1. Цел
Настоящата процедура определя реда за установяване, докладване, анализ, ограничаване и отстраняване на инциденти, свързани с информационната и мрежовата сигурност.
2. Обхват
Процедурата се прилага за всички информационни системи, мрежи, крайни устройства и услуги, използвани от организацията, включително външни доставчици.
3. Дефиниция за инцидент
Инцидент е всяко събитие, което води или може да доведе до нарушаване на конфиденциалността, целостта или наличността на информацията (напр. вирус, неоторизиран достъп, загуба на данни, отказ на услуга и др.).
4. Отговорности
- Ръководството осигурява условия за прилагане на процедурата
- Отговорното лице по ИТ/сигурност координира действията
- Служителите са длъжни да докладват незабавно при съмнение за инцидент
5. Процедура
5.1 Установяване на инцидент
Инцидент може да бъде установен чрез:
- автоматични средства (антивирус, системни логове и др.)
- наблюдение от служител
- сигнал от външен източник
5.2 Докладване
Всеки служител незабавно уведомява отговорното лице при съмнение за инцидент.
5.3 Анализ и оценка
Отговорното лице извършва първоначален анализ и определя:
- вида на инцидента
- засегнатите системи
- степента на въздействие
5.4 Ограничаване (Containment)
При необходимост се предприемат действия за ограничаване на инцидента:
- изолиране на устройство
- прекъсване на достъп
- блокиране на акаунти
5.5 Отстраняване (Eradication)
Отстраняват се причините за инцидента:
- премахване на зловреден софтуер
- възстановяване на настройки
- актуализация на системи
5.6 Възстановяване (Recovery)
Възстановява се нормалната работа на системите:
- възстановяване от резервни копия (при необходимост)
- проверка за нормална функционалност
5.7 Документиране
Всеки инцидент се документира, като се описват:
- дата и час
- описание
- предприети действия
- резултат
6. Уведомяване на външни органи (при необходимост)
При инциденти с по-висока степен на въздействие се извършва уведомяване на компетентните органи съгласно действащото законодателство.
7. Заключителни разпоредби
Процедурата се прилага от всички служители и подлежи на периодичен преглед и актуализация.