Проведение обучения, тренировок и тестирования ИТ-планов (NIST SP 800-84)

Руководство по программам проведения обучения, тренировок и тестирования ИТ-планов.

(Ключевые моменты)

 NIST Special Publication 800-84. Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities.

 

1. Введение.

2. Создание программы тестирования и обучения.

ИТ-планы организации необходимо поддерживать в актуальном состоянии для поддержания способности реагировать, на чрезвычайные события, затрагивающие способность организации выполнять свою миссию и восстанавливаться после таких происшествий. Основными типы ИТ-планов:

  • Планы действий в чрезвычайных ситуациях. Включают планы обеспечения непрерывности бизнеса и планы восстановления после чрезвычайных происшествий.
  • Планы реагирования на инциденты информационной безопасности.

Ниже перечислены основные типы деятельности, используемые для поддержания планов:

  • Тесты. Тест — инструмент, который используется для оценки количественных показателей работоспособности ИТ-системы или ее компонента в рабочей среде. Например, организация может проверить, возможность проведения оповещения сотрудников в установленные сроки. Тест должен проводиться как можно ближе к рабочей среде; если это возможно, необходимо тестировать компоненты или системы, используемые в производственной среде. Объем испытаний может варьироваться от тестирования отдельных компонентов или систем до всесторонних испытаний всех систем и компонентов, которые поддерживают план ИТ.
  • Обучение. Для целей настоящей публикации, к обучению относится информирование персонала о его роли и ответственности в рамках конкретного ИТ-плана, обучение персонала навыкам, связанным с выполнением этих ролей и обязанностей, тем самым готовя их к участию в тренировках, тестах, и фактических чрезвычайных ситуациях.
  • Тренировки. Тренировка — моделирование аварийной ситуации для проверки жизнеспособности одного или нескольких аспектов ИТ-плана. Тренировка не предполагает фактического использования производственной среды. Тренировки проводятся на основании сценариев (например, что необходимо делать, если произошел сбой питания или пожар в одном из центров обработки данных организации) часто в ходе тренировки предоставляются дополнительные сценарии и ситуации. В данном руководстве рассматривается два типа, тренировок, которые широко используются в программах проведения обучения, тренировок и тестирования (test, training, and exercise, TT&E) организаций:

o   Штабная тренировка. Штабные тренировки проводятся в форме дискуссий на основе сценария, где персонал в отдельном помещении или нескольких помещениях проводит обсуждение ролей и обязанностей во время чрезвычайных ситуаций и моделирует свои действия в ответ на конкретную аварийную ситуацию. Ведущий, представляет сценарий, и задает связанные со сценарием вопросы участникам тренировки. Штабная тренировка связанна только с обсуждением действий и не влечет за собой использование оборудования или других ресурсов и систем.

o   Функциональная тренировка. Функциональные тренировки позволяют проверить готовность персонала к работе на случай чрезвычайных ситуаций в моделируемой среде функционирования. Функциональные тренировки предназначены для осуществления функций и обязанностей конкретных членов команды, процедур и средств, участвующих в одном или нескольких разделах ИТ-плана (например, коммуникации, аварийные уведомления, настройки оборудования). Функциональные упражнения различаются по сложности и объему, от проверки отдельных аспектов до проведения полномасштабных учений, которые касаются всех элементов плана. Функциональные упражнения позволяют проверить способность персонала выполнять свои функции и обязанности в чрезвычайной ситуации.

Основные этапы создания программы TT&E:

  • разработать комплексную политику
  • определить роли и сферы ответственности
  • создать общий план-график
  • документировать методику

 

2.1. Разработка комплексной политики TT&E.

Основные шаги по разработке политики TT&E:

  • Получить поддержку высшего руководства
  • Идентифицировать всю соответствующую документацию по планированию (внутреннюю и внешнюю), например, политика организации, руководства и другие практики, полученные от других организаций и отраслевых партнеров.
  • Собрать и хранить всю документацию в центральном хранилище.

Ниже предлагаются элементы для включения в политику TT&E:

  • Цель.
  • Дата вступления в силу.
  • Задачи.
  • Область применения
  • Роли и сферы ответственности, ключевых бизнес-единиц и должностей.
  • Требования TT&E.
  • Порядок рассмотрения и утверждения TT&E.
  • Соответствие.
  • Контакты для получения дополнительной информации.
  • Термины и определения.

 

2.2. Определение ролей и сфер ответственности.

Программа TT&E должна управляться человеком или командой с прямой ответственностью за управление и функционирование ИТ в организации. Программа TT&E должна иметь координатора, который отвечает за все аспекты планирования и за поддержку актуальности планов. Координатор плана несет общую ответственность за разработку, внедрение и обеспечение. Одна из обязанностей координатора программы TT&E, назначить координаторов планов ответственных за разработку и координацию отдельных мероприятий TT&E.

 

2.3. Создание план-графика.

Планы TT&E должны содержать график мероприятий, подлежащих выполнению в рамках программы TT&E. Хотя мероприятия должны проводиться по мере необходимости, организации должны определить необходимую частоту мероприятий с учетом требований регуляторов и документировать частоту проведения в расписании TT&E. Например, NIST SP 800-53 содержит требования, ежегодного проведения тренировок или тестов планов действий в чрезвычайных ситуациях и возможностей реагирования на инциденты.

 

2.4. Документирование методики проведения TT&E.

В рамках создания программы TT&E, организация должна определить и документально оформить методологию высокого уровня для планирования и выполнения мероприятий TT&E. На рисунке ниже представлен один из подходов.

1

 

  • Проектирование мероприятия. Координатор программы TT&E совместно с координатором плана, определяет тему мероприятия TT&E на основе текущих потребностей организации. В число тем, включают обучение персонала, осуществляющего процедуры реагирования и тестирования конкретной системы, исполнению ролей и обязанностей в рамках плана ИТ. Далее, координатор программы TT&E определяет цели, основные задачи, объем (область применения), и персонал, который должен участвовать в мероприятии. Координатор программы TT&E также определяет проектную группу событий, которая может состоять из одного человека или группы людей. Координатор программы TT&E курирует логистику мероприятия: печать документов, подготовка помещения, питание и аудиовизуальное оборудование и т.д.
  • Разработка документации по мероприятию. После завершения этапа проектирования, координатор программы TT&E работает с командой дизайнеров по разработке документации, которая будет использоваться до, во время и после мероприятия. Перечень документации может отличаться для каждого типа события, но, как правило, для всех мероприятий необходимо подготовить информационные материалы, руководство участника, ведущего и посредника руководства, планы и сценарии тестирования, критерии оценки результатов.
  • Проведение мероприятия. На этом этапе проводится разработанное и утвержденное мероприятие: обучение, тренировка, или тест. Детали данного этапа могут значительно варьироваться в зависимости от типа и области применения мероприятия.
  • Оценка результатов и извлечение уроков. Этап оценки используется для анализа мероприятия, извлечения уроков, определения возможностей для улучшения, как тестируемых планов, так и процесса TT&E. Оценка выполняется в зависимости от типа мероприятия:
    • Обучение: Участники, как правило, заполняют бланк оценки мероприятия и отдельных его областей, и вносят предложения по совершенствованию. Обратная связь анализируется и документируется в отчете по результатам проведения мероприятия, и при необходимости учитывается при проведении будущих мероприятий.
    • Тренировка или тест: Участники, как правило, участвуют в небольшом брифинге, по обсуждения вопросов, которые пошли особенно хорошо, и областей, в которых улучшения могут быть сделаны. Выводы, обсуждаемые во время разбора, замечания, сделанные в ходе мероприятия, и предложения по улучшениям должны быть документированы.

 

2.5. Рекомендации.

Организации должны рассмотреть необходимость создания программы TT&E, для управления содержанием и оценки эффективности ИТ-планов, таких как планы действий, в чрезвычайных ситуациях, и планов реагирования на инциденты компьютерной безопасности. Программа TT&E должна включать политику, план-график  и методику проведения мероприятий TT&E. Внедрение программы TT&E позволит проводить мероприятия TT&E последовательно и эффективно.

 

3. Обучение

  • Обучение — деятельность, которая позволяет сотрудникам поддерживать и улучшать свои навыки и технические умения и оставаться в курсе технологических достижений. Для целей настоящей публикации, к обучению относится только информирование участников об их роли и ответственности в рамках конкретного плана ИТ и обучение персонала навыкам, связанным с выполнением этих ролей и обязанностей, тем самым готовя их к участию в тренировках, тестах, и реальных чрезвычайных ситуациях. Обучение может проводиться под руководством инструктора (например, в классе, интерактивное онлайн-обучение) или самостоятельно (изучение учебных материалов).
  • Расписание обучения, должно быть скоординировано с графиками других мероприятий программы TT&E. Например, обучение обычно предшествует проведению тренировок и тестов. Это гарантирует, что персонал знаком со своей ролью и обязанностями в рамках конкретного ИТ-плана.
  • Дополнительнуюинформациюпопроведениюобученияможнонайтивпубликациях NIST SP 800-50, Building an Information Technology Security Awareness and Training Program и NIST SP 800-16, 800-16, Information Technology Security Training Requirements: A Role- and Performance-Based Model.

 

4. Штабная тренировка.

Штабные тренировки проводятся в форме дискуссий на основе сценария, где персонал в отдельном помещении (или нескольких помещениях) проводит обсуждение своих ролей и обязанностей во время чрезвычайных ситуаций и моделирует свои действия в ответ на конкретную аварийную ситуацию. Ведущий представляет сценарий и задает связанные со сценарием вопросы участникам тренировки. Штабная тренировка связанна только с обсуждением действий и не влечет за собой использование оборудования или других ресурсов и систем.

 

4.1. Оценка необходимости и разработка план-графика проведения штабной тренировки.

В рамках программы TT&E, координатор программы должен регулярно определять потребность в проведении штабных тренировок конкретных ИТ-планов, отвечая на следующие вопросы:

  • Прошел ли персонал, который будет участвовать в проведении штабной тренировки, обучение своей роли и обязанностям в рамках плана? Если персонал еще не обучен, координатору программы TT&E следует рассмотреть возможность проведения перед штабной тренировкой обучения, чтобы персонал мог более эффективно участвовать в мероприятии.
  • Когда в последний раз организация проводила штабные тренировки?
  • Происходили ли организационные изменения, которые могут повлиять на содержание плана?
  • Разрабатывались ли новые руководства по проведению TT&E, которые могли бы повлиять на содержание плана?

 

4.2. Проектирование мероприятия

После того, как была установлена необходимость проведения штабной тренировки, координатор программы TT&E должен работать с проектной группой для проектирования мероприятия. Этап проектирования часто является наиболее трудоемким этапом планирования штабной тренировки. Планирование, как правило, начинается, по крайней мере, за три месяца до даты проведения для масштабных и комплексных мероприятий, и не менее чем за один месяц для менее сложных. Основные этапы процесса проектирования штабной тренировки.

  • Определить тему мероприятия.
  • Определить область (объем) применения мероприятия.
  • Определить цель и задачи.
  • Определить участников мероприятия.
  • Определить ведущего или группу ведущих.
  • Координировать логистику мероприятия. Один из членов проектной группы должен, нести ответственность за координацию логистики осуществления мероприятия. Координатор логистики, как правило, начинает это делать, по крайней мере, за один месяц до проведения штабной тренировки. В качестве отправной точки координатор может использовать контрольный список, представленный в таблице ниже.

 

Этап Планируемая дата Отметка о выполнении
Определить дату проведения тренировки
Зарезервировать конференц-зал
Определить потребность в аудио/видео оборудовании и зарезервировать его
Определить необходимость в резервном аудио/видео оборудовании
Назначить ведущего мероприятия и ответственного за сбор всех данных по проведению мероприятия
Определить участников
Проконтролировать разработку руководств ведущего и участников мероприятия
Подготовить бирки участников
Уведомить участников о проведении мероприятия
Убедиться в доступности конференц-зала перед проведением тренировки
Организовать питание (при необходимости)
Скопировать все файлы по тренировке на резервный CD-ROM, USB флэш-диск или другой съемный носитель

 

4.3.Разработка материалов для проведения тренировки.

После того, как мероприятие спроектировано, проектная группа должна определить роли и сферы ответственности участников по разработке материалов. Шаблоны документов для проведения штабной тренировки приведены в приложении А руководства NIST. Для штабной тренировки, как правило, используются следующие документы:

  • Брифинг. Брифинг включает в себя повестку дня и другую вводную информацию по тренировке.
  • Руководство ведущего. Руководство ведущего включает в себя следующее:
    • Цель проведения тренировки.
    • Объем и цели проведения.
    • Сценарий тренировки.
    • Перечень вопросов, по сценарию.
    • Копия выполняемого плана ИТ.
  • Руководство участника.
  • Отчет по результатам проведения тренировки.

4.4. Проведение штабной тренировки.

4.5. Проведение оценки мероприятия.

 

5. Функциональная тренировка.

Функциональные тренировки позволяют проверить готовность персонала к работе на случай чрезвычайных ситуаций. Функциональные тренировки предназначены для осуществления функций и обязанностей конкретных членов команды, процедур и средств, участвующих в одном или нескольких разделах ИТ-плана. В ходе функциональной тренировки часто моделируется дополнительные ситуации. Функциональные упражнения различаются по сложности и объему, от проверки отдельных аспектов до проведения полномасштабных учений, которые касаются всех элементов плана. Функциональные упражнения позволяют проверить способность персонала выполнять свои функции и обязанности в чрезвычайной ситуации. Продолжительность функциональных упражнений обычно длится от нескольких часов до нескольких дней, в зависимости от целей мероприятия и сложности выполняемого плана.

В этом разделе приведены указания по определению необходимости проведения, проектированию, проведению и оценке функциональной тренировки. В приложении B предложены примеры сценариев проведения функциональной тренировки.

 

5.1. Оценка необходимости и разработка план-графика проведения функциональной тренировки.

В рамках программы TT&E, координатор программы должен регулярно определять потребность в проведении штабных тренировок ИТ-планов отвечая на следующие вопросы:

  • Прошел ли персонал, который будет участвовать в проведении функциональной тренировки, обучение своей роли и обязанностям в рамках плана? Если персонал еще не обучен, координатору программы TT&E следует рассмотреть возможность проведения перед функциональной тренировкой обучения, чтобы персонал мог более эффективно участвовать в мероприятии.
  • Когда в последний раз организация проводила функциональные тренировки?
  • Происходили ли организационные изменения, которые могут повлиять на содержание плана?
  • Разрабатывались ли новые руководства по проведению TT&E, которые могли бы повлиять на содержание плана?

 

5.2. Проектирование мероприятия.

После того, как была установлена необходимость проведения функциональной тренировки, координатор программы TT&E должен работать с проектной группы для проектирования мероприятия. Этап проектирования часто является наиболее трудоемким этапом планирования функциональной тренировки. Планирование, как правило, начинается, по крайней мере, за несколько месяцев до желаемой даты проведения в зависимости от масштаба и сложности мероприятия. Основные этапы процесса проектирования:

  • Определить тему мероприятия.
  • Определить область (объем) применения мероприятия.
  • Определить цель и задачи.
  • Определить участников мероприятия.
  • Определить ведущего или группу ведущих.
  • Координировать логистику мероприятия. Один сотрудник проектной группы должен, как правило, нести ответственность за координацию логистики осуществления мероприятия. Координатор логистики, как правило, начинает это делать, по крайней мере, за три месяца до проведения функциональной тренировки. В качестве отправной точки координатор может использовать контрольный список, представленный в таблице ниже.

 

Этап Планируемая дата Отметка о выполнении
Определить дату проведения тренировки
Получить от менеджера объекта, на котором будет проводиться тренировка согласование на проведение тренировки
Определить участников, ведущих, контролеров
Проконтролировать разработку руководств ведущего, контролера и ответственного за сбор данных мероприятия
Подготовить бирки участников, чтобы они были легко узнаваемы в ходе тренировки
Определить перечень расходных материалов для тренировки, (например, сетевые фильрты, удлинители, маркеры, и т.д.) и зарезервировать их
Уведомить участников, ведущих, контролеров о проведении мероприятия
Организовать транспортировку и расквартирование участников (при необходимости)
Организовать питание (при необходимости)
Скопировать все файлы по тренировке на резервный CD-ROM, USB флэш-диск или другой съемный носитель

 

5.3.Разработка материалов для проведения тренировки.

После того, как мероприятие спроектировано, проектная группа должна определить роли и сферы ответственности участников по разработке материалов. Для штабной тренировки, как правило, используются следующие документы:

  • Брифинг. Брифинг и/или информационные книги, как правило, создаются для участников тренировки; брифинги могут проводиться посредством личного присутствия участников или через упреждающее чтение документации. В зависимости от характера тренировки, может проводиться один брифинг примерно за неделю до тренировки, или несколько взаимосвязанных брифингов в ближайшие недели и месяцы до осуществления.
  • Сценарий. Сценарий должен разрабатываться с учетом целей и задач, определенных на этапе проектирования.
  • Перечень основных событий сценария (Master Scenario Events List, MSEL). MSEL — хронологически упорядоченная последовательность моделируемых событий, с их кратким описанием. MSEL разрабатывается в целях управления тренировкой.
  • Вводные сообщения — предварительные сообщения, которые будут предоставляться в ходе тренировки участникам в соответствии со сценарием. Пример сообщения: «Транспортное средство с носителями резервных копий  данных, необходимых для восстановления системы, попало в пробку и как ожидается, прибудет на 3 часа позже, чем первоначально планировалось».
  • Список контроля вводных сообщений — содержит запланированное и фактическое время предоставления вводного сообщения, резюме сообщения, а также любые комментарии для лиц которым сообщения адресованы.
  • Руководства, ведущего, контролера и ответственного за сбор данных — содержат всю информацию, относящуюся к участникам тренировки. Каждый контроллер, ведущий и ответственный за сбор данных, обычно получает руководство начале тренировки (или во время брифинга, если это будет сочтено целесообразным).
  • Отчет по результатам проведения тренировки.

5.4. Проведение функциональной тренировки.

5.5. Проведение оценки мероприятия.

 

6. Тест.

Тест — инструмент, который используется для оценки количественных показателей для проверки работоспособности ИТ-системы или ее компонента (например, ОС или приложения) в рабочей среде. Существует несколько видов тестирования:

  • Тестирование компонентов. Тестируются отдельные программные или аппаратные компоненты или группы связанных компонентов. Такой тест может использоваться для проверки процессов и процедур, которые являются частью ИТ-планов организации. Тестирование аппаратных или программных компонентов при приобретении и модернизации выходит за рамки настоящего документа. В данном документе тестирование, касается функционирующих отдельных компонентов, которые имеют решающее значение для эффективного функционирования организации и должны регулярно проверяться.
  • Тестирование систем. Проводится для оценки соответствия систем предъявляемых к ним требованиям. Включает также проверку процессов и процедур, связанных с тестируемыми системами.
  • Комплексное тестирование. Тестирование всех систем и компонентов, которые поддерживают план ИТ. Эти тесты обычно включают несколько компонентов и систем. Примером комплексного теста, может быть проверка возможности восстановления ИТ инфраструктуры организации на резервном сайте в случае продолжительного отключения электроэнергии на основном сайте.

 

6.1. Оценка необходимости и разработка план-графика проведения тестирования.

В рамках программы TT&E, координатор программы должен регулярно определять потребность в проведении тестирования, отвечая на следующие вопросы:

  • Готовы ли к эксплуатации тестируемые системы или компоненты?
  • Определены ли процессы и процедуры связанные с функционированием тестируемых компонентов и систем?
  • Прошел ли персонал обучение использованию системы или компонента? Было ли обучение эффективным?
  • Какие требования предъявляются к частоте проведения тестирования?
  • Когда в последний раз компонент, система, или группа компонентов и систем тестировались? Были ли какие-либо существенные изменения и обновления с момента завершения последнего теста?

 

6.2. Проектирование мероприятия

После того, как была установлена необходимость проведения функциональной тренировки, координатор программы TT&E должен работать с проектной группой для проектирования мероприятия. Этап проектирования часто является наиболее трудоемким этапом планирования функциональной тренировки. Планирование, как правило, начинается, по крайней мере, за несколько месяцев до желаемой даты проведения в зависимости от масштаба и сложности мероприятия. Основные этапы процесса проектирования:

  • Определить область (объем) тестирования.
  • Определить цель и задачи.
  • Определить инструменты, необходимые для проведения тестирования.
  • Определить участников мероприятия:

o   Участники первого уровня — лица, которые работают непосредственно с тестируемыми компонентами и системами.

o   Участники второго уровня — лица, которые непосредственно не участвуют в тесте, но могут, пострадать при проведении мероприятий тестирования (например, если тест включал эвакуацию персонала, участники первого уровня — это все сотрудники, которые были вынуждены эвакуироваться; участники второго уровня — лица, которые, будут пытаться связаться с эвакуируемым персоналом, но не смогут).

  • Определить команду тестирования.
  • Координировать логистику. Команда дизайнеров должна начать координировать логистику заранее, чтобы обеспечить успешное завершение теста. Время, необходимое для координации и зависит от области и масштаба, и, как правило, варьируется от одного до нескольких месяцев. В качестве отправной точки может использовать контрольный список, представленный в таблице ниже.

 

Этап Планируемая дата Отметка о выполнении
Определить дату проведения тестирования
Определить каждый отдельный компонент, который будет протестирован
Определить участников
Пригласить участников на организационное собрание
Проконтролировать разработку плана тестирования и другой необходимой документации
Зарезервировать конференц-зал для участников тестирования
Убедиться в доступности и готовности конференц-зала к проведению тестирования
Определить потребность в аудио/видео оборудовании и зарезервировать его
Определить необходимость в резервном аудио/видео оборудовании
Организовать питание (при необходимости)
Составить перечень расходных материалов и инструментов, необходимых для проведения тестирования (например, измерительные приборы, ПО, аппаратные средства, и такие элементы, как бирки, блокноты и ручки) и заказать их.
Скопировать все документы и файлы по тестированию на резервный CD-ROM, USB флэш-диск или другой съемный носитель
Проверить правильность работы испытательного оборудования
Провести предварительное обсуждение сценария тестирования (при необходимости)
Согласовать процедуру прерывания тестирования и возврата систем/компонентов в исходное состояние.

 

6.3.Разработка материалов для проведения тестирования.

После того, как мероприятие спроектировано, проектная группа должна определить роли и сферы ответственности участников по разработке материалов. Для штабной тренировки, как правило, используются следующие документы:

  • Брифинг. Для сложных всесторонних испытаний, первая встреча может быть использована для сообщения о начале мероприятия. Необходимо провести брифинги для высшего руководства и менеджеров, которые могут быть затронуты тестом, чтобы обеспечить понимание того, что тест будет включать и почему это важно.
  • Руководство по проведению тестирования. В этом документе излагаются основные этапы проведения тестирования, и список участников. Документ также должен включать список всех лиц и групп, которые могли бы пострадать в тесте, и обсудить порядок досрочного прекращения испытаний, в случае непредвиденных ситуаций. Это руководство дает общее представление о том, что будет происходить во время теста.
  • План тестирования. Для каждого конкретного теста необходимо разработать детальный план, с перечислением конкретных шагов, которые будут выполняться в ходе испытаний. Каждый шаг должен включать ожидаемый результат. Процедуры досрочного прекращения испытаний должны повторяться в данной документации. План также должен включать контактные данные на случай непредвиденных ситуаций.
  • Отчет по результатам проведения тренировки.

5.4. Проведение тестирования.

5.5. Проведение оценки мероприятия.

 

Приложение А. Примеры документации, используемой при проведении штабной тренировки.

В приложении представлены шаблоны следующих документов:

  • Руководство ведущего штабной тренировки.
  • Руководство участника штабной тренировки
  • Отчет по результатам проведения штабной тренировки.

 

Приложение B. Примеры документации используемой при проведении функциональной тренировки.

В приложении представлены шаблоны следующих документов:

  • Сценарий.
  • Перечень основных событий сценария.
  • Вводные сообщения.
  • Список контроля вводных сообщений.
  • Руководство участника функциональной тренировки.
  • Отчет по результатам проведения тренировки.

 

Приложение С. Примеры документации, используемой при проведении тестирования.

В приложении представлены шаблоны следующих документов:

  • Описание структуры теста.
  • План тестирования
  • Информация для проведения брифинга
  • Вводные и др. деятельность входе теста
  • Валидация тестирования.
  • Оценки тестируемого компонента/системы.
  • Отчет по результатам проведения тестирования.