ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4290
Скачиваний: 25
В плане действий в непредвиденных ситуациях должны быть
определены ответственные лица и выполняемые ими действия при
восстановлении ИТ после сбоя или отказа. Он должен быть рас
смотрен соответствующими должностными лицами, утвержден,
размножен в необходимом количестве и направлен лицам, ответ
ственным за действия в непредвиденных ситуациях. План необ
ходимо периодически пересматривать и обновлять с учетом изме
нений в ИТ или проблем, возникших в результате проверки или
реализации плана.
Периодическая проверка плана действий в непредвиденных
ситуациях проводится с использованием соответствующих тестов
(проверочных последовательностей действий) с целью оценки
эффективности плана и готовности персонала к выполнению дей
ствий, предписанных планом. Соответствующие должностные лица
изучают результаты проверки плана действий в непредвиденных
ситуациях и (при необходимости) инициируют корректировку
плана. В наиболее критичных АС проверка плана действий в не
предвиденных ситуациях проводится на дублирующем объекте и
с использованием автоматизированных средств.
Обучение персонала действиям в непредвиденных ситуациях
заключается в подготовке (с установленной периодичностью —
переподготовке) персонала по вопросам его роли, ответственно
сти и обязанностей при осуществлении действий в непредвиден
ных ситуациях. В процессе подготовки должны моделироваться
соответствующие события, что поможет в будущем персоналу
эффективно выполнить требуемые от него действия при возник
новении кризисных ситуаций. При этом желательно использо
вать автоматизированные средства для обеспечения более полной
и реалистичной среды обучения.
На предприятии должны быть идентифицированы места ре
зервного хранения информации и решены административные воп
росы хранения резервных копий информации. Места резервного
хранения информации пространственно (географически) отделяют
ся от основных мест хранения информации, чтобы не подвергать
ее тем же самым опасностям. Место резервного хранения информа
ции должно быть сформировано таким образом, чтобы обеспе
чить своевременное и эффективное выполнение операций восста
новления. В случае сбоя или аварии определяются потенциаль
ные проблемы доступности мест резервного хранения информа
ции и конкретные действия по восстановлению доступности.
В организации должны быть определены резервные места об
работки информации и решены соответствующие административ
ные вопросы для выполнения критически важных задач вплоть до
восстановления возможностей ИТ по обработке информации. Ре
зервные места для обработки информации пространственно (гео
графически) отделяются от основных мест обработки, чтобы не
подвергать их тем же самым опасностям. Устанавливаются потен
циальные проблемы доступности резервных мест обработки ин
формации в случае сбоя или аварии и обеспечиваются конкрет
ные действия по восстановлению доступности. При использова
нии резервных мест обработки информации учитываются уста
новленные приоритеты обслуживания. Организация резервного
места обработки информации должна обеспечить минимально
требуемые эксплуатационные возможности.
На предприятии должны быть идентифицированы основные и
резервные телекоммуникационные сервисы и решены админист
ративные вопросы использования последних для осуществления
критически важных задач на период восстановления доступности
основных телекоммуникационных сервисов ИТ. При использова
нии основных и резервных телекоммуникационных сервисов учи
тываются установленные приоритеты обслуживания. Для крити
чески важных систем поставщики основных и резервных теле
коммуникационных сервисов соответствующим образом отделя
ются друг от друга, чтобы не подвергаться одним и тем же самым
опасностям, а также они должны иметь соответствующие планы
действий в непредвиденных ситуациях.
В организации должны создаваться (с установленной перио
дичностью) резервные копии информации пользовательского и
системного уровня (включая системную информацию о состоя
нии) и храниться резервные копии информации в защищенном
месте. Необходимо тестирование резервных копий информации
для того, чтобы удостовериться в надежности используемых но
сителей и целостности информации. Резервированную информа
цию следует выборочно использовать для восстановления функ
ций ИТ как часть проверки плана действий в непредвиденных
ситуациях. В наиболее важных системах резервные копии кри
тичной информации и программного обеспечения хранятся в не
сгораемом контейнере, который располагают вне зоны размеще
ния остальной информации и программного обеспечения ИТ.
В организации должны быть разработаны механизмы и под
держивающие их процедуры, необходимые для восстановления ИТ
после сбоя или отказа. Восстановление ИТ после сбоя или отказа
следует использовать как часть проверки плана действий в не
предвиденных ситуациях.
6.6. Реагирование на инциденты ИБ
Политика безопасности, принятая организацией, должна пред
усматривать набор оперативных мероприятий, направленных на
обнаружение и нейтрализацию нарушений ИБ. Важно, чтобы в
подобных случаях последовательность действий была спланиро
вана заранее, поскольку меры нужно принимать срочные и ско
ординированные.
Так, в Стандарте Банка России указано: «Организации следует
разработать и внедрить план обеспечения непрерывности бизнеса
(деятельности) и восстановления после прерываний. Данный план
и соответствующие процессы восстановления должны пересмат
риваться на регулярной основе и своевременно обновляться (на
пример, при существенных изменениях в операционной деятель
ности, организационной структуре, бизнес-процессах и автома
тизированных банковских системах). Эффективность документи
рованных процедур восстановления необходимо периодически
проверять и тестировать (как минимум на полугодовой основе).
С данным планом должны быть ознакомлены все сотрудники, от
вечающие за его выполнение и вовлеченные в процессы восста
новления.
В качестве методологической основы при разработке плана
могут быть использованы общепринятые международные стандар
ты, регулирующие вопросы менеджмента непрерывности бизнеса
(например, BSI PAS —56)».
Реакция на нарушения режима безопасности преследует две
главные цели [6]:
• блокирование нарушителя и уменьшение наносимого вреда;
• недопущение повторных нарушений.
В проекте документа [41] приведены группы требований к ре
агированию на инциденты нарушения безопасности. Это требо
вания:
• к политике и процедурам управление инцидентами;
• обучению действиям по управлению инцидентами;
• проверке эффективности управления инцидентами;
• обработке инцидентов;
• мониторингу инцидентов;
• составлению отчетов об инцидентах;
• информационной поддержке процесса обработки инциден
тов.
Требования к политике и процедурам управления инцидента
ми означают, что на предприятии должны разрабатываться, доку
ментироваться и периодически обновляться политика реагирова
ния на инциденты нарушения безопасности, а также процедуры и
меры, связанные с ее реализацией.
Требования к обучению действиям по реагированию на инци
денты нарушения безопасности устанавливают, что эксплуатиру
ющий персонал обязан пройти подготовку (с установленной пе
риодичностью — переподготовку) по вопросам ответственности и
обязанностей при осуществлении действий по реагированию на
инциденты нарушения безопасности. В процессе подготовки экс
плуатирующего персонала моделируются соответствующие собы
тия, позволяющие ему в будущем эффективно выполнить требуе
мые действия при возникновении кризисных ситуаций. Желатель
но использование автоматизированных средств.
Эффективность действий по реагированию на инциденты на
рушения безопасности требует проведения периодических прове
рок с использованием соответствующих тестов (проверочных по
следовательностей действий). Желательно использование автома
тизированных средств.
Требования к обработке инцидентов: возможности по обра
ботке инцидентов должны включать обнаружение, анализ, пре
дотвращение развития, устранение инцидентов нарушения без
опасности и восстановление безопасности после инцидентов. Для
этого желательно использование автоматизированных средств.
Требования по мониторингу инцидентов: инциденты наруше
ния безопасности ИТ должны отслеживаться и документировать
ся на постоянной основе. Для отслеживания инцидентов наруше
ния безопасности, сборе и анализе информации об инцидентах
используются автоматизированные средства. Об инцидентах не
обходимо представлять отчеты в установленные органы в соответ
ствии с установленной формой, периодичностью и перечнем ор
ганов.
На предприятии должны иметься необходимые ресурсы (реко
мендации, указания, справочная информация) поддержки пользо
вателей для обеспечения процесса обработки инцидентов.
6 .7 . Резервирование информации
и отказоустойчивость
Одной из наиболее распространенных угроз ИБ является поте
ря данных в результате отказа оборудования. Для восстановления
утраченной информации возможно заблаговременное создание
резервных копий данных. Существует ряд программных средств
резервного копирования, позволяющих решить эту задачу. Но,
во-первых, большие объемы информации регулярно копировать
затруднительно, а во-вторых, та информация, которая появилась
или изменилась после копирования, будет все-таки потеряна.
Альтернативой программным средствам резервирования являют
ся аппаратные решения, обеспечивающие отказоустойчивость.
Наиболее распространенные средства защиты от сбоев диско
вых систем — дисковые массивы (RAID — Redundant Arrays of
Inexpensive Disk), а также дуплексирование и зеркальное отобра
жение. Рассмотрим эти технологии подробнее. При зеркальном
отображении дисков вся записываемая на один диск информация
одновременно записывается и на другой. Это достигается приме
нением специального контроллера и соответствующим программ
ным обеспечением. Восстановление обычно выполняется вруч
ную: нужно заменить диск и включить машину, после чего вся
информация с исправного диска запишется на новый.
Недостатки зеркального отображения:
• уменьшение в два раза общего объема доступного дискового
пространства;
• поскольку операции чтения и записи выполняются дважды,
действие системы несколько замедляется;
• зеркальное отображение не защищает от сбоев контроллера
дисков.
Последний недостаток ликвидируется в технологии дуплекси
рования дисков, в которой для работы применяется два разных
контроллера, каждый из них работает с отдельным диском, что
удорожает систему.
RAID-системы — это метод управления жесткими дисками, при
котором несколько дисков работают как один логический диск.
Любой файл может храниться одновременно на нескольких дис
ках. Эта технология наиболее популярна на сегодняшний день в
АС уровня предприятия.
В RAID-системе используется контроллер RAID, реализуемый
программным либо аппаратным (внутренним или внешним) об
разом. Каждый из этих способов имеет свои преимущества и не
достатки. Наиболее дешевы программные реализации, но они
больше всего загружают центральный процессор компьютера.
Внешние аппаратные реализации, наоборот, стоят дорого, но про
изводительность и надежность у них наивысшие.
В матрицу дисков RAID-систем, как правило, устанавливают
ся дополнительные диски. В случае поломки какого-либо диска
вместо него монтируется резервный.