Методика оценки рисков информационной безопасности (приложение 1 к приказу и.о. Министра образования и науки Республики Казахстан от 5 ноября 2018 года № 613)

Корреспонденты на фрагмент
Поставить закладку
Посмотреть закладки
Добавить комментарий

Приложение 1

к приказу и.о. Министра

образования и науки

Республики Казахстан

от 5 ноября 2018 года № 613

Методика
оценки рисков информационной безопасности

Методика оценки рисков информационной безопасности (далее - Методика) Министерства образования и науки Республики Казахстан (далее - Министерство) предназначена для определения актуальности и экономической целесообразности используемых систем защиты информации, а также определения соответствия принимаемых мер по информационной безопасности к требованиям нормативно-технических документов в области информационной безопасности.

Анализ информационных рисков необходим для понимания видов угроз и уязвимости, прогнозирования их наступления и развития, выстраивания системы защиты и необходимого инвестирования на реализацию.

Риск - это вероятный ущерб, который может понести за собой раскрытие, модификацию, утрату или недоступность информации. Риск зависит от двух факторов - стоимости информации и защищенности информационной системы, в которой она обрабатывается.

Исходя из определения риска, для проведения анализа рисков нужны следующие данные об информационной системе:

1. Перечень ценной информации с указанием ее уровня критичности;

2. Сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.

Поставить закладку
Посмотреть закладки
Добавить комментарий

Этапы проведения анализа рисков

Алгоритм оценки рисков информационной безопасности (далее - ИБ) Министерства состоит из нескольких этапов (Рисунок № 1):

1. Определение типа актива;

2. Определение ценности активов (Обозначение - Si);

3. Определение угроз и соответствующих им уязвимостей, оценка вероятности реализации угроз (Обозначение - Vry);

4. Определение риска информационной безопасности (Обозначение - R);

5. Формирование планов по снижению риска ИБ.

Рисунок № 1 Схема алгоритма оценки рисков информационной безопасности.

Поставить закладку
Посмотреть закладки
Добавить комментарий

1. Этап определение типа актива

Активы информационных технологии (далее - ИТ) Министерства делятся на материальные (Обозначение Ат) и нематериальные (Обозначение Апт) активы (Рисунок № 1).

Виды материальных и нематериальных активах ИТ приведены в таблицах № 8 и № 9.

Сведения о материальных и не материальных активах ИТ должны актуализироваться в начале и в середине каждого года.

На данном этапе должны быть обеспечены следующие действия:

1. Служба бухгалтерского учета должны первого числа месяцев января и июня каждого года в течение 5 дней предоставлять службе информационной безопасности информацию по материальным и нематериальным активам ИТ согласно таблицам № 1 и № 2.

2. Основные подразделения Министерства, которые формируют либо контролируют ход формирования информационных данных, сведений в информационных системах Министерства должны первого числа месяцев января и июня каждого года в течение 5 дней предоставлять службе информационной безопасности информацию о нематериальных активах ИТ согласно таблице № 2.

Документ показан в сокращенном демонстрационном режиме

Чтобы продолжить, выберите ниже один из вариантов оплаты

Вы можете купить этот документ
Как купить документ?

Получить доступ

400 тг