Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Федерального агентства водных ресурсов от 30 апреля 2021 г. N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов"
- Приложение N 10. Регламент поведения обслуживающего персонала ПАК ИБ СЗИР в нештатных ситуациях
Приложение N 10. Регламент поведения обслуживающего персонала ПАК ИБ СЗИР в нештатных ситуациях
Приложение N 10
к приказу Федерального
агентства водных ресурсов
от 30.04.2021 г. N 117
Регламент поведения обслуживающего персонала ПАК ИБ СЗИР в нештатных ситуациях
1. Введение
Настоящий регламент поведения обслуживающего персонала (далее - Регламент) ПАК ИБ СЗИР в нештатных ситуациях регламентирует основные меры сохранения работоспособности ПАК ИБ СЗИР, восстановления информации и процессов ее обработки при возникновении нештатных ситуаций, связанных с функционированием ПАК ИБ СЗИР.
Положения настоящего Регламента распространяются на всех сотрудников Росводресурсов, подрядных и подведомственных организаций Росводресурсов, обеспечивающих работу ПАК ИБ СЗИР, включая системных администраторов и администратора ИБ.
Организацию работ по обслуживанию ПАК ИБ СЗИР осуществляет оператор ПАК ИБ СЗИР.
Оператор ПАК ИБ СЗИР - подведомственная организация Росводресурсов или подрядная организация, (при условии наличия у подрядных организаций лицензий на техническую защиту конфиденциальной информации), имеющая непосредственный доступ к ПАК ИБ СЗИР, серверному оборудованию, локальным вычислительным сетям, операционным системам, сетевому оборудованию, каналам связи, обеспечивающая информационную безопасность и непосредственно осуществляющая работы по технической защите информации, обеспечению безопасности персональных данных при их обработке.
2. Классификация нештатных ситуаций
Ситуация, приводящая к отклонениям в штатной работе ПАК ИБ СЗИР, называется нештатной. Нештатная ситуация может возникнуть в результате злого умысла - преднамеренная нештатная ситуация - или случайно (в результате непреднамеренных действий, халатности, аварий, стихийных бедствий и т.п.) - непреднамеренная нештатная ситуация.
По размерам наносимого ущерба нештатные ситуации подразделяются на следующие категории:
- критические - приводящие к полному выходу ПАК ИБ СЗИР из строя и ее неспособности далее выполнять установленные функции;
- опасные - приводящие к выходу из строя отдельных компонентов ПАК ИБ СЗИР (частичной потере работоспособности), потере производительности ПАК ИБ СЗИР и/или ее компонентов.
Источниками информации о возникновении нештатной ситуации, связанной с обработкой информации в ПАК ИБ СЗИР, могут быть:
- пользователи Росводресурсов, обнаружившие отклонения в штатной обработке информации;
- оповещения средств защиты информации ПАК ИБ СЗИР, возникающие в случае идентификации заданных отклонений;
- системные журналы компонентов ПАК ИБ СЗИР, в которых имеются записи, свидетельствующие о возникновении или возможности возникновения нештатной ситуации, связанной с работой ПАК ИБ СЗИР.
3. Меры сохранения работоспособности
Следующие меры способствуют сохранению работоспособности ПАК ИБ СЗИР:
- разработка, поддержание в актуальном состоянии ПАК ИБ СЗИР и документации по вопросам обеспечения непрерывной работы;
- регулярное повышение осведомленности обслуживающего персонала по вопросам обеспечения информационной безопасности и обеспечения непрерывности деятельности;
- регламентация и контроль соблюдения процессов функционирования ПАК ИБ СЗИР;
- назначение и подготовка должностных лиц, ответственных за обеспечение непрерывности деятельности и сохранение работоспособности ПАК ИБ СЗИР;
- применение различных способов резервирования и дублирования программного обеспечения и аппаратных средств ПАК ИБ СЗИР, а также обрабатываемой в ПАК ИБ СЗИР информации;
- соблюдение требований по обеспечению информационной безопасности;
- проведение оценки эффективности мер обеспечения информационной безопасности.
4. Реагирование на нештатные ситуации
Реагирование на нештатные ситуации, связанные с обработкой информации в ПАК ИБ СЗИР, осуществляется следующим образом:
- немедленная реакция;
- срочное возобновление функционирования;
- полное восстановление работоспособности;
- расследование нештатной ситуации.
Если возникшая нештатная ситуация является критической, то выполняется срочное возобновление функционирования ПАК ИБ СЗИР, используя резервные мощности, а затем полное восстановление работоспособности ПАК ИБ СЗИР и расследование нештатной ситуации.
Если возникшая нештатная ситуация является опасной, то выполняется полное восстановление работоспособности компонентов ПАК ИБ СЗИР, затронутых этой нештатной ситуацией, и расследование нештатной ситуации.
4.1 Немедленная реакция
Этот этап включает следующие действия сотрудника оператора ПАК ИБ СЗИР - ФГБУ "Акваинфотека" (далее - оператор ПАК ИБ СИЗР), обнаружившего нештатную ситуацию, связанную с работой ПАК ИБ СЗИР:
- классифицировать нештатную ситуацию в соответствии с положениями раздела 2 настоящего документа, основываясь только на известных ему/ей фактах;
- немедленно оповестить об этом своего руководителя, сообщив также предполагаемую классификацию нештатной ситуации.
Время выполнения действий по этому разделу не должно превышать 15 (пятнадцати) минут.
4.2 Срочное возобновление функционирования:
Получив сообщение о возникновении нештатной ситуации оператор ПАК ИБ СИЗР:
- обеспечивает немедленное информирование об этом руководства и администратора ИБ, принятие мер по срочному возобновлению функционирования ПАК ИБ СЗИР (возможно с потерей производительности);
- обеспечивает немедленное информирование об этом всех пользователей Росводресурсов, на чью деятельность может повлиять выявленная внештатная ситуация, и сообщает им ориентировочное время возобновления обработки информации;
- организует работу сотрудников оператора ПАК ИБ СЗИР, выполняющих действия по возобновлению функционирования ПАК ИБ СЗИР (возможно с потерей производительности).
Получив сообщение о возникновении критической нештатной ситуации, связанной с функционированием ПАК ИБ СЗИР, сотрудники оператора ПАК ИБ СИЗР обеспечивают срочное возобновление функционирования путем использования резервных ресурсов и выполнения следующих действий (при необходимости):
- отключение пораженных компонентов ПАК ИБ СЗИР;
- активация/развертывание дублирующих/резервных компонентов ПАК ИБ СЗИР;
- перевод пользователей Росводресурсов, затронутых нештатной ситуацией, на активированные/развернутые дублирующие/резервные компоненты для продолжения выполнения ими прерванных процессов обработки информации;
- восстановление (насколько позволяет ситуация) прерванных сеансов работы пользователей на активированных/развернутых дублирующих/резервных компонентах.
4.3 Полное восстановление работоспособности
Получив сообщение о возникновении опасной нештатной ситуации, связанной с функционированием оператор ПАК ИБ СЗИР:
- обеспечивает немедленное информирование об этом руководства и администратора ИБ, принятие ими мер по срочному возобновлению функционирования ПАК ИБ СЗИР (возможно с потерей производительности);
- обеспечивает немедленное информирование об этом всех пользователей Росводресурсов, на чью деятельность может повлиять выявленная нештатная ситуация, и сообщает им ориентировочное время возобновления обработки информации;
- организует работу сотрудников оператора ПАК ИБ СЗИР, выполняющих действия по возобновлению функционирования ПАК ИБ СЗИР (возможно с потерей производительности).
Получив сообщение о возникновении критической нештатной ситуации, связанной с функционированием ПАК ИБ СЗИР, сотрудников оператора ПАК ИБ СЗИР обеспечивают срочное возобновление функционирования путем использования резервных ресурсов и выполнения следующих действий (при необходимости):
- отключение пораженных компонентов ПАК ИБ СЗИР;
- активация/развертывание дублирующих/резервных компонентов ПАК ИБ СЗИР;
- перевод пользователей Росводресурсов, затронутых нештатной ситуацией, на активированные/развернутые дублирующие/резервные компоненты для продолжения выполнения ими прерванных процессов обработки информации;
- восстановление (насколько позволяет ситуация) прерванных сеансов работы пользователей на активированных/развернутых дублирующих/резервных компонентах.
Полное восстановление обработки информации в ПАК ИБ СЗИР помимо перечисленных выше действий должно включать в себя:
- восстановление работоспособности всех поврежденных аппаратных средств и (при необходимости) замену отказавших узлов (блоков) резервными;
- восстановление и настройку всего поврежденного программного обеспечения, используя эталонные копии;
- восстановление всех поврежденных данных, используя резервные копии;
- возобновление настроек средств защиты информации;
- восстановление (насколько позволяет ситуация) прерванных сеансов работы пользователей ПАК ИБ СЗИР.
4.4 Расследование нештатной ситуации
Расследование нештатной ситуации, связанной с функционированием ПАК ИБ СЗИР, осуществляется под руководством ответственного за ИБ группой, которая формируется из администратора ИБ, сотрудников системного администратора и сотрудников оператора ПАК ИБ СЗИР, после выполнения работ по полному восстановлению работоспособности компонентов ПАК ИБ СЗИР, затронутых этой нештатной ситуацией.
Расследование нештатной ситуации проводится с целью получения достоверной информации о ней и последующего выполнения определенных действий с тем, чтобы подобные ситуации больше не происходили, и должно включать следующее:
- определение времени, которое потребовалось для срочного возобновления функционирования ПАК ИБ СЗИР и для полного восстановления работоспособности компонентов ПАК ИБ СЗИР, затронутых нештатной ситуацией;
- предпринятые действия по срочному возобновлению функционирования ПАК ИБ СЗИР и полному восстановлению работоспособности компонентов информационных систем, затронутых нештатной ситуацией;
- определение перечня информационных ресурсов, затронутых нештатной ситуацией;
- установление причин нештатной ситуации (наличие уязвимостей, халатность персонала и др.);
- информацию об используемых в нештатной ситуации уязвимостях;
- информацию об используемых в нештатной ситуации угрозах;
- определение источника нештатной ситуации (преднамеренная или непреднамеренная);
- установление ресурсов, которые потребовались для срочного возобновления функционирования ПАК ИБ СЗИР и для полного восстановления работоспособности компонентов, затронутых нештатной ситуацией.
Для расследования нештатной ситуации могут быть использованы такие источники информации, как:
- документированные свидетельства (записи) лиц, обнаруживших и/или сообщивших о нештатной ситуации;
- документированные свидетельства (записи) лиц, участвовавших в возобновлении обработки информации в ПАК ИБ СЗИР;
- записи журналов регистрации событий программных и программно-аппаратных средств, включая средства защиты информации, имеющих отношение к нештатной ситуации;
- другие надежные источники.
Результатом расследования нештатной ситуации является протокол с приложением отчета о результатах расследования нештатной ситуации, содержащий предложения по совершенствованию системы защиты информации в ПАК ИБ СЗИР. Отчет может являться основанием для выполнения корректирующих действий, таких как:
- обучение пользователей ПАК ИБ СЗИР;
- изменение полномочий пользователей ПАК ИБ СЗИР;
- изменение конфигураций и параметров настройки средств защиты информации;
- создание дополнительных резервных мощностей;
- установка и настройка дополнительных средств защиты информации;
- дисциплинарная практика.
5. Роли и ответственность
5.1 Оператор ПАК ИБ СЗИР:
- осуществляет реагирование на нештатные ситуации в соответствии с настоящим Регламентом;
- организует устранение неисправностей ПАК ИБ СЗИР и восстановление его работоспособности в случае сбоев и отказов программных и аппаратных компонентов;
- формирует краткий отчет по результатам выполненных операций по техническому обслуживанию;
- формирует Отчет о результатах расследования нештатной ситуации.
5.2 Администратор ИБ:
- принимает участие в расследовании нештатных ситуаций;
- формирует Отчет о результатах расследования нештатной ситуации.