В соответствии с пунктом 9 постановления Правительства Республики Казахстан от 9 августа 2018 года № 488 «Об утверждении Национального антикризисного плана реагирования на инциденты информационной безопасности» ПРИКАЗЫВАЮ:
Об утверждении плана реагирования на инциденты информационной безопасности Министерства образования и науки Республики Казахстан Приказ Министра образования и науки Республики Казахстан от 9 августа 2019 года № 355
1. Утвердить прилагаемый план реагирования Министерства образования и науки Республики Казахстан реагирования на инциденты информационной безопасности.
2. Контроль за исполнением настоящего приказа возложить на вице-министра образования и науки Республики Казахстан Биғари Р.А.
3. Настоящий приказ вступает в силу со дня его подписания.
Министр А. Аймагамбетов
УТВЕРЖДЕН приказом Министра образования и науки Республики Казахстан от 9 августа 2019 года № 355
План реагирования на инциденты информационной безопасности Министерства образования и науки Республики Казахстан
Глава 1. Общие положения
1. Настоящий План реагирования на инциденты информационной безопасности Министерства образования и науки Республики Казахстан (далее - План) разработан в соответствии с пунктом 8 Национального антикризисного плана реагирования на инциденты информационной безопасности, утвержденного постановлением Правительства Республики Казахстан от 9 августа 2018 года № 488 и предусматривает меры действий по обработке угроз (рисков) информационной безопасности, обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации.
2. В настоящем плане используются следующие понятия и определения:
1) обслуживающая организация - организация, предоставляющая услуги согласно договору на оказание услуг;
2) объекты информационно-коммуникационной инфраструктуры (далее - объекты ИКИ) - информационные системы, технологические платформы, аппаратно-программные комплексы, сети телекоммуникаций, а также системы обеспечения бесперебойного функционирования технических средств и информационной безопасности;
3) инцидент информационной безопасности (далее - инцидент ИБ) - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;
4) кризисная ситуация в сфере информационной безопасности - инцидент ИБ или реальные предпосылки к его возникновению на объектах информационно-коммуникационной инфраструктуры, которые могут привести к невозможности или ограничению предоставления государственных услуг, чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства, инфраструктуры Республики Казахстан или для жизнедеятельности населения, проживающего на соответствующей территории;
5) национальный координационный центр информационной безопасности (далее - НКЦИБ) - структурное подразделение республиканского государственного предприятия на праве хозяйственного ведения «Государственная техническая служба» Комитета национальной безопасности Республики Казахстан;
6) оперативный центр информационной безопасности (далее - ОЦИБ) - юридическое лицо или структурное подразделение юридического лица, осуществляющее деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации.
Глава 2. Организация и проведение мероприятий по недопущению возникновения кризисной ситуации информационной безопасности
3. Министерство образования и науки Республики Казахстан (далее - Министерство) для повышения уровня защищенности электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры руководствуется Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее - Единые требования), а также иными нормативными правовыми актами, регламентирующими сферу информационной безопасности.
4. В соответствие с Едиными требованиями в Министерстве разработана Политика информационной безопасности и утверждена приказом и.о. Министра образования и науки Республики Казахстан от 5 ноября 2018 года № 613.
5. Сотрудниками управления ИБ, ответственным за информационную безопасность (далее - ответственный за ИБ) на постоянной основе ведется ознакомление сотрудников Министерства с действующими требованиями по информационной безопасности. Проводится инструктаж вновь принятых сотрудников.
6. В целях обеспечения непрерывности работы и устойчивости объектов информатизации Министерства к внешним изменениям на постоянной основе ведется мониторинг состояния информационных активов, анализ журналов событий ИКИ, резервирование конфигураций серверов и информационных ресурсов информационных систем, актуализация антивирусных баз.
7. Во избежание возникновения кризисной ситуации информационной безопасности ежегодно проводится аудит информационной безопасности и ежемесячно проводится анализ состояния защищенности ИКИ, по итогам которых, вырабатываются меры для повышения уровня защищенности ИКИ.
Глава 3. Сбор и анализ данных о состоянии информационной безопасности в ИКИ и меры сохранения цифровых следов инцидентов ИБ
8. Создан Центр мониторинга и управления инцидентами ИБ (далее - Центр мониторинга), внедрена Система сбора и анализа событий журналов ИКИ в Министерстве, Система управления инцидентами ИБ.
9. Центр мониторинга осуществляет мониторинг состояния ИКИ в реальном времени.
10. Централизованный сбор журналов событий ИКИ обеспечивается Системой сбора и анализа событий журналов ИКИ в Министерстве. Посредством данной системы проводится анализ событий, в ходе которого выявляются инциденты ИБ.
11. При выявлении инцидента ИБ его данные поступают в Систему управления инцидентами ИБ.
12. Работники обслуживающей организации обеспечивают регистрацию и обработку инцидента ИБ, при необходимости ликвидацию его последствий, установление причин возникновения инцидента ИБ и вырабатывают соответствующие рекомендации, при необходимости проводят восстановление данных из резервных копий.
13. Запись журналов регистрации событий ИКИ Министерстве осуществляется в соответствии с приложением 3 Правил проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденных приказом Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ (далее - Правила мониторинга).
14. Обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Системные администраторы не имеют полномочий на изменение, удаление и отключение журналов.
Глава 4. Взаимодействие с ОЦИБ, НКЦИБ и информирование заинтересованных субъектов системы по вопросам обнаруженных инцидентов ИБ и их устранению
15. При обнаружении инцидента ИБ работники обслуживающей организации незамедлительно информируют ответственного за ИБ.
16. Работники обслуживающей организации взаимодействуют с НКЦИБ посредством круглосуточного call-центра 1400, а также в течение 24 часов с момента обнаружения инцидента ИБ предоставляют перечень данных об инциденте ИБ согласно приложению 4 Правил мониторинга. Ответственный за ИБ информирует руководство Министерства о произошедшем инциденте ИБ, о его последствиях и методов ликвидации.
Глава 5. Поддерживающие меры обеспечения непрерывности работы и устойчивости к внешним изменениям
17. Работником обслуживающей организации составляется перечень всех активов вовлеченных в процесс работы объектов информатизации с указанием ответственных лиц обслуживающей организации за функционирование того или иного актива, для определения их действий в случае выхода из строя актива.
18. Работником обслуживающей организации, ответственным за сопровождение ИКИ, на основе перечня активов составляется План обеспечения непрерывности работы активов, связанных со средствами обработки информации (далее - План непрерывности работы), который актуализируется по мере изменения активов или выявления дополнительных рисков.
19. В Плане непрерывности работы отражаются следующие вопросы:
1) определение всех обязанностей ответственных лиц и мероприятий по обеспечению непрерывности работы;
2) реализация процедур с целью возвращения к исходному режиму и восстановлению деловых операций и доступности информации в необходимое время;
3) эксплуатационные процедуры, которым надо следовать в ожидании завершения возвращения к исходному режиму и восстановления;
4) документация согласованных процедур и процессов;
5) испытание и обновление планов;
6) мероприятия перехода средств обработки информации в аварийный режим;
7) процедуры возобновления, описывающие действия, которые надлежит предпринять для возврата к штатной работе;
8) график обслуживания;
9) деятельность по повышению осведомленности, образованию и подготовке, которые предназначены для того, чтобы создать понимание процессов обеспечения непрерывности бизнеса и его последующей результативности.
Глава 6. Порядок действий при установлении причин возникновения инцидентов ИБ, ликвидации их последствий и процедура восстановления
20. При сбое в работе программного обеспечения, работники обслуживающей организации выясняют причину сбоя. Если не удалось исправить ошибку своими силами, в том числе после консультации с разработчиком программного обеспечения, разработчику направляются копия акта и сопроводительных материалов, а при необходимости и файлов.
21. При обнаружении компьютерного вируса пользователь обязан информировать ответственного за ИБ.
22. При обнаружении компьютерного вируса работник обслуживающей организации руководствуется Правилами организации антивирусного контроля, утвержденными приказом Исполняющий обязанности министра от 5 ноября 2018 года № 613.
23. При компрометации пароля необходимо действовать согласно Правилам организации процедуры аутентификации в Министерстве.
24. При выходе из строя сервера или сетевого оборудования ответственный работник обслуживающей организации за эксплуатацию, вышедшего из строя сервера или сетевого оборудования, должен:
1) уведомить руководство обслуживающей организации и ответственного за ИБ о возникшей ситуации и согласовать с ним последующие действия для ее устранения;
2) отключить пораженные компоненты сервера или сетевого оборудования;
3) принять меры по немедленному вводу в действие резервного сервера или сетевого оборудования для обеспечения непрерывной работы;
4) провести анализ на наличие потерь и (или) разрушения данных;
5) проверить работоспособность поврежденного оборудования;
6) восстановить работоспособность поврежденных компонентов или сервисов серверного или сетевого оборудования, а при необходимости восстановить программное обеспечение и данные из резервных копий с составлением акта.
25. В случае обнаружения потери или утечки информации на сервере или на компьютере пользователя, работники обслуживающей организации совместно с ответственным за ИБ проводят мероприятия по поиску и устранению причин потери информации (антивирусная проверка, проверка целостности и работоспособности средств вычислительной техники и т.п.), при необходимости, восстанавливается информация из резервных копий. Если утечка информации произошла по техническим причинам, проводится анализ защищенности информации, принимаются меры по устранению и предотвращению возникновения уязвимостей в средствах защиты информации.
26. При попытке несанкционированного доступа, зафиксированной средствами регистрации, проводится анализ информации в журналах регистрации и по результатам анализа, в случае реальной угрозы несанкционированного доступа, принимаются следующие меры по предотвращению несанкционированного доступа:
1) проводится внеплановая смена паролей;
2) устанавливаются обновления программных обеспечений, устраняющие уязвимости средств защиты информации.
27. При обнаружении несанкционированного доступа или взлома системы (веб-сервера, файл-сервера и других) принимаются следующие меры:
1) проводится временное отключение сервера от сети для проверки системы на вирусы. Временный переход на резервный сервер. В случае не обнаружения антивирусным программным обеспечением программных закладок, проверяется целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, проводится анализ журналов сервера и журналов средств защиты информации;
2) смена всех паролей, имеющих отношение к данному серверу;
3) по результатам анализа ситуации проверяется вероятность проникновения несанкционированных программ в локальные сети, устраняется уязвимости системы, в случае необходимости, изменяется настройки средств защиты информации, производится восстановление программного обеспечения и данных из эталонного архива и резервных копий с составлением акта;
4) проводятся работы по проверке и восстановлению программного обеспечения и данных на других серверах, при необходимости на компьютере пользователя.
28. При повреждении сетей телекоммуникационного комплекса:
1) определяется причина повреждения телекоммуникационного оборудования;
2) принимаются меры по восстановлению работоспособности сети передачи данных;
3) проводится анализ на возможность утечки и угрозы безопасности информации;
4) проводится проверка программного обеспечения на наличие вредоносных программ-закладок, целостность программного обеспечения и данных;
5) при необходимости принимают меры по восстановлению программного обеспечения и данных из резервных копий с составлением акта;
6) в случае подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование.
29. При нарушении подачи электроэнергии в здание ответственные работники обслуживающей организации:
1) при поступлении информации от дежурного электрика об отключении электроэнергии, на период более десяти минут, производят корректное отключение всех серверов и сетевого оборудования;
2) после подачи электроэнергии в здание проводится анализ на наличие потерь и (или) разрушения данных и программного обеспечения на сервере, а также проверяется работоспособность оборудования;
3) в случае необходимости, производят восстановление программного обеспечения и данных из последней резервной копии с составлением акта.
30. При возникновении стихийного природно-климатического воздействия (землетрясение, наводнение, ураганы, пожары и т.п.) работники обслуживающей организации, а также менеджеры информационных систем ответственные за резервное копирование информационных систем, должны обеспечить, по возможности, сохранение полной последней копии системы.
Полная версия