Политика информационной безопасности | РГП на ПХВ"Информационно-аналитический центр охраны окружающей среды"

Утверждена
приказом Ответственного секретаря
Министерства энергетики
Республики Казахстан
от «25» октября 2016 года
№ 457

Политика информационной безопасности
Министерства энергетики Республики Казахстан

АННОТАЦИЯ

Информация является активом, который, подобно другим важным деловым активам, имеет большое значение для бизнеса организации и, следовательно, должен быть адекватно защищен.

Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации, а также прав и интересов человека и гражданина, общества и государства в информационной сфере от реальных и потенциальных угроз, при котором обеспечивается устойчивое развитие и информационная независимость.

Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности.

Информационная безопасность достигается посредством реализации соответствующего набора мер контроля, включая политики, процедуры, процессы, организационные структуры и функции программного и аппаратного обеспечения.

Политика информационной безопасности (далее – Политика) – комплекс превентивных мер по защите информации, в том числе информации с ограниченным распространением (служебная информация), информационных процессов и включает в себя требования в адрес пользователей информационных систем Министерства энергетики Республики Казахстан, его ведомств и подведомственных организаций в своей деятельности.

1. Общие положения

Политика информационной безопасности Министерства энергетики Республики Казахстан, его ведомств и организации, находящихся в ведении Министерства энергетики Республики Казахстан (далее – Министерство, его ведомства и организации, находящихся в ведении Министерства) разработана на основании Закона Республики Казахстан от 24 ноября 2015 года № 418-V  «Об информатизации» и постановлений Правительства Республики Казахстан от 14 сентября 2004 года № 965«О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан»

Настоящая Политика учитывает современное состояние и ближайшие перспективы развития информационных система Министерства энергетики Республики Казахстан (далее – Министерство), цели, задачи и правовые основы эксплуатации, режимы функционирования, а также анализ угроз безопасности для ее ресурсов и устанавливает правила, требования и ответственность за ее нарушение.

Положения и требования Политики распространяются на структурные подразделения Министерства, его ведомства и организации, находящихся в ведении Министерства, в которых осуществляется автоматизированная обработка информации, в том числе информацию с ограниченным распространением (служебная информация) или персональных данных, а также осуществляющих сопровождение, обслуживание и обеспечение функционирования Министерства. Основные положения Политики распространяются на другие организации и учреждения, осуществляющие взаимодействие с Министерством, его ведомствами и подведомственными организациями в качестве поставщиков и потребителей (пользователей) информации и услуг.

За непосредственную организацию (построение) и обеспечение эффективного функционирования системы защиты информации в центральном аппарате Министерства отвечает департамент информационных технологий и государственных услуг. В ведомствах и подведомственных организациях Министерства должны быть закреплены структурные подразделения и (или) специалист ответственный за обеспечение информационной безопасности.

Структурные подразделения и (или) специалист ответственный за обеспечение информационной безопасности проводит необходимые технические и организационные мероприятия, осуществляет организацию квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования в Министерстве, его ведомствах и подведомственных организациях.

В рамках реализации решения по информационной безопасности создается рабочая группа, задачами которой являются анализ и прогнозирование ситуации в области информационной безопасности, выявление рисков информационной безопасности и прочее.

Политика направлена на достижение основных целей:

  1. обеспечение доступности обрабатываемой информации для зарегистрированных пользователей;
  2. сохранение конфиденциальности критичных информационных ресурсов;
  3. защиту целостности информации, используемой и обрабатываемой в Министерстве, его ведомствах и подведомственных организациях;
  4. обеспечение непрерывности основных бизнес-процессов, функционирующих в Министерстве, его ведомствах и подведомственных организациях.

Для достижения указанных целей необходимо решение следующих задач:

  1. активного участия руководства в управлении информационной безопасностью предприятия;
  2. повышения осведомленности сотрудников в области рисков, связанных с информационными ресурсами;
  3. четкого распределения ответственности и обязанностей сотрудников по обеспечению информационной безопасности;
  4. разграничения доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам предприятия;
  5. регистрации действий пользователей в системных журналах при использовании сетевых ресурсов;
  6. контроль корректности действий пользователей систем путем анализа содержимого этих журналов;
  7. защиты от вмешательства посторонних лиц в процесс функционирования информационных систем;
  8. контроля целостности используемых программных средств, среды исполнения программ и ее восстановление в случае нарушения, а также защиты систем от внедрения вредоносных кодов;
  9. защиту информации с ограниченным распространением, персональных данных от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
  10. обеспечения аутентификации пользователей информационных систем и ресурсов;
  11. своевременного выявления угроз информационной безопасности, причин и условий, способствующих нанесению ущерба;
  12. создания условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц;
  13. ведение практики дисциплинарного взыскания в случае нарушения Политики информационной безопасности;
  14. ликвидации последствий нарушения информационной безопасности;
  15. разработки и внедрения правил и инструкции по обеспечению информационной безопасности, контроля исполнения соответствующих требований сотрудниками предприятия;
  16. реализации мероприятий по оценке и управлению информационными рисками;
  17. совершенствование системы управления информационной безопасностью.

Требования настоящей Политики распространяется на все структурные единицы, инфраструктуру Министерства, его ведомства и организации, находящихся в ведении Министерства и обязательны для исполнения всеми сотрудниками и должностными лицами.

Основные положения Политики распространяются на другие организации, учреждения, осуществляющих взаимодействие с Министерством, его ведомствами и подведомственными организациями в качестве поставщиков и/или потребителей информации, услуг, и могут применяться для использования во внутренних нормативных, методических документах и договорах.

Пользователями информационных систем и ресурсов Министерства  являются:

  1. сотрудники Министерства (Комитетов и Департаментов);
  2. сотрудники государственных органов Республики Казахстан в соответствии с регламентом к информационным системам Министерства (по согласованию);
  3. общество и бизнес в рамках «электронного правительства» в соответствии с регламентом доступа к информационным системам;
  4. разработчики, программисты и технический персонал сторонних организаций при создании, разработке, эксплуатации и сопровождении информационных систем Министерства (по согласованию).

Контроль, координацию и организацию по вопросам связи, информатизации и телекоммуникаций, а также организацию квалифицированной разработки системы защиты информации и организационного обеспечения ее функционирования обеспечивается специалистом по информационной безопасности.

Организацию технического обслуживания и поддержку работоспособности информационных систем осуществляют технические специалисты.

1.1.   Нормативные ссылки

В настоящей политике использованы ссылки на следующие нормативные документы:

  1. Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации»;
  2. Указ Президента Республики Казахстана от 14 ноября 2011 года «О концепции информационной безопасности Республика Казахстан»;
  3. Государственный стандарт Республики Казахстан СТ РК ИСО/МЭК 17799-2006 Методы обеспечения защиты свод правил по управлению защиты информаций;
  4. Государственный стандарт Республики Казахстан СТ РК ИСО/МЭК 27001-2008. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
  5. Государственный стандарт Республики Казахстан СТ РК ИСО/МЭК 27002-2009. Методы обеспечения защиты. Свод правил по управлению защитой информации;
  6. Государственный стандарт Республики Казахстан СТ РК ГОСТ Р 50739-2006. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
  7. Государственный стандарт Республики Казахстан СТ РК ИСО 22301 «Система управления непрерывностью бизнеса».

1.2.   Основные принципы обеспечения информационной безопасности

Основными принципами обеспечения информационной безопасности в Министерстве, его ведомствах и подведомственных организациях являются:

  1. соблюдение требований законодательства Республики Казахстан;
  2. соответствие международным и национальным стандартам в области информационной безопасности, действующим на территории Республики Казахстан;
  3. постоянный и всесторонний анализ информационного пространства с целью выявления уязвимостей информационных активов;
  4. выявление причинно-следственных связей возможных проблем и построение на этой основе точного прогноза их развития;
  5. адекватная оценка степени влияния выявленных проблем на цели Министерства, его ведомств и организаций, находящихся в ведении Министерства;
  6. комплексное использование методов и средств защиты компьютерных систем, перекрывающих все существенные каналы реализации угроз и не содержащих слабых мест на стыках отдельных ее компонентов. Защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами. При этом меры, принимаемые для обеспечения информационной безопасности не должны усложнять достижение уставных целей Министерства, его ведомств и организаций, находящихся в ведении Министерства, а также повышать трудоемкость технологических процессов обработки информации;
  7. эффективная реализация принятых защитных мер;
  8. гибкость средств защиты для обеспечения варьирования уровнем защищенности в связи с возможными изменениями внешних условий и требований с течением времени;
  9. совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, анализа функционирования информационных систем с учетом изменений в методах и средствах перехвата информации и воздействия на их компоненты, нормативных требований по защите, достигнутого этой области опыта других организаций, как отечественных, так и зарубежных;
  10. непрерывность принципов безопасного функционирования. Министерство, его ведомства и организации, находящихся в ведении Министерства должно обеспечивать непрерывность реализации принципов безопасного функционирования.
  11. обязательность и своевременность выявления, пресечение попыток нарушения установленных правил обеспечения информационной безопасности. Контроль деятельности пользователей, каждого средства зашиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей;
  12. четкое определение функциональных целей и целей информационной безопасности в документах во избежание неопределенности в организационной структуре, ролей персонала, утвержденных политик и невозможности оценки адекватности принятых защитных мер;
  13. определение персональной ответственности за обеспечение безопасности информации и системы ее обработки для каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников должно быть построено таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму;
  14. обеспечение доступности для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами;
  15. наблюдаемость и возможность оценки обеспечения информационной безопасности, результат применения защитных мер должен быть явно наблюдаем (прозрачен) и мог быть оценен специалистом, имеющим соответствующие полномочия;
  16. классификация обрабатываемой информации, определение уровня ее важности в соответствии с законодательством Республики Казахстан.

1.3. Основные цели обеспечения информационной безопасности

Основной целью обеспечения информационную безопасность Министерства, его ведомств и подведомственных организаций является:

  1. предотвращение ущерба её деятельности за счет хищения финансовых и материально-технических средств;
  2. уничтожения имущества и ценностей;
  3. разглашения, утечки и несанкционированного доступа к источникам конфиденциальной информации;
  4. нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации, а также предотвращение ущерба сотрудников Предприятия.

Целями системы безопасности являются:

  1. защита прав предприятия, его структурных подразделений и сотрудников;
  2. сохранение и эффективное использование финансовых, материальных и информационных ресурсов;
  3. повышение имиджа предприятия за счет обеспечения качества услуг и безопасности пользователей.

Политика является основой для:

  1. выработки и совершенствования комплекса согласованных правовых норм, организационно-административных мероприятий и программно-технических средств защиты информационных ресурсов Предприятия;
  2. координации деятельности подразделений Предприятия в области обеспечения информационной безопасности;
  3. построения процедур информационного взаимодействия Предприятия с лицами, выступающими в качестве поставщиков информации и услуг.

1.4. Ответственность и обязательства руководства

Эффективная безопасность требует подотчетности, исчерпывающего определения и признания обязанностей в сфере безопасности. Руководство Министерства, его ведомств и подведомственных организаций должно отвечать за все аспекты управления безопасностью, включая принятие решений по управлению рисками. Отдельные ее факторы, такие как тип, форма регистрации, размер и структура организации, повлияют на то, на каком уровне будут определены эти обязанности. Информационная безопасность – это междисциплинарная тема, относящаяся ко всем пользователям внутри Предприятия. Надлежащее определение и разграничение подотчетности, специфических служебных обязанностей и ответственности должно обеспечивать эффективное и квалифицированное выполнение всех важных задач.

Руководство Министерства, его ведомств и организаций, находящихся в ведении Министерства принимает непосредственное участие в решении вопросов, связанных с обеспечением информационной безопасности в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами.

Руководство Министерства, его ведомств и организаций, находящихся в ведении Министерства на постоянной основе осуществляет поддержку заданного уровня информационной безопасности путем внедрения системы менеджмента, а также путем распределения обязанностей и ответственности персонала за ее обеспечение (приказ о назначении ответственных лиц, должностные инструкции и т.д.).

Руководство Министерства, его ведомства и организации, находящихся в ведении Министерства должно:

  1. формулировать, пересматривать и утверждать политику информационной безопасности, а также следить за эффективностью реализации политики информационной безопасности;
  2. обеспечивать четкое управление и реальную поддержку инициатив в области информационной безопасности;
  3. предоставлять ресурсы для обеспечения информационной безопасности;
  4. обеспечивать координацию мер контроля информационной безопасностью в организации;
  5. утверждать роли и обязанности сотрудников по информационной безопасности в организации посредствам должностных инструкций, приказов, указов и т.д.;
  6. инициировать идеи, планы и программы по поддержанию осведомлённости об информационной безопасности, определять потребность обучения пользователей и администраторов методам и процедурам обеспечения безопасности, определять обязанности, относящиеся к установке и обслуживанию программного обеспечения и аппаратной части;
  7. обеспечивать проведение тестирования (акт) и аттестации (акт) программных продуктов и аппаратных средств информационных систем перед вводом в промышленную эксплуатацию, все требования должны быть определены документально (требования);
  8. определять потребность в консультации специалиста внутри организации или со стороны по вопросам информационной безопасности, просматривать и координировать результаты консультации по всей организации;
  9. четко устанавливать ответственность руководителей подразделений за различные активы и процессы безопасности, детали этой ответственности должны быть документированы, уровни полномочий должны быть ясно определены и документированы (акт о материальной ответственности).

Обслуживающий персонал ИС при нарушении требований пунктов политики ИБ будет привлекаться к административной или иной ответственности, в соответствии с действующим законодательством Республики Казахстан. Ответственность на администраторов ИС возлагается в соответствии с их ответственностью согласно Инструкции по закреплению функций и полномочий администратора сервера. В частности, администраторы ресурсов ИС обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

1.5. Распределение обязанностей по обеспечению информационной безопасности

Координация вопросов обеспечения информационной безопасности в Министерстве, его ведомств и подведомственных организаций предусматривает сотрудничество между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами.

Требования к функциям и полномочиям системных администраторов указаны в Инструкции по закреплению функций и полномочий администратора сервера.

На специалиста по информационной безопасности предприятия возлагается ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью, в том числе:

  1. разработка, согласование политики информационной безопасности организации и соответствующих правил, инструкций;
  2. согласование конкретных методик и процедур информационной безопасности, такие как оценка рисков, классификация информации с точки зрения требований безопасности;
  3. выявление существенных изменений потенциальных угроз и подверженность информации и средств обработки информации к угрозам;
  4. оценка адекватности и координирование внедрения конкретных мероприятий по управлению информационной безопасностью;
  5. содействие образованию сотрудников в области информационной безопасности, обучение и понимание важности информационной безопасности в рамках всей организации;
  6. оценка информации, полученной в ходе мониторинга и пересмотра инцидентов информационной безопасности, и принятие соответствующих мер по выявленным инцидентам;
  7. создание пользователей и назначение им полномочий, мониторинг учетных записей;
  8. аудит изменений в БД, ведение и анализ журнала событий, определение способов обработки несоответствий.

1.6. Управление активами

Комплекс технических средств организации включает средства обработки данных: СВТ, сервера БД, почтовые сервера, кабельная система, коммутационное оборудование, средства хранения данных и т.д.

Основными объектами обеспечения информационной безопасности являются следующие элементы:

  1. информационные ресурсы, содержащие сведения ограниченного распространения и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных;
  2. программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) информационных систем, с помощью которых производится обработка информации;
  3. автоматизированные системы связи и передачи данных (средства телекоммуникации);
  4. каналы связи, по которым передается информация (в том числе ограниченного распространения).

Подлежащая защите информация может:

  1. находиться на бумажных носителях;
  2. находиться в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);
  3. передаваться по телефону, факсу, телексу и т.п. в виде электрических сигналов;
  4. быть представлена в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;
  5. записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны, фотокамеры и др.).

Все основные информационные активы Министерства, его ведомств и подведомственных организаций должны быть учтены и закреплены за ответственными владельцами (договор или приказ о закреплении мат средствами).

Каждый актив должен быть четко идентифицирован и классифицирован с точки зрения безопасности, его владельцы должны быть авторизованы, а данные о них документированы и, должно быть указано фактическое местоположение актива. Подробно указанно в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.

Основываясь на этой информации, обеспечиваются заданные уровни защиты на предприятии, соответствующие ценностям и важности активов. Перечень составляется и поддерживается в актуальном состоянии для важных активов, связанных с каждой информационной системой, сопровождением которой осуществляется Министерством, его ведомствами и подведомственными организациями.

Правила безопасного использования информации и активов, связанных со средствами обработки информации четко определены и отображены в соответствующих инструкциях. Все сотрудники, подрядчики и пользователи сторонних организаций должны соблюдать требования инструкций и правил безопасного использования информации и активов, связанных со средствами обработки информации и нести ответственность за их нарушение.

1.7. Категории информационных ресурсов, подлежащих защите

В информационных системах, сопровождение которых осуществляется техническими специалистами всех структурных подразделений Министерства, его ведомств и подведомственных организаций циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, финансовая информация, персональные данные) и открытые сведения.

Защите подлежит информация, содержащая:

  1. информацию с ограниченным распространением (служебная информация);
  2. сведения о частной жизни граждан (персональные данные);
  3. общедоступная информация.

Таблица 1. Категории информационных ресурсов

Форма Примечания
1  

 

Конфиденциальная информация

 

Информация с ограниченным распространением: результаты тестирования сотрудников, финансовые отчеты и реестры, журналы администрирования, системные журналы, данные о пользователях информационных систем и пр.
2 Служебная информация (Для служебного пользования)

 

Утверждается руководителем
3 Персональные данные Сведения о частной жизни сотрудников, пользователей, личные данные и пр.
4 Общедоступная информация Информационные брошюры, документация по общему описанию, сведения для публикации в СМИ, информация о кадастровых объектах природных ресурсов и пр.

1.8. Субъекты информационных отношений

Субъектами правоотношений при использовании информационных систем и обеспечении информационной безопасности являются:

  1. Министерство энергетики Республики Казахстан – владелец информационных систем;
  2. должностные лица и сотрудники Министерства, его ведомств и подведомственных организаций – пользователи и поставщики информации в соответствии с возложенными на них функциями;
  3. юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в информационных системах организации;
  4. другие юридические и физические лица, задействованные в процессе создания и функционирования информационных систем организации (разработчики компонент ИС, обслуживающий персонал и др.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

  1. конфиденциальности (сохранения в тайне) определенной части информации;
  2. достоверности (полноты, точности, адекватности, целостности) информации;
  3. защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
  4. своевременного доступа (за приемлемое для них время) к необходимой им информации;
  5. разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
  6. возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
  7. защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).

1.9. Кадровая политика по обеспечению информационной безопасности

Функции и обязанности персонала должны быть четко определены в должностных инструкциях и сообщены кандидатам при приеме на работу в Министерство, его ведомства и подведомственных организациях.

Сотрудники должны подписать условия трудового договора, в котором установлены их ответственность и ответственность предприятия относительно информационной безопасности.

Сотрудники и представители сторонних организаций, использующие средства обработки информации организации, должны подписать соглашение в соответствии с требованиями информационной безопасности в целях снижения рисков от воровства, мошенничества и нецелевого использования оборудования, а также от угроз безопасности информации.

Соглашение о соблюдении конфиденциальности и неразглашении подписывается сотрудником, подрядчиком или пользователем сторонней организацией до предоставления доступа к средствам обработки информации.

Проверка всех кандидатов на постоянную работу должна быть проведена в соответствии с действующим трудовым законодательством РК с соблюдением конфиденциальности личных данных. Проверке подлежит следующая предоставляемая кандидатом информация:

  1. рекомендации с предыдущих мест работы;
  2. резюме претендента;
  3. документы об образовании и профессиональных квалификациях;
  4. документы, удостоверяющие личность;
  5. прочая информация, требующая уточнений.

Информация обо всех сотрудниках, принимаемых в постоянный штат, должна быть собрана и обработана в соответствии с действующим трудовым законодательством РК.

Сотрудники Министерства, его ведомств и подведомственных организаций должны быть ознакомлены с требованиями настоящей Политики, правилами и инструкциями по обеспечению информационной безопасности, с обязательным подписанием листа ознакомления, в целях повышения осведомленности, информирования о процедурах реагирования на инциденты и их предотвращения.

Необходимо осуществлять контроль возврата всех активов Министерства, его ведомств и подведомственных организаций (средства вычислительной техники, служебные документы, электронные носители и т.д.), находящихся в пользовании сотрудников по окончании действия их трудового договора, а также, в случае использования сотрудником личного оборудования, обеспечить передачу информации руководителю соответствующего подразделения (ответственному специалисту) или удаление информации с оборудования невосстанавливаемыми методами.

Права доступа к информационным системам и ресурсам Министерства, его ведомств и подведомственных организаций аннулируются по окончании действия трудового договора (увольнения) сотрудника или подлежат пересмотру при изменении его обязанностей и функций.

Пароли для учетных записей, оставшихся активными, должны быть изменены на момент прекращения трудовой деятельности, вызванной в связи с длительной командировкой, отпуском или окончания действия трудового договора.

1.10. Взаимодействие с компетентными органами, ассоциациями и профессиональными группами

В целях своевременного выявления и реагирования на инциденты нарушения информационной безопасности на предприятии определены процедуры для осуществления взаимодействия с компетентными органами такими, как: аварийно-спасательные службы, правоохранительные органы, пожарные службы, контролирующие организации, поставщиками услуг сети Интернет и т.д. (см. «Инструкция о порядке действий во внештатных (кризисных) ситуациях»).

1.11. Доступ сторонних организаций к информационным системам

Доступ сторонних организаций к информации и средствам ее обработки должен быть строго регламентирован (см. «Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов») и контролируемым со стороны руководства и ответственных специалистов Министерства, его ведомств и подведомственных организаций.

Там, где есть потребность в доступе третьей стороны к информации и средствам ее обработки (приобретение программных продуктов, сервисное обслуживание и т.д.) следуют провести оценку риска (см. «Методика оценки рисков информационной безопасности») с целью определения возможных последствий и соответствующих мер безопасности, обеспечить их внедрение. Уровень безопасности информации, установленный на предприятии и средств ее обработки при этом не должен снижаться.

Доступ сторонних организаций к информации и средствам ее обработки не должен предоставляться до выполнения соответствующих мер контроля и подписания соглашения об условиях предоставления доступа, требованиях к обеспечению информации, порядке рабочего расположения и ответственности за его ненадлежащее исполнение согласно законодательным актам о защите данных и прав интеллектуальной собственности.

Следует обеспечить выполнение следующих мероприятий перед предоставлением права доступа сторонним организациям к активам Предприятия:

  1. процедуры по защите активов организации, в том числе информации и программного обеспечения;
  2. процедуры для определения компрометации активов;
  3. установка ограничений на распространение, дублирование информации;
  4. описание предоставляемого продукта или услуги;
  5. использование уникальных идентификаторов
  6. авторизацию в отношении доступа и привилегий пользователей;
  7. меры для отчетности, уведомления о возникновении инцидентов нарушения информационной безопасности;
  8. мониторинг и право на аннулирование любых действий, связанные с активами организации;
  9. и т.д.

1.12. Уязвимости основных компонентов информационных систем

Уязвимость – параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами. Т.е. это некий недостаток в системе, используя который внешний или внутренний злоумышленник, может намеренно нарушить её целостность и вызвать неправильную работу.

Попытки несанкционированного доступа к информации в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных) могут быть предприняты с рабочих станций сотрудников предприятия.

Оценка уязвимостей – это проверка слабостей, которые могут быть использованы существующими угрозами. Эта оценка должна учитывать окружающую среду и существующие защитные меры. Мерой уязвимости конкретной системы или актива по отношению к угрозе является степень того, с какой легкостью системе или активу может быть нанесен ущерб.

1.13. Угрозы информационной безопасности и их источники

Все множество потенциальных угроз по природе их возникновения разделяются на два класса: естественные (объективные) и искусственные (субъективные).

Естественные угрозы –  это угрозы, вызванные воздействием на ИС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы – это угрозы ИС, вызванные деятельностью человека.

Наиболее опасными (значимыми) угрозами информационной безопасности ИС (способами нанесения ущерба субъектам информационных отношений) являются:

  1. нарушение конфиденциальности (разглашение, утечка) сведений, составляющих информацию с ограниченным распространением (служебная информация), а также персональных данных;
  2. нарушение работоспособности (дезорганизация работы) ИС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
  3. нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИС, а также фальсификация (подделка) документов.

Основными источниками естественных и искусственных угроз информационной безопасности ИС являются:

  1. непреднамеренные нарушения (ошибочные, случайные, необдуманные, без злого умысла) установленных регламентов сбора, обработки и передачи информации, а также требований информационной безопасности и другие действия сотрудников, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или систем в целом;
  2. преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений, допущенных к работе с ИС, а также сотрудников подразделений, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения информационной безопасности;
  3. удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети и внешних сетей общего назначения (прежде всего Интернет) через легальные и несанкционированные каналы подключения сети к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам ИС;
  4. аварии, стихийные бедствия и т.п.

1.14. Воздействие

Воздействие – это результат инцидента информационной безопасности, вызванного угрозой и нанесшего ущерб ее активу. Результатом воздействия могут стать разрушение конкретного актива, нарушение их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности. Непрямое воздействие может включать в себя финансовые потери или репутацию. Контроль за воздействием позволяет достичь равновесия между предполагаемыми последствиями инцидента и стоимостью защитных мер. Следует учитывать вероятность возникновения инцидента. Это особенно важно в тех случаях, когда ущерб при каждом возникновении инцидента невелик, но суммарный эффект накопившихся со временем инцидентов может быть существенным. Оценка воздействия является важным элементом оценки риска и выбора защитных мер.

Количественное и качественное измерение воздействия могут быть проведены:

  1. определением финансовых потерь;
  2. использованием эмпирической шкалы серьезности воздействия, например от 1 до 10;
  3. использованием заранее оговоренных уровней (высокий, средний и низкий).

1.15. Модель нарушителя

В качестве потенциального нарушителя ИБ Министерства, его ведомств и подведомственных организаций рассматривается лицо или группа лиц, состоящих или не состоящих в сговоре, которые в результате умышленных или неумышленных действий могут реализовать разнообразные угрозы ИБ, направленные на информационные ресурсы и нанести моральный и/или материальный ущерб интересам Министерства, его ведомств и подведомственных организаций.

Потенциальные нарушители разделяются на внутренних и внешних нарушителей.

К внутренним нарушителям относятся пользователи предприятия. Их можно разделить на следующие группы в зависимости от уровня доступа к информационным ресурсам корпоративной сети:

  1. лица, имеющие доступ к информации, составляющую служебную тайну и задействованные в технологии обработки, передачи и хранения информации;
  2. лица, не имеющие доступ к информации, составляющую служебную тайну, но задействованные в технологии обработки, передачи и хранения информации;
  3. обслуживающий персонал.

Для построения моделей потенциальных нарушителей необходимо принять во внимание виды наиболее возможных нарушений и интересы различных лиц и организаций к Министерству, его ведомствам и организациям, находящихся в ведении Министерства.

В Министерстве, его ведомствах и организацииях, находящихся в ведении Министерства и подведомственных организаций возможны следующие виды нарушений:

  1. несанкционированное использование программ, способных негативно повлиять на работоспособность ИС, снизить производительность, а также мешающих корректной работе информационной сети (сканеры сети, интенсивный широковещательный трафик и т.п.);
  2. использование прав локальных администраторов на рабочих станциях пользователей, что дает возможность установки обычному пользователю неограниченного количества программ;
  3. использование прав администраторов на серверах, коммуникационном и прочем оборудовании с целью вредоносного изменения конфигурационных файлов, подмены, копирования и удаления файлов систем, журналов и конфигураций;
  4. нарушения сотрудниками вследствие незнания требований ИБ и нормативных правовых актов Министерства, его ведомств и организации, находящихся в ведении Министерства.

Потенциальные внешние нарушители:

  1. бывшие работники предприятия;
  2. представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности предприятия (энерго-, водо-, теплоснабжения и т.п.);
  3. посетители (приглашенные представители организаций, граждане);
  4. представители организаций, поставляющих технику, программное обеспечение, услуги и т.п.

Исходя из изложенного, можно выделить три основные модели потенциального нарушителя:

Модель 1

Наиболее часто встречающий потенциальный нарушитель. Это работники, действующие по незнанию требований ИБ и нормативных правовых актов, регламентирующие защиту информации. Их деяния не носят прямого умысла нанесения ущерба, но могут привести к утечке, уничтожению, искажению информации, к частичному или полному выводу из строя ИС, корпоративной сети.

Модель 2

Потенциальный нарушитель (сотрудники и вспомогательный персонал), который действует целенаправленно, преследует цель получить доступ к конфиденциальной информации предприятия.

Такие нарушители могут внедряться и вербоваться среди технического персонала, руководителей, ответственных работников (администраторы, разработчики ИС и персонал, сопровождающий программные продукты, программисты, тестировщики и т.д.), сотрудников, имеющих большой уровень доступа к информационным ресурсам.

Для получения информации потенциальный нарушитель может вступать в сговор с работниками предприятия, может устанавливать программы для удаленного управления их ПК.

Модель 3

Потенциальный нарушитель, так называемый хакер, который для самоутверждения, подтверждения своих знаний и способностей в области информационных технологий совершает атаки на различные системы, и желает получить несанкционированный доступ к ЛВС Министерства, его ведомств и организации, находящихся в ведении Министерства.

Лица и организации, желающие нанести ущерб Министерству, его ведомствам и организацииям, находящихся в ведении Министерства по различным мотивам.

1.16. Анализ и оценка рисков

Анализ рисков информационной безопасности проводится совместно с работами по инвентаризации и классификации информационных активов Министерства, его ведомств и организациям, находящихся в ведении Министерства. В основе определения и оценки последствий рисков информационной безопасности лежат требования по информационной безопасности к информационным активам и информации, предъявляемые Политикой.  Осуществляются следующие действия:

  1. идентификация и оценка стоимости технологических и информационных активов;
  2. анализ тех угроз, для которых данный актив является целевым объектом;
  3. оценка вероятности того, что угроза будет реализована на практике;
  4. оценка рисков этих активов.

Анализ и оценка рисков должен осуществляться ответственными лицами, назначенными за ведение и обработку рисков.

Ответственные лица определяют риски в отношении своих бизнес процессов, связанные с нарушением конфиденциальности, целостности и доступности информационных активов и информации или иных нарушений.

Оценки рисков идентифицирует, определяет количество рисков и их приоритеты по отношению к критериям принятия рисков и целям, подходящим Предприятию.

Риск информационной безопасности определяется как произведение финансовых потерь (ущерба), связанных с инцидентами безопасности, и вероятности того, что они будут реализованы.

Оценка рисков информационной безопасности, с точки зрения управления рисками, определяется как анализ систематически подвергающихся угрозам и существующим уязвимостям информационных систем и технологий научными методами и средствами.

Оценки рисков должны включать систематический подход определения величины рисков и процесс сравнения оценённых рисков с критериями рисков, с целью их определения значимости (оценка степени рисков). Оценки рисков должны проводиться периодически для реагирования на изменения в требованиях ИБ и в ситуации рисков, например, в активах, угрозах, уязвимостях, воздействиях, оценке степени рисков и при возникновении значительных изменений. В целях получения сравнимых и воспроизводимых результатов эти оценки рисков должны предприниматься методическим образом.

Чтобы быть эффективной, оценка рисков ИБ должна иметь чётко определённую область действия и включать взаимосвязь с оценками рисков в других областях, если это целесообразно.

Оценка рисков информационной безопасности состоит из трех основных этапов: идентификация угроз, идентификация уязвимостей, идентификация активов.

По результатам оценки определяются приоритеты для управления и внедрения элементов информационной безопасности, действия руководства по обработке соответствующих рисков и решения о расходах на мероприятия, исходящие из возможного ущерба предприятию в результате нарушения информационной безопасности.

Оценка рисков должна проводиться систематически для своевременного реагирования на изменения рисков и требований по безопасности.

Для оценки рисков и принятия мер, необходимых для управления этими рисками разработана методика по оценке рисков информационной безопасности в ИС Министерства, его ведомствах и организациях, находящихся в ведении Министерства.

Область охвата оценки рисков может относиться либо ко всему предприятию, либо к отдельным его частям, конкретным информационным системам, либо к особым компонентам или службам системы, где это практически выполнимо, реально и полезно.

Анализ и оценка рисков должны проводиться в соответствии с руководством по реализации стандарта ИСО/МЭК 27001-2008 «Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования».

При оценке рисков должно учитываться влияние реализации угроз информационной безопасности на количественные и качественные показатели. Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.

Реализуемые в разумно достаточном объеме меры и мероприятия по обеспечению информационной безопасности должны сводить риски к минимуму, при этом адекватность и эффективность защитных мер должна быть оцениваема на регулярной основе.

1.17. Аудит информационной безопасности

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться.

Ответственными сотрудниками Министерства, его ведомств и организации, находящихся в ведении Министерства должно инициироваться проведение аудита ИС – независимое обследование информационной системы в целях повышения эффективности ее использования в Министерстве, его ведомств и организации, находящихся в ведении Министерства.

Аудит ИС осуществляется с целью получения оценки текущего состояния ИС, действий и событий, происходящих в них, определяющих уровень их соответствия техническим регламентам, стандартам в сфере информатизации, НТД, а также требованиям информационной безопасности.

Аудит может проводиться внутренним аудитором, независимыми экспертами (внешними организациями), обладающими специальными знаниями и опытом работы в сфере информационно-коммуникационных технологий.

1.18. Пересмотр Политики информационной безопасности

Положения политики информационной безопасности Предприятия требуют регулярного пересмотра и корректировки не реже одного раза в год согласно плану.

Внеплановый пересмотр Политики безопасности проводится в случае:

  1. внесения существенных изменений в ИС Министерства, его ведомств и организациях, находящихся в ведении Министерства;
  2. изменениями в законодательстве, организационной структуре Министерства, его ведомств и организациях, находящихся в ведении Министерства;
  3. возникновения инцидентов информационной безопасности.

При внесении изменений учитываются:

  1. результаты аудита информационной безопасности, а также результаты предыдущих аудитов;
  2. рекомендации независимых экспертов по информационной безопасности;
  3. существенные угрозы и уязвимости информационной системы;
  4. отчеты об инцидентах в области информационной безопасности;
  5. рекомендации органов государственной власти.

Пересмотр Политики осуществляется специалистами, ответственным за ее разработку, внедрение и включает оценку возможности улучшения ее положений и процесса управления информационной безопасностью в соответствии с изменениями.

Пересмотр политики информационной безопасности должен осуществляться в соответствии с руководством по реализации Государственного стандарта Республики Казахстан СТ РК ИСО/МЭК 17799-2006/2009.

Настоящая Политика подлежит обязательному пересмотру по результатам проведения анализа и оценки рисков информационной безопасности для ИС Министерства, его ведомств и организациях, находящихся в ведении Министерства, и должна актуализироваться по мере необходимости.

Пересмотренная политика информационной безопасности утверждается уполномоченными лицами.

2. Меры по обеспечению безопасности информации

Система обеспечения безопасности информационных ресурсов Министерства, его ведомств и подведомственных организаций предусматривает комплекс организационных, технических, программных средств и мер по защите информации:

  1. в процессе документооборота;
  2. при работе сотрудников с конфиденциальными документами и сведениями, составляющие служебную информацию;
  3. при обработке информации в автоматизированных системах;
  4. при передаче данных по каналам связи.

К правовым мерам защиты относятся действующее законодательство РК в сфере информационной безопасности, нормативно-правовые акты, принятые в Министерстве, его ведомств и организациях, находящихся в ведении Министерства, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил.

Реализация указанных мер препятствует тем самым неправомерному использованию информации и является сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с сотрудниками (пользователями ИС) и обслуживающим персоналом.

Организационные меры зашиты – меры административного и процедурного характера, регламентирующие процессы функционирования систем обработки данных, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с ИС, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Физические меры защиты основаны на применении специализированных механических, электро- или электронно-механических устройств и сооружений, предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам ИС и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов ИС (пломбы, наклейки и т.п.).

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в том числе в состав ИС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

2.1. Защита общедоступной информации

Информация, предназначенная для публикации в системах общего доступа, должна быть приведена в соответствие требованиям законодательства РК.

Для предотвращения несанкционированной модификации, способной привести к значительному ущербу имиджа предприятия, входные данные, предназначенные для публикации, должны быть соответствующим образом проверены и одобрены, а доступ к системе должен быть авторизованным.

Информация, введенная в систему электронной публикации, должна обрабатываться своевременно и точно.

Необходимо обеспечить защиту важной информации в процессе ее сбора и хранения.

Системы, предоставляющие возможность электронной публикации информации, обратной связи и непосредственного ввода информации, должны находиться под надлежащим контролем.

2.2. Защита от частичного или полного отказа СВТ или разрушения аппаратных, программных, информационных ресурсов

Частичный, полный отказ СВТ, а также разрушение аппаратных, программных, информационных ресурсов может возникнуть в результате возникновения аварий, стихийных бедствий и иных внештатных ситуаций. На такие случаи в Министерстве, его ведомствах и организациях, находящихся в ведении Министерства должны предусматриваться соответствующие меры защиты от возможных разрушений, протечек систем водоснабжения, скачков напряжения и прекращения в подаче электроэнергии и т.д. Должны быть определены критерии перехода на резервные СВТ. Должен разрабатываться «План обеспечения непрерывной работы и восстановления».

Все необходимые инструкции должны быть приведены в соответствующих документах (см. «Инструкция о порядке действий пользователей по реагированию на инциденты ИБ во внештатных (кризисных) ситуациях»).

2.3. Защита от ввода ошибочных данных

Данные, вводимые в приложениях, должны проверяться программными и техническими средствами, чтобы гарантировать их правильность и соответствующее использование. Ввод информации должен осуществляется лицами, функционально ответственными за данный вид работ и ознакомленными с соответствующими инструкциями. (см. «Инструкции по закреплению функций и полномочий администратора сервера», «Инструкции оператора»).

2.4. Защита от неправомерной модификации передаваемых данных, технической и служебной информации

Кроме средств санкционированного доступа к коммуникационным средствам и сетевому оборудованию, защита передаваемых данных от модификации должна осуществляться программно-техническими и организационными мерами (см. «Инструкция по закреплению функций и полномочий администратора сервера»).

2.5. Защита системы архивирования

Определяется порядок резервного копирования, хранения и восстановления программных продуктов и информационных систем. Хранилище резервных копий размещается в помещении за пределами здания, где расположено основное серверное оборудование. Обеспечивается санкционированный доступ к хранилищу резервных копий для своевременного восстановления информации и информационных систем в случае сбоя, аварии и иных нештатных ситуациях.

Разрабатывается «План обеспечения непрерывной работы и восстановления», в котором также определяются меры по защите архивов на случай возникновения аварий, стихийных бедствий и других внештатных ситуаций согласно «Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях» и «Инструкции о резервном копировании информации».

2.6. Защита оборудования, оставленного без присмотра

Пользователи должны быть осведомлены о правилах безопасности и методах защиты оставленного без присмотра оборудования, а также об ответственности за ненадлежащее их исполнение (см. «Инструкция пользователя по эксплуатации компьютерного оборудования и программного обеспечения»).

В целях снижения рисков неавторизованного доступа, потери или повреждения информации следует применять политику «чистого стола» в отношении бумажных документов и сменных носителей данных, а также политику «чистого экрана» в отношении средств обработки информации.

Необходимо по возможности учитывать следующие мероприятия:

  1. носители с важной или критичной служебной информацией, когда они не требуются или пустует помещение, следует убирать и запирать (например, в несгораемом сейфе или шкафу);
  2. персональные компьютеры, компьютерные терминалы и принтеры должны быть выключены по окончании работы; следует также применять пароли или другие мероприятия в отношении устройств, находящихся без присмотра;
  3. применить политику автоматического блокирования «рабочего стола» по истечению определенного времени;
  4. необходимо обеспечить защиту пунктов отправки/приема корреспонденции, а также факсимильных и телексных аппаратов в случаях нахождения их без присмотра;
  5. в нерабочее время фотокопировальные устройства следует защищать от неавторизованного использования;
  6. напечатанные документы с важной или конфиденциальной информацией необходимо изымать из принтеров немедленно;
  7. по решению руководства определенным сотрудникам на системном уровне ограничить авторизацию на ПК вне рабочее время.

2.7. Управление доступом

Доступ к информационным ресурсам и системам Министерства, его ведомств и подведомственных организаций должен быть контролируемым с учетом требований деятельности организации и безопасности.

В Министерстве, его ведомствах и организациях, находящихся в ведении Министерства определены процедуры регистрации и снятия с регистрации пользователей в отношении предоставления доступа к информационным ресурсам и системам (см. «Правила регистрации пользователей в корпоративной информационной сети»).

Предоставление и использование привилегированных разрешений ограничено и подлежит контролю во избежание сбоев систем по причине их возможного нецелесообразного использования.

Привилегии предоставляются сотрудникам только в случае производственной необходимости и только на время выполнения соответствующих авторизованных действий.

Обеспечивается процесс авторизации и регистрации всех предоставленных привилегий. Привилегии не предоставляются до завершения процесса авторизации.

Неотъемлемой составляющей системы управления доступом является организация парольной защиты доступа к информационным ресурсам и системам Министерства, его ведомств и организации, находящихся в ведении Министерства (см. «Инструкции о парольной защите»).

Процедура регистрации организована таким образом, чтобы свести к минимуму возможность неавторизованного доступа.

Также ограничено и подлежит строгому контролю использование системных утилит, которые могут преодолеть средства контроля операционных систем и приложений (см. «Инструкция о резервном копировании»).

Права доступа пользователей подлежат регулярному пересмотру для поддержания эффективного контроля доступа к данным информационным услугам.

2.8. Управление инцидентами информационной безопасности

Процедуры по мониторингу, оценке и управлению инцидентами информационной безопасности подлежат непрерывному усовершенствованию.

Необходимо обеспечить оперативность оповещения всеми пользователями ИС Министерства, его ведомств и организации, находящихся в ведении Министерства о событиях информационной безопасности и нарушениях информационной безопасности для своевременного реагирования и их устранения сотрудниками службы технической поддержки.

Установлены ответственность руководства и процедуры, гарантирующие быстрое и эффективное реагирование на инциденты (см. «Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях»).

Цели в области управления инцидентами информационной безопасности должны быть согласованы с руководством и сотрудниками, ответственными за управление инцидентами информационной безопасности.

Определяются механизмы, позволяющие вести мониторинг и регистрацию инцидентов информационной безопасности по типам, объемам и стоимостям.

Необходимо фиксировать каждый инцидент с подробным описанием, информация должна быть собрана, сохранена и представлена на случай, если инцидент информационной безопасности может привести к судебному разбирательству.

2.9. Управление передачей данных и операционной деятельностью

2.9.1. Операционные процедуры и обязанности

Для исключения возможности некорректного и ненадлежащего использования средств обработки информации в Министерстве, его ведомствах и подведомственных организациях действуют соответствующие операционные инструкции и разработаны документированные процедуры реагирования на инциденты (см. «Инструкция о порядке действий во внештатных (кризисных) ситуациях»).

Предусмотрено разделение функций и обязанностей по управлению и функционированию всех средств обработки информации.

Инструкции содержат детальное выполнение следующих процедур:

  1. запуск и безопасное завершение работы при обслуживании систем обработки и обмена информацией;
  2. резервирование;
  3. текущее обслуживание и ремонт оборудования;
  4. надлежащей безопасности помещений с компьютерным и коммуникационным оборудованием;
  5. обеспечения безопасности и обработки электронной почты и носителей информации.

В инструкциях необходимо указывать:

требования к графику выполнения работ, обработке ошибок;
контакты на случай возникновения непредвиденных операционных и технических проблем;
описание процедур восстановления и перезапуска в случае системных сбоев;
правила ведения журнала аудита и системного журнала регистрации.

Требования инструкций и документированных процедур должны строго соблюдаться, а их исполнение контролироваться ответственным специалистом по обеспечению информационной безопасности.

Инструкции необходимо постоянно поддерживать в актуальном состоянии, изменения должны быть согласованы и утверждены с руководством. (Приказ об изменениях в Инструкции о порядке действий во внештатных (кризисных) ситуациях»).

2.9.2. Контроль изменений

В целях минимизации влияния инцидентов, связанных с изменениями, на качество предоставляемых услуг, работоспособности ИС Министерства, его ведомств и организации, находящихся в ведении Министерства используются стандартные методы и процедуры для продуктивной и своевременной обработки изменений.

Процедуры управления изменениями в операционной среде и в программных приложениях должны содержать следующие мероприятия:

  1. утверждение предлагаемых изменений;
  2. планирование и тестирование изменений;
  3. оценка возможных последствий изменений;
  4. информирование об изменениях всех заинтересованных лиц;
  5. определение процедур и обязанностей по восстановлению работ средств и систем обработки информации в случаях возникновения сбоев по причине некорректных изменений;
  6. регистрация изменений.

Новые программные обеспечения и аппаратные средства должны быть соответствующим образом одобрены со стороны руководства, авторизующих их цель и использование. Одобрение следует также получать от специалиста, ответственного за поддержание среды безопасности информационной системы.

План-график изменений, содержащий информацию обо всех изменениях и даты их внедрения, должен быть согласован и утвержден уполномоченными лицами. График внедрения изменений должен быть составлен таким образом, чтобы оказывать минимальное воздействие на услуги, находящиеся в эксплуатации.

Для предотвращения отрицательного воздействия изменений на качество оказываемых публичных услуг необходимо заранее протестировать изменение.

Тестирование изменений должно учитывать следующие аспекты:

  1. производительность;
  2. безопасность;
  3. возможность обслуживания;
  4. поддерживаемость;
  5. надежность и доступность;
  6. функциональность.

Для обеспечения надлежащего контроля по всем изменениям в оборудовании, программном обеспечении или процедурах должны быть определены роли, ответственности и процедуры. Вся необходимая информация об изменениях программного обеспечения должна фиксироваться и сохраняться в журнале регистрации изменений/обновлений.

2.9.3. Разграничение средств разработки, тестирования и эксплуатации

В целях снижения риска несанкционированного доступа или изменения ИС Министерства, его ведомств и организации, находящихся в ведении Министерства обеспечивается разделение средств разработки, тестирования и эксплуатации.

Должны быть определены и документированы процедуры передачи программного обеспечения из стадии разработки в стадии тестирования и эксплуатации.

Необходимо предусмотреть возможность функционирования разрабатываемого и эксплуатируемого ПО на различных компьютерных процессорах или в различных доменах, директориях.

Компиляторы, редакторы и другие системные утилиты не должны быть доступны в операционной среде без крайней необходимости.

Среда, в которой выполняется тестирование, должна быть как можно более близкой к среде рабочей системы.

Для снижения рисков возникновения ошибок пользователи должны использовать различные пользовательские профили в рабочей системе и в системе для тестирования. Меню на обеих системах должны отображать соответственно одинаковые идентификационные сообщения.

Тестирование должно выполняться на наборе данных, некритичных для информационной безопасности.

Для выполнения требований по разграничению средств разработки, тестирования и эксплуатации необходимо использоваться отдельный тестовый стенд.

2.9.4. Управление услугами, предоставляемыми сторонними организациями

Для осуществления и поддержания соответствующего уровня информационной безопасности при использовании услуг, предоставляемых сторонними организациями, необходимо проверять наличие в договорных обязательствах соглашений с требованиями по вопросам обеспечения информационной безопасности, осуществлять мониторинг соответствия соглашений и управлять изменениями, гарантирующими, что предоставляемые услуги удовлетворяют всем требованиям соглашения с третьей стороной.

Контроль исполнения договорных обязательств должен по возможности включать следующие меры:

  1. проверку отчетов, а также регулярное проведение совещаний по результатам выполненных сторонними организациями работ;
  2. мониторинг производительности систем (служб), обслуживаемых сторонними организациями;
  3. анализ информации об инцидентах нарушения информационной безопасности;
  4. анализ услуг, отчетов о событиях безопасности, операционных проблем и сбоев, связанных с предоставлением услуг;
  5. совместное решение и устранение причин возникновения ошибок.

2.9.5. Управление производительностью

В целях обеспечения требуемого уровня производительности систем по обработке и хранению информации требуется проведение всестороннего мониторинга сетевого оборудования, серверов, системного, промежуточного и прикладного программного обеспечения.

Комплексные системы мониторинга дают возможность решать следующие задачи:

  1. выявление проблем в функционировании компонентов ИС;
  2. определение причин сбоев;
  3. определение влияния сбоев на предоставление услуг, что позволяет оптимальным образом устанавливать приоритеты в работах по устранению сбоев;
  4. отслеживание изменений в работе инфраструктуры и предотвращение возможных сбоев;
  5. анализ текущих, а также прогнозирование предполагаемых требований к производительности;
  6. корректировка потребностей мощностей для систем обработки информации;
  7. обеспечение и повышение доступности, эффективности систем;
  8. планирование мероприятий по обеспечению информационной безопасности.

2.9.6. Приемка систем

Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и протестированы.

Для обеспечения требуемого уровня производительности и доступности данных при эксплуатации новых систем, а также снижения риска их некорректного функционирования по причине перегрузки необходимо проведение предварительного анализа и оценки текущих требований к производительности и прогнозирования предполагаемых.

Новые информационные системы и обновления ПО должны быть внедрены в производство только после прохождения официальной приемки.

2.9.7. Резервирование

Поддержка целостности, доступности информации и средств ее обработки предусматривает проведение регулярных процедур резервирования, формирования копий данных и тестирования, их своевременного восстановления в соответствии с принятыми требованиями (см. «Инструкция о резервном копировании информации»).

Средства и методы резервирования должны обеспечить уверенность в том, что важная (критичная) информация и программное обеспечение подлежат восстановлению в случае возникновения сбоев.

2.10. Защита окружающей среды

Защита окружающей среды в Министерстве, его ведомствах и подведомственных организациях характеризуется комплексом принятых мер, которые направлены на предупреждение отрицательного воздействия человеческой деятельности на окружающую природу, что обеспечивает благоприятные и безопасные условия человеческой жизнедеятельности.

В Министерстве, его ведомствах и подведомственных организациях должны быть организованы меры по безопасной утилизации продуктов жизнедеятельности (макулатура, лампы освещения, бытовые химические вещества и пр.). Так же должны быть предусмотрены меры по утилизации СВТ и носителей информации. Все действия по утилизации СВТ и носителей информации должны документироваться

3. Непрерывность бизнеса

С целью минимизации до приемлемого уровня отрицательных последствий, вызванных нарушениями информационной безопасности, необходимо обеспечивать непрерывность функционирования бизнес-процессов, действующих в Министерстве, его ведомствах и подведомственных организациях, посредством применения комплекса организационных и технических мероприятий по управлению информационной безопасностью.

Для обеспечения непрерывности бизнеса должна быть разработана методика на управление непрерывностью бизнеса по стандарту ИСО 22301 «Система управления непрерывностью бизнеса». В рамках процесса разрабатывается план обеспечения непрерывности с целью восстановления бизнес-процессов в течение требуемого времени при их нарушении, с определением критических бизнес-процессов и соответствующих требований непрерывности (см. «План обеспечения непрерывности функционирования ИС Министерства, его ведомств и подведомственных организаций). Разработанный план должен быть утвержден руководством предприятия.

Планирование должно сопровождаться оценкой рисков с целью определения возможности и последствий этих прерываний. В зависимости от результатов оценки рисков необходимо разработать стратегию для определения общего подхода к обеспечению непрерывности бизнеса.

План обеспечения непрерывности бизнеса должен предусматривать

следующие мероприятия по обеспечению безопасности:

  1. определение и согласование всех обязанностей и процедур непрерывности бизнеса;
  2. идентификацию приемлемых потерь информации и услуг;
  3. внедрение процедур, обеспечивающих возможность восстановления бизнес-процессов и доступность информации в требуемое время;
  4. операционные процедуры, предназначенные для завершения процесса полного восстановления и восстановления потерянных данных;
  5. документирование согласованных процедур и процессов;
  6. соответствующее обучение сотрудников действиям при возникновении чрезвычайных ситуаций, включая кризисное управление;
  7. тестирование и обновление планов обеспечения непрерывности бизнеса.

План обеспечения непрерывности должен четко определять условия его реализации, а также должностных лиц, ответственных за выполнение каждого его пункта.

Планы по обеспечению непрерывности бизнеса необходимо регулярно тестировать и обновлять для обеспечения уверенности в их актуальности и эффективности.

4. Мониторинг событий информационной безопасности

В целях контроля за реализацией требований настоящей Политики, обнаружения несанкционированных действий по обработке информации и оперативного реагирования на выявленные угрозы обеспечивается регулярный мониторинг и регистрация событий информационной безопасности ИС Министерства, его ведомств и подведомственных организаций.

Мониторинг системы позволяет проводить оценку эффективности применяемых мероприятий по обеспечению информационной безопасности и подтверждать их соответствие требованиям политики доступа.

Все соответствующие правовые требования, предъявляемые к мониторингу событий информационной безопасности, должны быть соблюдены в рамках действующего законодательства РК. Должны быть приняты соответствующие меры защиты конфиденциальности.

Следует проводить анализ неисправностей для обеспечения уверенности в том, что они были удовлетворительным образом устранены, предпринятые действия надлежащим образом авторизованы, а мероприятия по управлению информационной безопасностью не были скомпрометированы.

Мониторинг информационной безопасности должен осуществляться по двум основным направлениям:

  1. мониторинг событий нарушения информационной безопасности, поступающих от средств защиты (сетевые атаки, обнаружение вирусов, регистрация попыток несанкционированного доступа и т.д.). Этот вид мониторинга позволяет реагировать и блокировать атаки сразу же по их обнаружению и за счет этого предотвращать или снижать возможный ущерб от их реализации;
  2. мониторинг нарушения администраторами и пользователями информационных систем Министерства установленных требований политики информационной безопасности. Этот вид мониторинга позволяет выявлять нарушения до проявления угрозы и принять соответствующие превентивные меры.

Основными целями мониторинга информационной безопасности являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных для осуществления:

  1. контроля за реализацией требований политики информационной безопасности информационных систем Министерства;
  2. контроля за реализацией положений государственных нормативных актов по обеспечению информационной безопасности в информационных системах Министерства;
  3. выявления нештатных (или злоумышленных) действий в информационных ситемах Министерства;
  4. выявления потенциальных нарушений информационной безопасности;
  5. своевременного выявления и блокирования угроз.

Для целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные программные средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т.п.

5. Дополнительные требования

5.1. Обучение и повышение уровня знаний в области информационной безопасности

Необходимо проводить периодическое обучение и повышение квалификации сотрудников Министерства в области информационной безопасности вне зависимости от их территориального местонахождения и без отрыва от рабочего процесса. Обучаемый материал должен быть представлен в простой и понятной форме.

Сотрудники должны быть ознакомлены с мерами ответственности за разглашение информации в соответствии с их функциональными обязанностями, а также с мерами ответственности за возможные нарушения.

6. Требования к целостности и доступности

Главным требованием целостности и доступности информации является обеспечение своевременного и правомерного доступа пользователей к информации

Действия и операции по внесению информации в ИС Министерства, его ведомствах и организациях, находящихся в ведении Министерства должны фиксироваться в полном и тщательном виде с сохранением данной информации на срок не менее 3 месяцев.

На случай возникновения аварий, стихийных бедствий и иных внештатных ситуаций должны быть предусмотрены соответствующие меры защиты и обеспечения непрерывной работы и восстановления (План по обеспечению непрерывности и восстановлению работоспособности).

Аварии, стихийные бедствия и иные внештатные ситуации должны фиксироваться в актах о внештатных ситуациях и соответствующих журналах регистрации в полном и тщательном виде с сохранением данной информации на срок не менее 1 года.

6.1. Требования по обеспечению резервирования и дублирования мощностей

Система хранения данных для центрального узла должна предусматривать автоматический периодический контроль целостности дисков, анализ плохих секторов, проверку состояния резервных батарей, без вмешательства администратора и без влияния на работу пользователей.

Система хранения данных для центрального узла должна обеспечивать возможность «горячей» замены дисков.

Термины и определения

Термины и определения, используемые в документе:

активы – всё, что имеет ценность для организации;

мера контроля – средства управления рисками, включая политики, процедуры, руководства, правила или организационные структуры, которые могут быть административного, технического, управленческого или юридического характера;

событие информационной безопасности – идентифицированное возникновение состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности, отказ средств защиты или ранее неизвестную ситуацию, которая может быть связана с безопасностью;

инцидент – отдельное, или серия нежелательных или неожиданных событий информационной безопасности, обладающие существенной вероятностью подвергания опасности деловых операций или создания угрозы информационной безопасности;

информационная система – аппаратно-программный комплекс, предназначенный для реализации информационных процессов;

объект – пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа;

субъект – активный компонент системы (пользователь), действия которого регламентируются правилами разграничения доступа;

несанкционированный доступ к информации – получение защищаемой  информации, заинтересованным субъектом, с нарушением установленных правовыми документами правил доступа к ней;

риск – комбинация вероятности события и его последствий;

объект защиты – информация или носитель информации или информационный процесс,  в отношении которых необходимо обеспечивать  защиту  в соответствии с поставленной целью защиты информации;

анализ риска – систематическое использование информации для идентификации источников риска и оценки степени риска;

оценка риска – общий процесс анализа риска и оценка степени риска;

угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации;

уязвимость – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами;

разграничение доступа – порядок доступа лиц к техническим и программным средствам, защищаемой информации при ее обработке на средствах вычислительной техники в соответствии с заранее разработанными и утвержденными правилами;

специалист – субъект, работающий в Министерстве, его ведомствах и организациях, находящихся в ведении Министерства;

специалист по информационной безопасности – специалист, отвечающий за обеспечение и организацию информационной безопасности ;

специалист технической поддержки – специалист технической поддержки/администратор, отвечающий за обслуживание и администрирование серверного оборудования, телекоммуникационного оборудования;

средства защиты информации – технические, криптографические, программные и другие средства, вещества или материалы, предназначенные или используемые для защиты информации;

средства вычислительной техники – совокупность программных и технических элементов систем обработки информации, в том числе ввода или вывода, способных функционировать самостоятельно или в составе других систем;

эксплойт – фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему;

SQL-инъекция – один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.

 

_________________

г. Нур-Султан, пр. Мәңгілік Ел, 11/1, 6 этаж

Тел.: +7(7172) 24-82-49

Яндекс.Метрика