905 subscribers

«Клуб любителей КИИ». Нештатные ситуации. Что от нас требуют НПА?

143 full reads
«Клуб любителей КИИ». Нештатные ситуации. Что от нас требуют НПА?

#187-фз #КИИ

Рассмотрим какие требования к планированию действий субъекта КИИ в нештатных ситуациях прописаны в официальных документах.

Часть 1 - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-6202bffa1688a06355f95388

Часть 2 - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-nado-sdelat-620578d0a64db977482cb531

Поскольку прямых официальных разъяснений от ФСТЭК по выполнению раздела XVI. Обеспечение действий в нештатных ситуациях (ДНС) не выпущено, предлагается воспользоваться косвенными рекомендациями регулятора.

Смотрим что входит в набор мер этого раздела:

Меры из приказа ФСТЭК России № 239
Меры из приказа ФСТЭК России № 239

Смотрим Методический документ ФСТЭК России "Меры защиты информации в государственных информационных системах" от 11.02.2014

ОЦЛ.3 ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ВОССТАНОВЛЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ПРИ ВОЗНИКНОВЕНИИ НЕШТАТНЫХ СИТУАЦИЙ

Требования к реализации ОЦЛ.3: Оператором должна быть предусмотрена возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций.

Для обеспечения возможности восстановления программного обеспечения в информационной системе должны быть приняты соответствующие планы по действиям персонала (администраторов безопасности, пользователей) при возникновении нештатных ситуаций.

Возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций должна предусматривать:

  • восстановление программного обеспечения, включая программное обеспечение средств защиты информации, из резервных копий (дистрибутивов) программного обеспечения;
  • восстановление и проверка работоспособности системы защиты информации, обеспечивающие необходимый уровень защищенности информации;
  • возврат информационной системы в начальное состояние (до возникновения нештатной ситуации), обеспечивающее ее штатное функционирование, или восстановление отдельных функциональных возможностей информационной системы, определенных оператором, позволяющих решать задачи по обработке информации.

Оператором применяются компенсирующие меры защиты информации в случаях, когда восстановление работоспособности системы защиты информации невозможно.

Правила и процедуры восстановления (в том числе планы по действиям персонала, порядок применения компенсирующих мер) отражаются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ОЦЛ.3:

оператором обеспечивается восстановление отдельных функциональных возможностей информационной системы с применением резервированного программного обеспечения зеркальной информационной системы (сегмента информационной системы, технического средства, устройства) в соответствии с ОДТ.2 и ОДТ.4.

Можно сделать вывод, что ФСТЭК желает видеть План действий в нештатных ситуациях, содержащий как минимум следующие мероприятия:

- формирование резервного хранилища для программного обеспечения и ЗИП для оборудования ЗОКИИ;

- резервирование каналов связи;

- восстановление программного обеспечения, включая программное обеспечение средств защиты информации, из резервных копий (дистрибутивов) программного обеспечения;

- восстановление работы ЗОКИИ на аппаратном уровне (переход на «горячий» резерв, использование ЗИП и т.д.)

- восстановление и проверка работоспособности системы защиты информации, обеспечивающие необходимый уровень защищенности информации;

- возврат информационной системы в начальное состояние (до возникновения нештатной ситуации), обеспечивающее ее штатное функционирование;

- расследование причин возникновения нештатной ситуации;

-принятие корректирующих действий;

-обучение персонала действиям в внештатной ситуации (тренировки).

«Клуб любителей КИИ». Нештатные ситуации. Что от нас требуют НПА?

Но это именно минимальные требования. Опыт серьезных организаций с высокой культурой безопасности показывает, что необходимо выполнить следующие требования:

  • структурирование действий персонала;
  • исключение пропуска указаний (важной информации), подлежащих учету персоналом при управлении нештатной ситуации;
  • легкую для восприятия персоналом логику переходов внутри одной инструкции и между различными инструкциями Плана;
  • отсутствие текстовых вставок (например, комментариев), затрудняющих восприятие указаний, содержащихся в инструкциях;
  • правильное восприятие текстовой информации (формулировки указаний и положений правил управления не должны позволять двойственного толкования, рекомендуется использовать легкий для восприятия шрифт);
  • легкий поиск необходимой информации по указанным в инструкциях ссылкам.
«Клуб любителей КИИ». Нештатные ситуации. Что от нас требуют НПА?

В инструкциях Плана должны предусматриваться меры, направленные на снижение возможности совершения персоналом ошибок при выполнении действий, основанных на навыках, и действий, основанных на правилах. К таким мерам относятся:

  • включение в текст инструкций Плана указаний о необходимости осуществления проверок выполняемых действий (самопроверки и проверки другим лицом из персонала);
  • включение в текст инструкций Плана особых предупреждений в случаях, когда повышается вероятность ошибочных действий персонала (например, когда требуемая последовательность действий отличается от схожей последовательности действий, выполняемой персоналом более часто или к выполнению которой он больше подготовлен).

Также при разработке Плана следует анализировать возможность совершения персоналом ошибок в ходе управления нештатной ситуацией (ошибок при выполнении действий, основанных на знаниях). К мерам, направленным на снижение вероятности совершения ошибок персонала, относятся:

  • выполнение представительного технического обоснования Плана;
  • углубленная теоретическая подготовка персонала по вопросам нештатных ситуаций;
  • анализ (в том числе по результатам тренировок персонала) возможностей неправильной диагностики персоналом состояния ЗОКИИ и принятия неверного решения по управлению нештатной ситуацией с внесением по результатам анализа в текст Плана предупреждений персоналу и рекомендаций, позволяющих снизить вероятность принятия неправильного решения.
«Клуб любителей КИИ». Нештатные ситуации. Что от нас требуют НПА?

Спецификой управления нештатной ситуацией может быть создание специальной технической группы, в состав которой включены ведущие специалисты субъекта КИИ (например, заместители главного инженера, начальники, заместители начальников основных подразделений). Задачей такой группы является подготовка предложений по управлению нештатной ситуацией для руководителя аварийных работ на основе инструкций и справочно-информационного раздела Плана. Также к подготовке предложений по управлению нештатной ситуации могут привлекаться представители поставщиков оборудования ЗОКИИ, услуг по эксплуатации и/или обеспечению функционирования ЗОКИИ, отраслевые/ведомственные/корпоративные центры ГосСОПКА, НКЦКИ, ФСТЭК России.

Описывается общий порядок принятия персоналом субъекта КИИ решения о начале применения Плана, а также о прекращении действий.

«Клуб любителей КИИ». Нештатные ситуации. Что от нас требуют НПА?

Указываются:

  • условия, при которых персоналом должно быть принято решение о начале применения Плана;
  • немедленные действия, осуществляемые после начала применения Плана;
  • порядок начальной диагностики состояния ЗОКИИ;
  • условия прекращения действий Плана.

Или пример требований по управлению нештатной ситуации от международной организации, особенно в части организации взаимодействия с внешними центрами поддержки и регуляторами:

"Руководство по безопасности МЕЖДУНАРОДНОЕ АГЕНТСТВО ПО АТОМНОЙ ЭНЕРГИИ ВЕНА Программы по управлению тяжелыми авариями на атомных электростанциях"

С целью осуществления дополнительных квалифицированных рекомендаций по управлению авариями следует обращаться за поддержкой к поставщикам станции (блока) или за получением другой эквивалентной помощи, если такая поддержка не обеспечивается службой аварийного реагирования. Следует четко устанавливать механизмы обращения за поддержкой, и периодически следует проверять потенциал обеспечения поддержки. Поставщика или эквивалентную организацию, которые оказывают такого рода поддержку, следует информировать обо всех важных изменениях на станции.

Персоналу центра технической поддержки следует знать в деталях АЭП и РУТА и иметь доступ к информации о состоянии станции (блока).

Указанному персоналу следует иметь правильное представление о явлениях, лежащих в основе тяжелой аварии, которые рассматриваются в РУТА. Этот персонал следует также назначать ответственным за контроль эффективности мер, направленных на управление тяжелой аварией, после того как было начато их выполнение. Сотрудникам центра технической поддержки следует активно взаимодействовать с персоналом пункта управления (БЩУ) в целях использования накопленного этим персоналом опыта и знаний о возможностях станции (блока).

Следует определять правила обмена информацией между различными командами службы аварийного реагирования. Следует устанавливать механизмы, обеспечивающие обмен информацией между центром технической поддержки и пунктом управления (БЩУ), а также передачу информации из центра технической поддержки в другие подразделения противоаварийной службы, включая подразделения, которые отвечают за выполнение планов аварийных мероприятий на площадке станции и за ее пределами. Следует обеспечивать, чтобы вербальные контакты между центром технической поддержки и персоналом пункта управления (БЩУ) поддерживал представитель центра технической поддержки, который является лицензированным оператором или лицом, имеющим эквивалентную аттестацию. Поскольку при возникновении тяжелой аварии требуется активное взаимодействие между станционными и сторонними командами, следует соблюдать осторожность и не допускать, чтобы такое взаимодействие нарушало управление аварией на станции (блоке).

Если необходимо привлечение регулирующего органа к принятию решений, следует определять, каким образом это взаимодействие будет осуществляться.

Продолжение: https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470

Комментируйте, если не согласны с авторской позицией.

Лайкайте и распространяйте заметку, если поддерживаете такой подход в к планированию действий субъекта КИИ при реагировании на нештатные ситуации.

Совместными усилиями обеспечим безопасность КИИ РФ.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019