[МУЗЫКА] Рассмотрим
непосредственно планирование действий в чрезвычайной ситуации.
Оно, как правило, направлено на минимизацию последствий от таких
ситуаций как с физической (выход из строя аппаратного обеспечения,
системы средств обработки информации),
так и с финансовой (то есть денежных потерь организации) точки зрения.
Речь идет о том, чтобы в случае наступления различных нежелательных
ситуаций для безопасности всей информационной системы и объекта
информатизации, предпринять такие меры, которые бы позволили организации
избежать финансовых потерь или повреждения каких-то других своих физических активов.
Как правило, это должно достигаться за счет того, что персонал
должен предпринимать меры для скорейшего восстановления работоспособности системы
или для защиты активов от еще больших повреждений, от еще больших потерь.
Планирование действий в таких ситуациях должно отхватывать следующие
категории нежелательных ситуаций: это стихийные бедствия,
аппаратные и программные сбои информационной системы, выход из строя
поддерживающих коммуникаций, а также обнаружение действий нарушителя.
Что касается стихийных бедствий, то наиболее желательно именно
минимизировать ущерб от них, пытаться сохранить активы организации.
В случае аппаратных и программных сбоев можно говорить о попытках возобновить
работоспособность системы и также минимизировать ущерб от подобных сбоев,
возможно, включив системы резервирования.
В случаев выхода из строя поддерживающих коммуникаций наиболее желательным
является как можно быстрое возобновление работоспособности системы,
однако в этом случае не все может полностью зависеть от системы безопасности
и службы безопасности объекта информатизации, поскольку поддерживающие
коммуникации зачастую обеспечиваются представителями других организаций.
А в случае обнаружения действий нарушителя наиболее правильные действия,
с точки зрения руководства, со стороны персонала,
— это информирование службы безопасности и специально обученного персонала,
который может противодействовать активным угрозам со стороны нарушителя,
например, компьютерным атакам.
Планирование действий в таких ситуациях, как правило, заключается в
разработке инструкций по действию персонала в перечисленных ситуациях,
назначении ответственных лиц за действие в таких ситуациях, информировании
сотрудников о необходимых действиях и в обучении сотрудников требуемым действиям.
В комплексе эти меры заключаются в том, что, с одной стороны, планируется,
как следует действовать в чрезвычайных ситуациях; с другой стороны, четко
устанавливается ответственность конкретных лиц за эти действия в подобных ситуациях,
и обеспечивается правильность действий всех прочих сотрудников,
которая, с одной стороны, обеспечивается путем обучения этих сотрудников, с
другой стороны, путем контроля за тем, что сотрудники действительно действуют так,
как им предписано, а не, например, просто пассивно наблюдают за происходящим.
Планирование действий в подобных ситуациях, как правило,
направлено на решение следующих задач: сохранение функционирования информационной
системы объекта информатизации, снижение убытков организации,
обеспечение целостности, доступности информации,
прекращение действий нарушителей или усиление последствий угрозы.
Сохранение функционирования информационной системы объекта информатизации, как уже
говорилось, может быть достигнуто за счет, например, включения систем резервирования,
то есть, например, дополнительного источника электропитания.
Снижение убытков организации может быть достигнуто путем попытки спасти какие-то
активы организации от дальнейших вредоносных воздействий, их эвакуации,
перемещении, и, таким образом, недопущении их более серьезных повреждений.
Обеспечение целостности и доступности информации может достигаться путем их
возобновления, например, из резервных копий или путем
экстренного копирования и резервирования уже самой информации.
Наконец, прекращение действий нарушителей или усиление последствий угрозы
может быть достигнуто путем активных действий со стороны службы информационной
безопасности, путем включения каких-то механизмов противодействия нарушителю,
путем изменения настроек отдельных средств безопасности информационной системы,
например, смены настроек на межсетевом экране.
В круг задач, которые могут решаться в рамках планирования действий в
чрезвычайных ситуациях,
могут входить обеспечение возможности протоколирования и аудита событий,
оценки защищенности объекта информатизации от ситуаций подобного рода,
а также принятие мер по снижению риска ситуации подобного рода.
Данная часть действий в чрезвычайных ситуациях является как бы заключительной,
и в некотором роде связана уже с обработкой произошедших событий,
то есть эти действия проводятся уже после того, как ситуация завершилась.
Ну кроме обеспечения возможности протоколирования и аудита событий.
Нельзя недооценивать важность таких действий, поскольку они позволяют повысить
защищенность объекта информатизации в дальнейшем от ситуации подобного рода.
Следует с очень большим вниманием подойти
к возможности протоколировать и проводить аудит различных событий.
То есть в случае, когда наступает та или иная чрезвычайная ситуация,
не связанная, например, со стихийными бедствиями,
как с наиболее разрушительной формой чрезвычайных ситуаций, весьма важно,
чтобы все действия внутри системы, будь то действия пользователей, процессов,
различных субъектов, находящихся вне информационной системы, возможно,
программных и аппаратных средств, были бы запротоколированы.
И далее администратор безопасности получил бы к ним доступ, с тем чтобы, возможно,
обнаружить записи об ошибках, обнаружить, какой из элементов информационной
системы вышел из строя, или кто из сотрудников или процессов,
или внешних субъектов стал виновником такой чрезвычайной ситуации; и с тем чтобы
в дальнейшем можно было провести анализ защищенности от подобных действий,
которые стали причинами подобных чрезвычайных ситуаций, и,
если потребуется, то принять меры по нейтрализации выявленных уязвимостей.
Для достижения максимальной эффективности действий персонала в инструкции по его
действию в чрезвычайных ситуациях могут быть включены следующие типовые действия.
Это лишь примеры, но многие из них будут хорошими идеями
в большинстве случаев чрезвычайных ситуаций.
Например, отключение и эвакуация носителей информации в случае
стихийных бедствий или в случае наступления каких-то сбоев в
поддерживающей инфраструктуре могут уберечь оборудование
информационной системы или носителя информации от дальнейших повреждений.
Принятие мер для защиты аппаратного обеспечения информационной системы от
физических повреждений также относится к различных стихийным бедствиям или
нарушениям поддерживающей инфраструктуры, например, наводнениям, пожарам,
прорывам канализации или системы водоснабжения,
которые могут привести к полному физическому повреждению различного
аппаратного обеспечения и технических систем.
Информирование службы безопасности организации — практически
обязательное действие в ситуации, если есть подозрение о действиях
злоумышленника на территории информационной системы, в рамках
информационной системы на территории объекта информатизации, например.
Приостановление работы в штатном режиме может быть ответом со стороны
персонала на конкретные сбои или действия нарушителя в информационной системе.
Продолжение работы в штатном режиме зачастую является желательным для
нарушителя и является частью запланированной им последовательности
действий, приводящей к достижению поставленной им перед собой цели.
Поэтому приостановление работы в штатном режиме в некоторых случаях может
сорвать планы нарушителя и, таким образом, не позволить ему достичь
цели и осуществить те или иные вредоносные воздействия на информацию.
Включение систем резервирования — наиболее очевидный ответ на выход из строя тех или
иных систем жизнеобеспечения, например, на нарушение электроснабжения.
С точки зрения информационной безопасности,
это позволяет обеспечить доступность информации, например,
обрабатываемой в информационной системе, и избежать тех или иных финансовых убытков,
например, для крупных организаций, скажем,
для интернет-провайдеров или для различных организаций, предоставляющих
доступ к базам данных или к системам распределенного хранения информации.
Для таких организаций выход из строя их оборудования или прекращение
электроснабжения этого оборудования может привести к серьезным финансовым потерям со
стороны их клиентов, то есть к, возможно, судебным искам, к различным рекламациям,
требованиям компенсации ущерба и подобным негативным последствиям.
Восстановление работоспособности программного обеспечения из резервной
копии во многих случаях является разумным действием в ответ на, например,
вирусную атаку, атаку нарушителя по компьютерной сети, приводящую
к повреждению какого-то программного обеспечения или его модификации.
Это позволит вернуть информационную систему к исходному состоянию, до
реализации чрезвычайной ситуации и, таким образом, продолжить ее штатную работу.
Замена или ремонт аппаратного обеспечения информационной системы — вполне
очевидная реакция на выход из строя такого обеспечения или различных
технических систем информационной системы или объекта информатизации.
Выявление уязвимостей, приведших к реализации угрозы,
и их устранение — это разумные последствия реализации чрезвычайной ситуации,
то есть то действие, которое почти в любой ситуации
следует вставлять одним из последних в инструкцию для персонала,
в последовательность действий, которую от него ожидает руководство.
Можно считать универсальным правилом, что практически любая чрезвычайная ситуация,
как и любое нарушение штатного регламента работы информационной системы,
должна быть основанием для проведения некоего расследования, результатом
которого должно стать выявление причин реализации такой ситуации,
выявление уязвимостей, которые сделали возможной реализацию такой угрозы,
нахождение виновников и, соответственно, ликвидация или минимизация этих
уязвимостей, применение соответствующих санкций к виновникам, если они есть,
и повышение защищенности всей системы от подобных угроз в дальнейшем.
[МУЗЫКА]
