Положение о реагировании на инциденты

Настоящее Положение разработано в соответствии с Политикой информационной безопасности Банка, Стандартом Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010 (принят и введен в действие Распоряжением ЦБ РФ от 21.06.2010 N Р-705) и Положением об организации внутреннего контроля в кредитных организациях и банковских группах от 16.12.2004 г. № 242-П.

1.1. Инцидент информационной безопасности – событие, в результате наступления которого нанесен ущерб Банку в виде финансовых потерь, операционных и репутационных рисков (хищение денежных средств со счета клиента, атака на информационные ресурсы Банка, разглашение конфиденциальной информации, нарушение работоспособности ИСБ, внесение несанкционированных изменений, утечка или разглашение персональных данных клиентов и т.д.).

2.1. Целью настоящего Положения является определение порядка расследования инцидентов информационной безопасности Банка.

3.1. Источником информации об инциденте информационной безопасности может служить следующее:

• сообщения работников, клиентов, контрагентов Банка направленные в Банк в виде сообщений по электронной почте, служебных записок, писем, заявлений и т.д.
• уведомления/сообщения ЦБ, иных органов осуществляющих контроль или надзор за деятельностью Банка.
• данные, полученные на основании анализа журналов регистрации информационных систем, систем защиты.

3.2. При получении сообщения об инциденте информационной безопасности по электронной почте или по телефонному звонку необходимо убедиться в достоверности полученной информации (например путем совершения «обратного» звонка по указанным в сообщении телефонам, проверки данных указанных в подписи сообщения или названных при звонке).

3.3. Сотрудник, получивший информацию об инциденте, должен сообщить об этом начальнику отдела информационной безопасности и в службу поддержки пользователей. Отдел информационной безопасности сообщает начальнику службы безопасности и начальнику подразделения, в котором случился инцидент.

3.4. Сотрудники отдела поддержки пользователей регистрируют инцидент в системе «Итилиум».

3.5. Все инциденты информационной безопасности должны регистрироваться в электронной системе управления инцидентами. База инцидентов информационной безопасности должна постоянно актуализироваться.

3.6. В течение одного рабочего дня сотрудниками отдела информационной безопасности оформляется информационное сообщение (Приложение 1) для службы внутреннего контроля.

4.1. Для разбора инцидентов информационной безопасности создается комиссия.

4.2. В состав комиссии могут входить сотрудники следующих подразделений Банка:

• Отдел информационной безопасности.
• Служба безопасности.
• Начальник управления информационных технологий.
• Начальник отдела, в котором произошел инцидент.

4.3. Комиссия собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, логи информационных систем, показания сотрудников и др.).

4.4. Комиссия обязана установить имела ли место утечка сведений и обстоятельства ей сопутствующие, установить лица, виновные в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению.

4.5. По окончании разбора инцидента информационной безопасности комиссией оформляется отчет, в котором указываются основные «контрольные точки» инцидента.

4.6. Отчет предоставляется начальнику управления информационных технологий, службе внутреннего контроля и Заместителю Председателя Правления. В конце отчета указывается причина возникновения инцидента и предложения по недопущению подобных инцидентов в будущем.

4.7. После окончания расследования комиссия принимает решение о наказании виновных лиц.

5.1. Контроль надлежащего исполнения требований настоящего Положения осуществляется начальником Управления информационных технологий.

6.1. Изменения и дополнения могут вноситься в настоящее Положение по инициативе сотрудников УИТ с согласования руководителя УИТ или при необходимости.