Инструкция по реагированию на инциденты информационной безопасности в организации

Что такое реагирование на инциденты?

Узнайте, как эффективное реагирование на инциденты помогает организациям обнаруживать, нейтрализовать и блокировать кибератаки.

  • Подробнее о Microsoft Sentinel

Определение реагирования на инциденты

Прежде чем говорить о реагировании, важно разобраться, что такое инцидент. В ИТ-сфере есть три термина, которые иногда используются как синонимы, но на самом деле означают разные вещи.

  1. Событие — это безобидное, регулярно происходящее действие, например создание файла, удаление папки или открытие электронного письма. Обычно событие само по себе не является признаком нарушения безопасности. Но если оно происходит одновременно с другими событиями, это может сигнализировать об угрозе. 
  2. Оповещение — это уведомление о событии, которое может быть связано с угрозой.
  3. Инцидент — это группа взаимосвязанных оповещений, которые человек или автоматизированная система сочли реальной угрозой. Каждое оповещение в отдельности может не быть маркером серьезной угрозы, но в совокупности они указывают на возможное нарушение безопасности.

Реагирование на инциденты — это действия, которые организация предпринимает, когда есть основания полагать, что произошел взлом ИТ-системы или утечка данных. Например, специалисты по безопасности будут принимать меры, если увидят признаки неавторизованного доступа, запуска вредоносной программы или сбоя в системе защиты.

Цели такого реагирования — как можно быстрее пресечь кибератаку, восстановить данные и уведомить клиентов или государственные органы в соответствии с региональными законами. После этого важно понять, как снизить риск аналогичных взломов в будущем.

Как работает реагирование на инциденты

Реагирование на инцидент обычно начинается с того, что служба безопасности получает достоверное оповещение от системы управления информационной безопасностью и событиями безопасности (SIEM).

Специалисты должны убедиться, что событие квалифицируется как инцидент, а затем изолировать затронутые системы и устранить угрозу. Иногда инциденты приводят к серьезным последствиям и требуется много времени для их устранения. В таких случаях компании вынуждены восстанавливать данные из резервной копии, решать проблемы с выкупом или уведомлять клиентов о том, что их данные были скомпрометированы.

По этой причине к реагированию на инциденты обычно привлекаются не только специалисты по кибербезопасности. Стратегию борьбы с последствиями атаки разрабатывают эксперты по конфиденциальности, юристы и руководители компании.

Типы инцидентов безопасности

Злоумышленники разными способами получают доступ к данным компании или иным образом ставят под угрозу корпоративные системы и бизнес-процессы. Ниже приведены наиболее распространенные методы.

  • Фишинг

    Фишинг — это атака с применением социальной инженерии, при которой злоумышленник связывается с жертвой с помощью электронной почты, SMS или по телефону и выдает себя за знакомого человека или представителя известного бренда. При типичной фишинговой атаке получателя пытаются обманом заставить загрузить вредоносную программу или предоставить пароль. Злоумышленники эксплуатируют доверчивость людей, а также заставляют их что-то сделать с помощью психологического давления, например, вызывая страх. Большинство таких атак направлены на тысячи людей в надежде на то, что кого-то удастся обмануть. Но бывает и более сложный подход, который называется целевым фишингом. В таком случае проводится тщательный анализ и создается сообщение, которое должно быть убедительным для конкретного человека.

  • Вредоносные программы

    Вредоносная программа — это любое программное обеспечение, которое предназначено для кражи данных или нанесения вреда компьютерной системе. Например, это могут быть вирусы, программы-шантажисты, программы-шпионы и трояны. Чтобы установить вредоносную программу, злоумышленники используют уязвимости аппаратного и программного обеспечения или убеждают сотрудника сделать это с помощью социальной инженерии.

  • Программы-шантажисты

    При атаках с применением программ-шантажистов злоумышленники используют вредоносное ПО для шифрования важных данных и систем, а затем угрожают раскрыть или уничтожить информацию, если жертва не заплатит выкуп.

  • Отказ в обслуживании

    При распределенных атаках типа «отказ в обслуживании» (DDoS) злоумышленники перегружают трафиком сеть или систему, чтобы замедлить ее работу или вызвать сбой. Обычно злоумышленники атакуют социально значимые организации, например банки или госучреждения, чтобы прервать их работу и лишить денег. Но жертвой атаки такого типа может стать и любая другая компания.

  • Злоумышленник в середине

    Еще один способ кражи персональных данных — это вмешательство в онлайн-общение между людьми, которые считают, что их беседа приватна. Киберпреступники перехватывают сообщения и копируют или изменяют их перед отправкой получателю. Они пытаются манипулировать одним из участников разговора, чтобы тот передал им ценные данные.

  • Внутренние угрозы

    Большинство атак организуют сторонние люди, не работающие в компании. Но специалистам службы безопасности важно следить и за внутренними угрозами. Сотрудники и другие лица, которые используют в работе ресурсы с ограниченным доступом, могут случайно или намеренно раскрыть конфиденциальную информацию.

  • Несанкционированный доступ

    Часто причиной появления бреши в системе безопасности становятся украденные учетные данные. Неважно, как злоумышленники получили пароль: организовали фишинговую кампанию или угадали стандартную комбинацию. Когда у них есть доступ к системе, они могут установить вредоносные программы, провести рекогносцировку сети или повысить свои привилегии и добраться до более конфиденциальных систем и данных.

Что такое план реагирования на инциденты?

Когда возникает проблема безопасности, специалисты должны работать сообща и действовать эффективно, чтобы устранить угрозу и соблюсти нормативные требования. В таких стрессовых ситуациях легко растеряться и совершить ошибку. Поэтому многие компании разрабатывают план реагирования на инциденты. Такой план распределяет роли и обязанности и содержит инструкции по надлежащему устранению проблем, документированию и информированию об инциденте.

Зачем нужен план реагирования на инциденты

Серьезная атака не только нарушает внутренние бизнес-процессы, но и влияет на репутацию компании среди клиентов и сообщества, а также может повлечь за собой юридические последствия. Итоговый ущерб зависит от поведения всех участников процесса: начиная со скорости реакции службы безопасности и заканчивая информированием со стороны руководителей.

Если компания скрывает факт взлома от клиентов и госорганов или недостаточно серьезно относится к угрозе, это может являться нарушением нормативных требований. Такие ошибки возникают, когда у участников процесса нет плана действий. Люди боятся последствий атаки и на эмоциях принимают необдуманные решения, которые в итоге вредят организации.

Если у сотрудников есть продуманный план, они знают, что нужно делать на каждом этапе атаки, и им не приходится выдумывать что-то на ходу. Когда работа системы восстановлена, к компании могут возникнуть вопросы. Но если все действовали по плану, специалистам не составит труда показать, как именно они отреагировали на угрозу. Это позволит убедить клиентов, что вы серьезно отнеслись к инциденту и предприняли меры для предотвращения более тяжких последствий.

Пошаговая инструкция по реагированию на инциденты

Существует несколько подходов к реагированию на инциденты. В этой сфере многие компании полагаются на руководства от организаций, которые разрабатывают стандарты обеспечения безопасности. Институт SANS — это частная организация, которая составила описанную ниже шестиэтапную схему реагирования на инциденты. Компании также ориентируются на рекомендации по восстановлению работы системы после инцидентов от Национального института стандартов и технологий (NIST).

  • Подготовка. До возникновения инцидента важно уменьшить количество уязвимостей, настроить политики безопасности и определить процедуры защиты. На этапе подготовки организации оценивают риски, чтобы выявить слабые места и приоритизировать активы. Этот этап включает в себя написание и уточнение процедур безопасности, распределение ролей и обязанностей, а также обновление систем для снижения риска. Технологии меняются, и специалисты извлекают уроки из свершившихся атак. Поэтому большинство компаний регулярно возвращаются к этому этапу и улучшают политики, процедуры и системы.
  • Выявление угрозы. Каждый день служба безопасности может получать тысячи оповещений о подозрительной активности. Некоторые из них являются ложными срабатываниями или незначительными событиями, которые не эскалируются до уровня инцидента. Если же специалисты выявляют инцидент, то они изучает характер нарушения и документируют собранную информацию об источнике угрозы, типе атаки и целях злоумышленников. На этом этапе команда также должна проинформировать заинтересованных лиц и обсудить дальнейшие шаги.
  • Изоляция угрозы. Следующий шаг — максимально быстро ограничить распространение угрозы. Чем дольше у злоумышленников есть доступ к системе, тем больший ущерб они могут нанести. Служба безопасности должна быстро изолировать от остальных сетей приложения или системы, которые подверглись атаке. Это помогает предотвратить доступ злоумышленников к другим частям корпоративной инфраструктуры.
  • Устранение угрозы. Когда угроза изолирована, специалисты удаляют злоумышленников и все вредоносные программы из затронутых систем и ресурсов. Иногда может потребоваться отключить эти системы от сети. При этом служба безопасности продолжает информировать заинтересованных лиц о ходе работ.
  • Восстановление. После инцидента возобновление нормальной работы может занять несколько часов. Когда угроза устранена, служба безопасности реанимирует систему и восстанавливает данные из резервной копии. Также важно проконтролировать состояние затронутых атакой ресурсов, чтобы убедиться, что злоумышленник не вернулся.
  • Сбор данных и улучшения. После устранения инцидента служба безопасности анализирует произошедшее и определяет, как можно улучшить процесс реагирования. На этом этапе команда извлекает уроки, которые помогают усилить защиту организации.

Из кого состоит команда реагирования на инциденты?

Команду реагирования на инциденты называют по-разному: группой реагирования на инциденты в сфере компьютерной безопасности (CSIRT), командой реагирования на киберинциденты (CIRT) или службой реагирования на нарушения компьютерной безопасности (CERT). Это кросс-функциональная команда, которая отвечает за реализацию плана по реагированию на инциденты. В нее входят не только люди, которые устраняют угрозы, но и те, кто принимают коммерческие или юридические решения, связанные с инцидентом. Обычно такая команда состоит из перечисленных ниже специалистов.

  • Руководитель команды реагирования на инциденты (часто это ИТ-директор) контролирует все этапы и информирует заинтересованных лиц внутри компании. 

  • Аналитики информационной безопасности изучают инцидент и пытаются выяснить, что произошло. Также они документируют результаты своих изысканий и собирают данные для дальнейших экспертиз.

  • Исследователи угроз анализируют ситуацию за пределами организации и собирают информацию, которая даст дополнительный контекст. 

  • Директор по информационной безопасности или директор по информационным технологиям дает общие указания и служит связующим звеном между сотрудниками и другими представителями руководства.

  • Специалисты по кадрам помогают контролировать внутренние угрозы.

  • Главный юрисконсульт компании помогает команде разобраться в вопросах ответственности за инцидент и обеспечивает сбор информации для судебной экспертизы.

  • Специалисты по связям с общественностью координируют коммуникацию со СМИ, клиентами и другими заинтересованными сторонами.

Команда реагирования на инциденты может быть частью центра информационной безопасности (SOC), который обеспечивает защиту активов компании в целом.

Автоматизация реагирования на инциденты

Часто в организациях сети и решения для обеспечения безопасности генерируют большое количество оповещений, которые команда реагирования на инциденты не в состоянии обработать. Чтобы специалисты могли сосредоточиться на реальных угрозах, многие компании автоматизируют реагирование на инциденты. В рамках автоматизации применяются инструменты на базе искусственного интеллекта и машинного обучения. Они приоритизируют оповещения, выявляют инциденты и устраняют угрозы с помощью схем реагирования на основе программных сценариев.

Системы оркестрации, автоматизации и реагирования на инциденты безопасности (SOAR) — это категория инструментов, которые предприятия используют для автоматизации этих процессов. Такие решения обладают следующим функционалом:

  • Сопоставление данных с нескольких конечных точек и средств обеспечения безопасности для выявления инцидентов, с которыми должны разбираться специалисты.

  • Запуск готовых сценариев реагирования для изоляции и устранения угроз известных типов.

  • Создание графика расследования, который включает действия, решения и сбор доказательств для анализа.

  • Сбор релевантных внешних данных для анализа специалистами.

Как реализовать план реагирования на инциденты

Разработка плана реагирования на инциденты может показаться сложной задачей. Но такой план значительно снижает риск того, что компания окажется неподготовленной к серьезной угрозе. Вот, с чего стоит начать работу.

  • Выявите все активы и расставьте приоритеты

    Первый шаг в плане реагирования на инциденты — выяснить, какие именно активы вы защищаете. Задокументируйте критически важные корпоративные данные, в том числе сведения об их местонахождении и степени важности для бизнеса.

  • Определите возможные риски

    У каждой организации есть свои риски. Изучите самые серьезные уязвимости компании и оцените, как злоумышленник может их использовать. 

  • Разработайте процедуры реагирования

    Во время стрессовой ситуации четкие процедуры помогут быстро и эффективно справиться с инцидентом. Для начала определите, что вы квалифицируете как инцидент. Затем опишите шаги, которые должна предпринять служба безопасности для обнаружения атаки, изоляции угрозы и дальнейшего восстановления системы. Сюда же относятся процедуры документирования решений и сбора свидетельств.

  • Сформируйте команду реагирования на инциденты

    Создайте кросс-функциональную команду, которая будет отвечать за процедуры реагирования и их реализацию в случае возникновения инцидента. Четко определите роли и не забудьте о нетехнических специалистах, которые помогут принять решения, связанные с информированием и юридической ответственностью. Также желательно включить в команду кого-то из руководителей, чтобы этот человек отстаивал интересы коллег на уровне директоров компании. 

  • Составьте план информирования

    С планом информирования вам не придется гадать, когда и как сообщать об инциденте людям внутри и за пределами организации. Продумайте различные сценарии и определите, при каких обстоятельствах нужно информировать руководство, всю компанию, клиентов, СМИ или других сторонних заинтересованных лиц.

  • Обучите сотрудников

    Жертвой злоумышленников может стать любой сотрудник. Поэтому важно, чтобы все в компании понимали план реагирования и знали, что делать при подозрении на атаку. Периодически проверяйте своих работников, чтобы убедиться, что они умеют распознавать фишинговые письма. Создайте условия, в которых они смогут легко уведомить команду реагирования на инциденты, если случайно нажмут на вредоносную ссылку или откроют зараженное вложение. 

Решения для реагирования на инциденты

Обеспечение готовности к серьезным инцидентам — это важная часть защиты компании от угроз. Если в компании сформирована команда реагирования на инциденты, то люди будут знать, что делать при атаках злоумышленников.

В то же время решения SIEM и SOAR, например Microsoft Sentinel, помогут выявлять инциденты и автоматически реагировать на них. Если у организации не так много ресурсов, можно заключить договор с поставщиком соответствующих услуг, который будет контролировать несколько этапов. Но в любом случае у компании должен быть план реагирования на инциденты: неважно, сформировали ли вы команду внутри компании или наняли сторонних специалистов.

Решения Майкрософт для защиты от угроз

Выявляйте инциденты в своей организации и реагируйте на них с помощью новейших средств защиты от угроз.

Microsoft Sentinel

Используйте функциональное SIEM-решение на основе облачных и ИИ-технологий, чтобы выявлять и устранять сложные угрозы.

Microsoft 365 Defender

Блокируйте атаки на конечные точки, электронную почту, удостоверения, приложения и данные.

Вопросы и ответы

  • Реагирование на инциденты — это все действия, которые предпринимает организация при подозрении на нарушение безопасности. Цель состоит в том, чтобы как можно быстрее изолировать и устранить угрозу. При этом важно соблюсти требования к конфиденциальности данных и безопасно восстановить работу системы с минимальным ущербом для организации.

  • За реагирование на инциденты отвечает кросс-функциональная команда. Обычно за выявление, изоляцию и устранение угроз ответственны ИТ-специалисты. Однако реагирование на инциденты — это не просто поиск злоумышленников и блокирование атак. Руководители принимают принципиальные для компании решения, например о выплате выкупа. Юрисконсульты и специалисты по связям с общественностью помогают обеспечить соблюдение законов о конфиденциальности данных, включая надлежащее уведомление клиентов и госорганов. Если же угроза связана с сотрудником, отдел кадров рекомендует соответствующие меры.

  • CSIRT — это другое название команды реагирования на инциденты. Это кросс-функциональная команда, которая отвечает за управление всеми аспектами реагирования на инциденты, включая обнаружение, изоляцию и устранение угроз, восстановление работы системы, информирование людей внутри компании и за ее пределами, документирование и экспертизу для судебных разбирательств.

  • Большинство организаций используют решения SIEM или SOAR, которые помогают находить угрозы и реагировать на них. Обычно эти решения агрегируют данные из нескольких систем и используют машинное обучение для выявления реальных угроз. Они также позволяют автоматизировать реагирование на определенные виды угроз на основе готовых сценариев.

  • Жизненный цикл реагирования на инциденты можно разделить на шесть этапов:

    1. Подготовка происходит до выявления инцидента. На этом этапе определяется, какие события считаются инцидентами, а также настраиваются необходимые политики и процедуры для предотвращения, обнаружения, устранения угроз и восстановления после атак.
    2. На этапе выявления угрозы аналитики и инструменты автоматизации определяют, какие события являются реальными угрозами, которые нужно устранить.
    3. Изоляция угрозы — это действия, которые команда предпринимает, чтобы предотвратить ее распространение на другие ресурсы компании. 
    4. Устранение угрозы подразумевает удаление вредоносных программ и злоумышленников из корпоративных систем.
    5. Восстановление включает перезапуск систем и устройств и возврат утраченных данных. 
    6. Сбор данных и улучшение — это процессы, которые позволяют команде извлечь из инцидента уроки и скорректировать политики и процедуры. 

Следите за новостями о Microsoft 365

  • Логотип блога

Источник

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
  • Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
  • Инструкция администратора безопасности
  • Инструкция ответственного за организацию обработки персональных данных
  • Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
  • Инструкция по реагированию на инциденты информационной безопасности
  • Инструкция пользователя государственной информационной системы
  • Приказ об утверждении внутренних нормативных актов по защите информации
  • Политика информационной безопасности в составе:
  • — Общие положения
  • — Технологические процессы обработки защищаемой информации в информационных системах
  • — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
  • — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
  • — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
  • — Правила и процедуры выявления, анализа и устранения уязвимостей
  • — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
  • — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
  • — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
  • — Форма задания на внесение изменений в списки пользователей информационной системы
  • — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
  • — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
  • — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
  • — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
  • — Форма списка разрешенного программного обеспечения в информационной системе
  • — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
  • — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
  • — Порядок резервирования информационных ресурсов
  • — План обеспечения непрерывности функционирования информационной системы
  • Приказ об организации контролируемой зоны
  • Положение о контролируемой зоне
  • План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
  • Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
  • Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
  • Форма журнала учета приема/выдачи съемных машинных носителей информации
  • Форма журнала учета средств защиты информации
  • Форма журнала учета периодического тестирования средств защиты информации
  • Форма журнала проведения инструктажей по информационной безопасности
  • Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
  • Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
  • Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
  • Приказ о классификации государственной информационной системы
  • Форма акта классификации государственной информационной системы
  • Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
  • Положение о защите и обработке персональных данных в составе:
  • — Общие положения
  • — Основные понятия и состав персональных данных
  • — Общие принципы обработки персональных данных
  • — Порядок сбора и хранения персональных данных
  • — Процедура получения персональных данных
  • — Передача персональных данных третьим лицам
  • — Трансграничная передача персональных данных
  • — Порядок уничтожения и блокирования персональных данных
  • — Защита персональных данных
  • — Согласие на обработку персональных данных
  • — Организация доступа работников к персональным данным субъектов
  • — Организация доступа субъекту персональных данных к его персональным данным
  • — Права и обязанности оператора персональных данных
  • — Права и обязанности работников, допущенных к обработке персональных данных
  • — Права субъекта персональных данных
  • — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  • Правила рассмотрения запросов субъектов персональных данных или их представителей
  • Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
  • Форма перечня лиц, допущенных к обработке персональных данных
  • Политика в отношении обработки персональных данных
  • Приказ об определении уровня защищенности персональных данных
  • Форма акта определения уровня защищенности персональных данных
  • Правила обработки персональных данных без использования средств автоматизации
  • Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
  • Форма акта уничтожения персональных данных
  • Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
  • Форма согласия субъекта на обработку его персональных данных
  • Положение о системе видеонаблюдения
  • Форма соглашения о неразглашении персональных данных
  • Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
  • Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
  • Форма перечень сотрудников, допущенных к работе с СКЗИ
  • Инструкция по обеспечению безопасности эксплуатации СКЗИ
  • Форма акта об уничтожении криптографических ключей и ключевых документов
  • Схема организации криптографической защиты информации
5. Модель угроз безопасности информации

Источник

Алгоритм действий при возникновении инцидентов информационной безопасности, связанных с совершением компьютерных атак и внедрением вредоносного программного обеспечения в ФГАОУ ВО УрФУ

1). При возникновении подозрений на инцидент информационной безопасности пользователь информационной системы заполняет форму заявления (см. Приложение 1), визирует её у руководителя своего структурного подразделения и отправляет скан на электронный адрес itsec@urfu.ru. В экстренных случаях допускается отправка заявления, завизированного только пользователем на электронный адрес itsec@urfu.ru или оповещение Управления информационной безопасности по телефону: 375-44-46.

2). Управление информационной безопасности осуществляет первичный анализ инцидента информационной безопасности: возможный характер информационной угрозы, и исходя из этого определяет состав и порядок мероприятий для её устранения. Управление информационной безопасности информирует администратора информационной системы о возникновении инцидента информационной безопасности, направляет рекомендации по устранению информационной угрозы и определяет сроки данных мероприятий.

3). Администратор самостоятельно занимается устранением информационной угрозы. В случае если администратор столкнулся с затруднениями, и угроза не устранена, администратор незамедлительно, повторно, обращается в Управление информационной безопасности за консультацией. По итогам проведенных мероприятий администратор информационной системы оформляет отчет (см. Приложение 2), собственноручно получая необходимые подписи и передает его в Управление информационной безопасности.

4). Управление информационной безопасности может принять решение о блокировке ресурса, узла или, в случае массового заражения, подсети. Разблокировка узла, ресурса или подсети осуществляется после проведения необходимых мероприятий и оформления соответствующего отчета. Собственноручно оформленный и согласованный с ответственными сотрудниками Дирекции информационных технологий и Управлением информационной безопасности отчет предоставляется по форме (см. Приложение 2) администратором подразделения начальнику Управления информационной безопасности.​

5). В случае возникновения необходимости Управление информационной безопасности дает рекомендации пользователю по безопасной эксплуатации информационной системы.

Приложение 1 Заявление о возникновении подозрений на инцидент информационной безопасности

Приложение 2 Отчет администратора информационной системы о проведенных мероприятиях по устранению информационной угрозы

Источник

Понравилась статья? Поделить с друзьями:
  • Мануал для мицубиси кантер
  • Нитроглицерин инструкция по применению цена таблетки взрослым от чего назначают
  • Philips perfectcare azur инструкция на русском языке
  • Хотпоинт аристон индукционная варочная панель инструкция по применению
  • Сн 174 75 инструкция по проектированию систем электроснабжения