Памятка по реагированию на инциденты информационной безопасности

Определения

Событие информационной безопасности – состояние объектов информатизации, свидетельствующее о возможном нарушении существующей политики безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности объектов информатизации;

Инцидент информационной безопасности - отдельно или серийно возникающие сбой в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов.

Обозначения и сокращения

Уполномоченный орган -

Комитет государственного контроля в области связи, информатизации и средств массовой информации Министерства информации и коммуникаций Республики Казахстан

Заявитель - Государственный орган, физическое или юридическое лицо
Служба - Служба реагирования на компьютерные инциденты РГП «Государственная техническая служба»
ИКТ - Информационно-коммуникационные технологии

Описание порядка взаимодействия в процессе реагирования на компьютерные инциденты

1. При получении или обнаружении информации о возможной угрозе/инциденте информационной безопасности технические специалисты Заявителя проверяют полученную информацию на наличие возможных инцидентов/угроз в своей зоне ответственности.

2. При получении информации об инциденте в инфраструктуре системы Заявителя и ее подтверждении техническими специалистами, необходимо информировать Службу реагирования на компьютерные инциденты следующими способами:

- заполнив заявку на интернет-ресурсе www.kz-cert.kz;

- направив письмо на адрес электронной почты info@kz-cert.kz;

- позвонив по телефону бесплатной горячей линии «1400»;

- через социальные сети в:

Твиттер (https://twitter.com/kzcert);

Facebook (https://www.facebook.com/www.kzcert.kz);

ВКонтакте (http://vk.com/certkz);

Google+ (https://plus.google.com/+KzcertKz1400/posts);

Мой мир (http://my.mail.ru/mail/kzcert).

3. В дальнейшем необходимо предоставлять подробную информацию:

- время события;

- ссылка на страницу интернет-ресурса, на которой произошел инцидент/угроза;

- лог-файлы оборудования;

- контактные данные заявителя;

- IP-адреса участвующие в инциденте/угрозе узлов и другую информацию, используемую в контексте протоколов передачи данных.

4. Заявитель обязан предоставить телефонный номер для оперативного взаимодействия с целью устранения последствий инцидентов.

5. Служба оказывает содействие в реагировании на следующие типы инцидентов:

- Отказ в обслуживании (DoS, DDoS);

- Взлом/атака интернет-ресурса;

- Создание и распространение вредоносного программного обеспечения;

- Фишинг в сети Интернет;

- Наличие вирусов;

- Ботнеты;

- Другие и проводит:

- сбор и анализ данных;

- валидацию наличия инцидента;

6. В случае подтверждения инцидента Служба:

- регистрирует заявку;

- информирует заинтересованные лица в отношении возможных угроз безопасному использованию ИКТ;

- проводит исследование инцидента;

- отправляет уведомления и рекомендации об устранении инцидента операторам связи, хостинг-провайдерам, владельцам интернет-ресурсов, при необходимости международным организациям и службам реагирования на компьютерные инциденты других стран.

7. В случае выявления, при устранении угроз безопасному использованию ИКТ, признаков совершения правонарушения Служба незамедлительно направляет информацию в уполномоченный орган и органы, осуществляющие оперативно-розыскную деятельность (по компетенции).

8.Технические специалисты Заявителя в пределах своей компетенции обеспечивают выполнение корректирующих действий по устранению и предотвращению инцидентов в своей системе (информирование компетентных лиц, выявление технических причин нарушений), в том числе реализацию практических мероприятий, в соответствии с рекомендациями от Службы.

9. При необходимости, Заявитель принимает меры по локализации возможных негативных последствий инцидента и оповещает Службу о принятых мерах.

10. По запросу Службы, Заявитель предоставляет в рабочем порядке необходимую информацию о функционировании компонентов инфраструктуры Заявителя, необходимые права и уровни доступа к ресурсам компонентов своей системы;

11. Заявитель официально предоставляет в Службу отчеты о проведенных работах по устранению выявленных инцидентов в заранее оговоренные сроки.

Конфиденциальность

12. Заявитель и Служба обязуются соблюдать конфиденциальность и осуществлять защиту конфиденциальной информации, не опубликовывать, не передавать третьим лицам и не разглашать конфиденциальную информацию, полученную при проведении работ по устранению последствий инцидента;

13. Заявитель и Служба обязуются использовать конфиденциальную информацию, полученную в рамках исполнения задач по устранению последствий инцидентов, исключительно в целях исполнения своих обязательств по проведению работ по устранению последствий инцидентов.