Общий порядок действий при возникновении нештатных ситуаций

При возникновении нештатных ситуаций во время работы ЭВМ сотрудник, обнаруживший нештатную ситуацию немедленно ставит в известность своего администратора информационной безопасности.

Администратор информационной безопасности проводит предварительный анализ ситуации и, в случае невозможности исправить положение, ставит в известность своего начальника и вызывает сотрудника

По факту возникновения нештатной ситуации составляется акт, с описанием ситуации. К акту прилагаются, если есть, поясняющие материалы (копии экрана, распечатка журнала событий и др.)

При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению её причин.

Особенности действий при возникновении наиболее распространённых нештатных ситуаций:

· Сбой программного обеспечения. Администратор информационной безопасности совместно с сотрудником отдела выясняют причину сбоя ПО. Если исправить ошибку своими силами (в том числе после консультации с разработчиками ПО) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику ПО.

· Отключение электричества. Администратор информационной безопасности совместно с сотрудником отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО, а так же проверяют работоспособность оборудования. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта.

· Сбой в локальной вычислительной сети (ЛВС). Администратор информационной безопасности совместно с сотрудником отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта.

· Выход из строя сервера. Сотрудник, ответственный за эксплуатацию сервера, совместно с проводит меры по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы.

При необходимости производятся работы по восстановлению ПО и данных из резервных копий с составлением акта.

Потеря данных. При обнаружении потери данных администратор информационной безопасности совместно с сотрудником отдела проводят мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости, производится восстановление ПО и данных из резервных копий с составлением акта.

Обнаружен вирус. При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить «заражённый» компьютер от ЛВС и провести анализ состояния компьютера.

Анализ проводится компетентным в этой области сотрудником. Результатом анализа может быть попытка сохранения (спасения данных), так как после перезагрузки ЭВМ данные могут быть уже потеряны. После успешной ликвидации вируса, сохранённые данные также необходимо подвергнуть проверке на наличие вируса. При обнаружении вируса следует руководствоваться «Инструкцией по организации антивирусной защиты», инструкцией по эксплуатации применяемого антивирусного ПО. После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех ЭВМ банка с применением обновлённых антивирусных баз. При необходимости производится восстановление ПО и данных из резервных копий с составлением акта. Проводится служебное расследование по факту появления вируса в ЭВМ (ЛВС).

Обнаружена утечка информации (дырка в системе защиты). При обнаружении утечки информации ставится в известность администратор информационной безопасности и начальник подразделения. Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищённости системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения.

Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). При обнаружении взлома сервера ставится в известность администратор информационной безопасности и начальник подразделения. Проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер.

Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных из эталонного архива и резервных копий с составлением акта. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ЛВС банка, после чего провести аналогичные работы по проверке и восстановлению ПО и данных на других ЭВМ банка. По факту взлома сервера проводится служебное расследование.

Попытка несанкционированного доступа (НСД). При попытке НСД проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД.

По результатам анализа, в случае необходимости, принимаются меры по предотвращению НСД, если есть реальная угроза НСД. Так же рекомендуется провести внеплановую смену паролей. В случае появления обновлений ПО, устраняющих уязвимости системы безопасности, следует применить такие обновления.

Компрометация ключей. При компрометации ключей следует руководствоваться инструкциями к применяемой системе криптозащиты.

Компрометация пароля. При компрометаций пароля необходимо немедленно сменить пароль, проанализировать ситуацию на наличие последствий компрометации и принять необходимые меры по минимизации возможного (или нанесённого) ущерба (блокирование счетов пользователей и т.д.). При необходимости, проводится служебное расследование.

Физическое повреждение ЛВС или ПЭВМ. Ставится в известность администратор информационной безопасности. Проводится анализ на утечку или повреждение информации. Определяется причина повреждения ЛВС или ПЭВМ и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование. Проводится проверка ПО на наличие вредоносных программ-закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных из резервных копий с составлением акта.

Стихийное бедствие. При возникновении стихийных бедствий следует руководствоваться документами для соответствующих подразделений.