2.1. Сбой программного обеспечения
2.1.1. Администратор ИБ совместно с уполномоченным работником подразделения информационных технологий (ИТ) выясняют причину сбоя программного обеспечения (ПО). Если привести систему в работоспособное состояние своими силами (в том числе после консультаций с разработчиками ПО) не удалось, копия акта и сопроводительных материалов (а также файлов, если это необходимо) направляются разработчику ПО для устранения причин, приведших к сбою. О произошедшем инциденте администратор ИБ сообщает руководителю подразделения ИБ для принятия решения по существу.
2.2. Отключение электропитания технических средств ИСПДн
2.2.1. Администратор ИБ совместно с уполномоченным работником подразделения ИТ проводят анализ на наличие потерь и (или) разрушения данных и ПО, а также проверяют работоспособность оборудования. В случае необходимости производится восстановление ПО и данных из последней резервной копии с составлением акта. О произошедшем инциденте администратор ИБ сообщает руководителю подразделения ИБ для принятия решения по существу.
2.3. Выход из строя технических средств ИСПДн (серверов, рабочих станций)
2.3.1. Уполномоченный работник подразделения ИТ совместно с администратором ИБ выполняют мероприятия по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы ИСПДн (замене рабочей станции).
2.3.2. О выходе из строя сервера (рабочей станции) уполномоченный работник подразделения ИТ, ответственный за эксплуатацию сервера (рабочей станции), сообщает руководителю подразделения ИТ.
2.3.3. При необходимости производятся работы по восстановлению ПО и данных из резервных копий с составлением акта. О произошедшем инциденте администратор ИБ сообщает руководителю подразделения ИБ для принятия решения по существу.
2.4. Потеря данных
2.4.1. При обнаружении потери данных уполномоченный работник подразделения ИТ проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования).
2.4.2. При необходимости уполномоченным работником подразделения ИТ производится восстановление ПО и данных из резервных копий с составлением акта. О произошедшем инциденте уполномоченный работник подразделения ИТ сообщает администратору ИБ. Администратор ИБ сообщает руководителю подразделения ИБ для принятия решения по существу.
2.5. Обнаружение вредоносной программы в программной среде средств автоматизации ИСПДн Росреестра
2.5.1. При обнаружении вредоносной программы (ВП) производится ее локализация с целью предотвращения дальнейшего распространения. При этом зараженная рабочая станция (сервер) физически отсоединяется от локальной вычислительной сети, и уполномоченным работником подразделения ИТ и администратором ИБ проводится анализ состояния рабочей станции (сервера).
2.5.2. В результате анализа может быть предпринята попытка сохранения данных, так как после перезагрузки рабочей станции (сервера) данные могут быть потеряны. После успешной ликвидации ВП сохраненные данные подвергаются повторной проверке на наличие ВП. Кроме того, при обнаружении ВП следует руководствоваться Инструкцией по эксплуатации применяемого антивирусного ПО.
2.5.3. После ликвидации ВП проводится внеочередная проверка на всех средствах локальной вычислительной системы с применением обновленных антивирусных баз. При необходимости производится восстановление ПО и данных из резервных копий с составлением акта.
2.5.4. По факту появления ВП в локальной вычислительной сети группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.
2.6. Утечка информации
2.6.1. При обнаружении утечки информации ставится в известность администратор ИБ и начальник структурного подразделения по ИБ. По факту инициируется процедура служебного расследования. Если утечка информации произошла по техническим причинам, проводится анализ защищенности процессов ИСПДн Росреестра и, если необходимо, принимаются меры по устранению каналов утечки и предотвращению их возникновения.
2.7. Взлом операционной системы средств автоматизации ИСПДн (несанкционированное получение доступа к ресурсам операционной системы)
2.7.1. При обнаружении взлома сервера ставится в известность руководитель подразделения ИТ и руководитель подразделения ИБ.
2.7.2. По возможности производится временное отключение сервера от локальной вычислительной сети Росреестра (территориального органа Росреестра) для проверки на наличие ВП. Возможен временный переход на резервный сервер.
2.7.3. Уполномоченным работником подразделения ИТ проверяется целостность исполняемых файлов в соответствии с хэш-функциями эталонного ПО. Уполномоченным работником подразделения ИТ проводится анализ состояния файлов-скриптов и журналов сервера, производится смена всех паролей, которые имели отношение к данному серверу.
2.7.4. В случае необходимости уполномоченным работником подразделения ИТ производится восстановление ПО и восстановление данных из эталонного архива и резервных копий с составлением акта.
2.7.5. По результатам анализа ситуации проверяется вероятность проникновения несанкционированных программ в локальную вычислительную сеть, после чего проводятся аналогичные работы по проверке и восстановлению ПО и данных на других информационных узлах ИСПДн.
2.8. Попытка несанкционированного доступа (НСД)
2.8.1. При попытке НСД уполномоченным работником подразделения ИТ и администратором ИБ проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости (есть реальная угроза НСД), принимаются меры по предотвращению НСД.
2.8.2. Проводится внеплановая смена паролей. В случае появления обновлений ПО, устраняющих уязвимости системы безопасности, уполномоченным работником подразделения ИТ устанавливаются такие обновления.
2.8.3. По факту попытки НСД группой реагирования на инциденты ИБ проводится служебное расследование. Решение о необходимости проведения служебного расследования принимается руководителем подразделения ИБ.