Toggle Dropdown
Приложение 1
к приказу Министра
образования и науки
Республики Казахстан
от 2 декабря 2016 года № 685
Политика
информационной безопасности информационных ресурсов
Министерства образования и науки Республики Казахстан
1. Термины и определения, используемые в данном документе
1. Основные термины и определения, используемые в политике информационной безопасности информационных ресурсов Министерства образования и науки Республики Казахстан (далее - политика), приведены согласно стандартам СТ РК 34.007-2002, СТ РК 34.006-2002, СТ РК 34.005-2002, СТ РК ISO/IEC 27011-2013, СТ РК ИСО/МЭК 27002-2009.
2. При разработке данного документа использовались следующие понятия:
1) Министерство - Министерство образования и науки Республики Казахстан;
2) информационная безопасность - это процесс обеспечения конфиденциальности, целостности и доступности информации, все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средства ее обработки;
3) информационная система (далее - ИС) - система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации с применением аппаратно-программного комплекса;
4) электронные информационные ресурсы - информация, хранимая в электронном виде (информационные базы данных), содержащаяся в информационных системах;
5) информационные процессы - процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и потребления информации;
6) информационные услуги - услуги по предоставлению пользователям информационных ресурсов;
7) корпоративная сеть - совокупность информационных систем, компьютеров, кабелей, сетевых адаптеров, объединенных в единую сеть и эксплуатируемых в государственном органе;
8) конфиденциальные электронные информационные ресурсы - электронные информационные ресурсы, не содержащие государственных секретов, доступ к которым ограничен в соответствии с законами Республики Казахстан или их собственником либо владельцем в случаях, предусмотренных законодательством Республики Казахстан;
9) информационно-коммуникационная сеть - совокупность технических и аппаратно-программных средств обеспечения взаимодействия между информационными системами или между их составляющими, а также передачи информационных ресурсов;
10) аппаратно-программный комплекс - совокупность программных и технических средств, обеспечивающих информационные процессы;
11) защита электронных информационных ресурсов, информационных систем - комплекс правовых, организационных и технических мероприятий, направленных на их сохранение, предотвращение неправомерного доступа к электронным информационным ресурсам, информационным системам, включая незаконные действия по получению, копированию, распространению, искажению, уничтожению или блокированию информации;
12) средство(а) обработки информации - любая система обработки информации, сервис или инфраструктура, или их физические места размещения;
13) структурированная кабельная система - набор коммутационных элементов, а также методика их совместного использования, позволяющие создавать регулярные, легко расширяемые структуры связей в вычислительных сетях;
14) удаленный доступ - подключение к компьютеру по телефонной линии через модем;
15) система управления сетью - система оборудования и программного обеспечения, используемая для администрирования, мониторинга и управления данными в сети;
16) сервер - это обслуживающий компьютер или сеть компьютеров, предназначенные для обслуживания пользователей, которые обращаются к нему со своим запросом;
17) администратор сервера или системный администратор - сотрудник, в обязанности которого входит создание оптимальной работоспособности компьютеров (серверов) и программного обеспечения для пользователей, связанных между собой;
18) администратор сети - сотрудник, отвечающий за функционирование и использование ресурсов автоматизированной системы и/или вычислительной сети;
19) модель нарушителя информационной безопасности - это набор предположений об одном или нескольких возможных нарушителях информационной безопасности, их квалификации, их технических и материальных средствах и т.д.;
20) аутсорсинг (англ. outsourcing: out - внешний, находящийся за пределами, source- источник) - комплекс мероприятий, направленных на передачу предприятием определенных процессов и функций другой организации. Аутсорсинг - использование чужих ресурсов;
21) локальная вычислительная сеть (далее - ЛВС) - это совокупность компьютеров и других средств вычислительной техники (активного сетевого оборудования, принтеров, сканеров и т.п.), объединенных с помощью кабелей и сетевых адаптеров и работающих под управлением сетевой операционной системы. Вычислительные сети создаются для того, чтобы группа пользователей могла совместно задействовать одни и те же ресурсы: файлы, принтеры, модемы, процессоры и т.п.;
22) локальный администратор - это пользователь компьютера с правами администратора;
23) автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;
24) вычислительная сеть (компьютерная сеть) - это система, обеспечивающая обмен данными между вычислительными устройствами (компьютеры, серверы, маршрутизаторы и другое оборудование).
3. Политика информационной безопасности Министерства (далее - политика) - комплекс превентивных мер по защите информации, в том числе конфиденциальных данных, информационных процессов и включает в себя требования в адрес сотрудников, поставщиков и технических служб. На основе политики строится управление информационной безопасностью.
4. Настоящая политика учитывает современное состояние и ближайшие перспективы развития локально вычислительной сети Министерства, цели, задачи и правовые основы эксплуатации, режимы функционирования, а также анализ угроз безопасности для ее ресурсов.
5. Положения и требования политики распространяются на структурные подразделения Министерства, в которых осуществляется автоматизированная обработка информации, в том числе конфиденциальных сведений или персональных данных, а также специалистов и технических служб, осуществляющих обеспечение функционирования информационных систем Министерства.
6. В случае обнаружения в Министерстве фактов несанкционированного доступа к информационным ресурсам и системам или выявления потенциальной угрозы информационной безопасности, Министерство информирует Канцелярию Премьер-Министра Республики Казахстан, Комитет национальной Безопасности Республики Казахстан, Министерство информации и коммуникаций Республики Казахстан.
3. Пользователи информационных систем
7. Пользователями информационных систем Министерства являются сотрудники структурных подразделений, персонал, обеспечивающий информационную безопасность, системно-техническое обслуживание, а также сотрудники других государственных органов, которым открыт доступ для работы с ИС.
4.1. Потенциальные нарушители
8. Потенциальные нарушители делятся на внутренних и внешних. Внутренние нарушители - это практически все сотрудники Министерства, а также обслуживающий персонал по услугам аутсорсинга. Они делятся на следующие группы в зависимости от уровня доступа к информационным ресурсам корпоративной сети:
лица, имеющие доступ к информации для служебного пользования и задействованные в технологии обработки, передачи и хранения информации; обслуживающий персонал по услугам аутсорсинга.
9. Чтобы построить реальную модель потенциального нарушителя необходимо принять во внимание виды выявленных нарушений, устремлений различных лиц и организаций к Министерству, а также имеющиеся в Министерстве интересы других юридических лиц.
10. Классифицируются следующие виды нарушений:
несанкционированное использование программ, которые негативно влияют на работоспособность локальной вычислительной сети (далее - ЛВС) Министерства, снижают ее производительность, мешают корректной работе ЛВС (сканеры сети, интенсивный широковещательный трафик и т.п.);
использование прав локальных администраторов на рабочих станциях пользователей, что дает возможность установки обычному пользователю неограниченного количества программ;
нарушения сотрудниками вследствие незнания требований информационной безопасности и правовых актов Министерства.
11. Потенциальные внешние нарушители:
бывшие сотрудники Министерства;
представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности Министерства (энерго-, водо-, теплоснабжения и т.п.);
посетители (приглашенные представители организаций, граждане РК и нерезиденты);
представители поставщиков, поставляющих технику, программное обеспечение, услуги и т.п.
5. Политика информационной безопасности
5.1. Назначение, нормативная и правовая база Политики
12. Политика информационной безопасности Министерства является методологической базой:
выработки и совершенствования комплекса согласованных нормативных, правовых, технологических и организационных мер, направленных на защиту информации;
обеспечения информационной безопасности;
координации деятельности структурных подразделений при проведении работ по соблюдению требований обеспечения информационной безопасности.
13. Научно-методической основой политики является системный подход, предполагающий проведение исследований, разработку системы защиты информации в процессе ее обработки в информационных системах с учетом всех факторов, оказывающих на нее влияние и комплексного применения различных мер и средств защиты.
14. Основные положения политики базируются на качественном осмыслении вопросов информационной безопасности, не концентрируя внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
15. Нормативной правовой базой политики являются Конституция Республики Казахстан, Уголовный кодекс Республики Казахстан, Кодекс Республики Казахстан об административных правонарушениях, законы, указы, постановления и иные нормативные правовые акты Республики Казахстан, а также правовые акты Министерства, регламентирующие вопросы обеспечения информационной безопасности.
5.2. Цели и задачи политики информационной безопасности
16. Главной целью, на достижение которой направлены все положения политики, является надежное обеспечение информационной безопасности Министерства и, как следствие, недопущение нанесения материального, физического, морального или иного ущерба Министерству в результате информационной деятельности.
17. Указанная цель достигается посредством обеспечения и постоянного поддержания следующего состояния корпоративной вычислительной сети:
доступность обрабатываемой информации для зарегистрированных пользователей;
устойчивое функционирование ЛВС Министерства;
обеспечения конфиденциальности информации, хранимой, обрабатываемой на средствах вычислительной техники (далее - СВТ) и передаваемой по каналам связи;
целостность и аутентичность информации, хранимой и обрабатываемой в ЛВС Министерства и передаваемой по каналам связи.
18. Для достижения поставленных целей политика направлена на решение следующих задач:
защита от вмешательства посторонних лиц в процесс функционирования ЛВС Министерства;
разграничение доступа зарегистрированных пользователей к информации, а также к аппаратным, программно-аппаратным и программным средствам включая средства криптографической защиты информации, используемым в ЛВС Министерства;
регистрация действий пользователей при использовании ресурсов ЛВС Министерства в системных журналах;
периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами информационной безопасности;
контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
защита информации от несанкционированной модификации, искажения;
контроль целостности используемых программных средств, а также защиту системы от внедрения вредоносных кодов, включая компьютерные вирусы;
защиту коммерческой тайны и персональных данных от утечки, несанкционированного разглашения или искажения при ее обработке, хранении и передаче по каналам связи;
обеспечение аутентификации пользователей, участвующих в информационном обмене;
своевременное выявление угроз информационной безопасности, причин и условий, способствующих нанесению ущерба;
создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции;
создание условий для минимизации и локализации нанесенного ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.
5.3. Меры по реализации политики
5.3.1. Меры по защите от утечки информации по каналам их передачи
Средства и меры защиты от утечки информации по техническим каналам
19. Для выявления утечки информации необходим систематический контроль возможности образования каналов утечки и оценки их энергетической опасности на границах контролируемой зоны (территории, помещения). Закрытие и локализация каналов утечки обеспечивается организационно-техническими мерами.
20. В соответствии с используемыми каналами передачи информации в Министерстве предусматриваются адекватные технические средства защиты. Организуется система регистрации, передачи, приема и хранения носителей информации, предусматриваются надлежащие способы их уничтожения, с целью исключения возможности восстановления записанных на них сведений.
21. Технические каналы передачи информации оснащаются соответствующими средствами защиты. Создается надежная система охраны зданий и сооружений Министерства, организуется пропускной режим для предотвращения доступа посторонних лиц в Министерство.
22. Защита информации от утечки по каналам их передачи в Министерство достигается путем применения комплексных программных, технических средств защиты и организационных мер.
5.3.2. Меры по защите средств вычислительной техники (далее - СВТ). Защита от несанкционированного доступа (далее - НСД) к СВТ
23. Защита СВТ пользователей от несанкционированного доступа в Министерство строится по нескольким направлениям. Создаются автоматизированные средства регистрации пользователей, система блокирования учетных записей и оповещения работников об угрозе или проникновении в СВТ.
24. Определяются организационные меры по предотвращению НСД, в том числе в случае утраты/компрометации паролей и выхода из строя СВТ.
5.3.3. Защита от использования незарегистрированных носителей информации
25. Запись и копирование служебной и иной защищаемой информации, в том числе для передачи другим лицам, производится на зарегистрированные носители информации. За запись служебной и иной защищаемой информации на незарегистрированные в установленном порядке носители пользователь привлекается к дисциплинарной ответственности.
5.4. Защита от аппаратных спецвложений, нелегального внедрения и использования неучтенных программ
26. Для защиты от аппаратных спецвложений, нелегального внедрения и использования неучтенных программ в Министерстве кроме мероприятий, включающих физическую защиту, проведение аудита обращения к СВТ и мониторинг системных журналов устанавливается базовый комплекс программного обеспечения, который необходимо устанавливать на рабочие станции пользователей. В базовый комплекс включается лицензионное ПО, необходимое для обеспечения работоспособности СВТ.
27. Использование для производственных целей прикладного ПО, не входящего в состав базового комплекса санкционируется руководством структурного подразделения Министерства.
5.5. Защита от несанкционированного копирования данных пользователем
28. Служебная и иная защищаемая информация, обрабатываемая и хранящаяся в ЛВС Министерства, подлежит копированию и передаче третьему лицу только с письменного разрешения руководителя структурного подразделения Министерства.
29. За копирование и передачу служебной и иной защищаемой информации третьему лицу без разрешения руководителя структурного подразделения Министерства пользователь привлекается к дисциплинарной ответственности.
Примечание: Для пользователей категорированных объектов средств вычислительной техники в любых случаях информация, содержащая сведения, составляющие государственные секреты, передается только через Управление по защите государственных секретов (УЗГС).
5.6. Защита информации, отображаемой на мониторе СВТ
30. Защита достигается путем ограничения физического доступа к средствам отображения информации, исключения наблюдения за отображаемой информации посторонними лицами.
5.7. Защита от действий вредоносных программ, вирусов
31. В целях защиты от действий вредоносных программ и вирусов в Министерстве используются «иммуностойкие» программные средства, защищенные от возможности несанкционированной модификации, специальные программы-анализаторы, осуществляющие постоянный контроль за возникновением отклонений в деятельности прикладных программных продуктов, периодическую проверку наличия возможных следов вирусной активности, а также входной контроль новых программ перед их использованием.
32. Организационные меры, включают в себя разработку правовых актов Министерства, регламентирующие эту деятельность и проведение работ в соответствии с ними.
5.8. Защита от хищения носителей информации
33. В Министерстве устанавливается определенный порядок учета, хранения и использования носителей информации, в том числе сведений в электронном виде. При передаче носителя цифровой информации для повторного использования за пределами Министерства проводится его очистка с целью исключения несанкционированного разглашения защищаемых сведений.
5.9 Защита информации в оперативной памяти
34. За каждым СВТ закрепляется сотрудник Министерства. На СВТ используется система аутентификации и идентификации сотрудника, работающего на нем. Передача СВТ в пользование другому сотруднику осуществляется с разрешения руководителя подразделения. Принимаются необходимые программно-технические средства защиты информации, обрабатываемой на СВТ.
5.10. Защита от умышленной модификации информации
35. Кроме средств регламентированного доступа к СВТ защита информации от модификации осуществляется программными, техническими и организационными мерами. Для своевременного выявления и обнаружения указанных посягательств используются журналы действий операторов и администраторов.
5.11. Защита от ошибок программно-аппаратных средств
36. С целью проверки работоспособности, перед вводом в эксплуатацию программные продукты и аппаратные средства подлежат тестированию в условиях приближенных к реальным условиям. Не пригодные к использованию программное обеспечение и аппаратные средства в эксплуатацию не принимаются.
5.12. Защита от некомпетентного использования, настройки или неправомерного отключения средств защиты
37. Средства защиты корпоративной вычислительной сети вводятся в эксплуатацию, сопровождаются и используются в соответствии с установленным регламентом. Контроль за этим процессом осуществляет подразделение Министерства, обеспечивающее информационную безопасность.
38. Сопровождением серверов Министерства занимается персонал поставщиков согласно договору на оказание услуг по техническому обслуживанию, системному администрированию. Все действия персонала по сопровождению регламентированы. При нарушении регламента причастные сотрудники привлекаются к ответственности.
5.13. Защита от частичного или полного отказа СВТ или разрушению аппаратных, программных, информационных ресурсов
39. Частичный, полный отказ СВТ, а также разрушение аппаратных, программных, информационных ресурсов в Министерстве возникает в результате возникновения аварий, стихийных бедствий и иных внештатных ситуаций. На такие случаи в Министерстве предусматриваются соответствующие меры защиты и План обеспечения непрерывной работы и восстановления.
5.14. Защита от ввода ошибочных данных
40. Данные, вводимые в приложениях ЛВС, проверяются программными и техническими средствами, чтобы гарантировать их правильность и соответствующее использование. Ввод информации осуществляется уполномоченным на это персоналом.
5.15. Защита от атак типа «отказ в обслуживании» со стороны сети
41. В целях защиты от атак типа «отказ в обслуживании» враждебного мобильного кода проводятся организационные и технические мероприятия, включающие в себя разработку правовых актов Министерства, регламентирующие эту деятельность и проведение работ в соответствии с ними.
5.16. Меры по защите коммуникационных средств
42. Основные и резервные телекоммуникационные сервисы соответствующим образом отделяются друг от друга, чтобы не подвергаться одним и тем же угрозам.
5.17. Защита от незаконного подключения к линиям связи и к сетевому оборудованию
43. Защита коммуникаций от незаконного подключения, кроме средств санкционированного электронного и физического доступа, осуществляется программными, техническими средствами и организационными мерами. Проводятся необходимые мероприятия для своевременного выявления, предупреждения и пресечения неправомерных действий лиц по получению доступа к коммуникациям. За незаконное подключение и попытки незаконного подключения к линиям связи и сетевому оборудованию лица несут ответственность в соответствии с законодательством Республики Казахстан.
5.18. Защита от повреждения, некорректного функционирования, частичного или полного отказа сетевого оборудования
44. Повреждение, некорректное функционирование, частичный, полный отказ сетевого оборудования Министерства возникает, в первую очередь, в результате аварий, стихийных бедствий и иных внештатных ситуаций.
45. В Министерстве принимаются меры, связанные с внедрением средств защиты, которые будут использоваться в случае стихийных бедствий (пожаров, наводнений, и землетрясений), а также в различных нештатных ситуациях.
46. Министерством разрабатывается план обеспечения непрерывной работы и восстановления.
5.19. Защита от неправомерного включения, выключения оборудования
47. Сетевое оборудование корпоративной вычислительной сети Министерства вводится в эксплуатацию, сопровождается и используется в соответствии с установленным регламентом. Включение и отключение оборудования производится уполномоченным техническим персоналом, который работает в соответствии с указанием руководства Министерства.
5.20. Защита от неправомерной модификации передаваемых данных, технической и служебной информации
48. Кроме средств санкционированного доступа к коммуникационным средствам и сетевому оборудованию, защита передаваемых данных от модификации осуществляется программно-техническими и организационными мерами. Для своевременного выявления, предупреждения и пресечения указанных посягательств используется аппаратура наблюдения и мониторинга.
5.21. Меры по защите системы архивирования
49. Министерством определяется порядок резервного копирования, хранения и восстановления программных продуктов и информационных систем. Хранилище резервных копий размещается в помещении за пределами основного здания Министерства на расстоянии не менее 2-3 километров. Обеспечивается санкционированный доступ к хранилищу резервных копий для своевременного восстановления информации и информационных систем в случае сбоя, аварии и иных нештатных ситуациях.
50. Министерством разрабатывается план обеспечения непрерывной работы и восстановления, в котором также определяются меры по защите архивов на случай возникновения аварий, стихийных бедствий и других нештатных ситуаций.
5.22. Меры по защите при выводе информации
51. К основным устройствам вывода информации являются мониторы, принтеры, средства записи информации на цифровые носители.
52. Следует принять исчерпывающие меры защиты информации на устройствах долговременной памяти при передаче СВТ на ремонт и сторонние организации.
5.23. Требования по обучению персонала вопросам информационной безопасности
53. Все сотрудники Министерства при необходимости проходят соответствующее обучение и получают на регулярной основе обновленные варианты политик и процедур информационной безопасности, принятых в Министерстве, в соответствии с их должностными функциями. Подготовка в области осведомленности начинается с процесса введения предназначенного для ознакомления с политиками информационной безопасности и ожиданиями Министерства перед предоставлением доступа к информации или службам. Подготовка включает в себя изучение требований безопасности, юридических обязательств и мер контроля деловой деятельности, а также обучение правильному использованию средств обработки информации, например, процедуре регистрации учетной записи сотрудника в системах, применению пакетов программ, предоставление доступа к сети Интернет и информацию о дисциплинарном процессе.
54. Подготовка по улучшению осведомленности имеет целью дать возможность отдельным лицам распознавать проблемы информационной безопасности и инциденты ее нарушения и реагировать соответственно своим рабочим обязанностям.
5.24. Требования к анализу и оценке рисков по информационной безопасности
55. Оценки рисков идентифицируют, определяют количество рисков и их приоритеты по отношению к критериям принятия рисков и целям, подходящим Министерству.
56. Результаты направляют и определяют соответствующие действия руководства и приоритеты для управления рисками безопасности и для реализации мер контроля, выбранных для защиты от таких рисков. Требуется неоднократное повторение процесса оценки рисков и выбора мер контроля, чтобы охватить все подразделения Министерства или отдельные информационные системы.
57. Оценка риска включает систематический подход определения величины рисков (анализ рисков) и процесс сравнения оцененных рисков с критериями рисков с целью определения значимости рисков (оценка степени рисков) согласно Приложению 1 к данной Политике.
58. Оценки рисков проводятся периодически для реагирования на изменения в требованиях безопасности и в ситуации рисков, например, в активах, угрозах, уязвимостях, воздействиях, оценке степени рисков и при возникновении значительных изменений. В целях получения сравнимых и воспроизводимых результатов эти оценки рисков предпринимаются методическим образом.
59. Чтобы быть эффективной, оценка рисков безопасности информации имеет четко определенную область действия и включает взаимосвязь с оценками рисков в других областях, если это целесообразно.
60. Областью действия оценки риска являются Министерство, подразделения Министерства, отдельная информационная система, специфические компоненты системы, или службы, где она осуществима, реалистична и полезна.
61. Перед рассмотрением проблемы обработки рисков Министерство определяет критерии определения принятия или неприятия рисков. Риски принимаются, если, например, сделана оценка, что риск незначителен или что стоимость обработки нерентабельна для Министерства. Подобные решения регистрируются.
62. Для каждого из идентифицированных рисков, следующих за оценкой рисков, необходимо принимать решение по обработке риска. Возможными вариантами для обработки риска включают:
применение подходящих мер контроля для уменьшения рисков;
сознательное и объективное принятие рисков при условии, что они соответствуют политике Министерства и критериям принятия рисков;
избежание рисков путем недопущения действий, вызывающих возникновение рисков;
передачу ассоциированных рисков другим сторонам (поставщикам).
5.25. Обязательные документы для обеспечения информационной безопасности
63. Обеспечение защищенности информационной среды Министерства, а также применения единой политики информационной безопасности достигается следующими документами по информационной безопасности: Инструкцией по организации антивирусной защиты, Инструкцией о порядке действий во внештатных (кризисных) ситуациях, Инструкцией о резервном копировании информации, Инструкцией о парольной защите, Инструкцией пользователя по эксплуатации компьютерного оборудования и программного обеспечения, Инструкцией по закреплению функций и полномочий системных администраторов, Инструкцией по использованию внутренней почты и служб Интернета на рабочих станциях, Правилами доступа пользователей и администраторов в серверные помещения, Правилами регистрации пользователей в корпоративной сети, Памяткой для работы системных администраторов серверов и информационных систем, Памяткой пользователям средств вычислительной техники, Правилами проверки состояния информационной безопасности и ее мониторинга, Правилами паспортизации средств вычислительной техники и использования информационных ресурсов корпоративной сети, а также настоящей Политикой.
5.26. Требования по синхронизации часов всех существующих систем обработки информации внутри Министерства или сферы безопасности с помощью единого источника точного времени
64. Часы всех соответствующих систем обработки информации внутри Министерства или сферы безопасности синхронизируются с помощью единого источника точного времени. Компьютер или устройство связи имеют возможность использовать часы в реальном времени, их устанавливают по Универсальному Скоординированному Времени (UCT) или стандартному местному времени.
65. Правильная установка компьютерных часов (таймера) важна для обеспечения точности журналов аудита, которые требуются для расследований или как доказательство при судебных или административных разбирательствах. Некорректные журналы аудита затрудняют такие расследования, а также приводят к сомнению в достоверности собранных доказательств. В качестве главных электрочасов для регистрирующих систем используются часы, соединенные с трансляцией сигналов точного времени от национальных атомных часов. Для поддержания синхронизации всех серверов с главными электрочасами применяется протокол времени сети.
5.27. Пересмотр политики информационной безопасности
66. Соблюдение требований политики информационной безопасности обязательно для всех сотрудников Министерства. Проведение планового аудита информационной безопасности является одним из основных методов проверки эффективности мер по защите информации. Результаты аудита служат основанием для пересмотра некоторых положений политики и внесения в них необходимых корректировок.
67. Ежегодно проводится аудит информационной безопасности Министерства, на основании которого структурное подразделение, уполномоченное по обеспечению информационной безопасности совершенствует политику на предмет соответствия предъявляемым требованиям. В случае возникновения необходимости, при выявлении в процессе аудита несоответствия современным требованиям вносят изменения и дополнения.
68. Кроме этого, используемые информационные технологии и организация служебной деятельности непрерывно меняются, это приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности.
5.28. Меры по недопущению предоставления удаленного доступа к информационным ресурсам Министерства
69. В Министерстве не допускается использование программных средств организации удаленного доступа из сети Интернет в информационно-коммуникационной среде Министерства.
70. Предоставление несанкционированного удаленного доступа к информационным ресурсам Министерства влекут за собой ответственность в соответствии с действующим законодательством Республики Казахстан.
Приложение 1
к Политике информационной
безопасности информационных
систем Министерства образования
и науки Республики Казахстан
Форма отчета по анализу информационных рисков
Ф.И.О.
|
|
Должность
|
|
Структурное подразделение
|
|
Номер служебного телефона
|
|
|
|
|
Ресурс
|
Конфиденциальность, ур.
|
Целостность, ур.
|
Доступность, ур.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ресурсы по структурным подразделениям
Структурное подразделение
|
Ресурс
|
|
|
|
|
|
|
Риски ресурсов по угрозам
Структурное подразделение _____________________________________
Угроза
|
Уязвимость
|
Конфиденциальность, ур.
|
Целостность, ур.
|
Доступность, ур.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Суммарные риски по структурным подразделениям
Структурное подразделение __________________________________
№ п/п
|
Ресурс
|
Конфиденциальность, ур.
|
Целостность, ур.
|
Доступность, ур.
|
Итого, ур.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Риски по информационной системе
Конфиденциальность, ур.
|
Целостность, ур.
|
Доступность, ур.
|
|
|
|
|
|
|
|
|
|
|
|
|
Соотношение ущерба и риска
Ресурс ____________________________
|
Конфиденциальность, ур.
|
Целостность, ур.
|
Доступность, ур.
|
Итого, ур.
|
Ущерб
|
|
|
|
|
Риск
|
|
|
|
|
Ущерб и риск по структурным подразделениям
Структурное подразделение _______________________________
|
Конфиденциальность, ур.
|
Целостность, ур.
|
Доступность, ур.
|
Итого, ур.
|
Ущерб
|
|
|
|
|
Риск
|
|
|
|
|
Ущерб и риск по информационной системе
|
Конфиденциальность, ур.
|
Целостность, ур.
|
Доступность, ур.
|
Итого, ур.
|
Ущерб
|
|
|
|
|
Риск
|
|
|
|
|
Ресурс ___________________________
Наименование
|
Риск до контрмеры, %
|
Риск после контрмеры, %
|
Стоимость контрмеры
|
Эффективность (по ресурсу), %
|
Эффективность (по системе), %
|
|
|
|
|
|
|
Эффективность комплекса контрмер
Ресурс ____________________________
№ п/п
|
Ресурс
|
Значение риска до всех контрмер, %
|
Значение риска после всех контрмер, %
|
Эффективность комплекса контрмер, %
|
|
|
|
|
|