ГлавнаяБиблиотечные книжкиКурс «Безопасность Информационных Технологий»

Тема 16: Планы защиты и планы обеспечения непрерывной работы и восстановления подсистем АС

План защиты информации

Планы защиты информации разрабатываются с целью конкретизации положений Концепции информационной безопасности для конкретных подсистем АС и должны содержать следующие сведения:

  • описание подсистемы АС как объекта защиты: назначение, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.;
  • цель защиты и пути обеспечения безопасности ресурсов подсистемы АС и циркулирующей в ней информации;
  • перечень значимых угроз безопасности и наиболее вероятных путей нанесения ущерба подсистеме АС;
  • основные требования к организации процесса функционирования подсистемы АС и мерам обеспечения безопасности обрабатываемой информации;
  • требования к условиям применения и определение зон ответственности установленных в системе штатных и дополнительных технических средств защиты;
  • основные правила, регламентирующие деятельность пользователей и персонала по вопросам обеспечения безопасности в подсистеме.

План обеспечения непрерывной работы и восстановления

План обеспечения непрерывной работы и восстановления (ПОНРВ) определяет основные меры, методы и средства сохранения (поддержания) работоспособности АС при возникновении различных кризисных ситуаций, а также способы и средства восстановления информации и процессов ее обработки в случае нарушения работоспособности АС и ее основных компонентов. Кроме того, он описывает действия различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий и минимизации наносимого ущерба.

Классификация кризисных ситуаций

Ситуация, возникающая в результате нежелательного воздействия на АС, не предотвращенного средствами защиты, называется кризисной. Кризисная ситуация может возникнуть в результате злого умысла или случайно (в результате непреднамеренных действий, аварий, стихийных бедствий и т.п.).

Под умышленным нападением понимается кризисная ситуация, которая возникла в результате выполнения злоумышленниками в определенные моменты времени заранее обдуманных и спланированных действий.

Под случайной (непреднамеренной) кризисной ситуацией понимается такая кризисная ситуация, которая не была результатом заранее обдуманных действий и возникновение которой явилось результатом, объективных причин случайного характера, халатности, небрежности или случайного стечения обстоятельств.

По степени серьезности и размерам наносимого ущерба кризисные ситуации разделяются на следующие категории:

Угрожающая - приводящая к полному выходу АС из строя и ее неспособности выполнять далее свои функции, а также к уничтожению, блокированию, неправомерной модификации или компрометации наиболее важной информации;

Серьезная - приводящая к выходу из строя отдельных компонентов системы (частичной потере работоспособности), потере производительности, а также к нарушению целостности и конфиденциальности программ и данных в результате несанкционированного доступа.

Ситуации, возникающие в результате нежелательных воздействий, не наносящих ощутимого ущерба, но тем не менее требующие внимания и адекватной реакции (например, зафиксированные неудачные попытки проникновения или несанкционированного доступа к ресурсам системы) к критическим не относятся. Действия в случае возникновения таких ситуаций предусмотрены Планом защиты (в обязанностях персонала: ответственных за безопасность в подразделениях и на технологических участках и сотрудников подразделения ОИБ).

К угрожающим кризисным ситуациям, например, могут быть отнесены:

• нарушение подачи электроэнергии в здание;

• выход из строя сервера (с потерей информации);

• выход из строя сервера (без потери информации);

• частичная потеря информации на сервере без потери его работоспособности;

• выход из строя локальной сети (физической среды передачи данных); К серьезным кризисным ситуациям, например, могут быть отнесены:

• выход из строя рабочей станции (с потерей информации);

• выход из строя рабочей станции (без потери информации);

• частичная потеря информации на рабочей станции без потери ее работоспособности;

К ситуациям, требующим внимания, например, могут быть отнесены:

• несанкционированные действия, заблокированные средствами защиты и зафиксированные средствами регистрации.

Источники информации о возникновении кризисной ситуации:

• пользователи, обнаружившие несоответствия Плану защиты или другие подозрительные изменения в работе или конфигурации системы или средств ее защиты в своей зоне ответственности;

• средства защиты, обнаружившие предусмотренную планом защиты кризисную ситуацию;

• системные журналы, в которых имеются записи, свидетельствующие о возникновении или возможности возникновения кризисной ситуации.

Меры обеспечения непрерывной работы и восстановления работоспособности АС

Непрерывность процесса функционирования АС и своевременность восстановления ее работоспособности достигается:

• проведением специальных организационных мероприятий и разработкой организационно-распорядительных документов по вопросам обеспечения НРВ вычислительного процесса;

строгой регламентацией процесса обработки информации с применением ЭВМ и действий персонала системы, в том числе в кризисных ситуациях;

• назначением и подготовкой должностных лиц, отвечающих за организацию и осуществление практических мероприятий по обеспечению НРВ информации и вычислительного процесса;

• четким знанием и строгим соблюдением всеми должностными лицами, использующими средства вычислительной техники АС, требований руководящих документов по обеспечению НРВ;

• применением различных способов резервирования аппаратных ресурсов, эталонного копирования программных и страхового копирования информационных ресурсов системы;

• эффективным контролем за соблюдением требований по обеспечению НРВ должностными лицами и ответственными;

• постоянным поддержанием необходимого уровня защищенности компонентов системы, непрерывным управлением и административной поддержкой корректного применения средств защиты;

• проведением постоянного анализа эффективности принятых мер и применяемых способов и средств обеспечения НРВ, разработкой и реализацией предложений по их совершенствованию.

Общие требования

Все пользователи, работа которых может быть нарушена в результате возникновения угрожающей или серьезной кризисной ситуации, должны немедленно оповещаться. Дальнейшие действия по устранению причин нарушения работоспособности АС, возобновлению обработки и восстановлению поврежденных (утраченных) ресурсов определяются функциональными обязанностями персонала и пользователей системы.

Каждая кризисная ситуация должна анализироваться администрацией безопасности и по результатам этого анализа должны вырабатываться предложения по изменению полномочий пользователей, атрибутов доступа к ресурсам, созданию дополнительных резервов, изменению конфигурации системы или параметров настройки средств защиты и т.п.

Серьезная и угрожающая кризисная ситуация могут требовать оперативной замены и ремонта вышедшего из строя оборудования, а также восстановления поврежденных программ и наборов данных из резервных копий.

Оперативное восстановление программ (используя эталонные копии) и данных (используя страховые копии) в случае их уничтожения или порчи в серьезной или угрожающей кризисной ситуации обеспечивается резервным (страховым) копированием и внешним (по отношению к основным компонентам системы) хранением копий.

Резервному копированию подлежат все программы и данные, обеспечивающие работоспособность системы и выполнение ею своих задач (системное и прикладное программное обеспечение, базы данных и другие наборы данных), а также архивы, журналы транзакций, системные журналы и т.д.

Все программные средства, используемые в системе должны иметь эталонные (дистрибутивные) копии. Их местонахождение и сведения об ответственных за их создание, хранение и использование должны быть указаны в формулярах на каждую ЭВМ (рабочую станцию, сервер). Там же должны быть указаны перечни наборов данных, подлежащих страховому копированию, периодичность копирования, место хранения и ответственные за создание, хранение и использование страховых копий данных.

Необходимые действия персонала по созданию, хранению и использованию резервных копий программ и данных должны быть отражены в функциональных обязанностях соответствующих категорий персонала.

Каждый носитель, содержащий резервную копию, должен иметь метку, содержащую данные о классе, ценности, назначении хранимой информации, ответственном за создание, хранение и использование, дату последнего копирования, место хранения и др.

Дублирующие аппаратные ресурсы предназначены для обеспечения работоспособности системы в случае выхода из строя всех или отдельных аппаратных компонентов в результате угрожающей кризисной ситуации. Количество и характеристики дублирующих ресурсов должны обеспечивать выполнение основных задач системой в любой из предусмотренной планом ОНРВ кризисной ситуации.

Ликвидация последствий угрожающей или серьезной кризисной ситуации подразумевает, возможно, более полное восстановление программных, аппаратных, информационных и других поврежденных компонентов системы.

В случае возникновения любой кризисной ситуации должно производиться расследование причин ее возникновения, оценка причиненного ущерба, определение виновных и принятие соответствующих мер.

Расследование кризисной ситуации производится группой, назначаемой руководством учреждения. Возглавляет группу администратор безопасности. Выводы группы докладываются непосредственно руководству организации.

Если причиной угрожающей или серьезной кризисной ситуации явились недостаточно жесткие меры защиты и контроля, а ущерб превысил установленный уровень, то такая ситуация является основанием для полного пересмотра Плана защиты и Плана обеспечения непрерывной работы и восстановления.

Средства обеспечения непрерывной работы и восстановления

1. Резервному копированию (РК) подлежит следующая информация:

• системные программы и наборы данных - невозобновляемому (однократному, эталонному) РК;

• прикладное программное обеспечение и наборы данных - невозобновляемому (эталонному) РК;

• наборы данных, генерируемые в процессе работы и содержащие ценную информацию (журналы транзакций, системный журнал и т.д.) -периодическому возобновляемому РК.

Резервному копированию в подсистеме подлежат следующие программные и информационные ресурсы (Таблица 1):

Таблица 1

Наименование

Где

Вид резервного

Ответственный за

Где хранится

Порядок

информационного

размещается

копирования

резервное

резервная копия

использования

ресурса

ресурс в

(период

копирование и

(ответственный,

резервной копии

системе

возобновляемого

порядок создания

его телефон)

(кто, в каких

копирования)

резервной копии

случаях)

(используемые

технические

средства)

Безопасность резервных копий обеспечивается:

• хранением резервных копий вне системы (в других помещениях, на другой территории);

• соблюдением мер физической защиты резервных копий;

• строгой регламентацией порядка использования резервных копий.

2. Дублированию (резервированию) в Системе подлежат следующие технические средства (Таблица 2):

Таблица 2

Наименование

Где

Вид резерва

Ответственный

Порядок

Где хранится

дублируемого

размещается

(групповой или

за готовность

использования

резервное

(резервируемого)

данное

индивидуаль-ный,

резервного

(включения,

средство

технического

средство в

холодный или

средства (период

настройки)

(ответствен-

средства

системе

горячий), время

проверки

резерва (для

ный, его

готовности

работоспособ-

различных

телефон)

резерва

ности резервного

кризисных

средства)

ситуаций)

Обязанности и действия персонала по обеспечению непрерывной работы и восстановлению системы

Действия персонала в кризисной ситуации зависят от степени ее тяжести.

В случае возникновения ситуации требующей внимания администратор безопасности подсистемы должен провести ее анализ собственными силами. О факте систематического возникновения таких ситуации и принятых мерах необходимо ставить в известность руководство подразделения.

В случае возникновения угрожающей или серьезней критической ситуации действия персонала включают следующие этапы:

• немедленная реакция;

• частичное восстановление работоспособности и возобновление обработки;

• полное восстановление системы и возобновление обработки в полном объеме;

• расследование причин кризисной ситуации и установление виновных. Этапы включают следующие действия:

В качестве немедленной реакции:

• обнаруживший факт возникновения кризисной ситуации оператор обязан немедленно оповестить об этом администратора безопасности;

• администратор должен поставить в известность операторов всех смежных подсистем о факте возникновения кризисной ситуации для их перехода на аварийный режим работы (приостановку работы);

• вызвать ответственных системного программиста и системного инженера;

• определить степень серьезности и масштабы кризисной ситуации, размеры и область поражения;

• оповестить персонал взаимодействующих подсистем о характере кризисной ситуации и ориентировочном времени возобновления обработки.

Ответственными за этот этап являются оператор подсистемы и администратор безопасности.

При частичном восстановлении работоспособности (минимально необходимой для возобновления работы системы в целом, возможно с потерей производительности) и возобновлении обработки:

• отключить пораженные компоненты или переключиться на использование дублирующих ресурсов (горячего резерва);

• если не произошло повреждения программ и данных, возобновить обработку и оповестить об этом персонал взаимодействующих подсистем.

• восстановить работоспособность поврежденных критичных аппаратных средств и другого оборудования, при необходимости произвести замену отказавших узлов и блоков резервными;

• восстановить поврежденное критичное программное обеспечение, используя эталонные (страховые) копии;

• восстановить необходимые данные, используя страховые копии;

• проверить работоспособность поврежденной подсистемы, удостовериться в том, что последствия кризисной ситуации не оказывают воздействия на дальнейшую работу системы;

• уведомить операторов смежных подсистем о готовности к работе.

Затем необходимо внести все изменения данных за время с момента создания последней страховой копии (за текущий период, операционный день), для чего должен осуществляться "докат" на основании информации из журналов транзакций либо все связанные с поврежденной подсистемой пользователи должны повторить действия выполненные в течение последнего периода (дня).

Ответственным за этот этап является администратор безопасности (под)системы, системный программист и системный инженер.

Для полного восстановления в период неактивности системы:

• восстановить работоспособность всех поврежденных аппаратных средств, при необходимости произвести замену отказавших узлов и блоков резервными;

• восстановить и настроить все поврежденные программы, используя эталонные (страховые) копии;

• восстановить все поврежденные данные, используя страховые копии и журналы транзакций;

• настроить средства защиты подсистемы в соответствии с планом защиты;

• о результатах восстановления уведомить администратора системы (базы данных).

Ответственными за этот этап являются администратор безопасности подсистемы, системный программист и системный инженер.

Далее необходимо провести расследование причин возникновения кризисной ситуации. Для этого необходимо ответить на вопросы:

• случайная или преднамеренная кризисная ситуация ?

• учитывалась ли возможность ее возникновения в Плане защиты и Плане обеспечения непрерывной работы и восстановления ?

• можно ли было ее предусмотреть ?

• вызвана ли она слабостью средств защиты и регистрации ?

• превысил ли ущерб от нее установленный уровень ?

• есть ли невосполнимый ущерб и велик ли он ?

• это первая кризисная ситуация такого рода ?

• есть ли возможность точно определить круг подозреваемых?

• есть ли возможность точно установить виновника ?

• в чем причина кризисной ситуации ?

• достаточно ли имеющегося резерва ?

• есть ли необходимость пересмотра плана защиты ?

• есть ли необходимость пересмотра плана обеспечения непрерывной работы и восстановления?

Ответственным за расследование является администратор безопасности подсистемы. Отчет о результатах расследования и предложениях по совершенствованию системы необходимо направить администратору системы (базы данных) и руководству организации.

Обязанности системного инженера по ОНРВ

В обязанности инженерного состава входит:

• поддержание аппаратных средств и другого оборудования, включая резервное (дублирующее), в рабочем состоянии и их периодическая проверка;

• восстановление функций аппаратных средств и другого оборудования в случае отказов;

• оперативная замена дефектных узлов резервными в случае отказов;

• подготовка и оперативное включение резервных аппаратных средств и другого оборудования в случае серьезной кризисной ситуации.