- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
270 |
Процесс восстановления |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
ванный план послеаварийного восстановления. Организации не могут избе- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
жать всех бедствий.Лучшее,что они могутсделать,–это планировать заранее, |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
как они будут восстанавливаться после того, как произойдет авария. Целью |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
плана является защита непрерывности бизнес-операций, когда IT-операции |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
частично или полностью остановлены. Наличие надежного плана аварийного |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
восстановления имеет ряд преимуществ: |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
у организации есть чувство безопасности. План восстановления гаран- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
тирует его постоянную способность функционировать перед лицом ка- |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
тастрофы; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
организация сокращает задержки в процессе восстановления. Без про- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
думанного плана процесс послеаварийного восстановления может быть |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
легко выполнен несогласованным образом, что приведет к ненужным |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
задержкам; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
гарантируется надежность резервных систем. Частью плана послеава- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
рийного восстановления является восстановление |
бизнес-операций |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
с использованием резервных систем.План гарантирует,что эти системы |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
всегда готовы к работе во время бедствий; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
предоставление стандартного плана тестирования для всех бизнес-опе- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
раций; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
минимизация времени, необходимого для принятия решений во время |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
бедствий; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
смягчение юридических последствий, которые организация может по- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
нести во время бедствия. |
|
|
|
|
|
|
|
|
|
|
|
|
Процесс планирования послеаварийного восстановления
Ниже приведены шаги,которые должны предпринять организации для разра- ботки комплексного плана послеаварийного восстановления. Диаграмма дает краткое изложение основных шагов (рис. 14.1). Все шаги одинаково важны.
Формирование команды послеаварийного восстановления
Команда послеаварийного восстановления–это команда,которая уполно-
мочена помогать организации во всех операциях послеаварийного восстанов- ления. Она должна включать в себя представителей всех департаментов и ряд представителей высшего руководства. Эта команда будет играть ключевую роль при планировании восстановления в отношении операций, которые они выполняют в своих отделах. Команда также будет следить за успешной реали- зацией плана.
Выполнение оценки рисков
Группа послеаварийного восстановления должна провести оценку рисков и выявить естественные и техногенные риски, которые могут повлиять на организационные операции, особенно те, что связаны с IT-инфраструктурой. Отобранные сотрудники департамента должны проанализировать свои функ- циональные области на предмет всех потенциальных рисков и определить
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
План послеаварийного восстановления 271to |
BUY |
|
|
|||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
потенциальные последствия, связанные с этими рисками. Группа послеава- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
рийного восстановления также должна оценить безопасность важных файлов |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
и серверов,перечислив угрозы,которым они подвергаются,и воздействия,ко- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
торые эти угрозы могут оказать. По завершении оценки рисков организация |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
должна быть полностью осведомлена о воздействиях и последствиях много- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
численных сценариев бедствий. Будет составлен подробный план послеава- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
рийного восстановления с учетом худшего сценария. |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
Формирование |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
команды |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
послеаварийного |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
восстановления |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Получение |
|
Оценка рисков |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
одобрения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Планирование |
Приоритизация |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Тестирование |
послеаварийного |
процессов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
восстановления |
и операций |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Создание плана |
|
Определение |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
послеаварийного |
|
стратегий |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
восстановления |
|
восстановления |
|
|
|
|
|
|
|
|
|
|
|
Сбор данных
Рис.14.1
Приоритизация процессов и операций
Здесь в плане послеаварийного восстановления представители каждого де- партамента определяют свои критические потребности, которые необходимо расставить в соответствии с приоритетом в случае аварии. Большинство ор- ганизаций не располагает достаточными ресурсами для удовлетворения всех потребностей, возникающих во время аварий (2). Это причина, почему нужно установить некоторые критерии, чтобы определить, где требуются ресурсы и внимание организации в первую очередь. Ключевыми областями, которые необходимо расставить по приоритетам при составлении плана послеаварий- ного восстановления, будут функциональные операции, обмен информацией, доступность и пригодность используемых компьютерных систем, конфиден- циальные данные и существующие политики (2). Для определения наиболее важных приоритетов команда должна обозначить максимально возможное
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
272 Процесс восстановления |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
время, в течение которого каждый отдел может работать без критически важ- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ных систем. Критические системы определяются как системы, необходимые для поддержки различных операций, выполняемых в организации. Общий подход к установлению приоритетов состоит втом,чтобы перечислить крити- ческие потребности каждого отдела,определить ключевые процессы,которые необходимо выполнить, чтобы удовлетворить их, а затем выявить и оценить основные процессы и операции. Последние в зависимости от приоритетности можно разделить на три уровня: существенный, важный и несущественный.
Определение стратегий восстановления
На этом этапе определяются и оцениваются практические способы послеава- рийного восстановления. Стратегии восстановления должны быть сформули- рованытаким образом,чтобы охватитьвсе аспекты организации.Эти аспекты включают в себя аппаратное обеспечение, программное обеспечение, базы данных, каналы обмена данными, обслуживание клиентов и системы обслу- живания конечных пользователей. Иногда могут заключаться письменные со- глашения с третьими сторонами, такими как поставщики оборудования, что- бы предоставить альтернативные варианты восстановления во время аварий. Организация должна рассмотреть такие соглашения, продолжительность их действия и их условия. К концу этого этапа группа послеаварийного восста- новления должна найти решение для всех, кто может пострадать в результате аварии.
Сбор данных
Чтобы команде послеаварийного восстановления было легче пройти весь про- цесс восстановления, информацию об организации следует собирать и доку- ментировать. Соответствующая информация, которая должна быть собрана, включает в себя формы инвентаризации, политики и процедуры, каналы свя- зи, важные контактные данные, номера обслуживания клиентов поставщиков услуг, а также сведения об аппаратных и программных ресурсах, которыми располагает организация (3). Следует также собирать информацию о местах хранения резервных копий, расписаниях резервного копирования, а также сроках их хранения.
Создание плана послеаварийного восстановления
Предыдущие шаги,если они будут выполнены правильно,предоставят коман- де достаточно информации, чтобы составить надежный план послеаварийно- го восстановления, который будет всеобъемлющим и практичным. План дол- жен иметь стандартный формат, который легко читается и кратко объединяет всю важную информацию. Процедуры реагирования должны быть полностью объяснены в простой для понимания форме. План должен иметь пошаговую компоновку и охватывать все, что необходимо сделать группе реагирования идругим пользователям в случае аварии.В немтакжедолжна бытьуказана его собственная процедура просмотра и обновления.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Тестирование |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
План послеаварийного восстановления
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
273to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
В отношении реальности и надежности плана никогда не следуетполагаться на волю случая,т.к.это можетопределять непрерывностьдеятельности организа- ции после крупной аварии. Поэтому его следует тщательно проверить, чтобы выявить любые проблемы или ошибки, которые могут в нем содержаться. Тес тирование предоставит платформу для команды послеаварийного восстанов- ления и пользователей с целью выполнения необходимых проверок и хороше- го понимания плана реагирования. Некоторые из тестов, которые могут быть проведены, включают в себя симуляции, контрольные тесты, тесты с полным прерываниемипараллельныетесты.Крайневажно,чтобыплан,накоторыйбу- дет опираться вся организация, оказался практичным и эффективным как для конечных пользователей,так и для группы послеаварийного восстановления.
Получение одобрения
После того как план проверен и признан надежным, практичным и всеобъем- лющим, он должен быть представлен высшему руководству, чтобы получить одобрение.
Высшее руководство должно утвердить план восстановления по двум осно- ваниям,таким как:
гарантия соответствия плана политике, процедурам и другим планам действий в чрезвычайных ситуациях (3). У организации может быть несколько планов на случай непредвиденных обстоятельств, и все они должны быть упорядочены. Например, план послеаварийного восста- новления, который может восстановить работу онлайн-сервисов только по прошествии нескольких недель, может быть несовместим с целями компании, занимающейся электронной коммерцией;
возможность использования плана для ежегодных проверок. Высшее руководство будет проводить свою оценку плана для определения его адекватности. Оно заинтересовано в том, чтобы адекватный план вос- становления включал в себя всю организацию. Руководство также долж- но оценить совместимость плана с целями организации.
Ведение плана
Ситуация с IT-угрозами может сильно измениться за очень короткий проме- жуток времени. В предыдущих главах мы обсудили программу-вымогатель WannaCry и объяснили, что за короткое время она охватила более 150 стран. Это вызвало потери очень серьезных сумм и даже привело к смертям, когда зловредный код зашифровал данные на компьютерах, используемых для важ- ных функций. Это одно из многих динамических изменений, которые влияют на IT-инфраструктуры и вынуждают организации быстро адаптироваться.По- этому хороший план послеаварийного восстановления должен часто обнов- ляться (3). Большинство организаций, пострадавших от WannaCry, были к это- му не готовы и не знали, какие действия им следовало предпринять. Атака длилась всего несколько дней, но многих застала врасплох. Это ясно показы-