Восстановление деятельности. Инцидент информационной безопасности


План по обеспечению непрерывности и восстановление деятельности после прерывания в результате инцидента информационной безопасности.


1. Общие положения

Обеспечение непрерывности деятельности организации — это способность постоянно и непрерывно поддерживать осуществление операций в любых условиях, в том числе при чрезвычайных обстоятельствах.

План обеспечения непрерывности и восстановления деятельности после прерывания в результате инцидента информационной безопасности (далее План) определяет необходимый комплекс мероприятий, которым должен следовать организация при ликвидации последствий инцидентов информационной безопасности (далее ИБ).

2. Цели осуществления Плана:

  • повышение защищенности критически важных внутренних процессов и автоматизированных информационных систем от угроз ИБ;
  • поддержание и обеспечение способности организации выполнять принятые на себя обязательства перед клиентами;
  • предупреждение и предотвращение возможного нарушения режима повседневного функционирования организации;
  • снижение тяжести последствий нарушения режима повседневного функционирования организации (в том числе размера материальных потерь и потерь информации);
  • обеспечение информационной безопасности организации.

3. Задачи осуществления Плана:

  • обеспечение готовности к действиям органов управления, сил и средств, предназначенных и выделяемых для предупреждения и ликвидации инцидента ИБ;
  • подготовка работников организации к действиям при возникновении инцидента ИБ;
  • организация своевременного оповещения и информирования работников организации о возникновении инцидента ИБ;
  • оценка экономических последствий инцидента ИБ;
  • создание резервов необходимых ресурсов для ликвидации последствий инцидента ИБ и восстановления деятельности.

4.  Группы обеспечения непрерывности и восстановления деятельности

Название группыСостав группыФункции группы
Группа обеспечения непрерывностиПользователи, руководители структурных подразделений, работники департамента информационных технологий и департамента экономической безопасностиРеализация комплекса защитных мер обеспечения непрерывности деятельности и контроль их исполнения, тестирование Плана, его пересмотр и обновление, обучение и повышение осведомленности работников организации
Группа первоначального реагированияПользователи, руководители структурных подразделений, начальник управления анализа и контроля рисков, начальник отдела ИБ и ЗИ ДЭБВыявление, локализация, классификация инцидента ИБ, определение степени ущерба и перечня восстановительных процедур
Группа восстановленияПредставитель ДИТ, начальник отдела ИБ и ЗИ ДЭБ, руководители структурных подразделений, пользователиВосстановление информационной и сетевой инфраструктуры, восстановление утраченной информации, проведение исправительных (корректирующих) операций
Группа кадровПредставитель отдела кадровРешение вопросов, связанных с командировками и переездами
Группа административной    поддержкиПредставители руководства организации, руководители структурных подразделенийОбеспечение работы группы восстановления, координация восстановления работы всех структурных подразделений, участвующих в деятельности организации

5. Мероприятия по обеспечению непрерывности деятельности

Обеспечение непрерывности деятельности организации реализуется комплексом следующих защитных мер:

5.1. Административные меры защиты -  это меры организационного характера, регламентирующие процессы функционирования системы обработки информации, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Они включают:

  • разработку правил обработки информации в автоматизированных системах;
  • мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов (учет влияния стихии, пожаров, охрана помещений и т.п.);
  • мероприятия, осуществляемые при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);
  • организацию надежного пропускного режима;
  • организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
  • распределение реквизитов разграничения доступа (паролей, профилей полномочий и т.п.);
  • организацию скрытого контроля за работой пользователей и персонала;
  • мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.).

5.2. Физические меры защиты -  это разного рода механические, электро — или электронно — механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации.

5.3. Техническими (аппаратно — программными) средствами защиты называются различные электронные устройства и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д.).

Ими являются:

  • средства идентификации и аутентификации субъектов (пользователей, процессов и т.д.) системы;
  • средства контроля доступа к ресурсам системы;
  • средства регистрации и анализа событий, происходящих в системе;
  • средства контроля целостности объектов системы;
  • средства шифрования данных;
  • антивирусные средства;
  • средства резервирования ресурсов и компонентов системы.

5.4. Для обеспечения восстановления деятельности после его прерывания в результате инцидента ИБ наиболее эффективным средством защиты является резервирование.

Резервирование предполагает:

  • наличие резервных компонентов системы, позволяющих практически «мгновенно» перейти на обслуживание компонентами, находящимися в «горячем» резерве, и, в течение приемлемого времени, в случае замены основных компонентов на резервные;
  • наличие резервных копий программ и критически важных приложений (дистрибутивов) на съемных носителях информации;
  • ежедневное инкрементное копирование (дампы баз данных);
  • еженедельное создание полных резервных копий;
  • хранение резервных копий на другом компьютере;
  • резервное копирование перед проведением доработок и обновлений.

6. Условия активизации Плана

  Введение в действие Плана восстановления деятельности осуществляется при получении оповещения об инциденте ИБ от пользователей или системы управления информационной инфраструктурой.

Инцидент ИБ — событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ.

Инцидентом информационной безопасности называется любое незаконное, неразрешенное (в том числе политикой ИБ) или неприемлемое действие, которое совершается в информационной системе. По источнику возникновения инциденты ИБ можно разделить на внутренние и внешние.

К внутренним инцидентам ИБ относятся:

  • отказ в обслуживании сервисов, средств обработки информации, оборудования;
  • нарушение конфиденциальности, целостности или доступности ценной информации;
  • несоблюдение требований к информационной безопасности, принятых в организации (нарушение правил обработки информации);
  • непреднамеренные ошибочные действия пользователя;
  • компрометация (разглашение пароля пользователя, утеря ключевого носителя) и т.д.

К внешним инцидентам ИБ относятся:

  • незаконный мониторинг системы;
  • вредоносные программы;
  • хищение носителей информации;
  • попытки проникновения в систему и т.д.

Данный перечень не является исчерпывающим и описывает только основные инциденты. Критерием оповещения о возможном инциденте ИБ является любое отклонение от нормального функционирования системы или других объектов информационной инфраструктуры.

7. Мероприятия по реагированию на инцидент ИБ

Комплекс мероприятий по реализации Плана основывается на функционале Групп по обеспечению и восстановлению непрерывности деятельности.

ИсполнительФункция/КонтрольСрок исполненияПримечание
Выявление и первоначальное реагирование
Работник ДИТИнформирование руководителя ДИТ,

начальника отдела ИБ и ЗИ ДЭБ
В течение 3 минут с момента выявления инцидентаПри получении информации от работников организации или самостоятельном обнаружении отклонения от нормального функционирования интернет-системы
Начальник, управления технического обеспечения, начальник отдела ИБ и ЗИ ДЭБПодтверждение (опровержение) факта возникновения инцидентаВ течение 5 минут с момента выявления инцидента
Начальник, управления технического обеспеченияЛокализация инцидентаВ течение 20 минут с момента выявления инцидентаПрекращение или приостановление работы, отключение оборудования, переход на резервное оборудование или каналы связи и т.д
Начальник управления технического обеспечения, начальник отдела ИБ и ЗИ ДЭБ, начальник управления анализа и контроля рисковКлассификация и определение степени тяжести последствий инцидентаВ течение 1 часа с момента выявления инцидентаВ соответствии с Методикой оценки рисков информационной безопасности
Начальник управления технического обеспеченияОбеспечение сохранности и целостности доказательств возникновения инцидентаВ течение 20 минут с момента выявления инцидентаСохранение лог-файлов на отчуждаемый носитель информации и т.п.
Восстановление непрерывности функционирования интернет-системы
Работники управлений технического и программного обеспеченияПеревод оборудования из резерва в оперативное использование, восстановление утраченной информации из резервных копийВ течение 1 часа с момента выявления инцидента
Начальник управления технического обеспеченияЗамена оборудованияВ течение 3 рабочих дней с момента выявления инцидентаПри необходимости

 

По результатам анализа причин возникновения инцидента ИБ комиссией по информационной безопасности Банка осуществляется:

  • выработка рекомендаций по быстрому обнаружению и (или) предупреждению подобных инцидентов в будущем;
  • реализация защитных мер по недопущению инцидента ИБ;
  • обучение сотрудников организации действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ.

8. Тестирование Плана

С целью определения возможности выполнения Плана его тестирование проводится один раз в два года.

Для обеспечения постоянной готовности работников организации к действиям в случае инцидента ИБ организуется изучение Плана всеми сотрудниками организации в соответствии с программой обучения.

Тестирование Плана осуществляется в форме учений. Учения проводятся с целью оценки реального времени, необходимого для выполнения Плана, и степени подготовленности сотрудников организации к работе.

Для проведения тестирования Плана определяется группа наблюдателей (контролеров), на которую возложен контроль выполнения предусмотренных Планом мероприятий, составление протокола тестирования и отчета о проведении тестирования Плана.

В состав группы наблюдателей (контролеров) привлекаются работники организации, ответственные за разработку Плана, представители службы внутреннего аудита, а при необходимости — независимые специалисты из организаций, специализирующихся на оказании консультационных услуг в сфере обеспечения непрерывности деятельности и информационной безопасности кредитных организаций.

Протокол тестирования Плана включает:

  • список наблюдателей (контролеров), присутствующих при проведении проверки (тестирования) с указанием лица, ответственного за ведение протокола;
  • перечень всех процедур, выполняемых в рамках тестирования Плана, с отметками о соответствии результатов их выполнения Плану;
  • время, затраченное на завершение промежуточных этапов и реализацию тестируемых модулей Плана;
  • описание выявленных недостатков Плана или подготовки сотрудников — участников проверки.

Протокол тестирования Плана согласовывается с руководителями задействованных в проверке подразделений.

План пересматривается не реже одного раза в два года с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности организации, утвержденной стратегии развития, а также для устранения недостатков, выявленных в ходе тестирования Плана, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования организации.

9. Заключение

Настоящий План является примерным и в каждом конкретном случае должен учитывать особенности текущей ситуации.


Скачать - кнопка

Скачать ZIP файл (24734)


Пригодились документы — поставь «лайк»:

2+

Добавить комментарий

Свернуть меню