"Концепция информационной безопасности в сфере здравоохранения" (утв. протоколом президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской...

1.3.1. Учет и обработка инцидентов, взаимодействие с НКЦКИ и с операторами ИС

1.3.1 Учет и обработка инцидентов, взаимодействие с НКЦКИ и с операторами ИС

Учет и обработка инцидентов осуществляются с использованием автоматизированных средств учета и обработки инцидентов, соответствующих требованиям НКЦКИ. После проверки сведений о возможном инциденте (сообщение от персонала или пользователей информационной системы, предупреждения о срабатывании правил корреляции средств анализа событий информационной безопасности) производится их первичная проверка.

В случае если сведения о возможном инциденте подтверждаются хотя бы одним из лиц, ответственных за функционирование хотя бы одного из информационных ресурсов, инцидент признается подтвержденным и принимаются меры реагирования.

Реагирование на инцидент включает в себя:

- фиксацию состояния и анализ объектов информационных ресурсов, вовлеченных в инцидент;

- фиксацию и анализ сетевого трафика, циркулирующего в информационном ресурсе, вовлеченном в инцидент;

- определение причин инцидента и возможных его последствий для информационного ресурса;

- локализацию инцидента;

- сбор сведений для последующего установления причин инцидента;

- планирование мер по ликвидации последствий инцидента;

- ликвидацию последствий инцидента;

- контроль ликвидации последствий.

Определение причин инцидента проводится персоналом операторов информационных систем, специалистами центра ГосСОПКА. При необходимости для определения причин инцидента информационной безопасности могут привлекаться специалисты отраслевого центра информационной безопасности Минздрава России.

Сведения о подтвержденном инциденте направляются в НКЦКИ и ведомственный центр ГосСОПКА.

Для автоматизации процедур учета и обработки инцидентов информационной безопасности используются специализированные программно-технические средства, входящие в инфраструктуру отраслевого центра информационной безопасности и центров ГосСОПКА. К таким средствам относятся средства учета и обработки инцидентов, средства взаимодействия с ГосСОПКА и средства взаимодействия с операторами ИС в сфере здравоохранения.

Схема, представленная на рис. 2, в общем виде дает представление о составе и месте средств в системе реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения, а также о направлениях и сути взаимодействия между отраслевым центром информационной безопасности Минздрава России и участниками системы.

Сегменты архитектуры системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения для центра ГосСОПКА. в зону ответственности которого входят информационные системы в сфере здравоохранения, и для оператора информационной системы в сфере здравоохранения представлены на рис. 3 и 4 соответственно.

00000027.png

Рисунок 2. Архитектура системы реагирования

на компьютерные атаки и инциденты информационной

безопасности в информационных системах

в сфере здравоохранения

00000028.png

Рисунок 3. Архитектура сегмента центра ГосСОПКА

системы реагирования на компьютерные атаки и инциденты

информационной безопасности в информационных системах

в сфере здравоохранения

00000029.png

Рисунок 4. Архитектура сегмента оператора

информационной системы в сфере здравоохранения системы

реагирования на компьютерные атаки и инциденты

информационной безопасности в информационных

системах в сфере здравоохранения

1.3. Ликвидация последствий компьютерных атак 2. Взаимодействие сторон в рамках системы реагирования на компьютерные атаки и инциденты информационной безопасности в информационных системах в сфере здравоохранения