Положение о реагировании на инциденты
Настоящее Положение разработано в соответствии с Политикой информационной безопасности Банка, Стандартом Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010 (принят и введен в действие Распоряжением ЦБ РФ от 21.06.2010 N Р-705) и Положением об организации внутреннего контроля в кредитных организациях и банковских группах от 16.12.2004 г. № 242-П.
1.Термины и опеределения
1.1. Инцидент информационной безопасности – событие, в результате наступления которого нанесен ущерб Банку в виде финансовых потерь, операционных и репутационных рисков (хищение денежных средств со счета клиента, атака на информационные ресурсы Банка, разглашение конфиденциальной информации, нарушение работоспособности ИСБ, внесение несанкционированных изменений, утечка или разглашение персональных данных клиентов и т.д.).
2. Общие положения
2.1. Целью настоящего Положения является определение порядка расследования инцидентов информационной безопасности Банка.
3. Порядок регистрации
3.1. Источником информации об инциденте информационной безопасности может служить следующее:
- сообщения работников, клиентов, контрагентов Банка направленные в Банк в виде сообщений по электронной почте, служебных записок, писем, заявлений и т.д.
- уведомления/сообщения ЦБ, иных органов осуществляющих контроль или надзор за деятельностью Банка.
- данные, полученные на основании анализа журналов регистрации информационных систем, систем защиты.
3.2. При получении сообщения об инциденте информационной безопасности по электронной почте или по телефонному звонку необходимо убедиться в достоверности полученной информации (например путем совершения «обратного» звонка по указанным в сообщении телефонам, проверки данных указанных в подписи сообщения или названных при звонке).
3.3. Сотрудник, получивший информацию об инциденте, должен сообщить об этом начальнику отдела информационной безопасности и в службу поддержки пользователей. Отдел информационной безопасности сообщает начальнику службы безопасности и начальнику подразделения, в котором случился инцидент.
3.4. Сотрудники отдела поддержки пользователей регистрируют инцидент в системе «Итилиум».
3.5. Все инциденты информационной безопасности должны регистрироваться в электронной системе управления инцидентами. База инцидентов информационной безопасности должна постоянно актуализироваться.
3.6. В течение одного рабочего дня сотрудниками отдела информационной безопасности оформляется информационное сообщение (Приложение 1) для службы внутреннего контроля.
4. Порядок разбора
4.1. Для разбора инцидентов информационной безопасности создается комиссия.
4.2. В состав комиссии могут входить сотрудники следующих подразделений Банка:
- Отдел информационной безопасности.
- Служба безопасности.
- Начальник управления информационных технологий.
- Начальник отдела, в котором произошел инцидент.
4.3. Комиссия собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, логи информационных систем, показания сотрудников и др.).
4.4. Комиссия обязана установить имела ли место утечка сведений и обстоятельства ей сопутствующие, установить лица, виновные в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению.
4.5. По окончании разбора инцидента информационной безопасности комиссией оформляется отчет, в котором указываются основные «контрольные точки» инцидента.
4.6. Отчет предоставляется начальнику управления информационных технологий, службе внутреннего контроля и Заместителю Председателя Правления. В конце отчета указывается причина возникновения инцидента и предложения по недопущению подобных инцидентов в будущем.
4.7. После окончания расследования комиссия принимает решение о наказании виновных лиц.
5. Контроль исполнения настоящего положения
5.1. Контроль надлежащего исполнения требований настоящего Положения осуществляется начальником Управления информационных технологий.
6. Внесение изменений и дополнений
6.1. Изменения и дополнения могут вноситься в настоящее Положение по инициативе сотрудников УИТ с согласования руководителя УИТ или при необходимости.
Приложение 1 - Информационное сообщение