Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Конспект лекций оглавление 1 информационное общество и его безопасность 6


Скачать 4.94 Mb.
НазваниеКонспект лекций оглавление 1 информационное общество и его безопасность 6
Дата02.04.2022
Размер4.94 Mb.
Формат файлаdoc
Имя файлаlec_opo_ibss (4).doc
ТипКонспект
#435869
страница56 из 61
1   ...   53   54   55   56   57   58   59   60   61

17.3. Порядок проведения служебных расследований



Порядок проведения служебных расследований инцидентов в случае реализации угроз информационной безопасности предприятия определяет организационные процедуры и правила информирования службы безопасности и руководства, установления причин инцидентов, выявления нарушителей и степени их вины, минимизации негативных последствий и предложения мер по устранению возможностей для реализации угроз в будущем. Установленные процедуры и правила должны строго соответствовать действующему законодательству и внутренним нормативным документам предприятия.

Под инцидентом понимается любое нештатное событие при функционировании любого сервиса информационной технологии или осуществления бизнес-процесса в части нарушения конфиденциальности, целостности, доступности, имеющее умышленный или неумышленный характер. Инциденты нарушений безопасности подразделяются на события, связанные с реализацией конкретной угрозы, приводящей к потерям и необходимости затрат на восстановление и обнаруженные уязвимости. С целью планирования и минимизации потерь, а также упрощения процедур расследования составляется максимально возможный перечень угроз и рисков их реализации.

По каждому инциденту сотрудник службы безопасности, ответственный за мониторинг событий, формирует сообщение с указанием места инцидента, времени и даты, электронного адреса пораженного объекта; сведений об участниках, свидетелях, названии подразделения, задействованных или затронутых информационных активов, журнала событий и т.д.

В случае невозможности быстрого определения всей информации об инциденте она может быть занесена в базу данных позднее.

Сообщение формируется на основании звонка, электронного письма или служебной записки, подготовленной обнаружившим инцидент сотрудником или руководителем структурного подразделения на имя руководителя службы безопасности.

Уровень инцидента в соответствии с утвержденным перечнем определяется руководителем службы безопасности, после чего инцидент считается зарегистрированным и начинается предварительный этап дополнительного сбора информации для подготовки соответствующего заключения. Должно быть установлено максимально возможное время регистрации и подготовки заключения, в том числе в случае обнаружения уязвимости с целью ее устранения в реальном масштабе времени. В заключении даются указания по изменению бизнес-процессов, настройке и конфигурированию технических средств, приобретению средств защиты и т.д.

В случае реализации угрозы для проведения детального расследования инцидента приказом руководителя предприятия создается комиссия, состоящая из опытных и квалифицированных сотрудников в составе не менее трех человек. В приказе о назначении комиссии дополнительно указывается: основание для проведения расследования инцидента; порядок наделения членов комиссии полномочиями по сбору, истребованию необходимых материалов, привлечению консультантов, экспертов и указания оказания содействия всеми службами и подразделениями предприятия для объективной оценки причин и ущерба; срок предоставления акта с материалами расследования и предложениями.

По каждому нарушению информационной безопасности должно быть собрано максимальное количество материалов, данных и сведений (доказательств), необходимых для последующего анализа определения причин инцидента и принятия мер правовой защиты интересов предприятия.

Доказательства в виде конкретных предметов обеспечиваются метками идентификации (дата, время, место изъятия, кто, где обнаружил доказательство). При хранении такие предметы и прежде всего электронные носители должны быть защищены от модификации и уничтожения. Опрос участников инцидента должен быть задокументирован в соответствующем протоколе.

Комиссия в ходе проведения расследования инцидента информационной безопасности наделяется следующими правами: доступа ко всем материалам, имеющим отношение к расследованию инцидента; приглашения на собеседование должностных лиц, обладающих информацией по существу проводимого расследования.

При этом комиссия обязанаруководствоваться нормами законодательства; обеспечивать сохранность и конфиденциальность материалов, приобщаемых к акту о расследовании инцидента; выработать рекомендации и предложения о мерах юридической ответственности нарушителей, а также предложения по совершенствованию комплекса обеспечения информационной безопасности предприятия; оформить результаты расследования инцидента в виде акта с приложениями материалов расследования.

В процессе проведения расследования комиссия устанавливает наличие мероприятий по выполнению политики безопасности и поддерживающих ее нормативно-методических документов, причины нарушения, виновных лиц и другие факторы, способствующие реализации угрозы.

На основании акта комиссии руководителем предприятия принимается решение в соответствии с законодательством о защите интересов своего предприятия.
1   ...   53   54   55   56   57   58   59   60   61

написать администратору сайта