Регламент реагирования на инциденты информационной безопасности при обработке персональных данных
1. Общие положения
1.1. Настоящий Регламент реагирования на инциденты информационной безопасности при обработке персональных данных (далее – Регламент) определяет порядок действий сотрудников ООО Клауд Ресеч (далее – Компания) при возникновении инцидентов информационной безопасности, связанных с обработкой персональных данных.
1.2. Настоящий Регламент разработан в соответствии с:
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. В настоящем Регламенте используются следующие основные понятия:
  • Инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность и/или вызвать неавторизованное раскрытие или изменение персональных данных.
  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  • Компрометация данных – событие, в результате которого персональные данные становятся известны или доступны неавторизованному лицу.
  • Нарушитель – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных.
1.4. Действие настоящего Регламента распространяется на все подразделения Компании, осуществляющие обработку персональных данных.

2. Классификация инцидентов информационной безопасности
2.1. Инциденты информационной безопасности при обработке персональных данных классифицируются по следующим категориям:
  • 2.1.1. По типу нарушения:Нарушение конфиденциальности – несанкционированный доступ к персональным данным, разглашение персональных данных.
  • Нарушение целостности – несанкционированное изменение, удаление или уничтожение персональных данных.
  • Нарушение доступности – блокирование доступа к персональным данным, невозможность выполнения функций по обработке персональных данных.
  • 2.1.2. По источнику возникновения:Внешние инциденты – инциденты, вызванные действиями внешних злоумышленников (хакерские атаки, внедрение вредоносного ПО и т.д.).
  • Внутренние инциденты – инциденты, вызванные действиями сотрудников Компании (преднамеренные или непреднамеренные).
  • Техногенные инциденты – инциденты, вызванные техническими сбоями, отказами оборудования, программного обеспечения и т.д.
  • Стихийные инциденты – инциденты, вызванные стихийными бедствиями, пожарами, затоплениями и т.д.
  • 2.1.3. По уровню критичности:Критический инцидент – инцидент, который приводит к значительному ущербу и/или нарушению функционирования Компании, затрагивает большое количество персональных данных, может повлечь за собой юридические последствия.
  • Серьезный инцидент – инцидент, который может привести к умеренному ущербу и/или нарушению функционирования отдельных подразделений Компании, затрагивает ограниченное количество персональных данных.
  • Незначительный инцидент – инцидент, который имеет минимальное влияние на деятельность Компании, затрагивает единичные записи персональных данных.

3. Порядок информирования об инцидентах
3.1. Любой сотрудник Компании, обнаруживший признаки инцидента информационной безопасности при обработке персональных данных, обязан незамедлительно сообщить об этом своему непосредственному руководителю и лицу, ответственному за обеспечение безопасности персональных данных.
3.2. Информирование об инциденте осуществляется любым доступным способом (лично, по телефону, по электронной почте), с последующим оформлением служебной записки по форме, установленной в Приложении 1 к настоящему Регламенту.
3.3. В сообщении об инциденте должны быть указаны следующие сведения (при наличии информации):
  • Дата и время обнаружения инцидента;
  • Краткое описание инцидента;
  • Источник информации об инциденте;
  • Информационные системы, ресурсы, данные, которые могли быть затронуты инцидентом;
  • Предполагаемые причины инцидента;
  • Принятые меры.
3.4. Лицо, ответственное за обеспечение безопасности персональных данных, при получении информации об инциденте:
  • Регистрирует инцидент в журнале учета инцидентов информационной безопасности (Приложение 2);
  • Проводит первичную оценку инцидента;
  • Информирует руководителя Компании об инциденте (в случае критических или серьезных инцидентов);
  • Инициирует процедуру реагирования на инцидент.

4. Порядок реагирования на инциденты
4.1. Процесс реагирования на инциденты включает следующие этапы:
  • Выявление инцидента;
  • Регистрация и первичная оценка инцидента;
  • Расследование инцидента;
  • Устранение последствий инцидента;
  • Восстановление нормального функционирования;
  • Анализ причин инцидента и принятие мер по предотвращению повторения инцидентов;
  • Документирование инцидента;
  • Уведомление уполномоченных органов и субъектов персональных данных (при необходимости).
4.2. Для расследования критических и серьезных инцидентов формируется рабочая группа, в состав которой входят:
  • Лицо, ответственное за обеспечение безопасности персональных данных (руководитель группы);
  • Сотрудники ИТ-подразделения (системные администраторы, администраторы баз данных и т.д.);
  • Руководитель подразделения, в котором произошел инцидент;
  • Иные лица, привлекаемые по решению руководителя Компании.
4.3. Расследование инцидента проводится в целях:
  • Определения причин и источника инцидента;
  • Определения объема и характера скомпрометированных персональных данных;
  • Определения последствий инцидента;
  • Сбора доказательств для возможных юридических действий.
4.4. При расследовании инцидента рабочая группа:
  • Собирает и анализирует доступную информацию об инциденте;
  • Анализирует журналы событий информационных систем;
  • Проводит опрос лиц, имеющих отношение к инциденту;
  • Проводит техническую экспертизу оборудования и программного обеспечения (при необходимости);
  • Определяет причины и источник инцидента;
  • Оценивает ущерб от инцидента;
  • Разрабатывает рекомендации по ликвидации последствий инцидента и предотвращению подобных инцидентов в будущем.
4.5. Для устранения последствий инцидента принимаются следующие меры:
  • Блокирование скомпрометированных учетных записей;
  • Изменение паролей;
  • Восстановление данных из резервных копий;
  • Блокирование доступа к скомпрометированным ресурсам;
  • Устранение выявленных уязвимостей;
  • Усиление мер защиты;
  • Иные меры, необходимые для устранения последствий конкретного инцидента.
4.6. По результатам расследования инцидента составляется отчет, который должен содержать:
  • Описание инцидента;
  • Хронологию событий;
  • Результаты анализа причин инцидента;
  • Оценку последствий инцидента;
  • Рекомендации по устранению причин и последствий инцидента;
  • Рекомендации по предотвращению подобных инцидентов в будущем.
4.7. Отчет о результатах расследования инцидента представляется руководителю Компании.

5. Уведомление о компрометации персональных данных
5.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Компания с момента выявления такого инцидента обязана:
5.1.1. В течение 24 часов – уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента, а также предоставить сведения о лице, уполномоченном Компанией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с инцидентом.
5.1.2. В течение 72 часов – представить уполномоченному органу по защите прав субъектов персональных данных (Роскомнадзор) уточненные сведения об инциденте в случае, если ранее было направлено уведомление в соответствии с п. 5.1.1.
5.1.3. В случае, если не удалось обеспечить правильность, актуальность и достоверность персональных данных, Компания обязана уничтожить такие персональные данные и уведомить об этом субъекта персональных данных или его представителя в срок, не превышающий семи рабочих дней.
5.2. Уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) осуществляется по установленной форме и в порядке, определенном законодательством РФ.
5.3. Решение о необходимости уведомления субъектов персональных данных о компрометации их персональных данных принимается руководителем Компании на основании оценки рисков и потенциального вреда, который может быть причинен субъектам персональных данных.
5.4. Уведомление субъектов персональных данных о компрометации их персональных данных осуществляется в письменной форме и должно содержать:
  • Описание инцидента;
  • Категории скомпрометированных персональных данных;
  • Возможные последствия компрометации персональных данных;
  • Меры, предпринятые Компанией для защиты прав и законных интересов субъектов персональных данных;
  • Контактные данные лица, у которого можно получить дополнительную информацию.

6. Профилактика инцидентов
6.1. В целях предотвращения инцидентов информационной безопасности при обработке персональных данных в Компании реализуются следующие меры:
  • Регулярное обучение и инструктаж сотрудников по вопросам информационной безопасности и защиты персональных данных;
  • Регулярное обновление программного обеспечения и средств защиты информации;
  • Проведение аудита информационной безопасности;
  • Мониторинг событий информационной безопасности;
  • Контроль доступа к персональным данным;
  • Регулярное резервное копирование персональных данных;
  • Своевременное устранение выявленных уязвимостей;
  • Проведение практических тренировок по реагированию на инциденты.

7. Ответственность
7.1. Все сотрудники Компании несут ответственность за соблюдение требований настоящего Регламента.
7.2. Лица, виновные в нарушении требований настоящего Регламента, нарушении режима защиты, обработки и порядка использования персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

8. Заключительные положения
8.1. Настоящий Регламент вступает в силу с момента его утверждения руководителем Компании.
8.2. Изменения и дополнения в настоящий Регламент вносятся приказом руководителя Компании.
8.3. Настоящий Регламент подлежит пересмотру при изменении законодательства Российской Федерации в области персональных данных.