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
1 час |
1 день |
|
Сбои, отказы и аварии систем обеспечения ОИ |
сбой систем обеспечения ОИ |
ответственному за материально-техническое обеспечение сразу после инцидента |
ответственному за материально-техническое обеспечение в первый рабочий день после инцидента |
||
отказ систем обеспечения ОИ, затронувший работу группы пользователей |
ответственному за материально-техническое обеспечение и администратору ИБ ИСПДн сразу после обнаружения инцидента |
ответственному за материально-техническое обеспечение и администратору ИБ ИСПДн сразу после обнаружения инцидента |
1 день |
||
отказ систем обеспечения ОИ, затронувший работу одного пользователя |
ответственному за материально-техническое обеспечение сразу после инцидента |
ответственному за материально-техническое обеспечение в первый рабочий день после инцидента |
2 дня |
||
авария систем обеспечения ОИ |
ответственному за материально-техническое обеспечение, администратору ИБ ИСПДн сразу после обнаружения инцидента |
ответственному за материально-техническое обеспечение, администратору ИБ ИСПДн как можно скорее, в дневное время, но не позднее 8 часов после инцидента |
1 день |
||
Природные явления, стихийные бедствия, несущие угрозу жизни человека |
руководителю, заместителям руководителя, которые оповещают всех своих сотрудников сразу после получения информации |
руководителю, заместителям руководителя, которые оповещают всех своих сотрудников сразу после получения информации |
30 минут |
||
Природные явления, стихийные бедствия, не несущие угрозу жизни человека |
руководителю, заместителям руководителя, администратору ИБ ИСПДн |
руководителю, заместителям руководителя, администратору ИБ ИСПДн |
30 минут |
ПРИЛОЖЕНИЕ 3.
ЖУРНАЛ УЧЕТА НЕШТАТНЫХ СИТУАЦИЙ
Журнал учета нештатных ситуаций
№ п/п |
Дата, ИСПДн, ПЭВМ, описание ситуации, выполненные работы |
Подпись исполнителя |
Подпись администратора |
ПРИЛОЖЕНИЕ 4.
ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ
ЛИСТ № _____ регистрации изменений в Инструкции
№ п.п. |
Дата |
Внесенное изменение |
Основание (наименование, № и дата документа) |
Кем внесено изменение (должность, подпись) |
|
Лист ознакомления
с Инструкцией по действиям персонала в нештатных ситуациях,
утвержденной и введенной в действие «30» августа 2011г.
№ п/п |
Фамилия И.О. сотрудника |
Дата ознакомления |
расписка сотрудника в ознакомлении |
[1] В случае отсутствия лиц, которые должны оповещаться, их замещают лица, определенные в разделе «Порядок замещения ответственных лиц» настоящей Инструкции, либо могут быть оповещены непосредственные руководители.