6.4. Рекомендации по установлению и документированию регламентов обнаружения инцидентов ИБ и реагирования на инциденты ИБ
6.4. Рекомендации по установлению и документированию регламентов обнаружения инцидентов ИБ и реагирования на инциденты ИБ 
6.4.1. В организации БС РФ рекомендуется установить и документировать регламенты выполнения деятельности на следующих этапах:
- стадия обнаружения и оповещения о событиях ИБ;
- стадия оценки событий ИБ, обнаружения инцидента ИБ и оповещения об инциденте ИБ;
- стадия сбора и фиксации информации об инциденте ИБ;
- стадия закрытия инцидента ИБ.
Указанные регламенты разрабатываются службой ИБ организации БС РФ совместно и (или) по согласованию с подразделением информатизации организации БС РФ, юридической службой организации БС РФ, подразделениями организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения бизнес-процессов организации БС РФ, службой персонала (кадров) организации БС РФ и утверждаются руководством организации БС РФ, например куратором ГРИИБ.
6.4.2. В регламенты обнаружения и оповещения о событиях ИБ рекомендуется включать:
- детальный перечень событий ИБ, при обнаружении которых работники организации БС РФ осуществляют оповещение оператора-диспетчера ГРИИБ;
- детальное описание способов первичного документирования информации о событиях ИБ работниками организации БС РФ, выявившими событие ИБ;
- детальное описание процедур оповещения оператора-диспетчера ГРИИБ и передачи оператору-диспетчеру ГРИИБ документов, содержащих информацию об обнаруженных событиях ИБ;
- детальное описание процедур регистрации оператором-диспетчером ГРИИБ информации об обнаруженном событии ИБ;
- описание порядка хранения информации о событиях ИБ, в том числе в электронном виде.
6.4.3. При формировании перечня событий ИБ рекомендуется осуществлять группирование событий ИБ по уровням информационной инфраструктуры организации БС РФ.
Основными источниками событий ИБ являются:
- технические и программные средства мониторинга ИБ и контроля эксплуатации применяемых защитных мер;
- работники организации БС РФ, выявляющие события ИБ;
- клиенты и партнеры организации БС РФ, включая работников сторонних организаций, имеющих доступ к информационным активам, находящихся под управлением (в распоряжении) организации БС РФ.
6.4.4. В качестве источников информации о событиях ИБ организации БС РФ, формируемых техническими и программными средствами мониторинга ИБ и контроля эксплуатации применяемых защитных мер, рекомендуется использовать:
- регистрационные журналы систем управления, контроля и мониторинга ИБ;
- системные журналы операционных систем;
- системные журналы систем управления базами данных;
- регистрационные журналы прикладного программного обеспечения;
- регистрационные журналы активного сетевого оборудования;
- регистрационные журналы применяемых средств защиты информации, в том числе средств защиты информации от несанкционированного доступа, средств защиты от воздействия вредоносного кода, регистрационные журналы специализированных программно-технических средств обнаружения вторжений и сетевых атак, программного обеспечения проверки целостности файлов;
- информацию специализированных устройств контроля физического доступа, в том числе телевизионных систем охранного наблюдения, систем контроля и управления доступом и охранной сигнализации.
6.4.5. Перечень событий ИБ, выявляемых работниками организации БС РФ, клиентами и партнерами организации БС РФ, составляется экспертным методом и регулярно пересматривается и корректируется, в том числе в связи с возможным появлением новых угроз ИБ, информационных активов, видов деятельности.
Для определения перечня событий ИБ может быть использован примерный перечень типов событий ИБ, приведенный в Приложении 1 к настоящему документу, который рекомендуется скорректировать применительно к специфике деятельности конкретной организации БС РФ.
6.4.6. Способы первичного документирования информации о событиях ИБ должны обеспечивать придание юридической значимости собираемой информации, для чего рекомендуется руководствоваться следующими принципами:
- хранение собранной информации о событиях ИБ должно осуществляться безопасным образом на носителях "только для чтения";
- при сборе информации о событиях ИБ должны присутствовать не менее двух лиц, действия которых должны протоколироваться;
- необходимо документировать и хранить вместе с собранной информацией описания сервисных команд, использованных для выполнения сбора информации о событиях ИБ;
- целесообразно осуществлять сбор и анализ данных смежных АБС, сервисов и (или) сетей, например, сетевого оборудования и межсетевых экранов.
6.4.7. Рекомендуется определить единую точку входа для информации о событиях ИБ, происходящих в организации БС РФ, которой является оператор-диспетчер ГРИИБ.
Все работники организации БС РФ должны быть ознакомлены с процедурой оповещения о событиях ИБ. Кроме того, в организации БС РФ должны быть определены и выполняться процедуры информирования клиентов и партнеров организации БС РФ о способах оповещения организации БС РФ об обнаруженных событиях ИБ, имеющих отношение к деятельности организации БС РФ.
Все события ИБ, выявляемые работниками организации БС РФ, клиентами и партнерами организации БС РФ, рекомендуется регистрировать с присвоением каждому событию ИБ уникального идентификационного номера.
6.4.8. Рекомендуется обеспечить следующие сроки хранения информации об обнаруженных событиях ИБ:
- событиях ИБ, обнаруженных в рамках банковских платежных технологических процессов, - не менее 5 лет;
- иных событиях ИБ - не менее 3 лет.
6.4.9. В регламенты оценки событий ИБ, обнаружения инцидента ИБ и оповещения об инциденте ИБ рекомендуется включать:
- порядок первичной оценки и критерии классификации событий ИБ в качестве инцидента ИБ;
- порядок использования классификатора инцидентов ИБ и первичной классификации инцидента ИБ;
- порядок оповещения руководителя и членов ГРИИБ об обнаруженном инциденте ИБ;
- порядок и критерии необходимости эскалации инцидента ИБ на центральный уровень реагирования на инциденты ИБ.
6.4.10. Первичная оценка события ИБ и его классификация в качестве инцидента ИБ осуществляется оператором-диспетчером ГРИИБ на основе установленных организацией БС РФ критериев, а также на основе компетентного суждения оператора-диспетчера ГРИИБ.
Вынесение суждения о классификации события ИБ в качестве инцидента ИБ рекомендуется в следующих случаях:
- событие ИБ указывает на нарушение требований законодательства РФ, нормативных актов Банка России, правил платежной системы, внутренних документов организации БС РФ;
- событие ИБ указывает на несанкционированные и (или) нерегламентированные действия в отношении информационных активов организации БС РФ;
- событие ИБ указывает на возможные нарушения в выполнении банковских технологических процессов организации БС РФ;
- событие ИБ указывает на возможное хищение денежных средств и (или) осуществление несанкционированного перевода денежных средств.
6.4.11. Для использования в процессе реагирования на инцидент ИБ рекомендуется определить единую для всех инцидентов ИБ систему их классификации. В случае классификации события ИБ как инцидента ИБ определяются его атрибуты, и далее они используются для управления процессом реагирования на инцидент ИБ и его контроля посредством ведения записи об инциденте ИБ. Порядок определения атрибутов инцидентов ИБ должен быть описан в документе, регламентирующем использование классификатора инцидентов ИБ.
6.4.12. Для оператора-диспетчера ГРИИБ рекомендуется определить детальные и конкретные инструкции оповещения руководителя и членов ГРИИБ об обнаруженном инциденте ИБ, а также эскалации инцидента ИБ на центральный уровень реагирования на инциденты ИБ.
6.4.13. При регламентировании действий целесообразно предусмотреть назначение в каждый момент времени выполнения процесса реагирования на инцидент ИБ ответственного за выполнение соответствующей операции по реагированию из числа членов ГРИИБ.
6.4.14. В регламенты сбора и фиксации информации об инциденте ИБ рекомендуется включать:
- детальное описание источников информации об инциденте ИБ, которые необходимо использовать для сбора информации;
- порядок использования классификатора инцидентов ИБ членами ГРИИБ;
- детальное описание способов документирования и хранения информации об инцидентах ИБ членами ГРИИБ.
6.4.15. Описание источников информации об инциденте ИБ рекомендуется определять для каждого уровня информационной инфраструктуры организации БС РФ на основе перечня источников событий ИБ организации БС РФ, рекомендации к которым установлены в пп. 6.4.3, пп. 6.4.4 настоящих рекомендаций.
6.4.16. Способы документирования информации об инциденте ИБ должны обеспечивать придание юридической значимости собираемой информации, для чего рекомендуется руководствоваться принципами, установленными в пп. 6.4.5 настоящих рекомендаций.
Рекомендуется обеспечить сроки хранения информации об инцидентах ИБ в соответствии с рекомендациями, установленными пп. 6.4.7 настоящих рекомендаций.
6.4.17. В регламенты закрытия инцидента ИБ рекомендуется включать:
- порядок и условия функциональной эскалации инцидента ИБ и (или) привлечения дополнительной компетенции;
- порядок взаимодействия членов ГРИИБ и лиц, привлекаемых к закрытию инцидента ИБ;
- детальное описание способов документирования и хранения информации о результатах реагирования на инцидент ИБ, в том числе закрытия инцидентах ИБ, а также результатах анализа причин инцидента ИБ;
- порядок информирования руководства организации БС РФ о результатах анализа инцидента ИБ;
- порядок подготовки и направления информации об инциденте ИБ, связанном с осуществлением переводов денежных средств, в адрес оператора платежной системы в соответствии с правилами платежной системы и в адрес Банка России в соответствии с требованиями нормативных актов Банка России.
