Положение о реагировании на инциденты

Материал из SecurityPolicy.ru

Перейти к: навигация, поиск

Содержание

Настоящее Положение разработано в соответствии с Политикой информационной безопасности Банка, Стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2010 (принят и введен в действие Распоряжением ЦБ РФ от 21.06.2010 N Р-705) и Положением об организации внутреннего контроля в кредитных организациях и банковских группах от 16.12.2004 г. № 242-П.

[править] 1.Термины и опеределения

1.1. Инцидент информационной безопасности – событие, в результате наступления которого нанесен ущерб Банку в виде финансовых потерь, операционных и репутационных рисков (хищение денежных средств со счета клиента, атака на информационные ресурсы Банка, разглашение конфиденциальной информации, нарушение работоспособности ИСБ, внесение несанкционированных изменений, утечка или разглашение персональных данных клиентов и т.д.).

[править] 2. Общие положения

2.1. Целью настоящего Положения является определение порядка расследования инцидентов информационной безопасности Банка.

[править] 3. Порядок регистрации

3.1. Источником информации об инциденте информационной безопасности может служить следующее:

  • сообщения работников, клиентов, контрагентов Банка направленные в Банк в виде сообщений по электронной почте, служебных записок, писем, заявлений и т.д.
  • уведомления/сообщения ЦБ, иных органов осуществляющих контроль или надзор за деятельностью Банка.
  • данные, полученные на основании анализа журналов регистрации информационных систем, систем защиты.

3.2. При получении сообщения об инциденте информационной безопасности по электронной почте или по телефонному звонку необходимо убедиться в достоверности полученной информации (например путем совершения "обратного" звонка по указанным в сообщении телефонам, проверки данных указанных в подписи сообщения или названных при звонке).

3.3. Сотрудник, получивший информацию об инциденте, должен сообщить об этом начальнику отдела информационной безопасности и в службу поддержки пользователей. Отдел информационной безопасности сообщает начальнику службы безопасности и начальнику подразделения, в котором случился инцидент.

3.4. Сотрудники отдела поддержки пользователей регистрируют инцидент в системе "Итилиум".

3.5. Все инциденты информационной безопасности должны регистрироваться в электронной системе управления инцидентами. База инцидентов информационной безопасности должна постоянно актуализироваться.

3.6. В течение одного рабочего дня сотрудниками отдела информационной безопасности оформляется информационное сообщение (Приложение 1) для службы внутреннего контроля.

[править] 4. Порядок разбора

4.1. Для разбора инцидентов информационной безопасности создается комиссия.

4.2. В состав комиссии могут входить сотрудники следующих подразделений Банка:

  • Отдел информационной безопасности.
  • Служба безопасности.
  • Начальник управления информационных технологий.
  • Начальник отдела, в котором произошел инцидент.

4.3. Комиссия собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, логи информационных систем, показания сотрудников и др.).

4.4. Комиссия обязана установить имела ли место утечка сведений и обстоятельства ей сопутствующие, установить лица, виновные в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению.

4.5. По окончании разбора инцидента информационной безопасности комиссией оформляется отчет, в котором указываются основные "контрольные точки" инцидента.

4.6. Отчет предоставляется начальнику управления информационных технологий, службе внутреннего контроля и Заместителю Председателя Правления. В конце отчета указывается причина возникновения инцидента и предложения по недопущению подобных инцидентов в будущем.

4.7. После окончания расследования комиссия принимает решение о наказании виновных лиц.

[править] 5. Контроль исполнения настоящего положения

5.1. Контроль надлежащего исполнения требований настоящего Положения осуществляется начальником Управления информационных технологий.

[править] 6. Внесение изменений и дополнений

6.1. Изменения и дополнения могут вноситься в настоящее Положение по инициативе сотрудников УИТ с согласования руководителя УИТ или при необходимости.

[править] Приложение 1 - Информационное сообщение





Информационное сообщение



 
Руководителю подразделения
 
 
"___"______________ 20___ года
 



 
1.Наименование подразделения, ФИО сотрудника, занимаемая должность:
 
(допустившего отклонения, установившего факты в выполнении операций, собирающегося совершить операции по данным перечням, совершившего операции, попадающие по признакам к сделкам)
 
2.Реквизиты клиента, который является участником операций, выполняемых не в стандартной форме с отклонением от общих норм и правил:
 
(наименование организации, N р/cчета ,юридический адрес, тел. факс , ФИО физического лица, паспортные данные, местожительство)
 
3. Факты установленных нарушений или возникших подозрений по поводу возможных отклонений в выполнении операций от установленных стандартов, норм, и правил с указанием предмета сделок, их объемов, даты совершения операций:





Дата составления сообщения:
Подпись и ФИО составителя:
Дата регистрации поступившего сообщения:
Информация о принятых мерах:








"___" _____________ 20___ г.
 
 
(подпись)
 		 
(фамилия и инициалы)




Согласовано:


Источник - "http://www.securitypolicy.ru/index.php/%D0%9F%D0%BE%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BE_%D1%80%D0%B5%D0%B0%D0%B3%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8_%D0%BD%D0%B0_%D0%B8%D0%BD%D1%86%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D1%8B"
Навигация
Инструменты
Мой профиль