го трафіку» з перехопленням переданої по мережі інформації; загрози сканування, спрямовані на виявлення типу або типів використовуваних операційних систем, мережевих адрес робочих станцій ІСПДн, топології мережі, відкритих портів і служб, відкритих з'єднань та ін .;
- загрози виявлення паролів;
- загрози віддаленого запуску додатків;
- загрози впровадження по мережі шкідливих програм;
- загрози нав'язування хибного маршруту шляхом несанкціонованого зміни маршрутно-адресних даних як всередині мережі, так і в зовнішніх мережах;
- загрози, що реалізуються за рахунок вразливостей мережевих протоколів при здійсненні термінального доступу.
Адміністратором безпеки ІСПДн виконуються наступні заходи:
- результатів роботи засобів моніторингу ІБ, результати перевірок та аудиту (внутрішнього або зовнішнього);
- звернень від користувачів ІСПДн;
- звернення суб'єктів персональних даних із зазначенням Інциденту ІБ;
- запити та приписи органів нагляду за дотриманням прав суб'єктів ПДН;
- інші джерела інформації.
- Адміністратор безпеки ІСПДн після отримання інформації про передбачуване Інциденті ІБ негайно проводить первинний аналіз отриманих даних. У процесі аналізу проводиться перевірка наявності в виявлений факт порушень;
- на розсуд керівника Департаменту інформатизації одиничний Інцидент ІБ, що не призвів до негативних наслідків і досконалий співробітником Мінздоровсоцрозвитку вперше, фіксується Адміністратором безопасностіІСПДн в картці даних «Інциденти ІБ» (Додаток №1) з присвоєнням статусу «розгляд не потрібно »;
- у разі порушення прав суб'єкта персональних даних розгляд і реагування відбувається в порядку і строки, передбачені внутрішніми регламентами Мінздоровсоцрозвитку .
- у разі наявності ознак Інциденту ІБ в отриманій інформації, Адміністратор безпеки визначає попередню ступінь важливості Інциденту ІБ і приймає рішення про необхідність проведення розгляду, інформує керівника Департаменту інформатизації про Інциденті ІБ, ініціює формування реєстраційної картки інциденту з присвоєнням йому статусу «У процесі розгляду».
- у термін не більше 3 (трьох) робочих днів з моменту надходження інформації про Інциденті ІБ, Адміністратор безпеки, за погодженням з керівником Департаменту інформатизації, визначає і ініціює першочергові заходи, спрямовані на локалізацію інциденту і на мінімізацію його наслідків.
Розгляд Інциденту ІБ, складається з наступних етапів:
- підтвердження/спростування факту виникнення Інциденту ІБ;
- підтвердження/корегування рівня значущості Інциденту ІБ;
- уточнення додаткових обставин (деталей) Інциденту ІБ;
- отримання (збір) доказів виникнення Інциденту ІБ, забезпечення їх збереження і цілісності;
- мінімізація наслідків Інциденту ІБ;
- інформування та консультування персоналу щодо дій виявлення, усунення наслідків та запобігання інцидентів ІБ;
- розробка заходів по виявленню та/або попередження інцидентів ІБ. У процесі проведення розгляду Інциденту ІБ обов'язковими для встановлення є:
- дата і час здійснення Інциденту ІБ;
- ПІБ, посада і підрозділ Порушника ІБ;
- рівень критичності Інциденту ІБ;
- обставини і мотиви скоєння Інциденту ІБ;
- інформаційні ресурси, порушені Інцидентом ІБ;
- характер і розмір реального і потенційного збитку;
- обставини, що сприяли вчиненню Інциденту ІБ.
Після отримання необхідної інформації по Інциденту ІБ Адміністратор безпеки проводить аналіз отриманих даних,
Протягом 5 (п'яти) робочих днів Адміністратор безпеки запитує у керівника структурного підрозділу пояснювальну записку Порушника ІБ. Пояснювальна записка повинна бути складена, підписана Порушником ІБ протягом (двох) робочих днів і представлена ??його безпосереднім керівником здійснює розгляд співробітнику протягом 3 (трьох) робочих днів з моменту надходження запиту. У разі відмови Порушника ІБ надати пояснювальну записку Адміністратором безпеки надається акт, складений відповідно до встановленого в Мінздоровсоцрозвитку Росії порядку.
З метою мінімізації наслідків Інциденту ІБ можливо тимчасове відключення прав доступу співробітника до ресурсів ІСПДн, на час проведення розслідуванн...
