В соответствии с пунктом 9 постановления Правительства Республики Казахстан от 9 августа 2018 года № 488 «Об утверждении Национального антикризисного плана реагирования на инциденты информационной безопасности» ПРИКАЗЫВАЮ:

1. Утвердить прилагаемый план реагирования Министерства образования и науки Республики Казахстан реагирования на инциденты информационной безопасности.

2. Контроль за исполнением настоящего приказа возложить на вице-министра образования и науки Республики Казахстан Биғари Р.А.

3. Настоящий приказ вступает в силу со дня его подписания.

Министр А. Аймагамбетов

1. Настоящий План реагирования на инциденты информационной безопасности Министерства образования и науки Республики Казахстан (далее - План) разработан в соответствии с пунктом 8 Национального антикризисного плана реагирования на инциденты информационной безопасности, утвержденного постановлением Правительства Республики Казахстан от 9 августа 2018 года № 488 и предусматривает меры действий по обработке угроз (рисков) информационной безопасности, обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации.

2. В настоящем плане используются следующие понятия и определения:

1) обслуживающая организация - организация, предоставляющая услуги согласно договору на оказание услуг;

2) объекты информационно-коммуникационной инфраструктуры (далее - объекты ИКИ) - информационные системы, технологические платформы, аппаратно-программные комплексы, сети телекоммуникаций, а также системы обеспечения бесперебойного функционирования технических средств и информационной безопасности;

3) инцидент информационной безопасности (далее - инцидент ИБ) - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

4) кризисная ситуация в сфере информационной безопасности - инцидент ИБ или реальные предпосылки к его возникновению на объектах информационно-коммуникационной инфраструктуры, которые могут привести к невозможности или ограничению предоставления государственных услуг, чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства, инфраструктуры Республики Казахстан или для жизнедеятельности населения, проживающего на соответствующей территории;

5) национальный координационный центр информационной безопасности (далее - НКЦИБ) - структурное подразделение республиканского государственного предприятия на праве хозяйственного ведения «Государственная техническая служба» Комитета национальной безопасности Республики Казахстан;

6) оперативный центр информационной безопасности (далее - ОЦИБ) - юридическое лицо или структурное подразделение юридического лица, осуществляющее деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации.

3. Министерство образования и науки Республики Казахстан (далее - Министерство) для повышения уровня защищенности электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры руководствуется Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее - Единые требования), а также иными нормативными правовыми актами, регламентирующими сферу информационной безопасности.

4. В соответствие с Едиными требованиями в Министерстве разработана Политика информационной безопасности и утверждена приказом и.о. Министра образования и науки Республики Казахстан от 5 ноября 2018 года № 613.

5. Сотрудниками управления ИБ, ответственным за информационную безопасность (далее - ответственный за ИБ) на постоянной основе ведется ознакомление сотрудников Министерства с действующими требованиями по информационной безопасности. Проводится инструктаж вновь принятых сотрудников.

6. В целях обеспечения непрерывности работы и устойчивости объектов информатизации Министерства к внешним изменениям на постоянной основе ведется мониторинг состояния информационных активов, анализ журналов событий ИКИ, резервирование конфигураций серверов и информационных ресурсов информационных систем, актуализация антивирусных баз.

7. Во избежание возникновения кризисной ситуации информационной безопасности ежегодно проводится аудит информационной безопасности и ежемесячно проводится анализ состояния защищенности ИКИ, по итогам которых, вырабатываются меры для повышения уровня защищенности ИКИ.

8. Создан Центр мониторинга и управления инцидентами ИБ (далее - Центр мониторинга), внедрена Система сбора и анализа событий журналов ИКИ в Министерстве, Система управления инцидентами ИБ.

9. Центр мониторинга осуществляет мониторинг состояния ИКИ в реальном времени.

10. Централизованный сбор журналов событий ИКИ обеспечивается Системой сбора и анализа событий журналов ИКИ в Министерстве. Посредством данной системы проводится анализ событий, в ходе которого выявляются инциденты ИБ.

11. При выявлении инцидента ИБ его данные поступают в Систему управления инцидентами ИБ.

12. Работники обслуживающей организации обеспечивают регистрацию и обработку инцидента ИБ, при необходимости ликвидацию его последствий, установление причин возникновения инцидента ИБ и вырабатывают соответствующие рекомендации, при необходимости проводят восстановление данных из резервных копий.

13. Запись журналов регистрации событий ИКИ Министерстве осуществляется в соответствии с приложением 3 Правил проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденных приказом Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ (далее - Правила мониторинга).

14. Обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Системные администраторы не имеют полномочий на изменение, удаление и отключение журналов.

15. При обнаружении инцидента ИБ работники обслуживающей организации незамедлительно информируют ответственного за ИБ.

16. Работники обслуживающей организации взаимодействуют с НКЦИБ посредством круглосуточного call-центра 1400, а также в течение 24 часов с момента обнаружения инцидента ИБ предоставляют перечень данных об инциденте ИБ согласно приложению 4 Правил мониторинга. Ответственный за ИБ информирует руководство Министерства о произошедшем инциденте ИБ, о его последствиях и методов ликвидации.

17. Работником обслуживающей организации составляется перечень всех активов вовлеченных в процесс работы объектов информатизации с указанием ответственных лиц обслуживающей организации за функционирование того или иного актива, для определения их действий в случае выхода из строя актива.

18. Работником обслуживающей организации, ответственным за сопровождение ИКИ, на основе перечня активов составляется План обеспечения непрерывности работы активов, связанных со средствами обработки информации (далее - План непрерывности работы), который актуализируется по мере изменения активов или выявления дополнительных рисков.

19. В Плане непрерывности работы отражаются следующие вопросы:

1) определение всех обязанностей ответственных лиц и мероприятий по обеспечению непрерывности работы;

2) реализация процедур с целью возвращения к исходному режиму и восстановлению деловых операций и доступности информации в необходимое время;

3) эксплуатационные процедуры, которым надо следовать в ожидании завершения возвращения к исходному режиму и восстановления;

4) документация согласованных процедур и процессов;

5) испытание и обновление планов;

6) мероприятия перехода средств обработки информации в аварийный режим;

7) процедуры возобновления, описывающие действия, которые надлежит предпринять для возврата к штатной работе;

8) график обслуживания;

9) деятельность по повышению осведомленности, образованию и подготовке, которые предназначены для того, чтобы создать понимание процессов обеспечения непрерывности бизнеса и его последующей результативности.

20. При сбое в работе программного обеспечения, работники обслуживающей организации выясняют причину сбоя. Если не удалось исправить ошибку своими силами, в том числе после консультации с разработчиком программного обеспечения, разработчику направляются копия акта и сопроводительных материалов, а при необходимости и файлов.

21. При обнаружении компьютерного вируса пользователь обязан информировать ответственного за ИБ.

22. При обнаружении компьютерного вируса работник обслуживающей организации руководствуется Правилами организации антивирусного контроля, утвержденными приказом Исполняющий обязанности министра от 5 ноября 2018 года № 613.

23. При компрометации пароля необходимо действовать согласно Правилам организации процедуры аутентификации в Министерстве.

24. При выходе из строя сервера или сетевого оборудования ответственный работник обслуживающей организации за эксплуатацию, вышедшего из строя сервера или сетевого оборудования, должен:

1) уведомить руководство обслуживающей организации и ответственного за ИБ о возникшей ситуации и согласовать с ним последующие действия для ее устранения;

2) отключить пораженные компоненты сервера или сетевого оборудования;

3) принять меры по немедленному вводу в действие резервного сервера или сетевого оборудования для обеспечения непрерывной работы;

4) провести анализ на наличие потерь и (или) разрушения данных;

5) проверить работоспособность поврежденного оборудования;

6) восстановить работоспособность поврежденных компонентов или сервисов серверного или сетевого оборудования, а при необходимости восстановить программное обеспечение и данные из резервных копий с составлением акта.

25. В случае обнаружения потери или утечки информации на сервере или на компьютере пользователя, работники обслуживающей организации совместно с ответственным за ИБ проводят мероприятия по поиску и устранению причин потери информации (антивирусная проверка, проверка целостности и работоспособности средств вычислительной техники и т.п.), при необходимости, восстанавливается информация из резервных копий. Если утечка информации произошла по техническим причинам, проводится анализ защищенности информации, принимаются меры по устранению и предотвращению возникновения уязвимостей в средствах защиты информации.

26. При попытке несанкционированного доступа, зафиксированной средствами регистрации, проводится анализ информации в журналах регистрации и по результатам анализа, в случае реальной угрозы несанкционированного доступа, принимаются следующие меры по предотвращению несанкционированного доступа:

1) проводится внеплановая смена паролей;

2) устанавливаются обновления программных обеспечений, устраняющие уязвимости средств защиты информации.

27. При обнаружении несанкционированного доступа или взлома системы (веб-сервера, файл-сервера и других) принимаются следующие меры:

1) проводится временное отключение сервера от сети для проверки системы на вирусы. Временный переход на резервный сервер. В случае не обнаружения антивирусным программным обеспечением программных закладок, проверяется целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, проводится анализ журналов сервера и журналов средств защиты информации;

2) смена всех паролей, имеющих отношение к данному серверу;

3) по результатам анализа ситуации проверяется вероятность проникновения несанкционированных программ в локальные сети, устраняется уязвимости системы, в случае необходимости, изменяется настройки средств защиты информации, производится восстановление программного обеспечения и данных из эталонного архива и резервных копий с составлением акта;

4) проводятся работы по проверке и восстановлению программного обеспечения и данных на других серверах, при необходимости на компьютере пользователя.

28. При повреждении сетей телекоммуникационного комплекса:

1) определяется причина повреждения телекоммуникационного оборудования;

2) принимаются меры по восстановлению работоспособности сети передачи данных;

3) проводится анализ на возможность утечки и угрозы безопасности информации;

4) проводится проверка программного обеспечения на наличие вредоносных программ-закладок, целостность программного обеспечения и данных;

5) при необходимости принимают меры по восстановлению программного обеспечения и данных из резервных копий с составлением акта;

6) в случае подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование.

29. При нарушении подачи электроэнергии в здание ответственные работники обслуживающей организации:

1) при поступлении информации от дежурного электрика об отключении электроэнергии, на период более десяти минут, производят корректное отключение всех серверов и сетевого оборудования;

2) после подачи электроэнергии в здание проводится анализ на наличие потерь и (или) разрушения данных и программного обеспечения на сервере, а также проверяется работоспособность оборудования;

3) в случае необходимости, производят восстановление программного обеспечения и данных из последней резервной копии с составлением акта.

30. При возникновении стихийного природно-климатического воздействия (землетрясение, наводнение, ураганы, пожары и т.п.) работники обслуживающей организации, а также менеджеры информационных систем ответственные за резервное копирование информационных систем, должны обеспечить, по возможности, сохранение полной последней копии системы.