1. Настоящая Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях в Министерстве образования и науки Республики Казахстан (далее - Министерство) определяет основные меры, методы и средства сохранения (поддержания) работоспособности информационных систем (далее - ИС) при возникновении различных кризисных ситуаций, а также способы и средства восстановления информации и процессов ее обработки в случае нарушения работоспособности ИС и ее основных компонентов. Кроме того, он описывает действия различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий и минимизации наносимого ущерба.
Приложение 4 к приказу Министра образования и науки Республики Казахстан от 2 декабря 2016 года № 685
Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях
Настоящая Инструкция отменена в соответствии с Приказом и.о. Министра образования и науки РК от 05.11.2018 г. № 613
1. Общие положения и основные понятия
2. Ситуация, возникающая в результате нежелательного воздействия на ИС, приведшая к угрозе информационной безопасности, называется кризисной. Кризисная ситуация может возникнуть в результате преднамеренных действий злоумышленника или непреднамеренных действий пользователей, аварий, стихийных бедствий.
3. По степени серьезности и размерам наносимого ущерба кризисные ситуации разделяются на следующие категории:
1) угрожающая - приводящая к полному выходу из строя ИС и неспособности выполнять далее свои функции, а также к уничтожению, блокированию, неправомерной модификации или компрометации наиболее важной информации.
К угрожающим кризисным ситуациям относятся:
нарушение подачи электроэнергии в здании;
выход из строя файлового сервера (с потерей информации);
выход из строя файлового сервера (без потери информации);
частичная потеря информации на сервере без потери его работоспособности;
выход из строя локальной сети (физической среды передачи данных);
2) серьезная - приводящая к выходу из строя отдельных компонентов системы (частичной потере работоспособности), потере производительности, а также к нарушению целостности и конфиденциальности программ и данных в результате несанкционированного доступа.
К серьезным кризисным ситуациям относятся:
выход из строя рабочей станции (с потерей информации);
выход из строя рабочей станции (без потери информации);
частичная потеря информации на рабочей станции без потери ее работоспособности;
стихийные бедствия (пожар, наводнение, ураган и т.д.).
Подробное описание о порядке действий пользователей во внештатных (кризисных) ситуациях находится в Приложении 1 к данной инструкции.
4. Источники информации о возникновении кризисной ситуации:
1) пользователи, обнаружившие подозрительные изменения в работе или конфигурации системы или средств ее защиты в своей зоне ответственности;
2) средства защиты, обнаружившие кризисную ситуацию;
3) системные журналы, в которых имеются записи, свидетельствующие о возникновении или возможности возникновения кризисной ситуации.
2. Общие требования
5. Все пользователи, работа которых нарушена в результате возникновения угрожающей или серьезной кризисной ситуации, немедленно оповещаются посредством электронной почты администраторами ИС. Дальнейшие действия по устранению причин нарушения работоспособности ИС, возобновлению обработки и восстановлению поврежденных (утраченных) ресурсов определяются функциональными обязанностями персонала и пользователей системы.
6. Каждая кризисная ситуация анализируется ДИТ. По результатам этого анализа вырабатываются предложения по изменению полномочий пользователей, атрибутов доступа к ресурсам, созданию дополнительных резервов, изменению конфигурации системы или параметров настройки средств защиты и т.п., при необходимости проводится расследование причин ее возникновения, оценка причиненного ущерба, определение виновных и принятие соответствующих мер.
7. Серьезная и угрожающая кризисная ситуация требует оперативной замены и ремонта вышедшего из строя оборудования, а также восстановления поврежденных программ и наборов данных из резервных копий.
8. Оперативное восстановление программ (используя эталонные копии) и данных (используя страховые копии) в случае их уничтожения или порчи в серьезной или угрожающей кризисной ситуации обеспечивается резервным (страховым) копированием и внешним (по отношению к основным компонентам системы) хранением копий. Внешнее хранение подразумевает нахождение копий в выделенных хранилищах (сейфах), находящихся в специально отведенных помещениях.
9. Резервному копированию подлежат все программы и данные, обеспечивающие работоспособность и выполнение задач системы (системное и прикладное программное обеспечение, базы данных и другие наборы данных), а также архивы, журналы транзакций, системные журналы и т.д.
10. Все программные средства, используемые в системе имеют эталонные (дистрибутивные) копии.
11. Необходимые действия персонала по созданию, хранению и использованию резервных копий программ и данных отражаются в функциональных обязанностях соответствующих категорий персонала, как правило - эго системные администраторы, администраторы автоматизированных рабочих мест, сотрудники ДИТ, а также фиксируются в реестре согласно Приложению 2 к данной Инструкции.
3. Обязанности и действия персонала по обеспечению непрерывной работы и восстановлению информационных систем
12. Действия персонала в кризисной ситуации зависят от степени ее тяжести.
13. В случае возникновения угрожающей или серьезной критической ситуации действия персонала включают следующие этапы:
1) немедленная реакция ответственного персонала.
В кризисных (внештатных) ситуациях пользователи немедленно оповещаются посредством внутренней электронной почты, устно по телефону или с помощью электронных средств связи сотрудниками Информационной технической службы (далее - ИТЦ) и Департамента информационных технологий (далее - ДИТ).
В дневное время суток пользователь, обнаруживший внештатную (кризисную) ситуацию, ставит в известность сотрудников ИТЦ и ДИТ, или СА в части технической поддержки информационных ресурсов и систем и серверного обслуживания.
В ночное время суток при возникновении внештатной ситуации обнаруживший пользователь должен поставить в известность дежурного сотрудника ДИТ, в срочном порядке средствами телефонной связи оповещаются: ответственные руководители структурных подразделений за данный участок работ, руководство ДИТ. Событие в обязательном порядке регистрируется в журнале, с указанием точного времени инцидента, краткого описания событий, с указанием Ф.И.О. оповещенных руководителей структурных подразделений, описание действий, направленных на устранение кризисной ситуации согласно Приложению 3 к данной Инструкции;
2) частичное восстановление работоспособности и возобновление обработки;
3) полное восстановление системы и возобновление обработки в полном объеме;
4) расследование причин возникновения кризисной ситуации и установление виновных;
5) выработка решений по устранению причин и недопущения в последующем подобных фактов нарушений.
14. Контроль за организацией работ в кризисных ситуациях осуществляет ДИТ.
4. Мероприятия по ведению регистрации и описанию внештатных ситуаций
15. Сотрудники ДИТ, совместно с СА заводят журнал учета и регистрации внештатных ситуаций. В данном журнале обязательно регистрируются: причины ситуации, ее продолжительность и значение параметров во время нештатной ситуации согласно Приложению 4 к данной Инструкции. При необходимости составляется акт и разрабатывается план необходимых корректирующих мер по исправлению критической ситуации.
Приложение 1 к Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях
1. Отказ кондиционера воздуха
Температура помещения, в котором находятся компьютеры, не должна превышать 25 градусов, в противном случае принимаются следующие меры:
необходимо сообщить дежурному сотруднику ДИТ об инциденте, чтобы он предпринял следующие действия:
корректно отключить сервера и источники бесперебойного питания;
уведомить Администраторов баз данных и программного обеспечения (Администраторов БД и ПО) с целью их привлечения к отключению системы;
сообщить своему руководству о данном инциденте.
2. Процедуры в случае пожарной тревоги
Необходимо сообщить дежурному сотруднику ДИТ об инциденте, чтобы он предпринял следующие действия:
немедленно выключил сервера, телекоммуникационное оборудование и источники бесперебойного питания;
выключил рубильник (автомат) электрического питания;
попытался погасить пожар ручным огнетушителем;
попытался перенести используемые носители информации из помещения, в котором находятся сервера, в безопасное место.
Если не удается погасить пожар:
включить сигнал пожарной тревоги или вызвать пожарную охрану по телефонам - 4-29-40, 4-29-41 (чрезвычайный вызов - 051);
выходя из помещения, в котором находятся сервера, выключить аварийный выключатель электрического питания, расположенный рядом с дверью этого помещения.
Примечание: огнетушитель устанавливается на стене рядом с дверью в помещении, в котором находятся сервера. Действия, описанные в данном разделе, производятся, если серверное помещение не оборудовано средствами противопожарной безопасности, и есть время на их выполнение (нет открытого огня и сплошного задымления), в противном случае данные действия квалифицируются как нарушение инструкции по противопожарной безопасности.
3. Процедуры при отказе электропитания
Если в серверном помещении появились проблемы с электрическим питанием, необходимо выполнить следующие шаги:
сообщить дежурному сотруднику ДИТ об инциденте, чтобы он предпринял следующие действия:
корректно отключил сервера и источники бесперебойного питания,
уведомил Администраторов баз данных и программного обеспечения (Администраторов БД и ПО) с целью их привлечения к отключению системы.
4. Процедуры в случае затопления
Если в серверном помещении появились проблемы связанные с затоплением серверного помещения, необходимо выполнить следующие шаги:
сообщить дежурному сотруднику ДИТ об инциденте, чтобы он предпринял следующие действия:
выключил рубильник (автомат) электрического питания;
немедленно отключил сервера, телекоммуникационное оборудование.
Приложение 2 к Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях
Реестр
Таблица 1
Наименование информационной системы |
Где размещается ИС (адрес, каб. №) |
Вид резервного копирования (период возобновляемого копирования) |
Ответственный за резервное копирование и порядок создания резервной копии (используемые технические средства) |
Где хранится резервная копия (ответственный, его телефон) |
Порядок использования резервной копии (кто, в каких случаях) |
|
|
|
|
|
|
Приложение 3 к Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях
Журнал описания действий направленных на устранение кризисной ситуации
Таблица 2
Время и дата |
Краткое описание события |
Ф. И.О. оповещенных руководителей структурных подразделений |
Описание действий направленных на устранение кризисной ситуации |
Структурное подразделение ответственное за действие по устранению кризисной ситуации (ответственный, его телефон) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 4 к Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях
Журнал учета и регистрации внештатных ситуаций
Таблица 3
Время и дата |
Краткое описание события |
Причина ситуации |
Продолжительность ситуации |
Описание действий направленных на устранение кризисной ситуации |
СП, Ф.И.О. ответственное за действие по устранению кризисной ситуации (ответственный, его телефон) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5