reakcja na stopnie alarmowe CRP

Reakcja na stopnie alarmowe CRP

W artykule „Stopnie Alarmowe CRP” opisywaliśmy zasady wprowadzania oraz wymogi związane z poszczególnymi stopniami alarmowymi CRP – ALFA-CRP, BRAVO-CRP, CHARLIE-CRP oraz DELTA-CRP. W niniejszym tekście zaprezentujemy natomiast przykładowe metody postępowania i zadania do realizacji przez informatyków w celu wypełnienia tych wymogów.

Poniższe zestawienie stanowi listę wytycznych, która posłużyć może do zbudowania bardziej szczegółowych procedur postępowania. Jako przykład organizacji objętej wymogami wybraliśmy JST (jednostkę samorządu terytorialnego), natomiast jako powód wprowadzenia stopnia alarmowego – aktualną sytuację związaną z wojną w Ukrainie.

Pierwszy stopień alarmowy CRP (stopień ALFA-CRP)

Lp.Zadania do wykonaniaTreść zadania i sposób realizacji
1.





















Wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych w urzędzie i jednostkach organizacyjnych zwanych dalej systemami w szczególności wykorzystując zalecenia szefa ABW lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością oraz:
a) monitorować i weryfikować czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
b) sprawdzić dostępność usług
elektronicznych,
c) dokonywać, w miarę potrzeby, zmian w dostępie do systemów.







Inspektor Zarządzania Kryzysowego przekazuje Informatykowi informację o konieczności natychmiastowej weryfikacji dostępności Aktywów Informatycznych JST, oraz stałego monitoringu ich działania.
Stałe monitorowanie ruchu sieciowego pod kątem ciągłości działania i prób ataku oraz monitorowanie poprawnego działania infrastruktury teleinformatycznej. Informatyk dokonuje analizy przydzielonych praw dostępu do aktywów Systemu Informatycznego (pod kątem zgodności z zawartymi umowami serwisowymi i gwarancyjnymi) oraz przydzielonych uprawnień dla właścicieli poszczególnych aplikacji.
W przypadku stwierdzenia możliwości ograniczenia lub cofnięcia uprawnień celem zwiększenia bezpieczeństwa, Informatyk występuje z wnioskiem do przełożonego o zgodę na cofnięcie określonych uprawnień na czas obowiązywania stopnia ALFA CRP. Po akceptacji przełożonego dostęp zostaje w trybie natychmiastowym ograniczony.
Rozważyć zastosowanie polityki bezpieczeństwa odgórnie zapobiegającej uruchomieniu w potencjalnie złośliwych dokumentach aktywnej treści, tj. makra – dotyczy to w szczególności dokumentów z pakietu MS Office
(rozszerzenia .doc, .docx, .xls, .xlsx)
2.















Poinformować personel o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów.










W związku z podwyższonym stopniem alarmowym prosi się o zwracanie szczególnej uwagi na otrzymywane wiadomości e-mail (upewnić się czy nie doszło do podszycia w celu zachęcenia odbiorcy do uruchomienia załączonego
szkodliwego pliku lub kliknięcia w podane hiperłącze) oraz na zawarte w nich załączniki (ich rozszerzenia). W przypadku gdy w treści wiadomości zostało umieszczone hiperłącze, należy sprawdzić czy prowadzi ono do znanej i zaufanej strony. Rozważnie korzystaj z odnośników powiązanych z treściami sensacyjnymi odnoszącymi się do aktualnych i szeroko komentowanych zagadnień lub wydarzeń. Zalecamy szczególną ostrożność w otwieraniu wiadomości związanych z agresją Rosji na Ukrainę. Może im towarzyszyć złośliwe oprogramowanie w postaci skryptów, makr czy też plików wykonywalnych. Zwrócenie uwagi na nowe ikony, wygląd pulpitu czy stany aplikacji w zasobniku systemowym.
3.

















Sprawdzić kanały łączności z innymi właściwymi dla rodzaju stopnia alarmowego CRP podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania oraz ministrem właściwym ds. informatyzacji.








Informatyk dokonuje:
– weryfikacji poprawnego działania łączy internetowych,
– poprawnego działania systemów zabezpieczających sieci (routery, zapory ogniowe, bramki internetowe itp.),
– poprawności funkcjonowania zestawionych łączy VPN.
Ponadto zgodnie z rekomendacjami Centrum e-Zdrowia każda jednostka podległa powinna posiadać linię telefoniczną typu PSTN. Linia ta powinna mieć doprowadzenie do centrum zarządzania, dyrektora jednostki lub innych osób koordynujących działania danej jednostki. Linia telefoniczna musi być odporna na brak zasilania w jednostce. Warto rozważyć posiadanie takiej linii dodatkowo w technologii GSM.
Informatyk w JST przygotowuje raport, który przekazuje Inspektorowi Zarządzania Kryzysowego. W przypadku stwierdzenia przez Informatyka jakichkolwiek nieprawidłowości decyzje o naprawie zaistniałej sytuacji podejmowane są przez upoważnioną osobę w uzgodnieniu z Inspektorem Ochrony Danych.
4.


































Dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów kluczowych dla funkcjonowania JST oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu.



























Informatyk pisemnie przedkłada wyznaczonej osobie w trybie natychmiastowym informację o:
– posiadanych kopiach zapasowych systemów kluczowych oraz formach ich wykonania (backup przyrostowy, różnicowy itp.),
– miejscach przechowywania poszczególnych kopii oraz formie ich zapisu (macierz, dyski zewnętrzne itp.),
– przewidywanym czasie niezbędnym do odtworzenia poszczególnych zasobów oraz czynności niezbędnych związanych z ich odtworzeniem (przywróceniem systemu, odtworzenie baz danych itp.),
– stanem zabezpieczenia technicznego, fizycznego i teleinformatycznego infrastruktury backupu w chwili wprowadzenia stopnia zagrożenia.
W przypadku nieprawidłowości związanych z tworzeniem w/w kopii lub możliwościami przywrócenia systemów Informatyk powiadamia pisemnie przełożonego.
Zgodnie z zaleceniami NASK należy zbadać następujące zagadnienia:
– czy takie procedury są zaimplementowane?
– czy treść kopii zapasowych jest aktualna?
– czy cyklicznie wykonywane są kopie zapasowe?
– czy kopie zapasowe są przechowywane w sposób trwały i odporny? (w szczególności należy zwrócić uwagę, by kopia zapasowa nie była podłączona jako zasób sieciowy w sieci roboczej)
– czy kopia zapasowa faktycznie daje możliwość odtworzenia pracy?
– czy przeprowadzane są cykliczne testy utworzonych kopii zapasowych?
Ponadto Informatyk stosuję strategię 3-2-1:
1. należy przechowywać co najmniej 3 kopie zapasowe,
2. co najmniej 2 z nich należy przechowywać na różnych nośnikach,
3. co najmniej 1 z nich należy odizolować od pozostałych oraz sieci lokalnej (odmiejscowienie).
5.
















Sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń.












Zorganizować spotkanie przełożonych, inspektorów oraz Informatyka. W ramach przeprowadzonego spotkania następuje wymiana zgromadzonych informacji i w oparciu o nie podejmowana jest decyzja o dalszych działaniach.
Zastosować rekomendacje NASK w zakresie:
– zablokowania kanałów zdalnego dostępu do infrastruktury oraz publicznych usług, które są dostępne w sieci (np. RDP, FTP, itp.), które nie są niezbędne do prawidłowego funkcjonowania JST. W przypadku koniecznego zdalnego dostępu do usług czy zasobów placówki, silnie sugerujemy wprowadzenie dodatkowych środków bezpieczeństwa (np. uruchomienie zdalnego pulpitu tylko przez firmowy VPN)
– cyklicznej aktualizacji baz sygnatur programów antywirusowych używanych w organizacji (należy na bieżąco wykonywać aktualizacje systemów operacyjnych oraz zainstalowanego oprogramowania)
– upewnienia się czy hasła domenowe pracowników JST są odpowiednio mocne.
6.






Informować na bieżąco o efektach
przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego ds. informatyzacji.
Informacje przekazywane są na bieżąco do wyznaczonych komórek/osób. Osoba wyznaczona składa Dyrektorowi
raport z działań realizowanych podczas wprowadzenia stopnia alarmowego wraz z informacją o wszelkich incydentach w terminie określonym przez nadrzędne centrum zarządzania kryzysowego.

Procedury postępowania dla stopnia alarmowego ALFA-CRP

Drugi stopień alarmowy CRP (stopień BRAVO-CRP)

Po wprowadzeniu drugiego stopnia alarmowego CRP należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeśli wcześniej był wprowadzony stopień ALFA-CRP.

Lp.Zadania do wykonaniaTreść zadania i sposób realizacji
1.Zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów.Dyrektorzy jednostek organizacyjnych, określają dostępne zasoby kadrowe na czas wprowadzenia stopnia zagrożenia oraz pozyskują dane umożliwiające całodobowy kontakt z wyznaczoną osobą.
Pozyskane informacje są przekazane m.in. do pracownika odpowiedzialnego za bezpieczeństwo teleinformatyczne.
2.Wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.Wprowadza się całodobowy dyżur Informatyka JST, który ten potwierdza przyjęciem do wiadomości i wykonania. W przypadku niemożności pełnienia dyżuru Dyrektor wyznacza inne osoby lub inna osobę w grafiku dyżurów.
Procedury postępowania dla stopnia alarmowego BRAVO-CRP

Trzeci stopień alarmowy CRP (stopień CHARLIE-CRP)

Po wprowadzeniu trzeciego stopnia alarmowego CRP (stopnia CHARLIE-CRP) należy wykonać zadania wymienione dla pierwszego i drugiego stopnia alarmowego CRP (stopnia ALFA-CRP i BRAVO-CRP) oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP lub BRAVO-CRP.

Lp.Zadania do wykonaniaTreść zadania oraz sposób realizacji
1.Dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku.Informatyk w JST dokonuje analizy pod kątem stworzenia środowisk zapasowych oraz koniecznych mocy obliczeniowych dla ich prawidłowego funkcjonowania. Z przeprowadzonych czynności sporządza notatki, które przekazuje przełożonemu.
Informatyk w JST dokonuje analizy obciążenia systemów i wolnych przestrzeni dyskowych.
Dokonuje też weryfikacji rozlokowania i dostępności kluczowych elementów infrastruktury sieciowej niezbędnej do prawidłowego działania aplikacji. Z przeprowadzonych czynności sporządza notatki, które przekazuje przełożonemu.
2.Przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku w tym m. in.
– dokonać przeglądu planów awaryjnych oraz systemów,
– przygotować się do ograniczenia operacji na serwerach w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.
Informatyk w JST dokonuje przeglądu istniejących procedur awaryjnych dla poszczególnych systemów informatycznych oraz elementów technicznych infrastruktury teleinformatycznej.
Informatyk w JST dokonuje analizy pod kątem niezmiennego funkcjonowania kluczowych systemów oraz możliwości ograniczenia dokonywanych operacji w systemach o mniejszym znaczeniu.
Procedury postępowania dla stopnia alarmowego CHARLIE-CRP

Czwarty stopień alarmowy CRP (stopień DELTA-CRP)

Po wprowadzeniu czwartego stopnia alarmowego CRP (stopnia DELTA-CRP) należy wykonać zadania wymienione dla pierwszego, drugiego i trzeciego stopnia alarmowego CRP (stopnia ALFA-CRP, BRAVO-CRP i CHARLIE-CRP) oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień ALFA-CRP, BRAVO-CRP lub CHARLIE-CRP.

Lp.Zadania do wykonaniaTreść zadania oraz sposób realizacji
1.Uruchomić plany awaryjne lub plany ciągłości działania w sytuacji awarii lub utraty ciągłości działania.Dyrektor zarządza spotkanie robocze z pracownikami odpowiedzialnymi za zachowanie ciągłości pracy systemów informatycznych w JST. Pracownicy przekazują informację w zakresie posiadania procedur awaryjnych związanych z ciągłością działania nadzorowanych systemów teleinformatycznych.
W przypadku stwierdzenia braków w zakresie planów ciągłości działania, w trybie natychmiastowym opracowują niezbędne procedury.
2.Stosownie do sytuacji przystąpić do przywracania ciągłości działania.Informatyk w JST podejmuje zestawy procedur odtworzeniowych w celu utrzymania ciągłości działania. Każdorazowo po wykonaniu procedury przywracania ciągłości wykonuje raport z przeprowadzonej czynności i przekazuje go przełożonemu.
Procedury postępowania dla stopnia alarmowego DELTA-CRP

Oczywiście powyższy model jest tylko przykładem zadań i treści do wykonania. Podział kompetencji pomiędzy poszczególnymi komórkami i sposoby komunikacji z wydziałami kryzysowymi powinny być dostosowane do struktury organizacyjnej każdej JST.

Wszystkie podjęte działania i związane z nimi uwagi powinno się dokumentować i przekazywać przełożonym w postaci dokumentów papierowych/wiadomości e-mail/sms’ów lub innych przyjętych w JST kanałów komunikacji. Bez informacji zwrotnej dyrektor lub zarząd może nie mieć wiedzy na temat rzeczywistego stanu systemów teleinformatycznych w JST.

Chciałbym podkreślić, że opisane wyżej metody i zadania są często niemożliwe do zrealizowania w zespołach/działach/referatach ze względu na braki kadrowe i sprzętowe oraz brak specjalistycznej wiedzy. Już pierwszy z wymogów, dotyczący 24 godzinnego monitorowania powinien skłonić nas do zastanowienia się, czy w ogóle jesteśmy w stanie fizycznie wypełnić stawiane nam w przepisach wymogi.

W powyższym materiale opisaliśmy rodzaje stopni alarmowych i zadania jakie należy wykonać przy ich wprowadzeniu. Każdy z nas powinien zweryfikować w jakim stopniu jest w stanie przygotować swoją organizację do wykonania tych zadań. W kolejnych artykułach skupimy się na poszczególnych zadaniach i praktycznych przykładach implementacji rozwiązań umożliwiających ich realizację.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.