Особенности исполнения исполнительных документов о взыскании алиментов: works.doklad.ru — Учебные материалы

Содержание

Особенности исполнения исполнительных документов о взыскании алиментов — Сельский вестник

Исполнительные документы о взыскании алиментов составляют значительную часть от общего количества исполнительных документов, поступающих в Омутинский районный отдел судебных приставов. За отчетный период на исполнении находится 3056 исполнительных производств, из них по взысканию алиментов 291 исполнительный документ, исполнено 82, в т.ч. 25 исполнительных документа направлены для удержания из заработной платы по месту работы должников и 20 исполнительных производств приостановлены в связи с розыском должников. Данная категория выплат обозначена как приоритетная, так как является прямым обеспечением прав ребенка на получение содержания от своих родителей, обеспечением его интересов, всестороннего развития, его будущего. На 01.09.2011г. в производстве находится 210 исполнительных производств данной категории.

Требования исполнительных документов о взыскании алиментов подлежат немедленному исполнению и удовлетворяются в первую очередь.

Взыскание алиментов производится со всех видов заработной платы и дополнительного вознаграждения:

  • с суммы, начисленной по тарифным ставкам, должностным окладам, по сдельным расценкам;

  • со всех видов доплат и надбавок к тарифным ставкам и должностным окладам;

  • с премий, имеющих регулярный или периодический характер;

  • с оплаты за сверхурочную работу;

  • с зарплаты, сохраняемой во время отпуска и т.п.

Удержание алиментов также производится со всех видов пенсий, со стипендий, с пособий по временной нетрудоспособности, по безработице, по беременности, с доходов от предпринимательской деятельности без образования юридического лица.

Удержание алиментов производится с денежного довольствия, получаемого военнослужащими, сотрудниками органов внутренних дел и другими приравненными к ним категориями лиц.

Размер удержаний задолженности по алиментам на несовершеннолетних детей из заработной платы и иных видов доходов должника по нескольким исполнительным документам не может превышать 70%.

Размер задолженности по алиментам определяется исходя из заработка и иного дохода должника за период, в течение которого взыскание алиментов не производилось. Если должник в этот период не работал, либо не были предоставлены документы о его доходах за этот период, то задолженность по алиментам производится судебным приставом-исполнителем, исходя из размера средней заработной платы в Российской Федерации на момент взыскания задолженности. На сегодняшний день она составляет 24601 рубль.

Уголовная ответственность в сфере алиментных отношений является крайней и самой строгой мерой ответственности за нарушение алиментных обязательств. Она установлена ст. 157 УК РФ за злостное уклонение родителя от уплаты по решению суда средств на содержание несовершеннолетних детей. За 8 месяцев 2011г. Омутинским районным отделом возбуждено 21 уголовное дело в отношении злостных неплательщиков. Восемнадцать уголовных дел направлены в суд, из которых все уже рассмотрены с вынесением обвинительного приговора. Два находятся в стадии расследования. Десять уголовных дел, к большому сожалению, возбуждены в отношении женщин.

При неисполнении должником в установленный срок без уважительных причин требований, содержащихся в исполнительном документе, выданном на основании судебного акта, судебный пристав-исполнитель вправе по заявлению взыскателя или собственной инициативе вынести постановление о временном ограничении на выезд должника из РФ. За 8 месяцев 2011г. в Омутинском РОСП было вынесено 119 постановлений о временном ограничении на выезд из РФ в отношении должников по алиментным обязательствам.

Судебный пристав-исполнитель в целях обеспечения исполнительного документа обязан наложить арест на имущество должника. Так, за 8 месяцев 2011г. налаживался арест на имущество должников по алиментным обязательствам в 8 случаях. Было арестовано имущество, принадлежащее должникам: бытовая техника, мебель, подсобное личное хозяйство (домашний скот), автомобили. В 2-х случаях при наложении ареста на имущество должника была погашена задолженность по алиментам в полном размере; реализовано имущество по 4 арестам.

Автор: Е.ПЕРМЯКОВА, судебный пристав-исполнитель

Особенности исполнения исполнительных документов о взыскании алиментов

Министерство образования и молодёжной политики Свердловской области

государственное автономное профессиональное образовательное учреждение Свердловской области

«Уральский политехнический колледж–Межрегиональный центр компетенций»

(ГАПОУ СО «Уральский политехнический колледж- МЦК»)

Специальность 40.02.03

Право и судебное администрирование

Группа ЮА-305

КУРСОВАЯ РАБОТА

«ОСОБЕННОСТИ ИСПОЛНЕНИЯ ИСПОЛНИТЕЛЬНЫХ ДОКУМЕНТОВ О ВЗЫСКАНИИ АЛИМЕНТОВ»

Пояснительная записка

КР40.02.03.06.33.22ПЗ

Руководитель работы:

Инна Вадимовна Щепеткина

Студент:

Екатерина Сергеевна Филиппова

Екатеринбург, 2022

СОДЕРЖАНИЕ

Введение        

Глава 1. Теоретические основы исторических аспектов института алиментных обязательств в России        

1.1 Предпосылки возникновения института алиментных обязательств        

1.2 Современное состояние института алиментных обязательств в России        

Глава 2. Анализ особенностей исполнительного производства о взыскании алиментов и задолженности по алиментам        

2.1 Судебный приказ о взыскании алиментов как исполнительный документ        

2.2 Порядок исполнения исполнительных документов о взыскании алиментов и задолженности по алиментам        

2.3 Способы стимулирования уплаты долгов по алиментным обязательствам        

Глава 3. Рекомендации совершенствования исполнения исполнительных документов о взыскании алиментов и задолженности по алиментам        

3.1 Проблемы возникающие в процессе взыскания алиментов и задолженностей по алиментам        

3.2 Пути совершенствования исполнения исполнительных документов о взыскании алиментов и задолженности по алиментам        

Заключение        

Список используемых источников        


ВВЕДЕНИЕ

Целью курсовой работы является исследование специфики исполнения исполнительных документов о взыскании алиментов.

Для достижения поставленной цели в ходе написания курсовой работы необходимо решить следующие задачи:

  1. Раскрыть теоретические основы исполнения исполнительных документов о задолженностях по алиментам.
  2. Проанализировать способы стимулирования уплаты долгов по алиментным обязательствам.
  3. Выявить проблемы, возникающие в процессе взыскания алиментов и предложить пути совершенствования исполнения исполнительных документов о взыскании алиментов.

Объектом исследования данной курсовой работы являются общественные отношения, возникающие в процессе исполнения исполнительных документов о взыскании алиментов.

Предметом исследования являются нормативно-правовые акты, регулирующие процедуру взыскания алиментов и задолженности по алиментам.

Актуальность темы определяется необходимостью защиты прав на получение алиментов отдельных категорий граждан в бесспорном порядке. Зачастую для защиты и восстановления такого нарушенного права нуждающиеся субъекты алиментных правоотношений вынуждены обращаться в суд. Суд выносит решение о взыскании алиментов, а последующее исполнение исполнительных документов о взыскании алиментов и задолженности по алиментам возлагается на Федеральную службу судебных приставов России (далее – ФССП России). Однако в настоящее время деятельность ФССП России по взысканию алиментов и задолженностей по алиментам имеет ряд проблем.

Теоретическую базу исследования составляют труды ученых, занимающих проблемами алиментов, в том числе и исполнением исполнительных документов о взыскании алиментов, можно отметить следующих — Т.А. Чиркова, Д.С. Пустобаев, Е.Ю Сидорова, Р. С. Ягодин, С.Н. Тагаева и других.

Нормативной базой работы служат действующее законодательство Российской Федерации, регулирующее исполнение исполнительных документов о взыскании алиментов, среди которых следует отметить Семейный кодекс РФ (далее-СК РФ), Гражданский процессуальный кодекс РФ (далее-ГПК РФ), Федеральный закон «Об исполнительном производстве» (далее-Закон об исполнительном производстве)

 258-II-сон 29.08.2001. Об исполнении судебных актов и актов иных органов

(статья 21 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 38 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статьи 481—487 введены Законом Республики Узбекистан от 14 января 2009 года № ЗРУ-199 — Собрание законодательства Республики Узбекистан, 2009 г., № 3, ст. 9)(статья 51 в редакции Закона Республики Узбекистан от 22 октября 2019 года № ЗРУ-572 — Национальная база данных законодательства, 23.10.2019 г., № 03/19/572/3943) (статья 56 в редакции Закона Республики Узбекистан от 9 января 2018 года № ЗРУ-459 — Национальная база данных законодательства, 10.01.2018 г., № 03/18/459/0536)(статья 63 в редакции Закона Республики Узбекистан от 9 января 2018 года № ЗРУ-459 — Национальная база данных законодательства, 10.01.2018 г., № 03/18/459/0536)(статья 82 в редакции Закона Республики Узбекистан от 14 января 2009 года № ЗРУ-199 — Собрание законодательства Республики Узбекистан, 2009 г., № 3, ст. 9) (статья 83 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 831 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 85 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 86 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(стать 861 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 87 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 88 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 89 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статья 891 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)(статьи 891 и 892 введены Законом Республики Узбекистан от 14 января 2009 года № ЗРУ-199 — Собрание законодательства Республики Узбекистан, 2009 г., № 3, ст. 9)(статья 90 в редакции Закона Республики Узбекистан от 30 июля 2019 года № ЗРУ-551 — Национальная база данных законодательства, 30.07.2019 г., № 03/19/551/3493)
(Ведомости Олий Мажлиса Республики Узбекистан, 2001 г., № 9-10, ст. 169; Собрание законодательства Республики Узбекистан, 2007 г., № 50-51, ст. 506; 2008 г., № 14-15, ст.ст. 91, 94; 2009 г., № 3, ст. 9; 2010 г., № 37, ст. 315, № 38, ст. 328; 2012 г., № 1, ст. 1; 2014 г., № 20, ст. 222; 2015 г., № 33, ст. 439, № 52, ст. 645; 2016 г., № 39, ст. 457; 2017 г., № 37, ст. 978, Национальная база данных законодательства, 05.01.2018 г., № 03/18/456/0512; 10.01.2018 г., № 03/18/459/0536; 30.01.2018 г., № 03/18/463/0634; 2019 г., № 2, ст. 47, 24.05.2019 г., № 03/19/542/317, 30.07.2019 г., № 03/19/551/3493. 29.08.2019 г., № 03/19/558/3662, 23.10.2019 г., № 03/19/572/3943; 04.12.2019 г., № 03/19/586/4106; 17.08.2021 г., № 03/21/708/0799, 26.08.2021 г., № 03/21/711/0825)

Часть 4 – Административные и информационные вопросы

Ниже приведены примеры записей, обычно содержащихся, если это применимо, в файлах контрактов:

      (a) Файл контракта отдела по контрактам.

(1) Запрос на закупку, информация о планировании приобретения и другие предварительные тендерные документы.

           (2) Обоснования и утверждения, определения и выводы, а также сопутствующие документы.

           (3) Подтверждение наличия средств.

           (4) Краткий обзор предлагаемого приобретения в соответствии с требованиями части 5 или ссылка на краткий обзор.

           (5) Список запрошенных источников и список любых фирм или лиц, чьи запросы на получение копий ходатайства были отклонены, вместе с причинами отказа.

           (6) Решение об отмене (см. 19.1506), включая тип и объем проведенных маркетинговых исследований.

           (7) Государственная оценка цены контракта.

           (8) Копия ходатайства и всех поправок к нему.

           (9) Требования безопасности и подтверждение необходимых разрешений.

           (10) Копия каждого предложения или предложения, соответствующий реферат и отчеты о решениях, касающихся просроченных предложений или предложений. Неудачные предложения или расценки могут храниться отдельно при наличии перекрестных ссылок на файл контракта.

                          (i) Заполненные разделы заявки A, B и K;

               (ii) Технические и управленческие предложения;

                (iii) Предложения по цене/цене; и

               (iv) Любые другие страницы заявки, которые оферент или заявитель изменил или прокомментировал.

           (11) Заявления и сертификаты Подрядчика (см. 4.1201(c)).

           (12) Отчеты об исследованиях перед присуждением контракта или ссылка на предыдущие отчеты об исследованиях перед присуждением контракта, на которые полагались.

           (13) Документация по выбору источника.

           (14) Определение должностным лицом по контрактам ответственности подрядчика.

           (15) Сертификат компетентности в области управления малым бизнесом.

           (16) Записи о соблюдении подрядчиком трудовой политики, включая политику равных возможностей трудоустройства.

           (17) Данные и информация, связанные с определением должностным лицом по контрактам справедливой и разумной цены.Это может включать:

                (i) сертифицированные данные о стоимости или ценах;

               (ii) данные, отличные от сертифицированных данных о стоимости или ценообразовании;

               (iii) Обоснование отказа от требования предоставлять подтвержденные данные о стоимости или ценах; или

               (iv) Сертификаты текущей стоимости или данных о ценах.

           (18) Данные об упаковке и транспортировке.

           (19) Анализ затрат или цен.

           (20) Аудиторские отчеты или причины отказа.

           (21) Протокол переговоров.

           (22) Обоснование типа договора.

           (23) Полномочия в отношении отклонений от настоящего правила, законодательных требований или других ограничений.

           (24) Требуемые утверждения решения и доказательства юридической проверки.

           (25) Уведомление о присуждении награды.

           (26) Оригинал-

                (i) подписанный контракт или решение;

                (ii) Все изменения договора; и

               (iii) Документы, подтверждающие изменения, выполненные заказчиком.

           (27) Краткий обзор награды или ссылка на нее.

           (28) Уведомление о несостоявшихся предложениях или оферентах и ​​запись любого подведения итогов.

           (29) Отчеты об управлении приобретением (см. подраздел  4.6).

           (30) Тендерные, исполнительные, платежные или другие документы об обеспечении или ссылки на них, а также уведомления для поручителей.

           (31) Отчет послепремийной конференции.

           (32) Уведомление о продолжении, приказы об остановке и любые разрешения на надбавки за сверхурочную работу, предоставленные во время присуждения.

           (33) Документы, запрашивающие и разрешающие внесение изменений в обычное распределение функций и ответственности по администрированию контрактов.

           (34) Утверждение или отклонение запросов об отказе или отклонении от требований контракта.

           (35) Отклоненные предложения по техническим изменениям.

           (36) Отчеты о роялти, изобретениях и авторских правах (включая раскрытие информации об изобретениях) или ссылки на них.

           (37) Документы о завершении контракта.

           (38) Документация, касающаяся расторжения договора, за которое несет ответственность заказчик.

           (39) Перекрестные ссылки на соответствующие документы, хранящиеся в другом месте.

           (40) Любые дополнительные документы, в отношении которых были предприняты действия или которые отражают действия заказчика, относящиеся к контракту.

           (41) Текущий хронологический список с указанием присуждающих контрактов и их преемников, включая даты ответственности.

           (42) При ограничении конкуренции или присуждении вознаграждения на основе единственного источника экономически неблагополучным предприятиям малого бизнеса, принадлежащим женщинам (EDWOSB), или предприятиям малого бизнеса, принадлежащим женщинам (WOSB), имеющим право на участие в программе WOSB в соответствии с подразделом  19.15, включая документацию-

                (i) тип и объем исследования рынка; и

               (ii) код NAICS, присвоенный приобретению, относится к отрасли, которую SBA определило как- или

                    (B) Существенно недопредставлены в вопросах WOSB.

      (b) Контрактная папка отдела администрирования контрактов.

(1) Копия контракта со всеми изменениями, вместе с официальными копиями подтверждающих документов, выполненных отделом администрирования контрактов.

           (2) Любой документ, изменяющий обычное распределение функций и ответственности по администрированию контрактов.

           (3) Требования безопасности.

           (4) Сертифицированные данные о стоимости или ценах, Свидетельства о текущей стоимости или данных о ценах или данные, отличные от сертифицированных данных о стоимости или ценах; анализ затрат или цен; и другую документацию, подтверждающую договорные действия, выполняемые отделом по администрированию договоров.

           (5) Предварительная информация об опросе.

           (6) Информация о системе закупок.

           (7) Согласие на субподряд или покупку.

           (8) Исполнение и платеж облигации и поручительская информация.

           (9) Записи конференции после награждения.

           (10) Заказы, оформленные по договору.

           (11) Уведомление о продолжении и прекращении приказов.

           (12) Страховые полисы или страховые сертификаты или ссылки на них.

           (13) Документы, подтверждающие авансовые или промежуточные платежи.

           (14) Записи о продвижении, ускорении и надзоре за производством.

           (15) Записи обеспечения качества.

           (16) Записи об управлении имуществом.

           (17) Документация о действиях по расторжению договора, за которые несет ответственность администрация контрактов.

           (18) Перекрестная ссылка на другие соответствующие документы, хранящиеся в другом месте.

           (19) Любые дополнительные документы, в отношении которых были предприняты действия или которые отражают действия отдела администрирования контрактов, относящиеся к контракту.

           (20) Документы о завершении контракта.

      (c) Файл контракта с платежной кассой.

(1) Копия контракта и любые изменения.

           (2) Счета, счета-фактуры, ваучеры и сопроводительные документы.

           (3) Запись о платежах или квитанциях.

           (4) Другие соответствующие документы.

Что такое аварийное восстановление (DR)?

Что такое аварийное восстановление?

Аварийное восстановление (DR) — это способность организации реагировать и восстанавливаться после события, которое негативно влияет на бизнес-операции. Цель методов аварийного восстановления — позволить организации восстановить использование критически важных систем и ИТ-инфраструктуры как можно скорее после возникновения аварии. Чтобы подготовиться к этому, организации часто проводят углубленный анализ своих систем и создают официальный документ, которому следует следовать во время кризиса.Этот документ известен как план аварийного восстановления.

Читайте дальше, чтобы узнать больше о том, почему аварийное восстановление важно, как оно работает, а также о разнице между аварийным восстановлением и непрерывностью бизнеса. Вы также узнаете, что следует включить в план аварийного восстановления, и узнаете об основных типах аварийного восстановления, а также об основных услугах аварийного восстановления и поставщиках.

Что такое катастрофа?

Практика DR вращается вокруг событий, которые носят серьезный характер. Эти события часто рассматриваются как стихийные бедствия, но они также могут быть вызваны системными или техническими сбоями или действиями людей, преднамеренно нападающими.Они достаточно значительны, чтобы нарушить или полностью остановить важные бизнес-операции на определенный период времени. Типы стихийных бедствий включают:

  • Кибератаки, такие как вредоносное ПО, DDoS-атаки и атаки программ-вымогателей
  • Саботаж
  • Отключение электроэнергии
  • Отказ оборудования
  • Эпидемии или пандемии, такие как COVID-19
  • Террористические атаки или угрозы
  • Промышленные аварии
  • Ураганы
  • Торнадо
  • Землетрясения
  • Наводнения
  • Пожары

Почему важно аварийное восстановление?

Катастрофы могут нанести много видов повреждений разной степени серьезности, в зависимости от сценария.Кратковременное отключение сети может привести к разочарованию клиентов и некоторой потере бизнеса в системе электронной коммерции. Ураган или торнадо могут разрушить целое производственное предприятие, центр обработки данных или офис.

Денежные затраты могут быть значительными. Согласно отчету Ежегодного анализа сбоев за 2021 год, подготовленному Uptime Institute, 40% простоев или перерывов в обслуживании на предприятиях стоят от 100 000 до 1 миллиона долларов, а около 17% стоят более 1 миллиона долларов. Утечка данных может обойтись дороже; средняя стоимость в 2020 году составляла 3 доллара.86 миллионов, согласно отчету о стоимости утечки данных за 2020 год, подготовленному IBM и Институтом Понемона.

Кроме того, многие предприятия должны создавать и следовать планам аварийного восстановления, обеспечения непрерывности бизнеса и защиты данных, чтобы соответствовать нормативным требованиям. Это особенно важно для организаций, работающих в финансовом, здравоохранительном, производственном и государственном секторах. Отсутствие процедур аварийного восстановления может привести к юридическим или нормативным санкциям, поэтому важно понимать, как соблюдать стандарты отказоустойчивости.

Подготовка к каждому потенциальному бедствию может показаться экстремальной, но кризис COVID-19 показал, что даже сценарии, которые кажутся надуманными, могут реализоваться. Предприятия, которые приняли экстренные меры для поддержки удаленной работы, имели явное преимущество, когда были введены в действие приказы о пребывании дома.

Думая о стихийных бедствиях до того, как они произойдут, и создавая план реагирования, можно получить много преимуществ. Это повышает осведомленность о потенциальных сбоях и помогает организации расставить приоритеты для своих критически важных функций.Он также предоставляет форум для обсуждения этих тем и принятия взвешенных решений о том, как лучше всего реагировать в условиях низкого напряжения.

В чем разница между аварийным восстановлением и непрерывностью бизнеса?

На практике аварийное восстановление и обеспечение непрерывности бизнеса часто объединяются в единую корпоративную инициативу и даже обозначаются вместе как BCDR, но это не одно и то же. Хотя эти две дисциплины имеют схожие цели, связанные с устойчивостью организации, они сильно различаются по своему охвату.

BC — это упреждающая дисциплина, направленная на минимизацию рисков и обеспечение того, чтобы бизнес мог продолжать предоставлять свои продукты и услуги независимо от обстоятельств. В нем особое внимание уделяется тому, как сотрудники будут продолжать работать и как бизнес будет продолжать свою деятельность во время стихийного бедствия. BC также тесно связан с устойчивостью бизнеса, антикризисным управлением и управлением рисками, но каждый из них имеет разные цели и параметры.

DR — это подмножество непрерывности бизнеса, ориентированное на ИТ-системы, обеспечивающие выполнение бизнес-функций.В нем рассматриваются конкретные шаги, которые организация должна предпринять для возобновления технологических операций после события. DR также является реактивным процессом по своей природе. Хотя планирование этого должно быть сделано заранее, деятельность по аварийному восстановлению не начинается до тех пор, пока действительно не произойдет бедствие.

Элементы стратегии аварийного восстановления

Прежде чем организация сможет определить свои стратегии аварийного восстановления, она должна сначала проанализировать существующие активы и приоритеты. При принятии решения о аварийном восстановлении обычно учитываются два разных анализа:

Анализ рисков

Анализ рисков или оценка рисков — это оценка всех потенциальных рисков, с которыми может столкнуться бизнес, а также их последствий.Риски могут сильно различаться в зависимости от отрасли, в которой находится организация, и ее географического положения. Оценка должна выявлять потенциальные опасности, определять, кому или чему эти опасности могут причинить вред, и использовать результаты для создания процедур, учитывающих эти риски.

Анализ влияния на бизнес

Анализ воздействия на бизнес (BIA) оценивает влияние указанных выше рисков на бизнес-операции. BIA может помочь спрогнозировать и количественно оценить затраты, как финансовые, так и нефинансовые.В нем также исследуется влияние различных стихийных бедствий на безопасность организации, финансы, маркетинг, деловую репутацию, соблюдение правовых норм и обеспечение качества.

Понимание различий между анализом рисков и BIA и проведение оценок также может помочь организации определить свои цели, когда речь идет о защите данных и необходимости резервного копирования. Организации обычно определяют их количественно, используя измерения, называемые целевой точкой восстановления (RPO) и целевым временем восстановления (RTO).

Начните с собственного анализа, прочитав наше руководство по BIA и бесплатный шаблон .

Цель точки восстановления

RPO — это максимальный возраст файлов, который организация должна восстановить из хранилища резервных копий для возобновления нормальной работы после аварии. RPO определяет минимальную частоту резервного копирования. Например, если в организации целевая точка восстановления составляет четыре часа, система должна выполнять резервное копирование по крайней мере каждые четыре часа.

Целевое время восстановления

RTO относится к количеству времени, в течение которого, по оценке организации, ее системы могут быть отключены без причинения значительного или непоправимого ущерба бизнесу.В некоторых случаях приложения могут быть недоступны в течение нескольких дней без серьезных последствий. В других случаях секунды могут нанести существенный вред бизнесу.

RPO и RTO являются важными элементами аварийного восстановления, но эти показатели используются по-разному. На RPO действуют до того, как произойдет разрушительное событие, чтобы обеспечить резервное копирование данных, в то время как RTO вступают в действие после того, как событие произойдет.

Подробнее о расчете целей восстановления и различиях между RPO и RTO .

Что входит в план аварийного восстановления?

После тщательного анализа факторов риска, целей восстановления и технологической среды организация может составить план аварийного восстановления. План аварийного восстановления — это официальный документ, в котором указываются эти элементы и описывается, как организация будет реагировать в случае сбоя или аварии. В плане подробно описаны цели восстановления, включая RTO и RPO, а также шаги, которые организация предпримет для минимизации последствий аварии.

Компоненты плана аварийного восстановления должны включать:

  • Заявление о политике аварийного восстановления, обзор плана и основные цели плана.
  • Контактная информация ключевого персонала и команды аварийного восстановления.
  • Пошаговое описание действий по реагированию на стихийные бедствия сразу после инцидента.
  • Схема всей сети и места восстановления.
  • Как добраться до места восстановления.
  • Список программного обеспечения и систем, которые сотрудники будут использовать при восстановлении.
  • Образцы шаблонов для восстановления различных технологий, включая техническую документацию от поставщиков.
  • Коммуникация, включающая внутренние и внешние контакты, а также шаблон для работы со СМИ.
  • Краткое описание страхового покрытия.
  • Предлагаемые действия по решению финансовых и юридических вопросов.

Организация должна рассматривать свой план аварийного восстановления как живой документ. Следует запланировать регулярное тестирование аварийного восстановления, чтобы убедиться, что план точен и сработает, когда потребуется восстановление. План также следует оценивать по согласованным критериям всякий раз, когда в бизнес-системах или ИТ-системах происходят изменения, которые могут повлиять на аварийное восстановление.

Для получения дополнительных сведений и рекомендаций загрузите бесплатный шаблон плана аварийного восстановления и руководство по планированию .

Как работает аварийное восстановление Инициативы

DR сегодня более доступны для бизнеса любого размера благодаря широкому внедрению облачных технологий и доступности технологий виртуализации, упрощающих резервное копирование и репликацию. Однако большая часть терминологии и лучших практик, разработанных для аварийного восстановления, была основана на попытках предприятий воссоздать крупномасштабные физические центры обработки данных.Это включало планы переноса или аварийного переключения рабочих нагрузок из основного центра обработки данных в резервное местоположение или сайт аварийного восстановления для восстановления данных и операций.

Сайты аварийного восстановления

Организация использует сайт аварийного восстановления для восстановления своих данных, технологической инфраструктуры и операций, когда ее основной центр обработки данных недоступен. Сайты аварийного восстановления могут быть внутренними, внешними или облачными.

Организация устанавливает и поддерживает внутренний сайт аварийного восстановления.Организации с большими информационными требованиями и агрессивными RTO чаще используют внутреннюю площадку аварийного восстановления, которая обычно представляет собой второй центр обработки данных. При создании внутренней площадки бизнес должен учитывать конфигурацию оборудования, вспомогательное оборудование, обслуживание электропитания, отопление и охлаждение площадки, планировку, расположение и персонал.

Внешний сайт аварийного восстановления принадлежит и управляется сторонним поставщиком. Внешние сайты могут быть горячими, теплыми или холодными.

  • Горячая площадка: Полнофункциональный центр обработки данных с аппаратным и программным обеспечением, персоналом и данными клиентов, который обычно укомплектован круглосуточно и готов к работе в случае аварии.
  • Теплая площадка: Оборудованный дата-центр, не имеющий данных о клиентах; организация может установить дополнительное оборудование и ввести данные о клиентах после стихийного бедствия.
  • Холодная площадка: Имеется инфраструктура для поддержки ИТ-систем и данных, но нет технологий до тех пор, пока организация не активирует планы аварийного восстановления и не установит оборудование; они иногда используются для дополнения горячих и теплых участков во время долгосрочного бедствия.

Облачный сайт восстановления — еще один вариант.При заключении контрактов с облачными провайдерами на размещение их активов аварийного восстановления или аутсорсинге дополнительных услуг организации следует учитывать близость площадки, внутренние и внешние ресурсы, операционные риски, соглашения об уровне обслуживания и стоимость.

Уровни аварийного восстановления

В дополнение к выбору наиболее подходящего сайта аварийного восстановления организациям может быть полезно ознакомиться с уровнями аварийного восстановления, определенными Техническим руководящим комитетом Share и IBM в 1980-х годах. Уровни включают в себя различные варианты восстановления, которые организации могут использовать в качестве схемы для определения наилучшего подхода к аварийному восстановлению в зависимости от потребностей своего бизнеса.

Другой тип многоуровневого аварийного восстановления включает в себя назначение уровней важности для различных типов данных и приложений и обработку каждого уровня по-разному в зависимости от устойчивости к потере данных. Этот подход учитывает, что некоторые критически важные функции могут быть не в состоянии выдержать потерю данных или время простоя, в то время как другие могут оставаться в автономном режиме дольше или восстанавливать меньшие наборы данных.

Типы аварийного восстановления

Помимо выбора площадки аварийного восстановления и рассмотрения уровней аварийного восстановления, ИТ-руководители и бизнес-руководители должны оценить наилучший способ реализации своего плана аварийного восстановления.Это будет зависеть от ИТ-среды и технологии, которую компания выберет для поддержки своей стратегии аварийного восстановления.

Типы аварийного восстановления могут различаться в зависимости от ИТ-инфраструктуры и ресурсов, которые нуждаются в защите, а также от метода резервного копирования и восстановления, который организация решает использовать. В зависимости от размера и масштаба организации у нее могут быть отдельные планы аварийного восстановления и группы внедрения, специфичные для отделов, таких как центры обработки данных или сети. Основные типы DR включают:

Аварийное восстановление центра обработки данных

Организации, располагающие собственными центрами обработки данных, должны иметь стратегию аварийного восстановления, учитывающую всю ИТ-инфраструктуру в центре обработки данных, а также физические объекты.Резервное копирование на резервную площадку в резервном центре обработки данных или на объекте совместного размещения часто является значительной частью плана (см. «Места аварийного восстановления» ниже). ИТ-руководители и бизнес-руководители также должны задокументировать и принять альтернативные меры для широкого спектра компонентов, связанных с объектами, включая системы электропитания, отопления и охлаждения, пожарной безопасности и физической безопасности.

Аварийное восстановление сети

Подключение к сети необходимо для внутренней и внешней связи, обмена данными и доступа к приложениям во время стихийного бедствия.Стратегия сетевого аварийного восстановления должна предусматривать план восстановления сетевых служб, особенно с точки зрения доступа к резервным сайтам и данным.

Виртуализированное аварийное восстановление

Виртуализация обеспечивает аварийное восстановление, позволяя организациям реплицировать рабочие нагрузки в другом месте или в облаке. К преимуществам виртуального аварийного восстановления относятся гибкость, простота реализации, эффективность и скорость. Виртуализированные рабочие нагрузки занимают мало места в ИТ, репликация может выполняться часто, а аварийное переключение может быть инициировано быстро.Несколько поставщиков средств защиты данных предлагают виртуальное резервное копирование и аварийное восстановление в качестве продукта.

Аварийное восстановление в облаке

Широкое распространение облачных сервисов позволяет организациям, которые традиционно использовали альтернативное расположение для аварийного восстановления, размещаться в облаке. Облачное аварийное восстановление выходит за рамки простого резервного копирования в облако. Требуется, чтобы ИТ-команда настроила автоматическое переключение рабочих нагрузок при сбое на общедоступную облачную платформу в случае сбоя.

Аварийное восстановление как услуга (DRaaS)

DRaaS — это коммерчески доступная версия облачного аварийного восстановления.В DRaaS третья сторона обеспечивает репликацию и размещение физических и виртуальных серверов организации. Поставщик берет на себя ответственность за реализацию плана аварийного восстановления в случае возникновения кризиса на основании соглашения об уровне обслуживания.

Узнайте больше о том, как соответствует потребностям вашего бизнеса с доступными вариантами аварийного восстановления .

Услуги аварийного восстановления и поставщики

Поставщики аварийного восстановления могут принимать различные формы, поскольку аварийное восстановление — это больше, чем просто ИТ-проблема.Поставщики аварийного восстановления включают тех, кто продает программное обеспечение для резервного копирования и восстановления, а также тех, кто предлагает размещенные или управляемые услуги. Поскольку аварийное восстановление также является элементом управления организационными рисками, некоторые поставщики объединяют аварийное восстановление с другими аспектами планирования безопасности, такими как реагирование на инциденты и планирование в чрезвычайных ситуациях. Варианты включают:

  • Платформы резервного копирования и защиты данных
  • Поставщики DraaS
  • Дополнительные услуги от центров обработки данных и колокейшн-провайдеров, а также
  • Инфраструктура как поставщик услуг

Выбор наилучшего варианта для организации в конечном итоге будет зависеть от планов обеспечения непрерывности бизнеса высшего уровня и целей защиты данных, а также от того, какой вариант лучше всего соответствует этим потребностям, а также бюджетным целям.

Некоторые из основных поставщиков программного обеспечения для аварийного восстановления и DRaaS включают, помимо прочего:

  • Акронис
  • Делл ЭМС
  • Майкрософт
  • ИБМ
  • ВМваре
  • Веам
  • Зерто

Поставщики экстренной связи также играют ключевую роль в процессе восстановления и включают Everbridge Crisis Management, Cisco, Rave Alert, AlertMedia и BlackBerry AtHoc.

Загрузите бесплатный шаблон SLA для использования с продуктами и услугами аварийного восстановления .

Хотя некоторые организации могут столкнуться с проблемой инвестирования в комплексное планирование аварийного восстановления, ни одна из них не может позволить себе игнорировать эту концепцию при планировании долгосрочного роста и устойчивости. Кроме того, если произойдет самое худшее, организации, отдающие приоритет аварийному восстановлению, будут меньше простоев и смогут быстрее возобновить нормальную работу.

Глава 4-Управление безопасностью, из Safeguarding Your Technology, NCES Publication 98-297 (Национальный центр статистики образования)

    ГЛАВА 4
Управление безопасностью
 
 

Эффективная безопасность обеспечивает баланс между защитой и удобством.
  Введение в управление безопасностью

Поскольку безопасность системы представляет собой совокупность безопасности отдельных компонентов, «системные границы» должны охватывать отдельных пользователей и их рабочие станции. Но поскольку персональные компьютеры являются именно такими (персональными), поведение персонала не всегда может быть продиктовано без потенциального ущерба для общего производительность.Напомним, что политика безопасности становится неэффективной, если это настолько ограничительно, что доступ законного пользователя к находится под угрозой. Таким образом, ключом к успешной реализации безопасности является нахождение разумного баланса между защитой системы и автономностью и удобством пользователя. Человек, ответственный за поиск этого баланса и активное продвижение Организационная безопасность является менеджером по безопасности. Управление безопасностью состоит из воспитания организационной культуры, ориентированной на безопасность, развития материальные процедуры для поддержки безопасности и управления множеством частей которые составляют систему.Менеджер по безопасности следит за тем, чтобы администрация и сотрудники осведомлены о своей роли в обеспечении безопасности, поддерживают усилия по обеспечению безопасности, и готовы терпеть мелкие неудобства, которые неизбежно часть изменения и улучшения системы. Ведь если персонал обходить процедуры безопасности (например, записывать пароли , делиться учетными записями, и отключить вирус -проверить программное обеспечение ), они подвергают риску всю систему.

 
  Эффективная безопасность системы зависит от создания рабочей среды и организационная структура, при которой руководство понимает и полностью поддерживает меры безопасности, и пользователям рекомендуется проявлять осторожность. менеджер по безопасности возглавляет эту работу.
Менеджер по безопасности должен:
  1. Сообщите персоналу, что защита системы не только в интересах организации, но и в интересах пользователей.
  2. Повышение осведомленности персонала о вопросах безопасности.
  3. Обеспечьте соответствующую подготовку персонала по вопросам безопасности.
  4. Мониторинг действий пользователей для оценки реализации безопасности.


 
  Часто задаваемые вопросы

В. Может ли организация обойтись без найма менеджера по безопасности?
A. Да, но менеджера по безопасности не всегда нужно нанимать (особенно в небольших организациях) кто-то должен выполнять функции управления безопасностью все равно.Многие организации предпочитают нанять системного администратора и включить управление безопасностью в число его основные обязанности. Это приемлемая стратегия, пока поскольку у администратора есть достаточно времени, чтобы посвятить себя управлению безопасностью. Если же рутинные административные функции занимают значительную часть рабочего дня администратора, то организация будет лучше обслуживаться имея кого-то, кто может сосредоточиться на безопасности системы.

В.Будет ли назначен главный администратор образования для безопасности Роль менеджера демонстрирует приверженность безопасности системы?
А. Не обязательно. Хотя топ-администраторам часто доверяют с достаточными полномочиями, чтобы быть эффективными менеджерами по безопасности, вполне возможно, что они не обладают техническими знаниями, необходимыми для работа. Руководители службы безопасности несут ответственность за выполнение всех аспекты системной безопасности — задача, требующая значительной технической компетентности. Второстепенным, но важным соображением является то, что управление безопасностью системы может потребовать много времени — времени, которое лица, определяющие политику, и другие высшие администраторы могут быть не в состоянии посвятить себя другим важным обязанностям. Пока Крайне важно, чтобы главные администраторы активно занимались вопросами безопасности эффективность, в большинстве случаев имеет смысл, чтобы ежедневное введение системной безопасности поручить специалисту по безопасности/системам.

В.Какое место в структуре организации занимает менеджер по безопасности? иерархия?
A. Как следует из названия, менеджеры по безопасности и системные администраторы чаще всего считаются служащими в управленческом качестве. важные задачи по разработке правил безопасности, обучению персонала и осуществление мониторинга требует, чтобы менеджер по безопасности был наделен солидный авторитет. Пока менеджер безопасности не путать с суперинтендантом или директором, он или она должны считаться система «босс.»  Если менеджер по безопасности не может уверенно устранять ошибки безопасности даже на самых высоких уровнях организации иерархии адекватная защита системных ресурсов становится невозможной.


Поддержка в организации

Даже если организация стремится улучшить свою информационную безопасность, менеджеры по безопасности часто вынуждены работать больше чем должно быть необходимо, чтобы напомнить персоналу о важности каждого шага в процессе обеспечения безопасности.Отвечая на вопросы о необходимости иногда обременительные процедуры или затраты на техническое обслуживание и обучение инициативы — неизбежная, но важная часть работы менеджера по безопасности. работа. Не заблуждайтесь, менеджер по безопасности должен не только управлять политикой безопасности, но также должен отстаивать ее.

Получение поддержки администратора

Поддержка безопасности на управленческом уровне необходима, поскольку безопасность планирование должно быть согласовано с более крупными организационными целями. Менеджмент должен убедиться, что более широкие планы организации адекватно считается и что политика безопасности соответствует существующим правилам, положениям, и законы, которым подчиняется организация, не говоря уже о том, что адекватное финансирование предусмотрено бюджетом. Ведь каждый доллар, вложенный в безопасность, какой бы необходимой она ни была, отнимает доллар у других деятельность.

 

Безопасность должна быть результатом совместных усилий лиц, принимающих решения, технических персонала и всего прочего персонала.

  В то время как персонал службы технической поддержки может иметь лучшее понимание разветвления данных технологических инициатив, только пользователи имеют возможность реализовывать политики и управлять полномочиями по их обеспечению, а политики которые не реализованы и не соблюдаются, бесполезны. Реальная безопасность требует сильной, заметной поддержки со стороны старшего руководства как группы, поскольку а также личная ответственность и образцовое поведение отдельных менеджеры.Если руководство игнорирует или обходит процедуры безопасности, другие поступят так же.

Это действительно происходит!

Теперь это делала и Мелисса!

Это просто свело Карла с ума. Сначала это был доктор Доусон, который презирал правила безопасности… но что еще оставалось делать Карлу после его вежливых напоминаний? о политике безопасности были проигнорированы суперинтендантом? потом Депутат, доктор Косгроув, также начал отклонять политику. Вскоре оба помощника суперинтенданта решили, что им тоже не нужно соблюдать неудобные правила безопасности. И вот, наконец, достиг Мелиссы, исполнительного секретаря. Карл не винил ее… Конечно, она не собиралась играть по правилам, когда в ее кабинете никого не было. сделал. Но как менеджер службы безопасности, Карл беспокоился, что, когда станет известно об этом, что Мелисса больше не меняла пароль регулярно и не использовала заставку, остальная часть вспомогательного персонала также уволится, следуя правилам. И оттуда это был скользкий путь, пока персонал в школах не понял что центральный офис не следует согласованной политике безопасности. При таком темпе Карл знал, что весь район не займет много времени. инвестиции в безопасность системы, чтобы распутать.

 

  Менеджмент может способствовать созданию атмосферы безопасности или подорвать ее — их поведение во многом определяет, будут ли сотрудники, которые дотошно относятся к безопасности, считаются чудаками, или норма.
 

Сотрудники также несут этическую ответственность за обеспечение безопасности доверенной им конфиденциальной информации.
  Обеспечение поддержки пользователей

Компьютеры и сети являются ценными инструментами для своих пользователей. Много люди полагаются на них каждый день, чтобы помочь им выполнять свою работу более эффективно. Когда компьютерные ресурсы недоступны, выполнение требований работы может стать значительно сложнее. Одна важная роль безопасности Менеджер играет, сообщает персоналу, что защита системы находится в нерабочем состоянии. их интересы, а также интересы организации.


Планирование неожиданного

Традиционная компьютерная безопасность часто во многом зависит от защиты системы от атакуют и минимизируют вероятность ПО и оборудования неудача, но обычно мало внимания уделяется тому, как справиться с атакой или неудача, как только это действительно происходит.В результате, когда проблема случается, многие решения принимаются в спешке. Часто такие решения отражают эту непродуманность и не способствуют отслеживанию источник инцидента, сбор доказательств для использования в судебном преследовании усилия, защищающие ценную информацию, содержащуюся в системе, или подготовка к восстановлению системы.

 
  Правильная политика при угрозе безопасности, будь то диск авария, атака злоумышленника извне или стихийное бедствие должны быть запланированы заранее предупреждать о возможных нежелательных явлениях.Единственный способ убедиться, что вы запланировать заранее такие неприятности, значит запланировать сейчас, потому что вы можете никогда не предсказывайте точно, когда произойдет нарушение безопасности. Это могло бы произойдет через год, месяц или сегодня днем. Планирование на случай чрезвычайных ситуаций заранее выходит за рамки «хорошей политики». Нет замены для планирование реагирования на нарушения безопасности и другие более масштабные непредвиденные обстоятельства планирование!

Это действительно происходит!

Резервный диск округа наконец вышел из строя и не подлежит ремонту.Но Рита, менеджер службы безопасности, была готова к такому повороту событий и быстро представила копию контракта на техническое обслуживание со своим поставщиком, который охватывал именно такое событие. Она позвонила торговому представителю и ей сказали, что она получит диск на замену в течение 48 часов. Она сказала, что все будет хорошо, потому что системе не нужно еще одно полное обновление. резерв еще на три дня. Через два дня пришла запчасть. как и было обещано, но, к огорчению торгового представителя, не совместимо с районной системой — прислали не ту часть! Примечательно, Рита сохраняла самообладание, когда продавец сказал ей, что, несмотря на его неустанные усилия исправить ошибку, новая деталь никак не могла добраться до ее сельской местности еще за 48 часов.Им придется отложить резервный цикл. — Не обязательно, — решительно ответила Рита.

Десять минут спустя Рита направлялась к зданию окружного управления. Двумя годами ранее она уже сотрудничала с окружным администратором. закупка техники для района. Двое договорились о покупке совместимое оборудование, которое можно было бы использовать совместно в случае возникновения чрезвычайной ситуации. В то время как Рита признала, что она не совсем столкнулась с ужасной чрезвычайной ситуацией, одолжить резервный диск округа на вечер было довольно просто. процедуры — и это было именно то, что она собиралась сделать, чтобы предотвратить задержку в ее резервная рутина.Все ее предварительные планы, наконец, окупились. выключенный.

 
 
Возможные ответы на атаку:
  1. Защита и продолжение
  2. Преследование и судебное преследование
  3. Panic and Pray

Основная цель «Защити и продолжай» — сохранение сайта активы и своевременное возвращение к нормальной деятельности.

Основная цель «Защиты и судебного преследования» — выявление злоумышленников и сбор доказательств всех несанкционированных действий.

  Планирование реагирования на нарушения безопасности

Существует три распространенных ответа на атаку на информационную систему: «защищать и действовать», «преследовать и преследовать в судебном порядке» и «паниковать и молиться». Любая из первых двух стратегий, хотя и явно противоположная по замыслу, может быть уместным в зависимости от характера нарушения безопасности и философии организации.Третий подход, «паникуй и молись», в то время как к сожалению, чаще, чем первые два, никогда не бывает эффективным ответом. Фактически, все обоснование планирования на случай непредвиденных обстоятельств состоит в том, чтобы свести к минимуму потребность в панике и молитве в случае инцидента безопасности.

Защита и продолжение . Если руководство опасается, что сайт особенно уязвим для атак, он может выбрать «защитить и продолжить». стратегия. При обнаружении атаки предпринимаются попытки активно препятствовать проникновению злоумышленника, предотвращать дальнейшее посягательство, и начать немедленную оценку ущерба и восстановление.Этот процесс может включать отключение объектов, закрытие доступа к сети, или другие кардинальные меры. Недостатком является то, что если злоумышленник идентифицируется напрямую, он, она или оно может вернуться на сайт через другой путь или может атаковать другой сайт.

Преследование и судебное преследование. Эта альтернатива «защитить и продолжить» подход принимает противоположную философию и цели. Здесь Основная цель состоит в том, чтобы позволить злоумышленникам продолжать доступ к системе до тех пор, пока их можно идентифицировать и иметь доказательства их несанкционированной деятельности собрались против них.Хотя этот подход поддерживается правоохранительными органами агентств и прокуратуры из-за доказательств, которые он может предоставить, основные недостатком является то, что система и ее информация остаются открытыми для потенциальных ущерб, пока организация пытается определить источник и собрать его доказательства.

 

 


Судебное преследование — не единственный возможный исход при обнаружении нарушителя.Если виновником является сотрудник или студент, организация может принять решение о применении внутренних дисциплинарных мер.

  Необходимо тщательно рассмотреть оба эти нарушения безопасности. философии реагирования со стороны руководства сайта. Крайне важно, чтобы предусмотрительность и планирование происходит до того, как возникнет проблема, иначе персонал может не знать как реагировать в случае реальной чрезвычайной ситуации: защищаться и действовать, или преследовать и преследовать? Фактически, стратегия в конечном итоге была принята может быть даже одним из «это зависит от обстоятельств».» Например, образовательная организация может быть готова принять дополнительные риски предоставления злоумышленнику доступа к финансовым записям (которые были должным образом подкреплены) в то время как он или она уличает себя и идентифицируется. С другой стороны, организация может решить, что угрожает , которые получают доступ конфиденциальные студенческие записи должны быть немедленно сорваны, потому что потенциальная затраты на раскрытие информации не стоят выгод от поимки нарушителя. Независимо от выбранного подхода необходимо взвесить все за и против. политиками, и пользователи должны быть осведомлены о своих обязанностях.

Еще одно решение, которое должно принять руководство, касается любых различий он выбирает различные типы неавторизованных пользователей. Места может оказаться полезным определить, кого он считает «инсайдерами» и «аутсайдерами». ссылаясь на административные, юридические или политические границы. Эти границы подразумевают, какие действия должны быть предприняты для выговора провинившемуся партия- от письменного порицания до выдвижения юридических обвинений.Планы безопасности необходимо разъяснить эти варианты и то, каким будет соответствующий ответ определить, уличен ли кто-либо в несанкционированном поведении.

 

  Планы обеспечения безопасности также должны включать процедуры взаимодействия с сторонними организациями, в том числе правоохранительными органами и другими службами безопасности. сайты поддержки. В процедурах должно быть указано, кто уполномочен производить такой контакт и как с ним обращаться.Контактная информация для организации поддержки безопасности можно найти в Приложении E.
 
  Планирование на случай непредвиденных обстоятельств

Жесткие диски выйдут из строя, скачки напряжения повредят данные и файлы быть стерты случайно. Общая безопасность системы (главы 5-9) разработаны и реализованы для защиты организации от этих мешающих Мероприятия.Но такие же ценные, как замки, антивирусные сканеры , метки дисков и пароли могут быть, если в дом постучится пожар, потоп или изощренный злоумышленник твоя дверь незваная, будь готов к неприятностям.

Не ошибитесь с термином «планирование на случай непредвиденных обстоятельств» — события, которые могут произойти, произойдут, это просто вопрос времени.

 

Для тех в мире, кто не непобедим (читай «все»), будучи готовность преодолевать непредсказуемое мудра и необходима.

  Планирование на случай непредвиденных обстоятельств не защищает организацию от угрозы но вместо этого подробно описывает, что должно произойти, если (когда) проникновение или система выходит из строя. Он подготавливает организацию для максимально быстрого и эффективного восстановления после нарушения безопасности. Фактически, еще одним термином для планирования на случай непредвиденных обстоятельств является планирование восстановления . Планирование восстановления после убытков или простоев не столь пессимистично как это реально.

Планирование на случай непредвиденных обстоятельств может быть сложным и подробным; ведь это составляет к плану для запуска наиболее важных аспектов организации с нуля и, возможно, даже на другом сайте — во время или, в лучшем случае, сразу после того, как случилась катастрофа. Следующий план включает рекомендуемые шаги и соображения для эффективного и полного подготовка плана на случай непредвиденных обстоятельств. Как и во всех других предлагаемых руководящих принципах в этом документе каждая организация (и ее менеджер по безопасности и политики) необходимо будет рассмотреть эти рекомендации и адаптировать их для удовлетворения свои уникальные потребности.

 

  Будьте инклюзивны при создании группы планирования на случай непредвиденных обстоятельств, включив в нее: 12
  • Ключевые политики
  • Менеджер по безопасности
  • Управление строительством
  • Техническая поддержка
  • Конечные пользователи
  • Прочий представительский персонал
  • Местные органы власти
  • Ключевые внешние контакты (напр.г., подрядчики и поставщики)
 

 
Получите и/или оцените: 13
  • Исчерпывающий список важнейших видов деятельности, выполняемых в организации (что должно быть указано в вашей оценке рисков)
  • Точная оценка минимального необходимого пространства и оборудования для восстановления основных операций
  • Сроки начала первоначальных операций после инцидента, связанного с безопасностью
  • Список ключевого персонала и их обязанности
 


Планирование на случай непредвиденных обстоятельств должно быть как можно более конкретным: если угроза «а» случается, организация ответит, выполнив «b»; если «с» происходит, это будет делать «д».

 
Выполнять и/или делегировать следующие обязанности в рамках разработки плана на случай непредвиденных обстоятельств: 14
  • Создать опись всех активов, включая информацию (данные), программное обеспечение, аппаратное обеспечение , документация и расходные материалы – включают постатейно, наименование производителя, модель, серийный номер и другие подтверждающие документы. Возможно, запишите ваш объект на видео, в том числе крупным планом.Держите его в курсе и не забудьте периферийные устройства .
  • Заключение взаимных соглашений с сопоставимыми организациями для обмена оборудования друг друга в случае возникновения чрезвычайной ситуации на одном объекте (например, школьный округ в школьный округ, школьный округ в государственный департамент, школьный округ в школу, школа в местную некоммерческую организацию). Ключ в том, что у вас есть требования к совместимому оборудованию (например, MAC к MAC или Windows для Windows).
  • Планировать закупку оборудования, программного обеспечения и другого оборудования по мере необходимости. необходимо для возобновления критически важной деятельности с минимальным задерживать.Имейте в виду, что старое оборудование, которое вы заменили, может уже не идеально соответствует вашим потребностям, но может быть достаточным в крайнем случае, если он все еще соответствует вашим минимальным требованиям.
  • Заключение договорных соглашений с «горячими» и «холодными» резервными площадками по мере необходимости.
  1. «Горячая» площадка — это объект за пределами площадки, включающий компьютеры, резервные копии данных и т. д.(все необходимое для возобновления операции)
  2. «Холодная» площадка — это объект за пределами площадки , включающий все необходимые для возобновления работы, за исключением фактических компьютеры (если допустима некоторая задержка, то расходы могут быть
  • Определить альтернативные места для встреч и начала работы, которые будут использоваться в случае повреждения или уничтожения обычных объектов.
  • Подготовить указания ко всем местам за пределами площадки (если и при перемещении на самом деле требуется оффсайт).
  • Установить процедуры для получения записей резервных копий за пределами площадки (т. е. кто, что, где, как и под чьим руководством).
  • Сбор и защита контактной информации и процедур связи с ключевым персоналом, поставщиками и другими важными контактами.
  • Договориться с производителями о приоритетной доставке в экстренных случаях заказы.
  • Найдите ресурсы поддержки, которые могут понадобиться (например, ремонт оборудования, автотранспортные и клининговые компании).
  • Заключите экстренные соглашения со специалистами по восстановлению данных.
  • Организовать непрерывную охрану участка силами местной полиции и пожарной охраны. отделы.
 

 
Укажите в плане следующее: 15
  • Индивидуальные роли и обязанности — по имени и должности, чтобы все точно знают что нужно делать
  • Действия, которые необходимо предпринять до наступления события или нежелательного события Действия, которые должны быть предприняты в начале нежелательного события для ограничения ущерб, потеря и компрометация
  • Действия, которые необходимо предпринять для восстановления критически важных функций
  • Действия, необходимые для восстановления нормальной работы
 
 
Проверить план:
  • Часто и полностью проверяйте план.
  • Анализ результатов тестирования для определения дальнейших потребностей (например, дополнительное обучение и лучшее хранилище резервных копий).
Периодически пытайтесь восстановить файлы из резервной копии (убедитесь, что делать вторичные резервные копии, чтобы не рисковать своей единственной резервной копией копию данных, а в остальном сделать процесс идентичным реальной чрезвычайной ситуации).
 
  Правильно относитесь к повреждениям:
  • Если бедствие действительно произошло, задокументируйте все затраты (даже промежуточную оценку). расходы) и запишите ущерб на видео (чтобы служить доказательством потери).
  • Ничего не делать в случае повреждения водой технического оборудования, за исключением немедленно обратитесь к профессиональным специалистам по восстановлению.
  • Будьте готовы преодолеть время простоя самостоятельно — страховые расчеты может потребоваться время для решения. После заселения, перестройки, выкупа, а переустановка может занять еще больше времени, так что не ждите, что что-то Если вы не будете полностью готовы, ваш офис снова заработает. разумное количество времени.
 

 
Уделить внимание другим важным вопросам:
  • Не усложняйте план без необходимости.
  • Возложить ответственность за ведение плана на одного человека, но он структурирован таким образом, что другие уполномочены и готовы его реализовать если нужно.
  • Храните план в безопасном, но удобном месте, чтобы он мог быть доступным по мере необходимости.
  • Регулярно обновляйте план и всякий раз, когда в вашу систему вносятся изменения.
  • Признайте, что люди всегда на первом месте (перед оборудованием, информацией или миссией).



Этот анекдот может звучать неправдоподобно, но сообщалось, что нечто удивительно похожее произошло после землетрясения в Калифорнии в 1996 году.
 

Это действительно происходит!

Великое землетрясение, как его вскоре назвали, застало всех врасплох, включая региональное агентство по образованию, которое собирало студенческие записи для законодательный орган штата более двух месяцев.Дон Джонс был в руководил проектом и оказался в весьма затруднительном положении. К счастью, или, к несчастью, в зависимости от исхода его действий, он не думал о что он собирался сделать — он просто побежал обратно в горящее здание, чтобы получить копию его резервных лент с данными. Он вернулся к изумленной группе сотрудников, которые были поражены тем, что он, в буквальном смысле, рискует своим жизнь, чтобы защитить «свои» данные. Он выбрался живым, так что он мог бы сказать что риск того стоил, но не проще ли было просто практиковали удаленное хранение?


 

  Не позволяйте вашей организации вносить свой вклад в многочисленные истории непредвиденных обстоятельств планы, которые провалились из-за незначительной оплошности, которая легко могла быть исправлено, но не было идентифицировано, пока не стало слишком поздно.
 
Тестирование и проверка

Большинство организаций ежегодно проходят финансовый аудит в той или иной форме. регулярная часть их финансовой жизни. То же самое относится и к аудиту безопасности . важная часть работы любой вычислительной среды. Полный аудит безопасности должен включать проверку любых политик, влияющих на или затронуты безопасностью системы, а также тщательной проверкой каждого механизм, который существует для обеспечения соблюдения указанных политик.В конце концов, план не очень хорош, если его нельзя реализовать, и единственный способ действительно убедиться, что политики и механизмы безопасности реализованы должным образом через обширное тестирование (или во время реальной чрезвычайной ситуации, когда уже поздно исправлять недостатки).


 

Имейте в виду, что разумное тестирование имеет пределы. цель тестирования — убедиться, что процедуры безопасности выполняются должным образом и соответствовать важнейшим политическим целям, а не доказывать абсолютность каждого аспекта системы и политики.
  Хотя учения по безопасности нельзя планировать каждый день недели без серьезно влияющие на производительность офиса (и, вероятно, моральный дух), они должны проводиться так часто, как это необходимо для определения того, что процедуры безопасности эффективно реализуются. Какие дрели? Хорошо, если ваша оценка рисков (см. главу 2) идентифицирует определенный тип стихийное бедствие как основную угрозу для вашей организации, затем учения на основе этого сценария может быть построен (т.г., тест для проверки вашего механизмы резервного копирования и восстановления после землетрясения). С другой стороны, если ваша самая большая угроза исходит от внешних злоумышленников, пытающихся проникнуть в вашу систему, может быть проведена тренировка, имитирующая хакера атаку, чтобы наблюдать доступ к контрмерам в действии.

Это действительно происходит!

Городские школы взяли на себя обязательство обеспечивать высочайший уровень безопасности системы.Компания назначила штатного сотрудника менеджером по безопасности, закупила самое современное оборудование для резервного копирования и переоборудовала принадлежащее ей старое здание на окраине города, чтобы оно служило удаленным хранилищем для резервных лент. Менеджер по безопасности, посетивший многочисленные технологии и безопасность конференции, чтобы быть в курсе своих служебных обязанностей, гордился свою систему и протестировал каждый шаг своих процедур резервного копирования вплоть до ленты попали на полки в хранилище за пределами площадки.К лучшие из знаний менеджера, тренировки по безопасности доказали свою эффективность снова и снова что системе действительно можно доверять. Однажды ночью, как менеджер лежал в постели, думая о том, какая замечательная система безопасности городских школ было, он понял, что на самом деле он никогда не перезагружал резервные ленты из удаленных место хранения. Он, конечно, был очень уверен, что средство (с его огнезащитный ремонт, антистатическое ковровое покрытие и постоянная охрана охранник) был в безопасности, но признал, что не может быть уверен, пока не на самом деле проверил это.

На следующее утро он пошел на объект, зарегистрировался у службы безопасности охранник, ввел комбинацию для отпирания двери и выдал образец Лента. Он взял его в свой офис и попытался перезагрузить на автономном компьютере. «тестовый» компьютер, но, к своему большому удивлению, обнаружил, что на ленте нет данные. Он немедленно вернулся в хранилище, чтобы снять другую ленту, но снова, при попытке прочитать данные, обнаружил, что не было файлов.

Быстрее, чем вспышка, менеджер по безопасности вызвал команду высокотехнологичных консультантов по безопасности, чтобы диагностировать его проблему.Он показал им свою отчеты о тесте за тестом и тренировке за тренировкой, подтверждающие, что все шаги перед хранением для резервного копирования данных выполнялись должным образом. Специалисты были убеждены, что место для начать расследование. Когда они подошли к зданию, менеджер по безопасности упомянул, что, хотя он и не думал о бюджете на высокая почасовая оплата экспертов-консультантов, они должны брать время, которое им нужно было, чтобы выяснить проблему, потому что он хотел эту резервную копию система работает исправно.На это ведущий консультант ответил так: он подошел к двери, «Ну, в таком случае я думаю, что у меня есть некоторые хорошие новости и некоторые плохие новости, чтобы сказать вам. Хорошая новость в том, что я уже определили вашу проблему и должны будут взимать плату только за одну часовая работа».

«Хорошие новости», — ответил менеджер. «Но что плохого Новости?»

«Плохая новость в том, что за хранилищем находится электрический трансформатор. Если у вас нет свинцовых стен, он излучает достаточно остаточного электричества. чтобы стереть все записи, которые у вас есть в здании.у тебя будет чтобы переместить место хранения.»

«Но у нас здесь очень безопасное место», — отчаянно возразил менеджер. «Здесь есть охрана, современная спринклерная система и антистатическое покрытие. ковровое покрытие».

«И у него также есть гигантский, стирающий ленты, электрический завод в его спине площадка. Извините, но этот сайт никогда не будет безопасным. Каждый резервная лента, которая находится в пределах 50 футов от здания, будет иметь все его данные стерты.Но посмотрите на светлую сторону — хотя у вас может быть потерял инвестиции в объект, по крайней мере, вы узнали все это раньше вам действительно нужны резервные копии данных. Возьми записи прошлой ночи другое место хранения, и все будет в порядке».

 

Хотя безопасность нельзя проверять каждый день, тестирование необходимо проводить достаточно часто, чтобы проверить эффективность инициатив по обеспечению безопасности.
  Если полномасштабные учения по безопасности окажутся слишком трудоемкими и разрушительными к нормальным операциям, которые будут реализованы в больших масштабах, рассмотрите возможность тестирования отдельные аспекты системы безопасности по одному. Процедуры резервного копирования можно проверить, чтобы убедиться, что данные могут быть восстановлены с лент хранилища . Файлы журналов можно проверить, чтобы убедиться, что информация, которая предполагается, быть сохранено было сделано так точно.И другие особенности системы также могут быть оценены и проанализированы. Когда ценная бумага упражнение выполнено, большое внимание должно быть уделено разработке теста. Важно четко определить, что тестируется, как тест будет проведено и каких результатов следует ожидать. Все аспекты этого процесса должны быть задокументированы и включены или в качестве дополнения к, политика безопасности.
Кто проводит проверки безопасности и учения?
  1. Специалист(ы) по безопасности организации
  2. Команды сотрудников (рецензенты внутри организации)
  3. Группы внешних рецензентов (из кооперативов, консорциумов или других партнерские организации)
  4. Нанятые внешние эксперты-консультанты по безопасности

 
Внедрение и текущее обслуживание

Безопасность — это больше, чем защита от хакеров и других нарушителей спокойствия. ваша система.Он включает в себя множество внутренних практик, которые служат для защиты информации в случае сбоя системы или диска . Немного основных видов деятельности, которыми менеджеры по безопасности занимаются изо дня в день включать администрирование механизмов резервного копирования и защиты от вирусов, обновления программного обеспечения, управление учетными записями пользователей и мониторинг активности системы.

 

Включены рекомендуемые методы, касающиеся фактических процедур резервного копирования в главе 6.
 

Резервные копии

Практически невозможно переоценить необходимость хорошего резервного копирования стратегия. Резервные копии системы не только защищают организацию в случае сбоя оборудования или случайного удаления, но они также защищают сотрудников от несанкционированных или случайных изменений, внесенных в содержимое файлов. Если когда-либо будет допущена ошибка (а мы все знаем, что это так), имея возможность доступ к неизмененной резервной копии может быть очень привлекательным.Но достигая в эти архивы является жизнеспособной стратегией, только если файлы резервных копий были сделано правильно — резервная копия файла, содержащего ошибки и/или вирусы вы пытаетесь устранить, как правило, не очень полезно. По аналогии, файлы резервных копий должны создаваться через соответствующие промежутки времени и сами по себе должны быть хорошо защищены от повреждений и разрушения.

Какой тип стратегии резервного копирования подходит для вашей организации? Это зависит от типов и количества файлов в системе, уровня технической экспертизы внутри организации, а также приверженность безопасности — информация, которую можно найти в результатах хорошо выполненная оценка рисков (см. главу 2).Даже после потребности были идентифицированы уникальные для организации, однако существует несколько более общие вопросы, которые необходимо рассмотреть, прежде чем устанавливать резервные планы:

  1. Какой риск потери данных ваша организация может с комфортом терпеть?
  2. Сколько лет вашему оборудованию? Насколько это надежно?
  3. Каков характер вашего рабочего места? Вы обрабатываете новые данные ежедневно?

Для дальнейшей оценки типа стратегии резервного копирования, которая лучше всего соответствует потребности вашей организации, также взвесьте следующие факторы: 16

  1. Время и усилия, необходимые для внесения изменений в файлы:
    Если изменения в файле занимают немного времени, резервное копирование этих изменений может не быть обязательным.Если изменения требуют большой работы (например, ввод данных, собранных из длинной формы), не рискуйте и вместо этого часто делайте резервные копии.
  2. Время и усилия, необходимые для резервного копирования файлов:
    Если фактический процесс резервного копирования требует небольших усилий, зачем выключенный? Если это отнимает много времени, будьте более внимательны к правильному выбору времени.
  3. Значение данных:
    Если данные особенно ценны, создавайте их резервные копии чаще. В противном случае частое резервное копирование может быть менее необходимым.
  4. Скорость изменения файла:
    Если документ изменяется быстро (например, из-за скорости оператора при вводе данных), вероятно, потребуется более частое резервное копирование.

 

Вы можете выбрать комбинацию процедур полного и частичного резервного копирования. Тем не менее, при запуске любой системы необходимо сначала создать полную резервную копию. сделано, чтобы служить точкой отсчета.
 
В целом существует три типа стратегий резервного копирования:
  1. Полное резервное копирование — резервное копирование всего жесткого диска .Преимущество этой стратегии является ее завершенность; вы получите снимок всех ваших содержимое жесткого диска.
  2. Частичное резервное копирование — только резервное копирование выбранных каталогов. Этот полезен и эффективен, если ваша работа сосредоточена в определенной области вашего жесткого диска.
  3. Инкрементное резервное копирование — резервное копирование только тех файлов, которые были изменено с момента последней резервной копии. Это означает использование программного обеспечения для резервного просканируйте файлы, чтобы увидеть, были ли они изменены с момента последнего цикла резервного копирования. Если это так, файл сохраняется; в противном случае сохраняется предыдущая резервная копия.
 

Прежде всего, разработайте стратегию резервного копирования, реалистичную для вашей организации. параметр.
  Итак, как все эти факторы синтезируются в эффективную стратегию для удовлетворения потребностей организации? Ответ прост: используйте доступная информация для разработки плана резервного копирования, который наиболее быть реализованным.Каким бы ни было решение, будьте достаточно изобретательны разработать стратегию, которая с наибольшей вероятностью обеспечит получение ваших данных подкреплено. Крайне важно установить реалистичную политику, основанную на в среде вашего агентства.

В любом случае установите расписание резервного копирования, которое соответствует потребностям вашего агентства и стиль работы и придерживайтесь его. Вот несколько примеров общего резервного копирования подпрограммы:

  • Дважды в день: частичное в полдень, полное в конце дня
  • Один раз в день: полное резервное копирование в конце дня
  • Три раза в неделю: полное резервное копирование в конце каждого второго дня
  • Дважды в неделю: полное резервное копирование во вторник, частичное в четверг
  • Раз в неделю: полное резервное копирование
  • Ежемесячно: полное резервное копирование

 

Вариант C, «В безопасном месте за пределами офиса», является лучшим вариантом из чисто с точки зрения безопасности.См. Главу 5 для рекомендаций по обеспечению местоположение.
  Последним важным вопросом планирования, который необходимо рассмотреть, является то, что делать с файлами резервных копий. как только они были созданы. Выбор места резервного копирования зависит о потребностях, ресурсах и способности агентства защитить свою физическую структуру (см. главу 5). Любой отдельный вариант или сочетание вариантов могут быть выбраны, если они соответствуют потребностям сайта и имеют реальный шанс реализации.Варианты хранения резервных копий включают:
Вариант А: В одной комнате — отлично подходит для быстрого восстановления файлов после данных. потери, но плохо, если угроза попадает «в» комнату.
Опция В: В том же здании — менее удобном для исправления ошибок, но физическое разделение повышает безопасность, так как единичное событие менее вероятно повредить все
Опция С: В безопасном месте за пределами площадки — совсем не удобно для быстрого восстановление данных, но отлично подходит для защиты, если хранится в безопасном месте.
 
  Как и все решения по обеспечению безопасности, выбор места для хранения вне офиса объекты должны быть основаны на выводах оценки риска. Если, например, оценка риска показывает, что землетрясение представляет собой серьезную угрозу, размещение склада за пределами участка в 100 милях от него, но вдоль того же линия разлома имеет мало смысла. Аналогичным образом, если оценка риска выявляет наводнения как первостепенной угрозы, расположение хранилища за пределами объекта должно быть вне той же поймы.
 

Дополнительные рекомендации по борьбе с вирусами см. в главе 6. и прочее мошенническое программирование.
  Защита от вирусов

Любая машина, подключенная к сети или взаимодействующая с другими через дискеты или модем уязвим для мошеннических программ: компьютерных вирусов, черви , троянские кони и тому подобное.Это дело начальника службы безопасности. обязанность разрабатывать и контролировать процедуры по предотвращению вирусов и других мошеннические программы от проникновения в систему. Как правило большого пальца, никаких дискет из-за пределов системы (включая фирменные, завернутые в термоусадочную пленку). программное обеспечение) следует использовать на системной машине без предварительного был проверен современной антивирусной программой .

 
любой из почти бесчисленного множества видов жутких, ползающих насекомые или, чаще, неожиданные ошибки программирования в компьютерном программном обеспечении.
  Обновления программного обеспечения

Само собой разумеется, что в компьютерных системах ошибок . Даже работает системы , от которых так сильно зависит защита нашей информации, есть ошибки. Из-за этого издатели программного обеспечения выпускают обновления на частая основа. Часто эти обновления, по сути, затыкают дыры в безопасности программного обеспечения, которые были обнаружены.Это важно что всякий раз, когда эти ошибки идентифицируются, системный администратор предпринимает все действия их можно исправить как можно скорее, чтобы свести к минимуму воздействие.

Следствием «проблемы ошибок» является источник для получения обновляет до программного обеспечения. Многие компьютерные системы и программные пакеты приходят с поддержкой от производителя или поставщика. Средства, которые поступают непосредственно из такого источника, как правило, заслуживают доверия и обычно могут быть реализованы довольно быстро после получения (и надлежащее тестирование независимо от источник).Другие источники, такие как программное обеспечение, размещенное на Интернет-сайтах , необходимо рассмотреть более внимательно.

Как правило, больше доверяйте обновлениям производителя, чем тем, которые размещаются в Интернете.

 
   
  Эффективная безопасность требует «сдержек и противовесов», чтобы каждый пользователь, включая системного администратора и менеджера по безопасности, несет ответственность для системной деятельности — никто не должен иметь возможность печатать свою зарплату без наблюдения.
  Управление учетными записями пользователей

Как сказано на протяжении всей этой главы, один человек должен иметь первичную ответственность за информационную систему. Для этого человека безопасность менеджер или системный администратор, чтобы эффективно контролировать систему, ему или ей необходимо иметь доступ ко всем системным компонентам и файлам — доступ это обычно называют «привилегиями системного администратора».» Обычно считается хорошей практикой делиться системным администратором права доступа с кем-то, кроме системного администратора, если только для того, чтобы иметь аварийный доступ к системе, если администратор когда-нибудь станет недоступным. Но, сказав это, такой тотальный доступ также требует полной подотчетности и должна ограничиваться наименьшим количество персонала, необходимое для обеспечения безопасности системы — в конце концов, каждый человек с полным доступом к системе имеет возможность переопределить любой и все функции безопасности.

 
  Пользователи, кроме администратора системы (и подотчетная замена в случае чрезвычайной ситуации) должен быть предоставлен доступ к системе исключительно на на свои рабочие нужды. Ограничение доступа пользователей сводит к минимуму возможности аварий и других возможных ненадлежащих действий (см. главу 8). Благодаря использованию учетных записей пользователей каждый авторизованный пользователь идентифицируется перед доступ к системе, и любое действие, которое совершает этот пользователь, классифицируется в качестве таких.

Пользователям следует предоставлять доступ только к тем файлам и системам, которые им нужны выполнять свою работу и не более того.

 
   

Чтобы распознать отклонения от нормального использования системы, менеджер должен понимать как ведет себя система при правильной работе.
  Мониторинг использования системы

Мониторинг системы может осуществляться администратором безопасности или программным обеспечением. разработан специально для этой цели. Мониторинг системы включает в себя рассмотрение всех аспектов системы, выявление закономерностей регулярного использования, и искать что-нибудь необычное. Большинство операционных систем хранить информацию об использовании системы в специальных файлах, называемых журналом файлы.Проверка этих файлов журналов на регулярной основе часто первая линия защиты при обнаружении несанкционированного использования системы. Системные менеджеры должны:

 
 
  • Сравните списки пользователей, вошедших в систему в настоящее время, и истории прошлых входов в систему . Большинство пользователей обычно входят и выходят примерно в одно и то же время каждый день. Учетная запись, вошедшая в систему вне «нормального» времени для учетной записи, может быть признак несанкционированной деятельности и требуют расследования и объяснения.
  • Проверьте системные журналы на наличие необычных сообщений об ошибках. Например, большой количество неудачных попыток входа в систему за короткий период времени может указывать на что кто-то пытается подобрать пароли.
 

Хотя менеджер по безопасности отвечает за мониторинг активности пользователей, это становится гораздо более осуществимым при работе с, а не против персонал.
 

Это действительно происходит!

Стив серьезно относился к безопасности школьной компьютерной системы. И хотя некоторые люди могли подумать, что он, возможно, был слишком серьезен, это не помешало ему все равно заставить их пройти через линию безопасности. Он был серьезным менеджером службы безопасности.

Однажды днем ​​он заметил необычайно странную системную активность во время своих ежедневных (но случайных по времени) операций по наблюдению он быстро по следу нарушителя спокойствия. Стив знал, что он эффективный начальник службы безопасности, но он удивил даже самого себя, так быстро отследив нарушения возвращаются госпоже.Тодд, учитель пятого класса. Ему следует знали, что никогда не доверяли миссис Тодд. Никто не мог быть таким хорошо — это должна была быть уловка.

Стив прошел по коридору и через дверь в пустой класс вовремя, чтобы найти преступника, все еще сидящего за ее компьютером. Он мог бы едва контролируя себя: «Что, черт возьми, ты делаешь? Ты можешь потерять работу за взлом моей системы. На самом деле, я собираюсь сделать все возможное, чтобы увидеть, что вы делаете!»

Как и предсказывал Стив, миссисТодд отрицал, что она что-либо сделала неподходящий. — Но, мистер Джонсон, о чем вы?.. И, пожалуйста, не используй этот тон со мной».
«Тон?» — удивленно ответил Стив. «Тебе повезло, что все, что я использую, это «тон» с вами. А теперь дай мне посмотреть, что ты здесь делаешь». подошел к столу миссис Тодд и посмотрел на экран ее монитора. «Хм», — подумал Стив вслух, удивившись, увидев, что она работает над электронный журнал оценок, который был на ее собственном жестком диске и не требовал войдя в сеть.»Что ты делал до того, как я получил здесь? Вы были в сети?»

Миссис Тодд выглядела озадаченной: «Нет, я была в своей зачетной книжке с тех пор, как дети уехали. Почему?»
Прежде чем Стив смог продолжить свой допрос, миссис Йоу, директор, ворвался в комнату. — К чему все эти волнения, Стив? Я слышал, как ты кричал на полпути по коридору».
«Я поймал миссис Тодд на вмешательстве в файлы табеля успеваемости в сети. Это серьезное нарушение нашей системы безопасности.»

Миссис Тодд поспешила защищаться. «Ничего подобного он не делал, Миссис Йоу. Он не мог поймать меня за этим, потому что я бы никогда не сделать такую ​​вещь. Слушай, я работаю над своим собственным журналом оценок».

Стив был удивлен, что миссис Тодд смогла сохранить такую ​​прямолинейность. лицо, когда он поймал ее чуть ли не с поличным. Но прежде чем он смог Скажи что-нибудь, миссис Йоу потянулась к клавиатуре миссис Тодд. Она ударила несколько функциональных клавиш и щелкнул мышью один или два раза.Стив мог сказать, что она проверяла использование компьютера. Ему нравилось иметь директора, который разбирался в оборудовании!

«Стив, — спросила миссис Йоу, — во сколько произошло нарушение?»

«В три часа, — ответил он, — сразу после последнего урока. когда миссис Тодд сказала, что она села за компьютер. Довольно совпадение, да?»

Директор уставился на него: «Должно быть, это совпадение, потому что контрольный след показывает, что она была в своем журнале оценок с 3:02. п.м. До этого никаких действий с восьми часов утра». Миссис Йоу хмуро посмотрела на Стива, прежде чем извиняющимся взглядом взглянуть на пятиклассника. Учитель: «Мне очень жаль, миссис Тодд. Иногда он может увлечься, но у него большая работа по обеспечению безопасности нашей сети. снова сказал Стиву: «Тебе действительно нужно было устраивать такую ​​сцену, когда ты не был даже уверен, что ты обвинял того человека?»

Стив попытался ответить, но миссис Тодд перебила его. «Это нормально, он, должно быть, действительно думал, что нашел виновного.» Она смеялась, «Я, компьютерный хакер, разве это не история?»

Стив посмотрел на женщину, которая теперь защищала его. Всего несколько мгновений назад, он ошибочно обвинил ее во взломе и угрожал ее работе. Так что, возможно, она действительно такая милая.

— Пошли, Стив, — наконец сказала миссис Йоу, нарушая молчание, — мы получил хакер, чтобы идентифицировать. На этот раз, не уходить наполовину с обвинения, пока мы не поймем, о чем говорим».

Постскриптум: В течение следующих двух недель Стив и миссисВы следили за хакер, который маскировался под нескольких разных сотрудников (включая миссис Йоу) и пытается войти в защищенные файлы табелей успеваемости. После долгий анализ, Стив обнаружил ошибку в программном обеспечении для работы с паролями, которая позволяла хакер выдает себя за авторизованного пользователя. Как только это было выполнено, они смогли отследить несанкционированные действия к машине, с которой работал злоумышленник, и впоследствии были удалось поймать восьмиклассника, пытавшегося разыграть фарс. После надлежащего обращения с беспокойным студентом (во время которого время, когда Стив позволил миссис Йоу вести большую часть разговора), Стив снова извинился милой миссис Тодд за необоснованные обвинения и непрофессиональное поведение.

 

  Задача системного мониторинга не так сложна, как может показаться. Безопасность менеджеры могут выполнять множество задач мониторинга периодически в течение день даже в самые короткие свободные минуты (например,г., ожидая ожидания по телефону). Выполняя команды часто, менеджер быстро привыкнет видеть «нормальные» действия и станет лучше замечать необычные вещи.

Самая важная вещь в использовании системы мониторинга заключается в том, что делать это регулярно. Выбор одного дня в месяце для мониторинга система не является надежной стратегией безопасности, поскольку может произойти взлом в считанные часы или даже минуты.Только при поддержании постоянного бдительность, можете ли вы рассчитывать на обнаружение нарушений безопасности, чтобы вовремя отреагировать на их- отсюда одна привлекательность программного обеспечения для мониторинга, которое, в отличие даже от самых выделенный из администраторов, способен работать 24 часа и семь дней в неделю.

Несмотря на преимущества, которые дает регулярный мониторинг системы, некоторые злоумышленники будут знать о стандартных механизмах входа в систему, используемых системами они атакуют и будут активно пытаться уклониться от этих механизмов. Таким образом, хотя регулярный мониторинг полезен для обнаружения злоумышленников, он не не гарантирует, что ваша система безопасна и не должна рассматриваться как безошибочный метод обнаружения несанкционированного использования.

 
 
Последний (но очень важный) вопрос
В. Как менеджер по безопасности проверяет, что система, для которой он или она отвечает на самом деле в безопасности?

A. 1) Прочтите этот документ и следуйте приведенным инструкциям по безопасности. в контрольных списках в конце каждой главы.

   2) Практикуйтесь, тренируйтесь и тестируйте реализуются все без исключения меры безопасности.

Контрольный список управления безопасностью

Хотя может возникнуть соблазн просто обратиться к следующему контрольному списку в качестве план обеспечения безопасности, это ограничило бы эффективность рекомендаций.Они наиболее полезны, когда инициируются как часть более крупного плана по разработать и внедрить политику безопасности во всей организации. Другой в главах этого документа также рассматриваются способы настройки политики в соответствии с вашими потребностями. конкретные потребности организации — концепция, которую не следует игнорировать, если вы хотят максимизировать эффективность любого данного руководства.

Контрольный список безопасности для главы 4
Краткость контрольного списка может быть полезной,
но это никак не компенсирует для детализации текста.


 

SEC.gov | Порог частоты запросов превысил

Чтобы обеспечить равный доступ для всех пользователей, SEC оставляет за собой право ограничивать запросы, исходящие от необъявленных автоматических инструментов. Ваш запрос был идентифицирован как часть сети автоматизированных инструментов, выходящих за рамки приемлемой политики, и будет управляться до тех пор, пока не будут предприняты действия по объявлению вашего трафика.

Пожалуйста, заявите о своем трафике, обновив свой пользовательский агент, включив в него информацию о компании.

Чтобы ознакомиться с рекомендациями по эффективной загрузке информации с SEC.gov, включая последние документы EDGAR, посетите сайт sec.gov/developer. Вы также можете подписаться на получение по электронной почте обновлений программы открытых данных SEC, включая передовые методы, которые делают загрузку данных более эффективной, и улучшения SEC.gov, которые могут повлиять на процессы загрузки по сценарию. Для получения дополнительной информации обращайтесь по адресу [email protected]правительство

Для получения дополнительной информации см. Политику конфиденциальности и безопасности веб-сайта SEC. Благодарим вас за интерес, проявленный к Комиссии по ценным бумагам и биржам США.

Идентификатор ссылки: 0.67fd733e.164

51.10588935

Дополнительная информация

Политика безопасности Интернета

Используя этот сайт, вы соглашаетесь на мониторинг и аудит безопасности. В целях безопасности и для обеспечения того, чтобы общедоступные услуги оставались доступными для пользователей, эта правительственная компьютерная система использует программы для мониторинга сетевого трафика для выявления несанкционированных попыток загрузить или изменить информацию или иным образом нанести ущерб, включая попытки отказать в обслуживании пользователям.

Несанкционированные попытки загрузки информации и/или изменения информации в любой части этого сайта строго запрещены и подлежат судебному преследованию в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях от 1986 г. и Законом о защите национальной информационной инфраструктуры от 1996 г. (см. Раздел 18 USC §§ 1001 и 1030).

Чтобы обеспечить хорошую работу нашего веб-сайта для всех пользователей, SEC отслеживает частоту запросов на контент SEC.gov, чтобы гарантировать, что автоматический поиск не повлияет на возможность других получить доступ к SEC.содержание правительства. Мы оставляем за собой право блокировать IP-адреса, отправляющие чрезмерные запросы. Текущие правила ограничивают количество пользователей до 10 запросов в секунду, независимо от количества компьютеров, используемых для отправки запросов.

Если пользователь или приложение отправляет более 10 запросов в секунду, дальнейшие запросы с IP-адреса(ов) могут быть ограничены на короткий период. Как только количество запросов упадет ниже порогового значения на 10 минут, пользователь может возобновить доступ к контенту в SEC.правительство Эта практика SEC предназначена для ограничения чрезмерных автоматических поисков на SEC.gov и не предназначена и не ожидается, что она повлияет на отдельных лиц, просматривающих веб-сайт SEC.gov.

Обратите внимание, что эта политика может измениться, поскольку SEC управляет SEC.gov, чтобы обеспечить эффективную работу веб-сайта и его доступность для всех пользователей.

Примечание: Мы не предлагаем техническую поддержку для разработки или отладки процессов загрузки по сценарию.

Что такое CMMS? Определение, принцип работы и преимущества

К преимуществам CMMS относятся:

Видимость активов:  Централизованная информация в базе данных CMMS позволяет руководителям и группам по техническому обслуживанию практически мгновенно узнавать о моменте приобретения актива, времени выполнения технического обслуживания, частоте поломок, использованных деталях, рейтингах эффективности и многом другом.

Видимость рабочего процесса: Панели мониторинга и визуализации можно настроить для техников и других ролей, чтобы оценивать состояние и прогресс практически в режиме реального времени. Группы технического обслуживания могут быстро определить, где находится актив, что ему нужно, кто и когда должен с ним работать.

Автоматизация:  Автоматизация ручных задач, таких как заказ деталей, пополнение запасов MRO, планирование смен, сбор информации для аудита и другие административные обязанности, помогает сэкономить время, уменьшить количество ошибок, повысить производительность и сосредоточить команды на техническом обслуживании, а не на административных задачах.

Оптимизация процессов:  Заказы на работу могут просматривать и отслеживать все вовлеченные стороны. Детали могут быть переданы между мобильными устройствами для координации работы на местах с операционными центрами. Распределение и использование материалов и ресурсов можно расставить по приоритетам и оптимизировать.

Управление выездным персоналом:  Управление внутренними и внешними выездными специалистами может быть сложным и дорогостоящим процессом. Возможности CMMS и EAM позволяют унифицировать и экономично развертывать внутренние группы и внешние партнерства.Новейшие решения EAM предлагают преимущества в области подключения, мобильности, дополненной реальности и блокчейна для преобразования операций в полевых условиях.

Профилактическое обслуживание: Данные CMMS позволяют перейти от реактивного к упреждающему подходу к обслуживанию, что позволяет разработать передовую стратегию обслуживания активов. Данные, полученные в результате повседневной деятельности, а также датчики, счетчики и другие инструменты IoT, могут предоставить информацию о процессах и активах, сообщить о профилактических мерах и вызвать оповещения до того, как активы сломаются или будут работать неэффективно.

Согласованность и передача знаний:  Документация, руководства по ремонту и процедуры технического обслуживания с захватом носителей могут храниться в CMMS и ассоциироваться с соответствующими активами. Захват и сохранение этих знаний создает согласованные процедуры и качество работы. Это также сохраняет эти знания для передачи новым техническим специалистам, а не уходит за дверь с уходящим персоналом.

Управление соответствием:  Аудит соответствия может нарушить работу техобслуживания и ресурсоемких предприятий в целом.Данные CMMS значительно упрощают аудит, генерируя ответы и отчеты, адаптированные к требованиям аудита.

Здоровье, безопасность и окружающая среда:  В соответствии с управлением соответствием CMMS и EAM предлагают централизованную отчетность по вопросам безопасности, здоровья и окружающей среды. Цели заключаются в снижении риска и поддержании безопасной рабочей среды. CMMS и EAM могут проводить расследования для анализа повторяющихся инцидентов или дефектов, отслеживания инцидентов и корректирующих действий, а также управления изменениями процессов.

Внедрение электронной медицинской карты: обзор ресурсов и инструментов

Резюме

Внедрение электронной медицинской карты (ЭМК) может быть трудной задачей, и планирование процесса имеет первостепенное значение для сведения к минимуму ошибок. Критически важной задачей является оценка критериев выбора и плана внедрения системы EHR с точки зрения функциональной совместимости, конфиденциальности, доступности и целостности данных информации о здоровье пациента, а также своевременного, точного и соответствующего нормативным требованиям создания отчетов.

В этой статье обсуждается план выбора и внедрения, который в первую очередь будет состоять из оценки существующих рабочих процессов учреждения для каждого отдела, а также излагаются потребности и склонности учреждения к включению в систему EHR для надлежащего функционирования организации. Включены ресурсы и инструменты, помогающие в выборе продукта, а также идеи о том, как обучать персонал и оценивать его готовность. Нормативные требования также включены для рассмотрения во время начального процесса.

EHR повышает логистическую эффективность рабочих процессов и предлагает более безопасный способ ухода за пациентами. Для обеспечения эффективности персонал поставщика услуг должен выполнить ряд шагов, чтобы обеспечить надлежащее внедрение и работу с системой EHR. Перед использованием внедренной ЭУЗ рекомендуется разработать протокол тестирования, чтобы обеспечить выявление и контроль областей возможной путаницы персонала. Использование надлежащей стратегии внедрения новой системы EHR может способствовать успеху, свести к минимуму задержки, повысить удовлетворенность медицинских работников и снизить вероятность нарушения удобства использования.

Ключевые слова: электронная медицинская карта, медицинская карта, ehr, emr, ehr реализация, электронная медицинская карта, электронная медицинская карта, реализация медицинской карты и внедрения систем электронных медицинских карт (ЭМК), было отмечено, что в нескольких публикациях рассматривается конкретный аспект или несколько аспектов отбора и внедрения.Тем не менее, было очень мало или вообще не было публикаций, которые включали большинство, если не все необходимые аспекты, от выбора, регулирования до внедрения и последующего внедрения системы EHR в одном источнике. Авторы перечисляют ряд рекомендаций и инструментов для использования. Все эти инструменты для облегчения успешного процесса внедрения системы EHR находятся в одном источнике.

Обзор

Внедрение EHR: ресурсы и инструменты

Внедрение систем EHR стало требованием в Соединенных Штатах.Центры услуг Medicare и Medicaid (CMS) возглавили этот переход, предоставив финансовые стимулы поставщикам медицинских услуг и организациям здравоохранения, именуемым в данном документе «поставщиками». Однако отказ от внедрения EHR повлечет за собой финансовые санкции за несоблюдение требований. Многие провайдеры используют устаревшую (текущую/старую) систему в качестве EHR. Электронные медицинские карты в основном являются гибридными, и у некоторых поставщиков есть сервисные линии или отделы с компьютерами, которые не имеют встроенной информационной системы для их использования.У них также нет систем, которые могут взаимодействовать с компьютерами остальной части организации; примером могут быть аптеки или лабораторные отделы.

Некоторые поставщики могут иметь определенные отделы с интегрированной информационной системой, такие как лаборатория или биллинг, но возможности отчетности недостаточны для удовлетворения потребностей бизнеса и требований аккредитации, поэтому отчеты создаются вручную. Для этих клинических и административных проблем с информатикой в ​​здравоохранении поставщики отдают приоритет внедрению сертифицированной ЭУЗ и выделяют бюджет на приобретение и внедрение системы информатики в здравоохранении: ЭУЗ.

Устаревший EHR может удовлетворять некоторым требованиям CMS по осмысленному использованию, но может быть не полностью готов к третьему этапу требования осмысленного использования. Области, необходимые для полного соответствия устаревшей системе, заключаются в том, чтобы ЭУЗ могла генерировать и передавать рецепты на выписку и предоставлять пациентам электронный доступ к их ЭУЗ [1].

При изучении вариантов сертифицированных электронных медицинских карт необходимо также учитывать стоимость внедрения и внедрения. Некоторые медицинские работники будут отстранены от своих повседневных обязанностей, чтобы удовлетворить потребности в изменениях посредством внедрения EHR.При поиске сертифицированных электронных медицинских карт организация рассмотрела эти категории, чтобы оценить удобство использования, функциональность, полезность и стоимость новой системы. Категория удобства использования и функциональности была выбрана для тестирования различных путей доступа при документировании и описании представлений конкретных данных, необходимых для информации. Полезность была выбрана потому, что организации необходимо было оценить, насколько точно и полно медицинская карта будет представлять диагностическую и терапевтическую информацию [2].

Практический пример

В больнице на 260 коек в качестве продукта, сертифицированного по ЭУЗ [3], для оценки были выбраны ЭУЗ Medhost; Cerner [4]. MEDHost Enterprise 2019 объединяет клинические данные, электронные рецепты, обучение пациентов и финансовые отчеты в одном продукте [5]. Ключевыми функциями, оцениваемыми на MedHost, были компьютеризированная система ввода заказов поставщика (CPOE), система поддержки принятия клинических решений (CDSS), проверки взаимодействия между лекарственными препаратами, образовательные ресурсы для конкретных пациентов, переносимость данных, аутентификация, доступ, контроль и авторизация среди другие.

Выбранный EHR соответствовал большинству спецификаций по критериям, выбранным больницей, был наиболее экономичным программным обеспечением и по-прежнему отвечал требованиям. Внедрение нового EHR уменьшит вероятность возникновения событий, связанных с безопасностью пациента, таких как ошибки приема лекарств из-за того, что пациент вытащил не то лекарство, сведет к минимуму риск потери информации о здоровье пациента из-за систем безопасности, которые будут внедрены, например, для конкретного пользователя. доступ к информации для каждой роли сотрудника, имени пользователя и пароля, а также соблюдение правил HIPAA и аккредитационных и лицензирующих агентств.Кроме того, он предоставит пациентам доступ к информации о своем здоровье, которая соответствует критериям значимого использования.

Процесс внедрения сначала будет состоять из выполнения оценки текущих рабочих процессов организации для каждого отдела в течение двух-трех дней, определения потребностей и предпочтений организации, которые должны быть в EHR для работы больницы, запланированной в один для три месяца, включая потребности в оборудовании, развертывание, выбор и обучение суперпользователей, что займет около одной недели, а затем запланируйте внедрение и обучение персонала, чтобы начать работу еще примерно через месяц.План полного внедрения со дня ввода в эксплуатацию до полного принятия займет от шести до восьми месяцев.

Тестирование EHR

Тестирование внедренного EHR гарантирует, что каждая установленная система будет проверена, чтобы обеспечить правильную загрузку таблиц данных и файлов, правильную обработку и хранение собранных данных. Кроме того, он гарантирует, что системные интерфейсы работают должным образом, что рабочие процессы были соответствующим образом скорректированы, что оповещения правильно инициируются и реагируют правильно, что отчеты создаются точно и полностью, а система безопасности также проверяется, чтобы убедиться, что она правильный.

В этом документе предлагается список задач для теста, определение объема теста, определение стратегии тестирования, установление требований к окружающей среде, создание графика тестирования, установление процедуры контроля, определение функций, которые будут тестироваться, создание списка результатов и выявления рисков.

Требуемый объем и среда тестирования

При подготовке к тестированию объем тестирования определяется как проверка готовности инфраструктуры, готовности конфигурации приложений и готовности к обучению.Эти испытания будут включать оценку рабочих станций, принтеров, серверов и беспроводных устройств, а также соответствующих мер безопасности. Эта часть плана будет включать тестирование всех рабочих процессов, процедур и областей дизайна истории болезни. В эту часть тестирования также будет включено обучение для оценки готовности персонала к использованию системы перед вводом ее в эксплуатацию.

Тестирование будет выполняться с использованием тестовой среды с фактическими данными пациента, но в отдельном разделе базы данных, который не используется.Райт, Аарон и Ситтиг [6] рекомендовали также протестировать систему в производственной среде, чтобы система имитировала то, как она будет вести себя, когда система работает. После запуска системы постоянное регрессионное тестирование помогает определить, что система не создала новых проблем, и что любые новые проблемы выявляются и устраняются.

Цели для теста

Разработка целей тестирования, подобных перечисленным здесь, поможет убедиться, что система работает правильно и дает правильные результаты.Одной из целей тестирования является проверка модуля и функциональности. Это тестирование гарантирует, что основные функции работают должным образом, что настройки работают в соответствии с запросами, что экраны выглядят так, как задумано, и что экран работает правильно, что нет орфографических ошибок и что контент соответствует требованиям. Вторая цель – протестировать систему, чтобы убедиться, что рабочие процессы правильно отправляют и получают данные между системами, что интерфейсы между приложениями правильно и полностью перемещают данные, что пользователи получают доступ в соответствии с назначенными привилегиями и что данные обрабатываются точно, на графиках. , конюшни, претензии, сводки, а также заполняет корректными данными реестры, отчетные склады и т.д.

Третьей целью будет тестирование интегрированной системы, чтобы убедиться, что все компоненты системы работают вместе, что рабочие процессы отражают процессы и рабочие процессы организации, что она следует политике и процедурам и что система работает со всеми мобильными устройствами и со всеми устройства и системные возможности, такие как распознавание голоса и речевые команды и т. д. Четвертая цель будет заключаться в тестировании производительности и нагрузки, чтобы обеспечить своевременность и допустимые пределы времени отклика, процессы взаимодействия в системе, оценку пиковых нагрузок использования системы на предмет доступности и своевременности. обработка запрошенных данных, а также своевременное формирование отчетов и оценка времени создания дампов данных о производительности системы.

Стратегия тестирования и график тестирования

Стратегия тестирования системы включает тестирование системы до и после ввода в эксплуатацию, руководство по общению с пациентом, включающее ожидаемое время простоя, штатное расписание и требуемый сверхурочный или временный персонал, изменение назначений и графиков , процессы отчетности для оценки системы и проекта, инструменты связи (доски и т. д.), проверки скорости и надежности сети, а также процессы резервного копирования данных. Целью выполнения тестирования является обеспечение того, чтобы система работала и работала должным образом [7-8].

Во время тестирования системы необходимо убедиться, что команда проводит модульное тестирование (т. е. одиночный модуль), проводит интеграционное тестирование (т. е. взаимодействие между двумя или более модулями), проводит тестирование интерфейса (т. е. стрессовое или нагрузочное тестирование, гарантирует, что планы тестирования охватывают различные сценарии и ситуации, планирование на случай непредвиденных обстоятельств путем разработки плана аварийного восстановления, тестирование возможности восстановления системы из резервных копий перед вводом в эксплуатацию, обеспечение наличия и выполнения плана резервного копирования системы и организация регулярное запланированное получение и хранение резервных копий за пределами площадки [9].Во время тестирования первый день начнется с проверки доступности данных, чтобы убедиться, что данные доступны и могут использоваться по запросу уполномоченными лицами, проверки качества и целостности данных, чтобы убедиться, что данные и информация точны и созданы надлежащим образом, а также не были изменены или уничтожены. несанкционированным образом, проверка на конфиденциальность данных, чтобы гарантировать, что данные и информация доступны и раскрываются только авторизованным пользователям и процессам, во время второго дня тестирования проверка будет заключаться в проверке на полное и правильное использование электронных медицинских карт, чтобы убедиться, что их функции и функциональность внедрены и используются по назначению, а также будут тестироваться на удобство использования системы, чтобы убедиться, что ее функции и функциональные возможности спроектированы и реализованы таким образом, чтобы их можно было использовать эффективно, результативно и к удовлетворению пользователя.В течение третьего дня тестирования будет проведено повторное тестирование для мониторинга и повышения безопасности пациентов, чтобы убедиться, что существуют механизмы постоянного обеспечения качества и повышения производительности для мониторинга, обнаружения и составления отчетов о безопасности и безопасном использовании электронных медицинских карт [10].

Выявленные риски

Риски, связанные с тестированием и внедрением новой системы ЭУЗ, связаны с недостижением целей, поставленных для внедрения ЭУЗ. Наличие неполных, отсутствующих или вводящих в заблуждение данных, открытые или неполные распоряжения пациентов, неэффективные процедуры и политики, неспособность отслеживать аномальные результаты анализов, путать одного пациента с другим, полагаться на неточные или неполные данные пациента, преднамеренно или случайно подрывать клинические Системы принятия решений (CDS), автоматическое прекращение действия рецепта, агрегация данных, приводящая к ошибочным отчетам о данных, и длительное время простоя электронных медицинских карт среди других рисков, связанных с юридическими полномочиями.

Функции, которые будут протестированы, список результатов и контрольные процедуры

Контрольный список плана тестирования от Health IT в Таблице [11] ниже — отличный инструмент для проверки функций и компонентов, определения всех результатов и контролировать все элементы, которые необходимо выявить и решить, с документированными выводами и планами решения проблем.

Таблица 1

Таблица 1

Национальный учебный консорциум тестирования плана контрольный список

тест Комплекции Дата Ответственность Принято
Unit & Functional Testing Каждая основная функция выполняет как указано в руководстве пользователя.      
Изменения дизайна/индивидуальные настройки присутствуют и работают в соответствии с запросом. Документируйте все изменения для справки.      
Экраны отображаются должным образом (содержимое и расположение полей, коды, раскрывающиеся меню и сообщения).      
Никаких орфографических ошибок или изменений цвета. Читаемые иконки.      
Соответствующее представление содержимого может быть напечатано, если это необходимо для юридических целей.      
Исправленные записи и исправления отображаются точно.      
Редактирование полей (например, допустимые значения, параметры, значения по умолчанию) работает должным образом.      
Оповещения и поддержка принятия клинических решений обеспечивают соответствующие напоминания и подсказки. Используйте сценарии для тестирования различных сценариев.      
Тестирование системы Рабочие процессы правильно отправляют и/или получают данные между системами (например,г., между EHR и аптекой или биллингом, сообщениями PMS и EHR). Используйте сценарии для тестирования различных сценариев.      
Интерфейсы между приложениями правильно и полностью перемещают данные. Проверьте как отправку, так и получение, когда интерфейсы являются двунаправленными.      
Связь с внешними организациями является точной и полной в соответствии с авторизацией (например, доступ к порталу в/из больницы/клиники, непрерывная запись об уходе за направлениями, личные медицинские карты пациентов, управление заболеванием в/из план здоровья).      
Доступ к системе соответствует назначенным привилегиям. Тестовые попытки получить доступ без авторизации. 55
Данные обрабатываются точно, в графиках, таблицах, претензиях, клиентских сводках, отчетах и ​​др.
Данные правильно заполните реестры, отчеты о складах и т. Д.      
Интегрированное тестирование (имитация реальной среды) Убедитесь, что все компоненты системы, которые совместно используют данные или зависят от других компонентов, работают вместе должным образом.      
Убедитесь, что рабочие процессы отражают фактические новые процессы и рабочие процессы.      
Убедитесь, что использование определено политиками и процедурами и соответствует им. Усильте обучение по мере необходимости.      
Убедитесь, что служба поддержки, вспомогательный персонал и другие вспомогательные средства работают должным образом.      
Убедитесь, что EHR работает со всеми формами устройств интерфейса человек-компьютер и используемыми модальностями (например,g., планшеты, КПК, распознавание голоса и речевые команды, если применимо).      
Попытка взлома системы путем тестирования критически важных функций и функций с высокой степенью может иметь ряд событий в течение определенного периода времени (например, оценки, выполняемые через определенные промежутки времени).      
Производительность и стресс-тестирование Измерьте время отклика для ключевых транзакций или взаимодействий с системой и убедитесь, что оно находится в допустимых пределах, которые могут быть определены в контракте.      
Смоделируйте чрезвычайно высокий объем активности в системе, который превысит ожидаемые пиковые нагрузки использования системы.      
Измерьте время, необходимое для создания отчетов и дампов данных, и влияние на производительность системы.      

Внедрение электронной медицинской карты

эффективность системы.Важно учитывать каждый шаг выполнения, чтобы обеспечить плавный переход системы и повысить удовлетворенность персонала использованием системы в целях удобства использования. Чтобы внедрить ЭУЗ, команда внедрения должна рассмотреть подход к внедрению и стратегию внедрения.

Существует два различных подхода к запуску электронной медицинской карты: немедленный подход и поэтапный подход. Немедленный подход имеет то преимущество, что сводит к минимуму время, затрачиваемое на одновременное управление как бумажной документацией, так и новой электронной системой, он может быть разрушительным, а небольшие системные сбои могут усиливаться [12]. Поэтапный подход имеет два разных формата, один из которых заключается в включении некоторые функции выполняются поэтапно, а другой — путем внедрения ЭУЗ на определенных сайтах или в отделах и постепенного развертывания в остальной части организации, попутно изучая и корректируя процесс; В таблице ниже показаны различные подходы к реализации, которые можно использовать (Hodgkins, 2015) [12].

Таблица 2

Преимущества и вызовы каждого электронного рекорда в области здравоохранения (EHR). Подход к реализации: немедленный и инкремент путаница среди персонала, поскольку все административные и клинические задачи будут выполняться в электронном виде Сокращение потерь производительности из-за операционных и рабочих процессов  Выгоды реализуются быстро   Проблемы легче решить, потому что они изолированы от других модулей или функций EHR     Позволяет персоналу постепенно изучать и осваивать возможности системы   ПРОБЛЕМЫ Требуются значительные ресурсы и поддержка персонала 108350 9 следовать рабочему плану, чтобы не отставать от этапов внедрения   Требует пристального внимания к гибридным процессам, поскольку не все задачи выполняются в электронном виде   Требуется осведомленность о различных функциях, которые запускаются в разные даты 0

После принятия решения о подходе к запуску на его основе может быть рассмотрена стратегия реализации.В таблице ниже показаны различные стратегии реализации, которые можно использовать на основе подхода (Hodgkins, 2015) [12].

Таблица 3

Стратегии для немедленной и инкрементной электронной регистрации (EHR) Реализация

Подход
Подход 8
Заинтересованные стороны Немедленный Инкрементные
Врачи и персонал Мобилизовать все врачи и сотрудников для использования EHR в первый день запуска.Это позволяет всем пользователям получить доступ к ресурсам внедрения и одновременно освоить ЭУЗ. Обучить врачей и персонал основным функциям ЭУЗ и сосредоточиться на оптимизации после завершения запуска. Это позволяет врачам и сотрудникам называть свою новую систему, прежде чем вернуть тренеров, чтобы обеспечить дополнительное / дополнительное образование
пациентов Установить программу наставничества, которая позволяет персоналу с аналогичными ролями поделиться своими знаниями и опытом в системе, быстро повышение уровня владения электронными картами на практике e.г., суперпользователь-врач обучает других врачей, опытные медсестры затеняют другой клинический персонал.
  Начните с энтузиастов и подготовленных врачей и персонала, использующих ЭУЗ в первую неделю, и постепенно увеличивайте количество врачей и персонала, использующих систему
  Используйте ЭУЗ для всех пациентов в учреждении. Такой подход может свести к минимуму разнообразие протоколов, используемых для разных пациентов, и назначить типы     Используйте ЭУЗ в соответствии с типом визита, например.g., новые пациенты, пациенты с назначениями, неотложная помощь, наблюдение, стационарные пациенты, операционная и т. д.  
    Используйте ЭУЗ в соответствии с количеством посещений пациентов в день по данным переписи.

Стратегия внедрения: идентификация и выбор

Основываясь на представленных подходе и стратегиях внедрения электронных медицинских карт, группа внедрения решила использовать поэтапный подход и стратегию для повышения удовлетворенности врачей и персонала, выявления пробелов или системные глюки, которые могут появиться и иметь возможность исправить их до полного внедрения, и снизить потери производительности из-за внедрения.Если, с другой стороны, команда должна была решить использовать немедленный подход, внутри группы внедрения был консенсус в отношении того, что персонал и врачи могут быть не удовлетворены ЭУЗ, и, таким образом, будет поставлено под угрозу удобство использования, а также снижение производительности из-за всем сотрудникам, которые тратят время на обучение и сталкиваются с системными проблемами и, возможно, задерживают внедрение и надлежащее использование электронной системы.

План восстановления

Когда все работы по внедрению завершены и система EHR начинает использоваться, остается вопрос, на который нужно ответить: что произойдет, если система выйдет из строя по какой-либо причине, в том числе из-за отсутствия электропитания.План восстановления будет рекомендован к рассмотрению и внедрению для обеспечения непрерывности обслуживания, даже если электронная медицинская карта может быть недоступна. Рекомендации [8,13-15] по обеспечению того, чтобы приобретаемая система EHR включала в себя все необходимое оборудование, программное обеспечение и утилиты для поддержки процессов резервного копирования и восстановления системы. Убедитесь, что система включает «резервные процессоры, содержащие копии файлов данных из активной системы EHR, которые можно быстро переключить на резервную систему для продолжения работы» [13].

План восстановления и резервного копирования электронной медицинской карты — это не только рекомендуемая практика для внедрения новой системы, но и обязательное требование. Закон о переносимости и подотчетности медицинского страхования (HIPAA) обязывает поставщиков создавать резервные копии своей системы электронных медицинских карт и иметь план на случай ее сбоя. Элементы, которые правило HIPAA предписывает включить для обеспечения защиты электронной защищенной медицинской информации (PHI) в случае чрезвычайных ситуаций или бедствий, включают план резервного копирования данных, план аварийного восстановления, план работы в аварийном режиме, тестирование и пересмотр процедур, приложения и анализ критичности данных [8,16-17].В таблице показаны рекомендуемые процессы, которые следует учитывать при наличии резервного плана (Свод федеральных правил, 2007 г.; Планирование на случай непредвиденных обстоятельств, 2011 г.; О’Дауд, 2018 г.; Сахи, Лай и Ли, 2016 г.; Тейт, 2015 г.; Министерство юстиции США). Health & Human Services, 2013) [8,14-17].

Таблица 4

Процессы для рассмотрения при поддержке электронных систем здравоохранения (EHR) Системы

Process Step Цель
Цель
Назначение
Процессы резервного копирования тестирования и восстановления гарантируют документированные инструкции доступный и понятный
    Эффективно защитите систему       Эффективно защитите систему   Обеспечивает безопасность компьютерной системы и данных, размещая оборудование в защищенной комнате или iCloud с помощью соответствующих систем кондиционирования воздуха, противопожарной защиты, неограниченного электропитания, защиты от перенапряжения и других оборудование и элементы управления.Поддерживать целостность записей
 Разработать промежуточные клинические и операционные процессы Использование ручных методов для поддержки ухода за пациентами и практических операций следует внедрить в случае, если система EHR недоступна
 Периодически тестировать  Периодически тестировать персонал чтобы понять, что необходимо сделать, и проверить целостность записей
    Периодически обновлять промежуточные клинические и операционные процессы  Периодически проверять готовность персонала к выполнению своих задач, используя ручные формы и процессы и обновляя их по мере необходимости. нужно или требуется.Сохраняйте точные копии сведений о пациенте            
    Назначьте «координатора на случай непредвиденных обстоятельств»    

Обучение

Для обучения рекомендуется провести оценку навыков пользователя и потребности в обучении перед внедрением.Оценка навыков пользователя оценивает базовую компьютерную грамотность и навыки медицинского работника. Эта оценка может рассматриваться как демонстрация компетентности, и обучение может быть предоставлено по мере необходимости. Есть много работников здравоохранения, которые хорошо разбираются в использовании таких технологий, как компьютеры, однако есть сегмент медицинских работников, которым может потребоваться базовая компьютерная подготовка, например, как использовать мышь, перемещаться по экрану с помощью прокрутка вверх и вниз, идентификация инструментов и т. д.Оценка навыков должна быть проведена до внедрения, чтобы убедиться, что навыки наработаны и готовы к моменту ввода в эксплуатацию.

Стратегия обучения

Стратегия обучения может заключаться в выборе суперпользователей для каждой из информационных систем здравоохранения, таких как выставление счетов, качество, CPOE, медсестринское дело и т. д. Следует учитывать, что обучение суперпользователей проводится до внедрения, чтобы стать ознакомиться с системой, чувствовать себя комфортно, обучая свою часть системы, и в случае, если выбранный персонал предпочитает не быть включенным.Рекомендуется рассмотреть возможность обучения двух суперпользователей на каждую информационную систему здравоохранения на случай, если основной суперпользователь уйдет в отпуск или покинет организацию, таким образом, персонал всегда будет обучен. Подход к обучению может быть подходом «равный-равному», поскольку он облегчает обучение, поскольку сверстники общаются и говорят на том же языке, что и люди, которых они обучают. Другие методы обучения также могут быть включены одновременно, такие как обучение в классе, модули электронного обучения, методы практического обучения, индивидуальные занятия и обучение персонала только тем областям ЭУЗ, которые они собираются использовать, чтобы избежать путаницу и ускорить обучение и внедрение [18].

Обучение должно проводиться в ходе внедрения и после ввода в эксплуатацию, чтобы пользователи чувствовали себя компетентно и комфортно при использовании новой системы EHR. Продолжительность сеанса обучения может варьироваться от 1 часа до 8 часов, особенно для врачей, которым может потребоваться больше времени. Обучение персонала должно начинаться за 2-3 недели до внедрения и переходить к базовым навыкам, а затем к занятиям в классе, за которыми следует электронное обучение, практическое обучение и обучение один на один в разные дни и время обучения. день.Повторное обучение должно продолжаться для оптимизации после запуска в течение 6–10 недель. По прошествии 10 недель следует провести повторную оценку состояния, чтобы определить необходимость дополнительного обучения.

План реагирования на инциденты | ИТ-безопасность

Введение

Назначение

В этом документе описывается план реагирования на инциденты информационной безопасности в Университете Коннектикута, включая определение ролей и обязанностей участников, общую характеристику реагирования на инциденты, взаимосвязь с другими политиками и процедурами, а также рекомендации по требованиям к отчетности.

В связи с большим разнообразием инцидентов, с которыми может столкнуться университет, и быстрым распространением угроз университету, его данным и системам, этот документ предназначен для предоставления рекомендаций по реагированию на инциденты безопасности данных, определению их масштабов и рисков, а также обеспечение надлежащего реагирования на инциденты информационной безопасности, включая сообщение об инцидентах соответствующим заинтересованным сторонам и предотвращение повторного возникновения инцидента.

Этот протокол не следует рассматривать как политику из-за различного характера инцидентов, которые могут произойти в университетской среде.Эти различия в инцидентах могут привести к отклонениям от этого протокола, которые предназначены для того, чтобы предоставить университетам возможность оптимально реагировать на инциденты.

Любой, кто подозревает раскрытие данных или систем университета, должен немедленно связаться с :

Центр технической поддержки — (860) 486-4357 или [email protected]

Управление информационной безопасности – [email protected]

Программа конфиденциальности

[email protected]

Прицел

Этот план распространяется на все информационные системы, институциональные данные и сети Университета Коннектикута, а также на любое лицо или устройство, получающее доступ к этим системам или данным.

Управление информационной безопасности (ISO) действует от имени университетского сообщества и при необходимости будет запрашивать сотрудничество и помощь в расследовании инцидентов от членов сообщества. ISO также будет тесно сотрудничать с другими административными группами университета, такими как главный юрисконсульт, отдел кадров, служба конфиденциальности и служба общественной безопасности штата Коннектикут, при расследовании инцидентов по мере необходимости

.

Техническое обслуживание

Управление информационной безопасности университета (ISO) отвечает за поддержание и пересмотр этого документа.

Определения

Событие

Событие является исключением из нормальной работы ИТ-инфраструктуры, систем или служб. События могут быть идентифицированы с помощью автоматизированных систем; сообщал о нарушениях в ISO, Compliance/Privacy или другой университетский отдел; или в ходе обычных проверок системы, включая деградацию/отказ системы. Важно отметить, что не все события становятся инцидентами.

Инцидент

Инцидент — это событие, которое, по оценке персонала ISO, нарушает Политику допустимого использования, Политику управления доступом, Политику конфиденциальных данных или другую политику, стандарт или Кодекс поведения Университета или угрожает конфиденциальности, целостности или доступности информационных систем. или Институциональные данные.

Регулируемая классификация данных

Регулируемые данные могут иметь дополнительные требования к отчетности и нормативным требованиям при работе с инцидентами. Примеры различных типов регулируемых данных, которые можно найти в университетской среде, более подробно описаны в Приложении C.

.

Роли и обязанности

Директор по информационной безопасности (CISO)

На протяжении всего протокола CISO несет общую ответственность за:

  1. Координация действий по управлению инцидентами информационной безопасности;
  2. Обеспечение оперативного расследования инцидента безопасности;
  3. Определение того, какие данные университета могли быть раскрыты;
  4. Защита любых скомпрометированных систем для предотвращения дальнейшего ущерба;
  5. Предоставление рекомендаций институциональным заинтересованным сторонам

Сотрудник по вопросам конфиденциальности

На протяжении всего протокола сотрудник по вопросам конфиденциальности несет общую ответственность за:

  1. Координация усилий по управлению нормативными требованиями и уведомлениями;
  2. При содействии главного юрисконсульта анализ применимых федеральных законов и законов штата и разработка надлежащих действий для соблюдения таких законов в случае раскрытия данных;
  3. Обеспечение выполнения всех аспектов плана управления раскрытием данных

Группа быстрого реагирования

Исполнительная группа реагирования (ERT) состоит из должностных лиц университета, уполномоченных принимать ключевые решения в управлении инцидентом, связанным с данными, с нормативными требованиями к отчетности.ГЭР должна состоять из следующих постоянных членов (примечание: при необходимости могут быть приглашены другие члены для сотрудничества):

  • Директор по информационной безопасности
  • Сотрудник по вопросам конфиденциальности
  • Главный юрисконсульт
  • Представитель Аппарата Президента
  • Университетские коммуникации
  • Соответствие требованиям и управление рисками (страхование киберответственности)
  • Декан, директор или заведующий отделением, где, как установлено, произошло облучение

Координатор реагирования на инциденты

На протяжении всего протокола координатор реагирования на инциденты несет общую ответственность за:

  1. Руководство усилиями по сбору соответствующей информации
  2. Предоставление экспертных знаний по процедурным аспектам сбора информации и документации процесса
  3. Обновление информации по директору по информационной безопасности и другому руководству по мере необходимости

Обработчик реагирования на инциденты

На протяжении всего протокола обработчики реагирования на инциденты в целом несут ответственность за:

  1. Сбор данных из систем
  2. Предоставление специальных знаний в области технологий и данных
  3. Ввод соответствующих данных для управления инцидентами, включая процедурную информацию

Методология реагирования на инциденты

Этот план описывает общие задачи реагирования на инциденты.Из-за постоянно меняющегося характера инцидентов и атак на университет этот план реагирования на инциденты может быть дополнен конкретными внутренними инструкциями, стандартами и процедурами, касающимися использования инструментов, технологий и методов обеспечения безопасности, используемых для расследования инцидентов.

Объем

Управление информационной безопасности представляет все предоставленные университетом информационные системы и институциональные данные, включая данные, находящиеся в облачных службах. Университет Коннектикута работает в частично децентрализованной среде, при этом некоторые факультеты и школы имеют собственный ИТ-персонал.Насколько это возможно во время расследования, ИСО будет пытаться координировать усилия по расследованию с другими группами для обеспечения безопасности университетских систем и данных в связи с деятельностью в поддержку учреждения. Конкретные действия и ресурсы, используемые при расследовании инцидента, будут соответствовать типу, масштабу и риску угрозы для институциональных систем и данных.

Сохранение улик

Основными целями реагирования на инциденты являются сдерживание масштабов инцидента и снижение риска для институциональных систем и данных, а также максимально быстрый возврат затронутых систем и данных в рабочее состояние.Способность быстро возвращать системы в рабочее состояние иногда может быть затруднена из-за сбора данных, необходимых в качестве доказательств в случае раскрытия данных.

Соглашения на оперативном уровне

В современном мире, ориентированном на технологии, многие люди предъявляют определенные требования к доступности систем и данных для себя и тех, кого они обслуживают. Прерывание обслуживания может вызвать трудности, и ISO будет сотрудничать с пострадавшими группами, чтобы минимизировать время простоя.Однако руководство вуза поддерживает приоритетность следственной деятельности там, где существует значительный риск, и это может привести к временным отключениям или перерывам.

Обучение

Непрерывное совершенствование процессов обработки инцидентов подразумевает, что эти процессы периодически пересматриваются, отрабатываются и оцениваются для улучшения процесса. Персонал UConn внутри и вне ITS будет периодически обучаться процедурам сообщения и обработки инцидентов, чтобы убедиться, что они знакомы с процессом и обязанностями группы реагирования на инциденты.Эти учения могут принимать форму внешнего или внутреннего обучения, включая кабинетные упражнения.

Этапы реагирования на инциденты

Процесс реагирования на инцидент включает шесть этапов, включая подготовку, обнаружение, сдерживание, расследование, устранение последствий и восстановление. Эти этапы определены в NIST SP 800-61 (Руководство по устранению инцидентов компьютерной безопасности). При реагировании на инцидент группа реагирования на инциденты сосредоточится на обнаружении, сдерживании, расследовании, устранении последствий и восстановлении конкретного инцидента.

Подготовка

Подготовка к реагированию на инциденты включает действия, которые позволяют организации реагировать на инциденты, и включают создание и пересмотр политик, стандартов и руководств, поддерживающих реагирование на инциденты; инструменты, связанные с безопасностью и технологиями; эффективные планы коммуникаций и управления. Подготовка также подразумевает, что организации в университете внедрили средства контроля, необходимые для локализации и расследования инцидента.Поскольку подготовка происходит за рамками официального процесса инцидента, усовершенствования процесса предыдущих инцидентов должны стать основой для постоянного улучшения на этом этапе.

Обнаружение

Обнаружение — это идентификация события или инцидента с помощью автоматизированных средств с инструментами безопасности или уведомления внутреннего или внешнего источника о предполагаемом инциденте. Этот этап включает объявление и первоначальную классификацию события/инцидента.

Сдерживание

Сдерживание инцидента включает идентификацию затронутых хостов или систем и их изоляцию или смягчение непосредственной угрозы.На этом этапе реагирования на инцидент устанавливается связь с затронутыми сторонами.

Расследование

Расследование — это этап, на котором персонал ISO/ITS определяет приоритет, объем, риск и первопричину инцидента.

Восстановление

Исправление включает ремонт затронутых систем и служб, устранение остаточных векторов атак на другие системы, обмен информацией и инструкции для затронутых сторон, а также анализ, подтверждающий, что угроза локализована.

Если директор по информационной безопасности или сотрудник по вопросам конфиденциальности обоснованно полагает, что раскрытие регулируемых данных могло иметь место, директор по информационной безопасности или сотрудник по вопросам конфиденциальности свяжутся с офисом главного юрисконсульта, чтобы предоставить ситуационную информацию для определения надлежащего ответа на данном этапе.

Помимо официальных отчетов, на этом этапе будет завершен анализ действий.

Восстановление

Восстановление — это анализ инцидента на предмет возможных процедурных и политических последствий.Восстановление также включает включение любых «уроков», извлеченных из обработки инцидента, в будущие учения и/или инициативы по обучению.

Приложение A. Группа быстрого реагирования

Исполнительная группа реагирования отвечает за такие действия, как связь, обмен информацией и минимизация воздействия раскрытия регулируемых данных. Поскольку реакция университетов на каждый инцидент может различаться, в этом разделе представлен обзор тех действий, которые может предпринять исполнительная группа реагирования в ответ на инцидент, в результате которого были раскрыты нормативные данные.

  1. Как только будет определено, что собрано достаточно информации о ситуации и масштабах воздействия, сотрудник по вопросам конфиденциальности и директор по информационной безопасности будут сотрудничать с офисом главного юрисконсульта, чтобы определить, поднимается ли инцидент до уровня нарушения безопасности. В случае, если это установлено, соответствующие члены ГЭР должны работать вместе, чтобы определить, какой уровень уведомления требуется, если таковой имеется, как следует уведомлять лиц, подвергшихся воздействию, и какие услуги, если таковые имеются, следует предлагать пострадавшим. лица, пострадавшие от раскрытия данных, чтобы защитить себя от потенциальной или фактической кражи личных данных.В рамках этого анализа сотрудник по вопросам конфиденциальности будет координировать свои действия с офисом главного юрисконсульта для проверки применимых законов штата (CT и любого другого применимого штата) и федеральных законов о конфиденциальности, безопасности данных и уведомлении о нарушениях, а также плана действий для соблюдения применимых требований. таких законов.
  2. Если будет установлено, что уведомление и защита кредитного контроля уместны и/или необходимы, сотрудник по вопросам конфиденциальности и отдел закупок могут привлечь назначенного Университетом поставщика для предоставления услуг уведомления и кредитного мониторинга от имени Университета.Когда это применимо, Университет может обратиться за помощью к нашему страховщику киберответственности. Если ГЭР не установит исключение, офис или отдел, отвечающий за утерю или разглашение данных, несет ответственность за расходы, связанные с устранением разоблачения, включая, помимо прочего, услуги по уведомлению и кредитному мониторингу.
  3. Если этого требует закон штата и/или федеральный закон, сотрудник по вопросам конфиденциальности будет координировать свои действия с офисом главного юрисконсульта, офисом президента и/или университетскими коммуникациями, чтобы гарантировать, что соответствующие органы штата и/или федерального правительства (например,g., генеральные прокуроры штатов, другие агентства штатов, FTC, DHHS) уведомляются о разоблачении, кто пострадал, а также о действиях Университета, связанных с управлением раскрытием данных.
  4. При необходимости исполнительная группа реагирования свяжется с Генеральной прокуратурой (через Департамент конфиденциальности и безопасности данных AG), канцелярией губернатора и/или любыми другими соответствующими должностными лицами штата, чтобы проинформировать их о раскрытии данных.
  5. Там, где это необходимо или уместно, ERT будет оперативно сотрудничать в разработке пресс-релизов, писем затрагиваемым лицам (по электронной почте и/или U.С. пост). Где это уместно, CISO будет координировать свои действия с University Communications для создания веб-страниц с информацией о воздействии и о том, как люди могут предпринять шаги для своей защиты.
  6. ERT также назначит единое контактное лицо для ответов на вопросы/проблемы лиц, обеспокоенных воздействием. ERT может решить создать специальную бесплатную телефонную линию для частных лиц, чтобы звонить с вопросами/проблемами или пользоваться услугами, предоставляемыми нашей страховой компанией по страхованию кибер-ответственности, когда это применимо.Сотрудник по вопросам конфиденциальности будет следить за тем, чтобы соответствующие офисы (т. е. университетский коммутатор, университетские коммуникации, канцелярия президента, офис, который потерял или который несет ответственность за данные, которые были скомпрометированы) были проинформированы о единственном контактном лице, к которому обращаются с вопросами/ опасения должны быть адресованы.
  7. В ходе управления и устранения воздействия как можно быстрее:
    1. Сотрудник по вопросам конфиденциальности будет работать с отделом закупок и отделом, ответственным за расходы по устранению уязвимости, для обработки необходимых документов, чтобы привлечь назначенного университетом поставщика для предоставления услуг по уведомлению и/или кредитному мониторингу.
    2. Сотрудник по вопросам конфиденциальности будет работать с поставщиком для обработки всех необходимых документов (например, SOW, PO и т. д.) для использования услуг поставщика.
    3. Сотрудник по вопросам конфиденциальности будет работать с соответствующими сотрудниками Университета, офисом главного юрисконсульта и поставщиком для составления писем-уведомлений и, при необходимости, часто задаваемых вопросов об инциденте.
    4. Сотрудник по вопросам конфиденциальности и/или Директор по информационной безопасности будут работать с соответствующими сотрудниками Университета для сбора имен и последних известных адресов лиц, которых необходимо уведомить.
    5. Письма-уведомления будут отправлены пострадавшим лицам или организациям почтой первого класса, электронной почтой и/или другими способами, предусмотренными законом.
    6. Пресс-релизы будут окончательно доработаны и выпущены отделом коммуникаций университета, где это уместно. Основной веб-сайт(ы) университета, веб-страница преподавателей/сотрудников и/или студенческая веб-страница будут содержать ссылку на пресс-релиз.
    7. Специальный веб-сайт, содержащий информацию о воздействии, о том, как получить дополнительную информацию и о том, как защитить свой кредит, может быть размещен, в зависимости от ситуации, Управлением по связям с общественностью Университета и/или Управлением информационной безопасности UITS.
    8. Должен быть создан и реализован механизм регистрации полученных звонков и/или запросов, а также ответов и/или оказанной помощи.
    9. После того, как надлежащие уведомления будут отправлены и размещены, а вопрос будет локализован и урегулирован, необходимо провести совещание(я) с подведением итогов со всеми лицами, участвующими в расследовании инцидента, управлении им и устранении последствий. Дополнительные последующие действия должны осуществляться по мере необходимости.

Приложение B. Руководство по реагированию на инциденты

Каждое происшествие представляет собой уникальный набор задач и проблем.В этом разделе приведены некоторые общие рекомендации по предпочтительным действиям в таких типах событий. По любым вопросам, выходящим за рамки этих указаний, следует проконсультироваться с директором по информационной безопасности или с главным юрисконсультом.

Инциденты в системе управления

В случаях, когда проводится расследование в отношении члена группы реагирования на инциденты, их руководства или руководства университета, будут выбраны соответствующие ресурсы для устранения любых конфликтов интересов по указанию или совместно с Генеральным юрисконсультом или Советом директоров. Попечители.

Взаимодействие с правоохранительными органами

Все сообщения с внешними правоохранительными органами осуществляются после консультации с Главным юрисконсультом.

Планы связи

Все публичные сообщения об инциденте или реагировании на инцидент внешним сторонам за пределами Университета Коннектикута осуществляются по согласованию с Управлением главного юрисконсульта и университетских коммуникаций. Частные сообщения с другими затронутыми или заинтересованными сторонами должны содержать минимум информации, необходимой, как определено координатором инцидентов или начальником отдела информационной безопасности.

Конфиденциальность

Университет уважает частную жизнь всех людей, и, по мере возможности, процесс реагирования на инциденты должен выполняться без знания личных данных до тех пор, пока в этом нет необходимости.

Документация, отслеживание и отчетность

Все действия по реагированию на инциденты будут задокументированы с включением артефактов, полученных в ходе любого расследования. Поскольку любой инцидент может потребовать надлежащего документирования для действий правоохранительных органов, все действия должны быть задокументированы, а данные должны обрабатываться надлежащим образом, чтобы обеспечить последовательную цепочку обеспечения достоверности собранных данных.

Эскалация

В любой момент в ходе процесса реагирования на инциденты к командующему реагированием на инциденты или директору по информационной безопасности можно обратиться для эскалации любого вопроса, касающегося процесса или инцидента.

Директор по информационной безопасности после консультации с Главным юрисконсультом определит, следует ли и когда об инциденте сообщать внешним властям.

Приложение C. Основные типы регулируемых данных

Персональные данные (PII)

PII определяется как имя человека или инициалы и фамилия в сочетании с одним или несколькими из следующих элементов данных:

  • Номер социального страхования
  • Водительское удостоверение государственного образца №
  • Удостоверение личности государственного образца №
  • Номер финансового счета в сочетании с защитным кодом, кодом доступа или паролем, который позволит получить доступ к счету
  • Информация о медицинском обслуживании и/или медицинском страховании

Защищенная медицинская информация (PHI)

PHI определяется как «индивидуальная идентифицируемая медицинская информация», передаваемая с помощью электронных средств, хранящаяся на электронных носителях или передаваемая или сохраняемая в любой другой форме или на любом носителе Защищенной организацией, как это определено в 45 CFR 160.103. ЗМИ считается индивидуально идентифицируемой, если она содержит один или несколько из следующих идентификаторов:

.
  • Имя
  • Адрес (все географические единицы меньше штата, включая почтовый адрес, город, округ, район или почтовый индекс)
  • Все элементы дат (кроме года), относящиеся к физическому лицу, включая дату рождения, дату госпитализации, дату выписки, дату смерти и точный возраст, если старше 89 лет. План реагирования на инциденты компьютерной безопасности Стр. 5 из 11
  • Номера телефонов
  • Номера факсов
  • Адреса электронной почты
  • Номера социального страхования
  • Номера медицинских карт
  • Номера участников плана медицинского страхования
  • Номера счетов
  • Номера сертификатов/лицензий
  • Идентификаторы транспортных средств и серийные номера, включая номерные знаки
  • Идентификаторы устройств и серийные номера
  • Универсальные указатели ресурсов (URL)
  • адресов интернет-протокола (IP)
  • Биометрические идентификаторы, включая отпечатки пальцев и голоса
  • Фотоизображения анфас и любые сопоставимые изображения
  • Любой другой уникальный идентификационный номер, характеристика или код, который может идентифицировать человека

PHI не включает записи об образовании, подпадающие под действие Закона о правах семьи на образование и неприкосновенность частной жизни (FERPA), или записи о трудоустройстве, хранящиеся в университете в качестве работодателя.Хотя защита этих записей важна, они не подпадают под нормативную защиту, необходимую для PHI.

Документы об образовании

Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) определяет записи об образовании как записи, которые: 1) непосредственно связаны с учащимся; и поддерживается образовательным агентством или учреждением или стороной, действующей от агентства или учреждения. Дополнительную информацию о том, какие документы, хранящиеся в университете, исключаются из определения документов об образовании, можно найти в Политике FERPA университета.Доступ, использование и раскрытие личной информации, содержащейся в документах об образовании, как правило, требует предварительного письменного согласия учащегося, за некоторыми исключениями. Такие исключения изложены в политике Университета FERPA.

Медицинские карты учащихся

Документы университета, созданные или поддерживаемые врачом, психиатром, психологом или другим признанным профессионалом или парапрофессионалом, действующим или помогающим в этом качестве, используемые только для лечения учащегося и недоступные никому, кроме лиц, предоставляющих такое лечение, за исключением что такие записи могут быть лично просмотрены врачом или другим соответствующим специалистом по выбору учащегося.

Добавить комментарий

Ваш адрес email не будет опубликован.