Toggle Dropdown
Об утверждении Политики, Правил, Методик, Инструкций, Регламентов и Руководств по информационной безопасности Министерства образования и науки Республики Казахстан
Приказ и.о. Министра образования и науки Республики Казахстан от 5 ноября 2018 года № 613
В соответствии с пунктом 31 «Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности», утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832, в целях обеспечения единой политики в области обеспечения информационной безопасности информационных систем Министерства образования и науки Республики Казахстан, ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые:
1) Политику информационной безопасности Министерства образования и науки Республики Казахстан (далее - Министерство), согласно приложению 16 к настоящему Приказу;
2) Методику оценки рисков информационной безопасности Министерства согласно приложению 1 к настоящему приказу;
3) Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации Министерства согласно приложению 2 к настоящему приказу;
4) Правила по обеспечению непрерывной работы активов связанных со средствами обработки информации Министерства согласно приложению 3 к настоящему приказу;
5) Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения Министерства согласно приложению 4 к настоящему приказу;
6) Правила проведения внутреннего аудита информационной безопасности (далее - ИБ) Министерства согласно приложению 5 к настоящему приказу;
7) Правила использования средств криптографической защиты информации Министерства согласно приложению 6 к настоящему приказу;
8) Правила разграничения прав доступа к электронным информационным ресурсам Министерства согласно приложению 7 к настоящему приказу;
9) Правила использования Интернет и электронной почты Министерства согласно приложению 8 к настоящему приказу;
10) Правила организации процедуры аутентификации Министерства согласно приложению 9 к настоящему приказу;
11) Правила организации антивирусного контроля Министерства согласно приложению 10 к настоящему приказу;
12) Правила использования мобильных устройств и носителей информации Министерства согласно приложению 11 к настоящему приказу;
13) Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов Министерства согласно приложению 12 к настоящему приказу;
14) Регламент резервного копирования и восстановления информации Министерства согласно приложению 13 к настоящему приказу;
15) Руководство администратора по сопровождению объекта информатизации Министерства согласно приложению 14 к настоящему приказу;
16) Инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях Министерства согласно приложению 15 к настоящему приказу.
2. Председателям комитетов, директорам департаментов, руководителям структурных подразделений довести настоящий приказ до сведения всех сотрудников Министерства.
3. Контроль за исполнением настоящего приказа возложить на Вице-министра образования и науки Республики Казахстан Бигари Р.А.
4. Отменить приказ Министра образования и науки Республики Казахстан от 2 декабря 2016 года № 685 «Об утверждении Политики, Инструкций, Правил и Памяток по обеспечению информационной безопасности Министерства образования и науки Республики Казахстан».
5. Настоящий приказ вступает в силу со дня его подписания.
Исполняющий обязанности Министра образования и науки Республики Казахстан Б. Асылова
Приложение 1
к приказу и.о. Министра
образования и науки
Республики Казахстан
от 5 ноября 2018 года № 613
Методика оценки рисков информационной безопасности
Методика оценки рисков информационной безопасности (далее - Методика) Министерства образования и науки Республики Казахстан (далее - Министерство) предназначена для определения актуальности и экономической целесообразности используемых систем защиты информации, а также определения соответствия принимаемых мер по информационной безопасности к требованиям нормативно-технических документов в области информационной безопасности.
Анализ информационных рисков необходим для понимания видов угроз и уязвимости, прогнозирования их наступления и развития, выстраивания системы защиты и необходимого инвестирования на реализацию.
Риск - это вероятный ущерб, который может понести за собой раскрытие, модификацию, утрату или недоступность информации. Риск зависит от двух факторов - стоимости информации и защищенности информационной системы, в которой она обрабатывается.
Исходя из определения риска, для проведения анализа рисков нужны следующие данные об информационной системе:
1. Перечень ценной информации с указанием ее уровня критичности;
2. Сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.
Этапы проведения анализа рисков
Алгоритм оценки рисков информационной безопасности (далее - ИБ) Министерства состоит из нескольких этапов (Рисунок № 1):
1. Определение типа актива;
2. Определение ценности активов (Обозначение - Si);
3. Определение угроз и соответствующих им уязвимостей, оценка вероятности реализации угроз (Обозначение - Vry);
4. Определение риска информационной безопасности (Обозначение - R);
5. Формирование планов по снижению риска ИБ.
Рисунок № 1 Схема алгоритма оценки рисков информационной безопасности.
1. Этап определение типа актива
Активы информационных технологии (далее - ИТ) Министерства делятся на материальные (Обозначение Ат) и нематериальные (Обозначение Апт) активы (Рисунок № 1).
Виды материальных и нематериальных активах ИТ приведены в таблицах № 8 и № 9.
Сведения о материальных и не материальных активах ИТ должны актуализироваться в начале и в середине каждого года.
На данном этапе должны быть обеспечены следующие действия:
1. Служба бухгалтерского учета должны первого числа месяцев января и июня каждого года в течение 5 дней предоставлять службе информационной безопасности информацию по материальным и нематериальным активам ИТ согласно таблицам № 1 и № 2.
2. Основные подразделения Министерства, которые формируют либо контролируют ход формирования информационных данных, сведений в информационных системах Министерства должны первого числа месяцев января и июня каждого года в течение 5 дней предоставлять службе информационной безопасности информацию о нематериальных активах ИТ согласно таблице № 2.
3. Служба информационной безопасности на основе полученных информации от подразделений Министерства, обозначает и утверждает руководством Министерства сводный перечень материальных и не материальных активов ИТ с указанием степени важности по бальной системе согласно таблице № 3.
4. С момента получения сводных данных от подразделений Министерства, службой информационной безопасности выполняется оценка рисков информационной безопасности в течение месяца.