1.从CISSP考试看,整个考试涉及8个领域,至少3个领域提出了业务连续性管理,从规划、运营到具体的实现技术及应用,涉及方方面面。业务连续性管理贯穿信息安全知识体系的所有部分,是CIA中可用性的重要保障。
2.从企业的运营看,信息技术作为当前企业生产运营的基础,业务连续性是保障。
业务连续性/应急管理能力(sp800-34)/连续性管理能力会随着企业信息化使用的深度和广度凸显越来越重要。举一个笔者身边的例子。
一个某传统的大型制造国有企业,员工对信息化认识经历了几个阶段。第一个阶段,信息化刚开开始应用,大部分人比较排斥,尤其一线车间人员,信息系统建设的也不完善;第二阶段,排斥声减小,信息系统全面应用,但精细度不够,这个时候一线工人特别盼望着系统不能用,为什么呢?因为系统不能用了,生产就要停产,生产停了,就不用干活了。这个时候信息化还不能完全支撑企业运营;第三阶段,企业把信息化融入到企业生产经营的各个环节,这个时候无论企业经营计划安排还是员工绩效监控均在信息系统,系统一旦不能用就会直接面临停工停产,员工没有工作量工资会减少,企业停产也承受巨大损失,信息化将员工的利益和企业的利益捆绑在了一起,信息化充分释放了其作用。以上三个阶段往往,无论是信息化能力的建设还是对于信息化的认知都是循序渐进的过程,而此时对于业务连续性在信息化中的重要作用才刚刚凸显。随着信息化不断的深入到企业生产环节,企业的正常运营越来越离不开信息化,数据资产成为了新时期的企业的核心资产,数据的可用性成为企业核心竞争力的重要基础。如何保证数据的可用性成为新时期的一个重点话题。
复原力[7]是指能够迅速适应和从已知或未知的环境变化中恢复的能力。弹性不是一个过程,而是组织的最终状态。弹性组织的目标是在任何类型的中断期间,始终能保持基本的功能可用。有弹性的组织不断努力适应可能影响其继续履行关键职能能力的变化和风险。风险管理、应急和连续性规划是单独的安全和应急管理活动,也可以作为弹性计划的组成部分在整个组织中以整体的方式实施。
Anorganizationmusthavetheabilitytowithstandallhazardsandsustainitsmissionthroughenvironmentalchanges.Thesechangescanbegradual,suchaseconomicormissionchanges,orsudden,asinadisasterevent.Ratherthanjustworkingtoidentifyandmitigatethreats,vulnerabilities,andrisks,organizationscanworktowardbuildingaresilientinfrastructure,minimizingtheimpactofanydisruptiononmissionessentialfunctions.
Resilience[7]istheabilitytoquicklyadaptandrecoverfromanyknownorunknownchangestotheenvironment.Resiliencyisnotaprocess,butratheranend-statefororganizations.Thegoalofaresilientorganizationistocontinuemissionessentialfunctionsatalltimesduringanytypeofdisruption.Resilientorganizationscontinuallyworktoadapttochangesandrisksthatcanaffecttheirabilitytocontinuecriticalfunctions.Riskmanagement,contingency,andcontinuityplanningareindividualsecurityandemergencymanagementactivitiesthatcanalsobeimplementedinaholisticmanneracrossanorganizationascomponentsofaresiliencyprogram.
啰嗦了这么多,到底应急计划和风险管理有哪些关系呢?
风险管理包含了对系统风险进行识别、分析和控制、监控多项活动。按照原文的解释是与应急管理可独立运行也可联合一起运行。笔者的理解,风险管理和应急管理是相辅相成的,风险管理过程必然会影响到应急管理决策,应急管理的决策也会影响到风险管理的控制方法。实际上,当我们在做BIA的时候,其开始就要引用风险分析的结果作为输入。
业务连续性计划的重点是在中断期间和中断之后维持组织的任务/业务流程连续性。任务/业务流程的示例可以是组织的工资单流程或客户服务流程。业务连续性计划可以针对单个业务单元内的任务/业务流程编写,也可以针对整个组织的流程。
TheBCPfocusesonsustaininganorganization'smission/businessprocessesduringandafteradisruption.Anexampleofamission/businessprocessmaybeanorganization'spayrollprocessorcustomerserviceprocess.ABCPmaybewrittenformission/businessprocesseswithinasinglebusinessunitormayaddresstheentireorganization'sprocesses.
一句话总结:中断前进和之后维持组织能运转的计划。
2)运营/操作连续性(COOP)计划
重点是在另一个地点恢复一个组织的基本职能,并在恢复正常运转之前能保障这些只能正常运转30天。其他职能或外地办事处一级的职能可由业务连续性计划处理。
COOPfocusesonrestoringanorganization'smissionessentialfunctions(MEF)atanalternatesiteandperformingthosefunctionsforupto30daysbeforereturningtonormaloperations.Additionalfunctions,orthoseatafieldofficelevel,maybeaddressedbyaBCP.MinorthreatsordisruptionsthatdonotrequirerelocationtoanalternatesitearetypicallynotaddressedinaCOOPplan.
一句话总结:在灾备中心临时性恢复的计划。强调机构在备用站点恢复运行能力,计划不需要包括IT运行。
3)危机沟通计划
Organizationsshoulddocumentstandardproceduresforinternalandexternalcommunicationsintheeventofadisruptionusingacrisiscommunicationsplan.Acrisiscommunicationsplanisoftendevelopedbytheorganizationresponsibleforpublicoutreach.Theplanprovidesvariousformatsforcommunicationsappropriatetotheincident.Thecrisiscommunicationsplantypicallydesignatesspecificindividualsastheonlyauthorityforansweringquestionsfromorprovidinginformationtothepublicregardingemergencyresponse.Itmayalsoincludeproceduresfordisseminatingreportstopersonnelonthestatusoftheincidentandtemplatesforpublicpressreleases.Thecrisiscommunicationplanproceduresshouldbecommunicatedtotheorganization'sCOOPandBCPplannerstoensurethattheplansincludecleardirectionthatonlyapprovedstatementsarereleasedtothepublicbyauthorizedofficials.
一句话总结:事件发生后,内部沟通(找谁)和外部沟通(和谁说,媒体应答)
4)关键基础设施保护(CIP)计划
关键基础设施和关键资源(CIKR)是国家基础设施的组成部分。CIP计划是一套政策和程序,用于保护和恢复这些国家资产,减轻风险和脆弱性。
Criticalinfrastructureandkeyresources(CIKR)arethosecomponentsofthenationalinfrastructurethataredeemedsovitalthattheirlosswouldhaveadebilitatingeffectofthesafety,security,economy,and/orhealthoftheUnitedStates.[10]ACIPplanisasetofpoliciesandproceduresthatservetoprotectandrecoverthesenationalassetsandmitigaterisksandvulnerabilities.
一句话总结:关系国计民生的设施
5)网络事件响应计划
Thecyberincidentresponseplan[11]establishesprocedurestoaddresscyberattacksagainstanorganization'sinformationsystem(s).[12]Theseproceduresaredesignedtoenablesecuritypersonneltoidentify,mitigate,andrecoverfrommaliciouscomputerincidents,suchasunauthorizedaccesstoasystemordata,denialofservice,orunauthorizedchangestosystemhardware,software,ordata(e.g.,maliciouslogic,suchasavirus,worm,orTrojanhorse).ThisplanmaybeincludedasanappendixoftheBCP.
一句话总结:针对网络攻击事件,可作为BCP的附录。
6)灾难恢复计划(DRP)
TheDRPappliestomajor,usuallyphysicaldisruptionstoservicethatdenyaccesstotheprimaryfacilityinfrastructureforanextendedperiod.ADRPisaninformationsystem-focusedplandesignedtorestoreoperabilityofthetargetsystem,application,orcomputerfacilityinfrastructureatanalternatesiteafteranemergency.TheDRPmaybesupportedbymultipleinformationsystemcontingencyplanstoaddressrecoveryofimpactedindividualsystemsoncethealternatefacilityhasbeenestablished.ADRPmaysupportaBCPorCOOPplanbyrecoveringsupportingsystemsformission/businessprocessesormissionessentialfunctionsatanalternatelocation.TheDRPonlyaddressesinformationsystemdisruptionsthatrequirerelocation.
一句话总结:在备用设施临时性的恢复紧急的、重要的系统。
7)信息系统应急计划(ISCP)
ISCP与DRP的主要区别在于,信息系统应急计划程序是为恢复系统而制定的,而不考虑具体位置。ISCP可以在系统的当前位置或备用站点激活。相比之下,DRP主要是一个特定于现场的计划,将一个或多个信息系统的从受损或不适宜居住的位置移动到临时替代位置的程序。一旦DRP成功地将一个信息系统站点转移到另一个站点,每个受影响的系统将使用其各自的ISCP来恢复、恢复和测试系统,并将其投入运行。
AnISCPprovidesestablishedproceduresfortheassessmentandrecoveryofasystemfollowingasystemdisruption.TheISCPprovideskeyinformationneededforsystemrecovery,includingrolesandresponsibilities,inventoryinformation,assessmentprocedures,detailedrecoveryprocedures,andtestingofasystem.
TheISCPdiffersfromaDRPprimarilyinthattheinformationsystemcontingencyplanproceduresaredevelopedforrecoveryofthesystemregardlessofsiteorlocation.AnISCPcanbeactivatedatthesystem'scurrentlocationoratanalternatesite.Incontrast,aDRPisprimarilyasite-specificplandevelopedwithprocedurestomoveoperationsofoneormoreinformationsystemsfromadamagedoruninhabitablelocationtoatemporaryalternatelocation.OncetheDRPhassuccessfullytransferredaninformationsystemsitetoanalternatesite,eachaffectedsystemwouldthenuseitsrespectiveISCPtorestore,recover,andtestsystems,andputthemintooperation.
一句话总结:系统中断后对系统的评价程序。
8)场所应急计划(OEP)OccupantEmergencyPlan(OEP)
概述了人员、环境或财产的健康和安全受到威胁或发生事故时,设施占用者的第一反应程序。此类事件包括火灾、炸弹威胁、化学品泄漏、工作场所的家庭暴力或医疗紧急情况。OEP中还涉及了需要人员留在建筑物内而不是疏散的避难所到位程序。OEP是在设施层面制定的,具体针对建筑物的地理位置和结构设计。
TheOEPoutlinesfirst-responseproceduresforoccupantsofafacilityintheeventofathreatorincidenttothehealthandsafetyofpersonnel,theenvironment,orproperty.Sucheventsincludeafire,bombthreat,chemicalrelease,domesticviolenceintheworkplace,oramedicalemergency.Shelter-in-placeproceduresforeventsrequiringpersonneltostayinsidethebuildingratherthanevacuatearealsoaddressedinanOEP.OEPsaredevelopedatthefacilitylevel,specifictothegeographiclocationandstructuraldesignofthebuilding.
一句话总结:关系人员、财产和环境安全
计划
目的
范围
计划关系
业务连续性计划(BCP)
提供在从重大中断中恢复时维持任务/业务运作的程序。
在较低或扩大的层面上处理来自COOPMEF的任务/业务流程。
以任务/业务流程为重点的计划,可与合作计划协调启动,以维持非MEF。
连续性操作计划(COOP)
提供程序和指导,使组织在备用站点维持30天;
在一个设施中处理MEF;信息系统的处理仅基于它们对任务基本功能的支持。
以MEF为中心的计划,还可以根据需要激活多个业务部门级BCP、ISCP或DRP。
危机通讯-行动计划
提供传播内部和外部通信的程序;提供关键状态信息和控制谣言的方法。
处理与人员和公众的沟通;不是以信息系统为中心。
基于事件的计划通常由合作社或业务连续性计划激活,但在公共曝光事件期间可以单独使用。
关键的基础设施保护(CIP)计划
提供国家基础设施保护计划中定义的国家关键基础设施组件的保护政策和程序。
解决由机构或组织支持或操作的关键基础设施组件。
支持具有关键基础设施和关键资源资产的组织的合作计划的风险管理计划。
网络事件回应计划
提供减轻和更正网络攻击(如病毒、蠕虫或特洛伊木马)的过程。
解决受影响系统的缓解和隔离、清理和最小化信息丢失的问题。
以信息系统为中心的计划,可能激活ISCP或DRP,这取决于攻击的程度。
灾难恢复计划(DRP)
提供将信息系统操作重新定位到备用位置的过程。
主要系统中断后激活,具有长期影响。
以信息系统为中心的计划,激活一个或多个ISCP以恢复单个系统。
问询处系统意外事故计划(ISCP)
提供恢复信息系统的过程和功能。
在当前位置或适当的备用位置处理单个信息系统恢复。
以信息系统为中心的计划,可独立于其他计划或作为更大规模恢复的一部分而启动与DRP、COOP和/或BCP协调的工作。
居住者应急计划(OEP)
提供协调的程序,以最大限度地减少生命或伤害的损失,并保护财产损失,以应对人身威胁。
专注于特定设施;不基于任务/业务流程或信息系统。
立即启动的基于事件的计划事件发生后,在合作社或DRP激活之前。
显示了每个计划的相互关系,这些计划是为了响应适用于其各自范围的事件而实现的。
三、关于IT应急计划的七个步骤
制定和维护信息系统应急计划的过程,该过程的七个步骤是:
Thissectiondescribestheprocesstodevelopandmaintainaneffectiveinformationsystemcontingencyplan.Theprocesspresentediscommontoallinformationsystems.Thesevenstepsintheprocessare:
1.Developthecontingencyplanningpolicy;
2.Conductthebusinessimpactanalysis(BIA);
3.Identifypreventivecontrols;
4.Createcontingencystrategies;
5.Developaninformationsystemcontingencyplan;
6.Ensureplantesting,training,andexercises;and
7.Ensureplanmaintenance.
应急计划流程图
为了取得成功,高级管理层(很可能是首席信息官)必须支持应急计划,并将其纳入制定计划政策的过程中。
Tobeeffectiveandtoensurethatpersonnelfullyunderstandtheorganization'scontingencyplanningrequirements,thecontingencyplanmustbebasedonaclearlydefinedpolicy.Thecontingencyplanningpolicystatementshoulddefinetheorganization'soverallcontingencyobjectivesandestablishtheorganizationalframeworkandresponsibilitiesforsystemcontingencyplanning.Tobesuccessful,seniormanagement,mostlikelytheCIO,mustsupportacontingencyprogramandbeincludedintheprocesstodeveloptheprogrampolicy.
BIA通常需要三个步骤:
应确定的资源示例包括设施、人员、设备、软件、数据文件、系统组件和重要记录。
1.Determinemission/businessprocessesandrecoverycriticality.Mission/Businessprocessessupportedbythesystemareidentifiedandtheimpactofasystemdisruptiontothoseprocessesisdeterminedalongwithoutageimpactsandestimateddowntime.Thedowntimeshouldreflectthemaximumtimethatanorganizationcantoleratewhilestillmaintainingthemission.
2.Identifyresourcerequirements.Realisticrecoveryeffortsrequireathoroughevaluationoftheresourcesrequiredtoresumemission/businessprocessesandrelatedinterdependenciesas
quicklyaspossible.Examplesofresourcesthatshouldbeidentifiedincludefacilities,personnel,equipment,software,datafiles,systemcomponents,andvitalrecords.
3.Identifyrecoveryprioritiesforsystemresources.Basedupontheresultsfromthepreviousactivities,systemresourcescanbelinkedmoreclearlytocriticalmission/businessprocessesandfunctions.Prioritylevelscanbeestablishedforsequencingrecoveryactivitiesandresources.
下图展示了BIA流程和数据收集活动,由一个具有多个组件(服务器)的代表性信息系统组成,旨在帮助ISCP协调员简化和集中应急计划开发活动,以实现更有效的计划。
为了完成BIA并更好地了解系统中断或中断对组织的影响,ISCP协调员应与管理层以及内部和外部联络点(POC)合作,以确定和验证依赖或支持信息系统的任务/业务流程和流程。
ToaccomplishtheBIAandbetterunderstandtheimpactsasystemoutageordisruptioncanhaveontheorganization,theISCPCoordinatorshouldworkwithmanagementandinternalandexternalpointsofcontact(POC)toidentifyandvalidatemission/businessprocessesandprocessesthatdependonorsupporttheinformationsystem.
TheISCPCoordinatorshouldnextanalyzethesupportedmission/businessprocessesandwiththeprocessowners,leadershipandbusinessmanagersdeterminetheacceptabledowntimeifagivenprocessorspecificsystemdataweredisruptedorotherwiseunavailable.
ISCP协调员应与管理层合作,通过解决上述因素,确定恢复信息系统的最佳点,同时平衡系统不可用性成本与恢复系统所需资源成本及其对关键任务/业务流程的总体支持。这可以用一个简单的图表来描述,如图的例子。
上面关于MTD、RPO、RTO说的比较啰嗦,直接上一张图。
2.2.确定资源需求
实际的恢复工作需要对恢复所需的资源进行彻底的评估。
Realisticrecoveryeffortsrequireathoroughevaluationoftheresourcesrequiredtoresume
也就是说确定要满足恢复目标,需要哪些资源,包括人、财、物。
2.3.确定系统资源恢复优先级
DevelopingrecoveryprioritiesisthelaststepoftheBIAprocess.Recoveryprioritiescanbeeffectivelyestablishedtakingintoconsiderationmission/businessprocesscriticality,outageimpacts,tolerabledowntime,andsystemresources.Theresultisaninformationsystemrecoverypriorityhierarchy.TheISCPCoordinatorshouldconsidersystemrecoverymeasuresandtechnologiestomeettherecoverypriorities.
BIA中确定的优先级业务,可以通过预防措施来阻止、检测和/或降低影响。在可行且成本有效的情况下,预防方法比在系统中断后恢复所需的措施更可取。
Insomecases,theoutageimpactsidentifiedintheBIAmaybemitigatedoreliminatedthroughpreventivemeasuresthatdeter,detect,and/orreduceimpactstothesystem.Wherefeasibleandcosteffective,preventivemethodsarepreferabletoactionsthatmaybenecessarytorecoverthesystemafteradisruption.Step2oftheRMFincludestheidentificationofeffectivecontingencyplanningpreventivecontrolsandmaintainingthesecontrolsonanongoingbasis.
4.制定应急策略
制定应急策略以减轻应急计划的风险,涵盖备份、恢复、应急计划、测试和持续维护的全部范围。
Contingencystrategiesarecreatedtomitigatetherisksforthecontingencyplanningfamilyofcontrolsandcoverthefullrangeofbackup,recovery,contingencyplanning,testing,andongoingmaintenance.
具体恢复方法,可包括具有备用的商业合同现场供应商,与内部或外部组织的互惠协议,以及与设备供应商的服务水平协议(sla)。此外,在制定系统恢复策略时,应考虑独立磁盘冗余阵列(RAID)、自动故障切换、UPS、服务器群集和镜像系统等技术。
Backupandrecoverymethodsandstrategiesareameanstorestoresystemoperationsquicklyandeffectivelyfollowingaservicedisruption.ThemethodsandstrategiesshouldaddressdisruptionimpactsandallowabledowntimesidentifiedintheBIAandshouldbeintegratedintothesystemarchitectureduringtheDevelopment/AcquisitionphaseoftheSDLC.Awidevarietyofrecoveryapproachesmaybeconsidered,withtheappropriatechoicebeinghighlydependentupontheincident,typeofsystem,BIA/FIPS199impactlevel,andthesystem'soperationalrequirements.22SpecificrecoverymethodsfurtherdescribedinSection3.4.2shouldbeconsideredandmayincludecommercialcontractswithalternatesitevendors,reciprocalagreementswithinternalorexternalorganizations,andservice-levelagreements(SLAs)withequipmentvendors.Inaddition,technologiessuchasredundantarraysofindependentdisks(RAID),automaticfailover,UPS,serverclustering,andmirroredsystemsshouldbeconsideredwhendevelopingasystemrecoverystrategy.
Severalalternativeapproachesshouldbeconsideredwhendevelopingandcomparingstrategies,includingcost,maximumdowntimes,security,recoverypriorities,andintegrationwithlarger,organization-levelcontingencyplans.TableisanexamplethatcanassistinidentifyingthelinkageofFIPS199impactlevelfortheavailabilitysecurityobjective,recoverypriority,backup,andrecoverystrategy.
系统数据应定期备份。策略应根据数据关键性和引入新信息的频率,指定备份的最低频率和范围(如每日或每周、增量或完整备份)。数据备份策略应指定存储数据的位置、文件命名约定、媒体轮换频率和异地传输数据的方法。数据可以备份在磁盘、磁带或光盘上。
将数据备份到异地是一个比较好的业务实践。商业数据存储设施专门用于存档媒体并保护数据免受威胁。如果使用异地存储,则将数据标记、打包后传输到异地的存储中。如果进行数据恢复和测试,访问存储,通过本地或异地获取特定的数据。
Systemdatashouldbebackedupregularly.Policiesshouldspecifytheminimumfrequencyandscopeofbackups(e.g.,dailyorweekly,incrementalorfull)basedondatacriticalityandthefrequencythatnewinformationisintroduced.Databackuppoliciesshoulddesignatethelocationofstoreddata,file-namingconventions,mediarotationfrequency,andmethodfortransportingdataoffsite.Datamaybebackeduponmagneticdisk,tape,oropticaldisks,suchascompactdisks(CDs).Thespecificmethodchosenforconductingbackupsshouldbebasedonsystemanddataavailabilityandintegrityrequirements.Thesemethodsmayincludeelectronicvaulting,networkstorage,andtapelibrarysystems
Itisgoodbusinesspracticetostorebacked-updataoffsite.Commercialdatastoragefacilitiesarespeciallydesignedtoarchivemediaandprotectdatafromthreateningelements.Ifusingoffsitestorage,dataisbackedupattheorganization'sfacilityandthenlabeled,packed,andtransportedtothestoragefacility.Ifthedataisrequiredforrecoveryortestingpurposes,theorganizationcontactsthestoragefacilityrequestingspecificdatatobetransportedtotheorganizationortoanalternatefacility.
Commercialstoragefacilitiesoftenoffermediatransportationandresponseandrecoveryservices.Whenselectinganoffsitestoragefacilityandvendor,thefollowingcriteriashouldbeconsidered:
4.3.备用场地
NISTSP800-53确定了信息系统的CP控制。可用性安全目标的FIPS199安全分类确定了哪些控件适用于特定系统。
备用场地类型包括:
AsstatedinSection2.1,NISTSP800-53identifiestheCPcontrolsforinformationsystems.TheFIPS199securitycategorizationfortheavailabilitysecurityobjectivedetermineswhichcontrolsapplytoaparticularsystem.Forexample,aninformationsystemcategorizedwithalow-availabilitysecurityobjectivedoesnotrequirealternatestorageoraprocessingsite(CP-6andCP-7,respectively),andaninformationsystemwithamoderate-availabilitysecurityobjectiverequiresthesystembackupandtestingthebackup(CP-9[1]).
4.4.设备更换
如果信息系统损坏或毁坏,或主站点不可用,则需要快速激活或采购必要的硬件和软件,并将其交付到备份地。
Iftheinformationsystemisdamagedordestroyedortheprimarysiteisunavailable,necessaryhardwareandsoftwarewillneedtobeactivatedorprocuredquicklyanddeliveredtothealternatelocation.Threebasicstrategiesexisttoprepareforequipmentreplacement.
组织应进行成本效益分析,以确定最佳应急策略。
TheISCPCoordinatorshouldensurethatthestrategychosencanbeimplementedeffectivelywithavailablepersonnelandfinancialresources.Thecostofeachtypeofalternatesite,equipmentreplacement,andstorageoptionunderconsiderationshouldbeweighedagainstbudgetlimitations.Thecoordinatorshoulddetermineknowncontingencyplanningexpenses,suchasalternatesitecontractfees,andthosethatarelessobvious,suchasthecostofimplementinganagency-widecontingencyawarenessprogramandcontractorsupport.Thebudgetmustbesufficienttoencompasssoftware,hardware,travelandshipping,testing,plantrainingprograms,awarenessprograms,laborhours,othercontractedservices,andanyotherapplicableresources(e.g.,desks,telephones,faxmachines,pens,andpaper).Theorganizationshouldperformacost-benefitanalysistoidentifytheoptimumcontingencystrategy.Tableprovidesatemplateforevaluatingcostconsiderations.
在选择并实施备份和系统恢复策略,ISCP协调员必须指定适当的团队来实施该策略。每个团队都应接受培训,并准备好在出现需要启动计划的破坏性情况时做出响应。应将恢复人员分配到几个特定团队中的一个,这些团队将对事件作出响应,恢复能力,并使系统恢复正常运行。为此,恢复团队成员需要清楚地了解团队的恢复工作目标、团队将执行的各个过程,以及恢复团队之间的相互依赖性集对总体策略的影响。
Havingselectedandimplementedthebackupandsystemrecoverystrategies,theISCPCoordinatormustdesignateappropriateteamstoimplementthestrategy.Eachteamshouldbetrainedandreadytorespondintheeventofadisruptivesituationrequiringplanactivation.Recoverypersonnelshouldbeassignedtooneofseveralspecificteamsthatwillrespondtotheevent,recovercapabilities,andreturnthesystemtonormaloperations.Todoso,recoveryteammembersneedtoclearlyunderstandtheteam'srecoveryeffortgoal,individualprocedurestheteamwillexecute,andhowinterdependenciesbetweenrecoveryteamsmayaffectoverallstrategies.
制定信息系统应急计划,这部分在第四部分进行了详细介绍。
5.测试、培训和演习(TT&E)
ISCP应保持在准备状态,包括对人员进行培训以履行其在计划中的角色和职责,实施计划以验证其内容,并对系统和系统组件进行测试,以确保其在ISCP规定的环境中的可操作性。
AnISCPshouldbemaintainedinastateofreadiness,whichincludeshavingpersonneltrainedtofulfilltheirrolesandresponsibilitieswithintheplan,havingplansexercisedtovalidatetheircontent,andhavingsystemsandsystemcomponentstestedtoensuretheiroperabilityintheenvironmentspecifiedintheISCP.
对于执行的每个TT&E活动,结果记录在行动后报告中,并收集经验教训纠正措施,以更新ISCP中的信息。
OrganizationsshouldconductTT&Eeventsperiodically,followingorganizationalorsystemchanges,ortheissuanceofnewTT&Eguidance,orasotherwiseneeded.ExecutionofTT&Eeventsassistsorganizationsindeterminingtheplan'seffectiveness,andthatallpersonnelknowwhattheirrolesareintheconductofeachinformationsystemplan.TT&Eeventschedulesareoftendictatedinpartbyorganizationalrequirements.
5.1测试
ISCP测试是可行的应急能力的关键。测试能够通过验证一个或多个系统组件和计划的可操作性来识别和解决计划缺陷。测试可以采取多种形式并实现多种目标,但应尽可能接近实际操作环境。应对每个信息系统组件进行测试,以确认各个恢复程序的准确性。
ISCPtestingisacriticalelementofaviablecontingencycapability.Testingenablesplandeficienciestobeidentifiedandaddressedbyvalidatingoneormoreofthesystemcomponentsandtheoperabilityoftheplan.Testingcantakeonseveralformsandaccomplishseveralobjectivesbutshouldbeconductedinasclosetoanoperatingenvironmentaspossible.Eachinformationsystemcomponentshouldbetestedtoconfirmtheaccuracyofindividualrecoveryprocedures.Thefollowingareasshouldbeaddressedinacontingencyplantest,asapplicable:
5.2.培训
对具有应急计划职责的人员的培训应侧重于使他们熟悉ISCP角色和完成这些角色所必需的技能。这种方法有助于确保员工参加测试和演习以及实际的应急事件做好了准备。应至少每年提供一次培训。
TrainingforpersonnelwithcontingencyplanresponsibilitiesshouldfocusonfamiliarizingthemwithISCProlesandteachingskillsnecessarytoaccomplishthoseroles.Thisapproachhelpsensurethatstaffispreparedtoparticipateintestsandexercisesaswellasactualoutageevents.Trainingshouldbeprovidedatleastannually.
5.3.练习
NISTSP800-84确定了单个组织在信息系统TT&E项目中广泛使用的以下类型的练习
NISTSP800-84identifiesthefollowingtypesofexerciseswidelyusedininformationsystemTT&Eprogramsbysingleorganizations:
测试项目提供了一个确定、安排和设定目标的总体框架
测试活动。NISTSP800-84中提供了关于建立有效的ISCPTT&E计划以及进行TT&E活动的各种方法和途径的指南。ISCPTT&E活动的深度和严密性随着FIPS199可用性安全目标的实现而增加。所有的测试和练习都应该包括确定对组织运作的影响,并提供一种机制来更新和改进计划。
ATT&Eprogramprovidesanoverallframeworkfordetermining,scheduling,andsettingobjectivesfor
TT&Eactivities.GuidanceonestablishinganeffectiveISCPTT&EprogramandthevariousmethodsandapproachesforconductingTT&EactivitiesisprovidedinNISTSP800-84.ThedepthandrigorofISCPTT&EactivitiesincreaseswiththeFIPS199availabilitysecurityobjective.Alltestsandexercisesshouldincludesomekindofdeterminationoftheeffectsontheorganization'soperationsandprovideforamechanismtoupdateandimprovetheplanasaresult.
6.计划维护
为了有效,计划必须保持就绪状态,准确反映系统需求、程序、组织结构和政策。在SDLC的运行/维护阶段,由于业务需求的变化、技术升级或新的内部或外部政策,信息系统经常发生变化。因此,作为组织变更管理过程的一部分,必须定期审查和更新ISCP,以确保记录新信息,并在需要时修订应急措施。
作为一般规则,应以组织规定的频率或当计划的任何要素发生重大变化时,审查计划的准确性和完整性。某些元素,如联系人列表,将需要更频繁的审查。应对中等或高等影响系统的计划进行更频繁的审查。
Tobeeffective,theplanmustbemaintainedinareadystatethataccuratelyreflectssystemrequirements,procedures,organizationalstructure,andpolicies.DuringtheOperation/MaintenancephaseoftheSDLC,informationsystemsundergofrequentchangesbecauseofshiftingbusinessneeds,technologyupgrades,ornewinternalorexternalpolicies.Therefore,itisessentialthattheISCPbereviewedandupdatedregularlyaspartoftheorganization'schangemanagementprocesstoensurethatnewinformationisdocumentedandcontingencymeasuresarerevisedifrequired.AsidentifiedaspartofRMFStep6(ContinuousMonitoring),acontinuousmonitoringprocesscanprovideorganizationswithaneffectivetoolforplanmaintenance,producingongoingupdatestosecurityplans,securityassessmentreports,andplansofactionandmilestonedocuments.
四、应急计划
Theplancontainsdetailedroles,responsibilities,teams,andproceduresassociatedwithrestoringaninformationsystemfollowingadisruption.TheISCPshoulddocumenttechnicalcapabilitiesdesignedtosupportcontingencyoperationsandshouldbetailoredtotheorganizationanditsrequirements.Plansneedtobalancedetailwithflexibility;usually,themoredetailedtheplan,thelessscalableandversatiletheapproach.Theinformationpresentedhereismeanttobeaguide;nevertheless,theplanformatinthisdocumentmaybemodifiedasneededtobettermeettheuser'sspecificsystem,operational,andorganizationrequirements.
本指南确定了应急计划的五个主要组成部分。
应对计划进行标准化,以便不熟悉计划或系统的人员执行恢复操作时提供快速而清晰的指示。计划应清晰、简明,并且在紧急情况下易于实施。如有可能,应使用检查表和分步程序。简洁且格式良好的计划可以减少创建过于复杂或令人困惑的计划的可能性。
Plansshouldbeformattedtoprovidequickandcleardirectionsintheeventthatpersonnelunfamiliarwiththeplanorthesystemsarecalledontoperformrecoveryoperations.Plansshouldbeclear,concise,andeasytoimplementinanemergency.Wherepossible,checklistsandstep-by-stepproceduresshouldbeused.Aconciseandwell-formattedplanreducesthelikelihoodofcreatinganoverlycomplexorconfusingplan.
1.支持信息
Thesupportinginformationcomponentincludesanintroductionandconceptofoperationssectionprovidingessentialbackgroundorcontextualinformationthatmakesthecontingencyplaneasiertounderstand,implement,andmaintain.Thesedetailsaidinunderstandingtheapplicabilityoftheguidance,inmakingdecisionsonhowtousetheplan,andinprovidinginformationonwhereassociatedplansandinformationoutsidethescopeoftheplanmaybefound.
2.激活和通知阶段
激活和通知阶段定义了一旦检测到系统中断或停机或似乎即将发生时所采取的初始操作。此阶段包括通知恢复人员、进行应急评估和激活计划的活动。在激活和通知阶段结束时,ISCP工作人员将准备执行恢复措施以恢复系统功能。
TheActivationandNotificationPhasedefinesinitialactionstakenonceasystemdisruptionoroutagehasbeendetectedorappearstobeimminent.Thisphaseincludesactivitiestonotifyrecoverypersonnel,conductanoutageassessment,andactivatetheplan.AtthecompletionoftheActivationandNotificationPhase,ISCPstaffwillbepreparedtoperformrecoverymeasurestorestoresystemfunctions.
2.1.激活标准和程序
如果满足该系统的一个或多个激活标准,则应激活ISCP。如果满足激活标准,指定机构应激活计划。系统中断或中断的激活标准对于每个组织都是唯一的,应在应急计划策略中说明。
TheISCPshouldbeactivatedifoneormoreoftheactivationcriteriaforthatsystemaremet.Ifanactivationcriterionismet,thedesignatedauthorityshouldactivatetheplan.[29]Activationcriteriaforsystemoutagesordisruptionsareuniqueforeachorganizationandshouldbestatedinthecontingencyplanningpolicy.
2.2.通知程序
Anoutageordisruptionmayoccurwithorwithoutpriornotice.Forexample,advancenoticeisoftengiventhatahurricaneispredictedtoaffectanareaorthatacomputervirusisexpectedonacertaindate.However,theremaybenonoticeofequipmentfailureoracriminalact.Notificationproceduresshouldbedocumentedintheplanforbothtypesofsituation.Theproceduresshoulddescribethemethodsusedtonotifyrecoverypersonnelduringbusinessandnonbusinesshours.Promptnotificationisimportantforreducingtheeffectsofadisruptiononthesystem;insomecases,itmayprovideenoughtimetoallowsystempersonneltoshutdownthesystemgracefullytoavoidahardcrash.Followingtheoutageordisruption,notificationshouldbesenttotheOutageAssessmentTeam[30]sothatitmaydeterminethestatusofthesituationandappropriatenextsteps.OutageassessmentproceduresaredescribedinSection4.2.3.Whenoutageassessmentiscomplete,theappropriaterecoveryandsystemsupportpersonnelshouldbenotified.
2.3.恢复评估
为了确定系统中断或停机后如何实施ISCP,必须评估中断的性质和程度。恢复评估应在给定条件允许的情况下尽快完成,人员安全仍然是最高优先级。在可能的情况下,应急评估小组是第一个收到中断通知的小组。应急评估程序对于特定系统可能是唯一的,但至少应考虑以下方面:
TodeterminehowtheISCPwillbeimplementedfollowingasystemdisruptionoroutage,itisessentialtoassessthenatureandextentofthedisruption.Theoutageassessmentshouldbecompletedasquicklyasthegivenconditionspermit,withpersonnelsafetyremainingthehighestpriority.Whenpossible,theOutageAssessmentTeamisthefirstteamnotifiedofthedisruption.Outageassessmentproceduresmaybeuniquefortheparticularsystem,butthefollowingminimumareasshouldbeaddressed:
3.恢复阶段
正式恢复操作在ISCP启动、恢复评估完成(如有可能)、人员得到通知和适当的团队调动之后开始。恢复阶段活动的重点是实施恢复策略,以恢复系统能力、修复损坏并在原始或新的备用位置恢复操作能力。在恢复阶段结束时,信息系统将发挥作用,能够执行计划中确定的各项功能。根据计划中定义的恢复策略,这些功能可以包括临时手动处理、在备用系统上的恢复和操作,或在备用站点上的重新定位和恢复。在这个阶段,只有在BIA中被确定为高优先级的系统资源才可以被恢复。
FormalrecoveryoperationsbeginaftertheISCPhasbeenactivated,outageassessmentshavebeencompleted(ifpossible),personnelhavebeennotified,andappropriateteamshavebeenmobilized.RecoveryPhaseactivitiesfocusonimplementingrecoverystrategiestorestoresystemcapabilities,repairdamage,andresumeoperationalcapabilitiesattheoriginalornewalternatelocation.AtthecompletionoftheRecoveryPhase,theinformationsystemwillbefunctionalandcapableofperformingthefunctionsidentifiedintheplan.Dependingontherecoverystrategiesdefinedintheplan,thesefunctionscouldincludetemporarymanualprocessing,recoveryandoperationatanalternatesystem,orrelocationandrecoveryatanalternatesite.ItisfeasiblethatonlysystemresourcesidentifiedashighpriorityintheBIAwillberecoveredatthisstage.
3.1.恢复活动的顺序
Whenrecoveringacomplexsystem,suchasawideareanetwork(WAN)orvirtuallocalareanetwork(VLAN)involvingmultipleindependentcomponents,recoveryproceduresshouldreflectsystemprioritiesidentifiedintheBIA.Thesequenceofactivitiesshouldreflectthesystem'sMTDtoavoidsignificantimpactstorelatedsystems.Proceduresshouldbewritteninastepwise,sequentialformatsosystemcomponentsmayberestoredinalogicalmanner.Forexample,ifaLANisbeingrecoveredafteradisruption,thenthemostcriticalserversshouldberecoveredbeforeother,lesscriticaldevices,suchasprinters.Similarly,torecoveranapplicationserver,proceduresfirstshouldaddressoperatingsystemrestorationandverificationbeforetheapplicationanditsdataarerecovered.Theproceduresshouldalsoincludeescalationstepsandinstructionstocoordinatewithotherteamswhererelevantwhencertainsituationsoccur,suchas:
3.2.恢复程序
为方便恢复阶段的操作,ISCP应提供详细的过程,以将信息系统或组件还原到已知状态。
TofacilitateRecoveryPhaseoperations,theISCPshouldprovidedetailedprocedurestorestoretheinformationsystemorcomponentstoaknownstate.Giventheextensivevarietyofsystemtypes,configurations,andapplications,thisplanningguidedoesnotprovidespecificrecoveryprocedures.
3.3.恢复升级和通知
AsidentifiedaspartoftheBIA,systemcomponents,infrastructure,andassociatedfacilitiesarecriticalcomponentssupportingdailymission/businessprocesses.Thesystems,applications,andinfrastructurethatconnectuserstothesearesubjecttoeventscausingserviceinterruptionsandoutages.IncludinganescalationandnotificationcomponentwithintheRecoveryPhasehelpstoensurethatoverall,arepeatable,structured,consistent,andmeasurablerecoveryprocessisfollowed.
有效的升级和通知过程应该定义和描述附加操作所必需的事件、阈值或其他类型的触发器。行动将包括更多恢复人员的附加通知、向领导层发送的消息和状态更新,以及附加资源的通知。应包括建立一套明确的事件、行动和结果的程序,并应酌情为团队或个人记录。
Effectiveescalationandnotificationproceduresshoulddefineanddescribetheevents,thresholds,orothertypesoftriggersthatarenecessaryforadditionalaction.Actionswouldincludeadditionalnotificationsformorerecoverystaff,messagesandstatusupdatestoleadership,andnoticesforadditionalresources.Proceduresshouldbeincludedtoestablishaclearsetofevents,actionsandresults,andshouldbedocumentedforteamsorindividualsasappropriate.
4.重建阶段
重构阶段是ISCP实现的第三个也是最后一个阶段,定义了测试和验证系统能力和功能所采取的措施。在重建过程中,恢复活动完成,恢复正常的系统操作。如果原始设施无法恢复,则此阶段的活动也可用于准备新的永久性位置,以支持系统处理需求。此阶段包括两个主要活动:验证计划的成功恢复和停用。
恢复验证通常包括以下步骤:
并行处理并发处理是指在两个独立的位置同时运行一个系统,直到能够保证恢复的系统正常、安全地运行为止的过程。
验证数据测试.数据测试是测试和验证已恢复数据的过程,以确保数据文件或数据库已完全恢复,并且是最新的可用备份。
验证功能测试.功能测试是一个过程,用于验证所有系统功能都已测试,并且系统已准备好恢复正常操作。
TheReconstitutionPhaseisthethirdandfinalphaseofISCPimplementationanddefinestheactionstakentotestandvalidatesystemcapabilityandfunctionality.DuringReconstitution,recoveryactivitiesarecompletedandnormalsystemoperationsareresumed.Iftheoriginalfacilityisunrecoverable,theactivitiesinthisphasecanalsobeappliedtopreparinganewpermanentlocationtosupportsystemprocessingrequirements.Thisphaseconsistsoftwomajoractivities:validatingsuccessfulrecoveryanddeactivationoftheplan.Validationofrecoverytypicallyincludesthesesteps:
5.计划附录
应急计划附录提供了计划正文中未包含的关键细节。通用应急计划附录包括以下内容:
Contingencyplanappendicesprovidekeydetailsnotcontainedinthemainbodyoftheplan.
总结:
1.应急计划的步骤:1)激活和通知2)恢复阶段(一般备用设施)3)重建阶段(一般是将系统从备用站点迁移到主站点)
2.而整个ISCP中,应急策略是保障措施,通过一些预防措施将灾难的影响降低到可接受程度,应急计划是灾难发生后处理方法、流程,而如何处理采取那些措施的决策依据是BIA的分析结果。而这些措施的实施需要企业战略层面的保障,同时通过日常的培训、测试和演练来保障计划的有效性、可行性。