Общие положения

[min] Настоящая инструкция предназначена для организации порядка действий при возникновении нештатных ситуаций.

[min] Инструкция регламентирует действия персонала подразделений при возникновении нештатных ситуаций.

Инструкция разработана на основе (указать документы, в том числе по пожарной безопасности и гражданской обороне, соответственно включить оттуда разделы).

Общий порядок действий при возникновении нештатных ситуаций

[min] При возникновении нештатных ситуаций во время работы ЭВМ сотрудник, обнаруживший нештатную ситуацию немедленно ставит в известность своего администратора информационной безопасности.

[min] Администратор информационной безопасности проводит предварительный анализ ситуации и, в случае невозможности исправить положение, ставит в известность своего начальника и вызывает сотрудника (указать, например, отдела информатизации или отдела технической зашиты информации) подразделения банка для дальнейших действий.

[MAX] По факту возникновения нештатной ситуации составляется акт, с описанием ситуации.

[MAX] При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению ее причин.

[MAX] Особенности действий при возникновении наиболее распространенных нештатных ситуаций.

Сбой программного обеспечения. Администратор информационной безопасности совместно с сотрудником (указать) отдела выясняют причину сбоя ПО. Если исправить ошибку своими силами (в том числе после консультации с разработчиками ПО) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику ПО.

Отключение электричества. Администратор информационной безопасности совместно с сотрудником (указать) отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО, а так же проверяют работоспособность оборудования.

Сбой в локальной вычислительной сети (ЛВС). Администратор информационной безопасности совместно с сотрудником (указать) отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта.

Выход из строя сервера. Сотрудник, ответственный за эксплуатацию сервера, совместно с (указать) проводит меры по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы банка. При необходимости производятся работы по восстановлению ПО и данных из резервных копий с составлением акта.

Потеря данных. При обнаружении потери данных администратор информационной безопасности совместно с (указать) проводят мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости, производится восстановление ПО и данных из резервных копий с составлением акта.

Обнаружен вирус. При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить «зараженный» компьютер от ЛВС и провести анализ состояния компьютера. Анализ проводится компетентным в этой области сотрудником. Результатом анализа может быть попытка сохранения (спасения данных), так как после перезагрузки ЭВМ данные могут быть уже потеряны. После успешной ликвидации вируса, сохраненные данные также необходимо подвергнуть проверке на наличие вируса. При обнаружении вируса следует руководствоваться «Инструкцией по организации антивирусной защиты», инструкцией по эксплуатации применяемого антивирусного ПО. После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех ЭВМ банка с применением обновленных антивирусных баз.

Обнаружена утечка информации (дырка в системе защиты). При обнаружении утечки информации ставится в известность администратор информационной безопасности и начальник подразделения. Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищенности системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения.

Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). При обнаружении взлома сервера ставится в известность администратор информационной безопасности и начальник подразделения. Проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер. Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных из эталонного архива и резервных копий с составлением акта. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ЛВС банка, после чего провести аналогичные работы по проверке и восстановлению ПО и данных на других ЭВМ банка. По факту взлома сервера проводится служебное расследование.

Попытка несанкционированного доступа (НСД). При попытке НСД проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости, принимаются меры по предотвращению НСД, если есть реальная угроза НСД.

Компрометация ключей. При компрометации ключей следует руководствоваться инструкциями к применяемой системе криптозащиты.

Компрометация пароля. При компрометации пароля необходимо немедленно сменить пароль, проанализировать ситуацию на наличие последствий компрометации и принять необходимые меры по минимизации возможного (или нанесенного) ущерба (блокирование счетов пользователей и т.д.). При необходимости, проводится служебное расследование.

Физическое повреждение ЛВС или ПЭВМ. Ставится в известность администратор информационной безопасности. Проводится анализ на утечку или повреждение информации. Определяется причина повреждения ЛВС или ПЭВМ и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование. Проводится проверка ПО на наличие вредоносных программ-закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных из резервных копий с составлением акта.

Стихийное бедствие. При возникновении стихийных бедствий следует руководствоваться документами (указать) для соответствующих подразделений банка.

Профилактика против возникновения нештатных ситуаций

[min] Отделом технической защиты информации (или указать) периодически, не реже (указать период), должен проводится анализ зарегистрированных нештатных ситуаций для выработки мероприятий по их предотвращению.

[min] В общем случае, для предотвращения нештатных ситуаций необходимо четкое соблюдение требований нормативных документов банка и инструкций по эксплуатации оборудования и ПО.

[MAX] Ниже приведены рекомендации по предотвращению некоторых типичных нештатных ситуаций.

Сбой программного обеспечения. Применять лицензионное ПО, регулярно проводить антивирусный контроль и профилактические работы на ЭВМ (проверка диска и др.)

Отключение электричества. Использовать источники бесперебойного питания на ответственных (а лучше - на всех) технологических участках банка. Разработать инструкцию по аварийному переходу на резервный источник питания (если такой имеется в наличии) или аварийному завершению работы и сохранению данных. Желательно иметь в наличии резервный источник электроэнергии (дизель-генератор и др.)

Сбой ЛВС. Обеспечение бесперебойной работы ЛВС путем применения надежных сетевых технологий и резервных систем.

Выход из строя сервера. Применять надежные программно-технические средства, продуманную политику администрирования. Допускать к работе с серверным оборудованием только квалифицированных специалистов.

Потеря данных. Периодически проводить анализ системных журналов работы ПО с целью выяснения «узких» мест в технологии и возможной утечки (или потери) информации. Проводить с администраторами информационной безопасности (и сотрудниками) разъяснительные и обучающие собрания. Обеспечить комплексную защиту информации в банке.

Обнаружен вирус. Соблюдать требования «Инструкции по организации антивирусной защиты».

Обнаружена утечка информации (дырка в системе защиты). Применять обновления ПО по устранению программных «дыр» в системе защиты по мере их появления (обнаружения). Построить комплексную систему защиты информации в банке. Регулярно проводить анализ журналов попыток НСД и совершенствование системы защиты информации. Также См. «Потеря данных»

Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). См. «Обнаружена утечка информации (дырка в системе защиты)».

Попытка несанкционированного доступа (НСД). По возможности, установить регистрацию попыток НСД на всех технологических участках, где возможен несанкционированный доступ, с оповещением Администратора информационной безопасности о попытках НСД.

Компрометация ключей. Соблюдать требования «Инструкции по обращению с ключевыми материалами шифрования и ЭЦП».

Компрометация паролей. Соблюдать требования «Инструкции по организации парольной защиты».

Физическое повреждение ЛВС или ПЭВМ. Физическая защита компонентов сети (серверов, маршрутизаторов и др.), ограничение доступа к ним. С также «Сбой ЛВС».

Стихийное бедствие. Проводить обучающие собрания и тренировки персонала банка по вопросам гражданской обороны.

Инструкция по работе с эталонным программным обеспечением (ПО)

Порядок получения ПО от разработчика

[min] Все программное обеспечение (ПО), получаемое от разработчика должно быть подвергнуто антивирусной проверке.

[min] С полученного ПО необходимо изготовить рабочие копии, которые будут использоваться для установки и работы ПО. Исключения составляют носители информации, с которых невозможно изготовить копии по причине их защиты от копирования или невозможности изготовления копии.

[min] Носители информации оригинала (эталона), и копий ПО должны быть маркированы и учтены в подразделении (указать) банка.

[MAX] С эталона ПО необходимо снять значения хеш-функций для контроля целостности информации и зафиксировать эти значения в акте приема-передачи и формуляре носителей ПО.

[MAX] Для получения хеш-функций применяется программа CRC.EXE из состава операционной системы PC DOS 7.0 (или указать программу).

[min] С поступающими обновлениями ПО, в процессе его сопровождения разработчиком, необходимо поступать так же, как и с первоначальной версией ПО.

Проверка целостности эталонного ПО

[MAX] Перед повторным созданием рабочих копий необходимо проверить значения хеш-функций эталонного ПО для подтверждения его целостности.

Хранение эталонного ПО

[min] Эталонное ПО должно храниться в специально предназначенном для этой цели месте. Место хранения эталонного ПО должно исключать возможность резких перепадов температур, влияние сильных электромагнитных полей, прямых солнечных лучей, а также других явлений, способных привести к разрушению эталонной информации и (или) ее носителей.

[MAX] Эталонное ПО должно храниться на маркированных учтенных носителях информации. На каждый носитель информации должен быть составлен формуляр с описанием содержимого носителя информации. Формуляр должен содержать следующую информацию: наименование ПО, состав ПО и его хеш-функции, ФИО лица, производящего проверку и регистрацию ПО, дату регистрации ПО.

[min] Носители информации, для хранения эталонного ПО должны быть переведены с состояние «только чтение» или «защита от записи», если иное не предусмотрено документацией на ПО.

[min] Документация по установке эталонного ПО должна храниться вместе с ним.

Установка ПО

[min] Установка и настройка ПО производится только с рабочих копий ПО, за исключением случаев, когда изготовление копий невозможно.

[MAX] Установка (изменение) программного обеспечения компьютеров и локальной вычислительной сети должна осуществляться только в присутствии и под контролем администратора информационной безопасности (АИБ) того технологического участка, в котором эксплуатируется данное программное обеспечение.

[MAX] Установка ПО производится с составлением акта установки.

Обновление ПО

[min] Обновление ПО производится в соответствии с сопроводительной документацией на пакет обновления и регистрируется в специальном журнале изменения ПО.