(СТАРАЯ РЕДАКЦИЯ) ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РЕСПУБЛИКИ КАЗАХСТАН ОТ 2...

Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832
Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

Данная редакция действовала до внесения изменений от 18 июня 2018 года

В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее - единые требования).

2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению.

3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Пункт 140 единых требований действует до 1 января 2018 года.

Утверждены

постановлением Правительства

Республики Казахстан

от 20 декабря 2016 года № 832

Единые требования
в области информационно-коммуникационных технологий и обеспечения информационной безопасности

Глава 1. Общие положения

1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее - ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» (далее - Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности.

2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

См.: Правила проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

3. Положения ЕТ не распространяются на:

1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры «электронного правительства», локальных сетей и сетей телекоммуникаций, а также при проведении закупок товаров, работ и услуг в сфере информатизации;

2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи.

4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

5. Задачами ЕТ являются:

1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления;

2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации «электронного правительства»;

3) установление требований по унификации элементов информационно-коммуникационной инфраструктуры;

4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений;

5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации;

6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры.

6. Для целей настоящих ЕТ в них используются следующие определения:

1) маркировка актива, связанного со средствами обработки информации, - нанесение условных знаков, букв, цифр, графических знаков или надписей на актив, с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;

2) средство криптографической защиты информации (далее - СКЗИ) - программное обеспечение или аппаратно-программный комплекс, реализующее алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;

3) активы, связанные со средствами обработки информации, (далее - актив) - материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеющий ценность для организации в интересах достижения целей и непрерывности ее деятельности;

4) техническая документация по информационной безопасности (далее - ТД ИБ) - документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации;

5) программный робот - программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и/или по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным в веб-страницах;

6) не нагруженное (холодное) резервирование оборудования - использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса;

7) нагруженное (горячее) резервирование оборудования - использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса;

8) рабочая станция - стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач;

9) системное программное обеспечение - совокупность программного обеспечения для обеспечения работы вычислительного оборудования;

10) кодированная связь - защищенная связь с использованием документов и техники кодирования;

11) многофакторная аутентификация - способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

12) прикладное программное обеспечение (далее - ППО) - комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;

13) засекреченная связь - защищенная связь с использованием засекречивающей аппаратуры;

14) масштабируемость - способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;

15) журналирование событий - процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;

16) серверное помещение - помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;

17) локальная сеть внешнего контура (далее - ЛС внешнего контура) - локальная сеть ГО, отнесенная к внешнему контуру телекоммуникационной сети ГО, имеющая соединение с Интернетом, доступ к которому для ГО предоставляется операторами связи только через единый шлюз доступа к Интернету;

18) терминальная система - тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами-тонкими клиентами в клиент-серверной архитектуре;

19) инфраструктура источника времени - иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;

20) правительственная связь - специальная защищенная связь для нужд государственного управления;

21) федеративная идентификация - комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения;

22) шифрованная связь - защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники;

23) локальная сеть внутреннего контура (далее - ЛС внутреннего контура) - локальная сеть ГО, отнесенная к внутреннему контуру телекоммуникационной сети ГО, имеющая соединение с единой транспортной средой государственных органов;

24) внешний шлюз «электронного правительства» (далее - ВШЭП) - подсистема шлюза «электронного правительства», предназначенная для обеспечения взаимодействия информационных систем, находящихся в ЕТС ГО с информационными системами, находящимися вне ЕТС ГО;

25) внутренний аудит информационной безопасности - объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах.

7. Для целей настоящих ЕТ в них используются следующие сокращения:

1) АПК - аппаратно-программный комплекс;

2) ИБ - информационная безопасность;

3) ИС - информационная система;

4) ИКИ - информационно-коммуникационная инфраструктура;

5) ИКТ - информационно-коммуникационные технологии;

6) ПО - программное обеспечение;

7) МИО - местные исполнительные органы;

8) СПО - свободное программное обеспечение;

9) ЕШДИ - единый шлюз доступа к Интернету;

10) ИР - интернет-ресурс;

11) ГО - центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориальные подразделения ведомства центрального исполнительного органа;

12) ЕТС ГО - единая транспортная среда государственных органов;

13) ЕПИР ГО - единая платформа интернет-ресурсов государственных органов;

14) СПП - сервисный программный продукт;

15) ЭИР - электронные информационные ресурсы;

16) ИКП ЭП - информационно-коммуникационная платформа «электронного правительства»;

17) ЭЦП - электронная цифровая подпись.

Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью

Параграф 1. Требования к информатизации государственного органа

8. Информатизация ГО осуществляется в соответствии с архитектурой ГО, разрабатываемой и утверждаемой в порядке, предусмотренном статьями 23 и 24 Закона, а в случае ее отсутствия - в соответствии с положительным заключением экспертного совета в сфере информатизации, вынесенным по итогам рассмотрения запроса ГО о потребностях, связанных с автоматизацией и оптимизацией деятельности ГО.

9. ГО обеспечивает:

1) планирование затрат на информатизацию в соответствии с утвержденной архитектурой ГО, а в случае ее отсутствия - согласно решениям экспертного совета в сфере информатизации;

2) автоматизацию государственных функций и оказание вытекающих из них государственных услуг с соблюдением требований настоящих ЕТ;

3) размещение сведений об объектах информатизации, планах, процессах и бюджете в области информатизации на архитектурном портале «электронного правительства» в соответствии с правилами регистрации информационных систем государственных органов, учета сведений об объектах информатизации «электронного правительства» и размещения электронных копий технической документации объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 30) статьи 7 Закона.

10. Развитие архитектуры «электронного правительства» осуществляется в соответствии с требованиями по развитию архитектуры «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 10) статьи 7 Закона.

11. При разработке типовой архитектуры «электронного акимата», утверждаемой в соответствии с подпунктом 18) статьи 7 Закона в части описания требований к информационно-коммуникационной инфраструктуре, МИО учитываются требования настоящих ЕТ.

12. При реализации сервисной модели информатизации в ГО и МИО руководствуются нормами правил реализации сервисной модели информатизации, требованиями по развитию архитектуры «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктами 4) и 10) статьи 7 Закона и требованиями настоящих ЕТ.

13. Обеспечение ГО и МИО товарами, работами, услугами в сфере информатизации осуществляется путем:

1) закупа, при наличии положительного заключения экспертного совета в сфере информатизации;

2) приобретения информационно-коммуникационной услуги из каталога ИК-услуг оператора ИК-инфраструктуры.

14. Реализацию задач в сфере информатизации в ГО или МИО обеспечивает подразделение информационных технологий, осуществляющее:

1) мониторинг и анализ применения ИКТ;

2) участие в мероприятиях по учету и анализу использования ИКТ-активов;

3) выработку предложений в стратегический план ГО по вопросам информатизации;

4) координацию работ по созданию, сопровождению и развитию объектов информатизации «электронного правительства»;

5) контроль за обеспечением поставщиками предусмотренного договорами уровня качества оказываемых услуг в сфере информатизации;

6) регистрацию ИС ГО или МИО на архитектурном портале «электронного правительства»;

7) размещение, актуализацию и контроль за сохранностью на архитектурном портале «электронного правительства» сведений об объектах информатизации ГО или МИО, эталонных копий ПО, исходных программных кодов (при их наличии), комплекса настроек лицензионного ПО, электронных копий технической документации объектов информатизации «электронного правительства»;

8) взаимодействие с сервисным интегратором, оператором, ГО, МИО и организациями в части реализации проектов в сфере информатизации при создании архитектуры ГО и реализации сервисной модели информатизации;

9) реализацию требований по ИБ.

15. Рабочее пространство в ГО и МИО организуется в соответствии с санитарно-эпидемиологическими требованиями к содержанию и эксплуатации жилых и других помещений, общественных зданий, утвержденными уполномоченным органом в сфере защиты прав потребителей и санитарно-эпидемиологического благополучия населения в соответствии с пунктом 6 статьи 144 Кодекса Республики Казахстан от 18 сентября 2009 года «О здоровье народа и системе здравоохранения».

16. Рабочее место служащего ГО и МИО оснащается с учетом его функциональных обязанностей и включает:

1) рабочую станцию или унифицированное рабочее место или терминальную систему с подключением к ЛС внутреннего контура ГО или МИО. Допускается оснащение рабочего места дополнительным монитором при необходимости;

2) комплект мультимедийного оборудования (наушники, микрофон и веб-камера) для работы с мультимедийными ЭИР или системой видеоконференц-связи при необходимости;

3) аппарат телефонной связи или IP-телефонии.

17. Требования к унифицированному рабочему месту или терминальной системе ГО и МИО утверждаются уполномоченным органом.

18. При выборе закупаемых моделей рабочих станций необходимо руководствоваться следующими положениями:

1) аппаратные характеристики рабочих станций соответствуют либо превосходят системные требования, рекомендуемые разработчиком (производителем) используемого ПО;

2) для обеспечения общего уровня услуг унифицируются конфигурации рабочих станций;

3) для рабочих станций организуется централизованное автоматизированное распространение обновлений ПО;

4) для повышения качества и скорости администрирования количество различных аппаратно-программных конфигураций рабочих станций ограничивается тремя типами:

рабочая станция для работы с прикладным ПО;

рабочая станция повышенной мощности для работы с графическими пакетами, пакетами ПО моделирования и прочими. Используется для приложений с развитой графикой, высокими требованиями к производительности процессора, объемам оперативной памяти и видеоподсистем;

ноутбук для работы мобильных пользователей.

19. Для спецификации технических требований выделяются следующие ключевые параметры рабочих станций:

1) производительность, включающая в себя:

параметры быстродействия процессора;

необходимый объем оперативной памяти;

скорости внутренних шин передачи данных;

быстродействие графической подсистемы;

быстродействие устройств ввода/вывода;

параметры матрицы монитора;

2) надежность, обеспечиваемая за счет использования отказоустойчивых аппаратных средств и ПО, и определяется исходя из среднего времени безотказной работы;

3) масштабируемость, обеспечиваемая архитектурой и конструкцией персонального компьютера за счет возможности наращивания:

числа и производительности процессоров;

объемов оперативной и внешней памяти;

емкости встроенных накопителей.

20. Для обеспечения ИБ:

1) в ТД ИБ определяются:

способы размещения рабочих станций служащих ГО или МИО;

способы защиты рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;

процедуры и периодичность технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности;

способы защиты рабочих станций мобильных пользователей, находящихся за пределами ГО или МИО, с учетом различных внешних рисков;

способы гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации;

правила выноса рабочих станций за пределы рабочего места;

2) на регулярной основе проводится учет рабочих станций с проверкой конфигураций;

3) установка и применение на рабочих станциях программных или аппаратных средств удаленного управления извне ЛС внутреннего контура исключается. Удаленное управление внутри ЛС внутреннего контура допускается в случаях, прямо предусмотренных в правовом акте ГО или МИО;

4) неиспользуемые порты ввода-вывода рабочих станций и мобильных компьютеров служащих ГО и МИО отключаются или блокируются, за исключением рабочих станций служащих подразделения ИБ.

21. Вопрос операций ввода-вывода с применением внешних электронных носителей информации на рабочих станциях служащих ГО и МИО регулируется в соответствии с политикой ИБ, принятой в ГО или МИО.

22. Для оптимизации размещения оборудования на рабочем месте служащего ГО и МИО допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов.

23. Для использования сервисов ИКП ЭП рабочая станция, подключенная к ЛС внутреннего контура ГО или МИО, обеспечивается сетевым подключением к инфраструктуре ИКП ЭП.

24. Обработка и хранение служебной информации ГО и МИО осуществляются на рабочих станциях, подключенных к ЛС внутреннего контура ГО или МИО и не имеющих подключения к Интернету.

25. Доступ к Интернету служащим ГО и МИО предоставляется с рабочих станций, подключенных к ЛС внешнего контура ГО и МИО, размещенных за пределами режимных помещений, определяемых в соответствии с Инструкцией по обеспечению режима секретности в Республике Казахстан.

26. Сервис телефонной связи:

1) реализуется как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии;

2) обеспечивает коммутацию пользователя с абонентами телефонных сетей по следующим каналам:

использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных;

использование услуг связи оператора телефонной связи общего пользования по потоку Е1;

использование операторов сотовой связи;

использование услуг междугородних и международных вызовов.

27. Для проведения конференций, презентаций, совещаний, телемостов конференцзал ГО и МИО оснащается:

1) конференцсистемой звукового усиления, включающей размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника;

2) устройством ввода-вывода информации.

Для организации «телемоста» с географически распределенными участниками, находящимися в других городах или странах, конференцсистема по необходимости дополняется системой аудио- и видеоконференцсвязи оператора ИКИ ЭП.

28. Сервис печати:

1) реализуется посредством печатающего, копирующего и сканирующего оборудования, подключенного к локальной сети внутреннего контура ГО с использованием сетевого интерфейса либо прямого подключения к серверу печати;

2) обеспечивается программным обеспечением, реализующим:

централизованное управление пользователями и устройствами;

учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями;

систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования;

идентификацию пользователя до начала использования сервиса печати;

авторизацию служащего ГО на устройстве печати способами, регламентированными в ТД ИБ;

формирование очереди печати, осуществляющей печать посредством единой очереди печати с возможностью получения распечатанных документов на доступном устройстве печати.

Параграф 2. Требования к организации информационной безопасности

29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ИСО/МЭК 27002-2009 «Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации».

30. В целях разграничения ответственности и функций в сфере обеспечения ИБ подразделение ИБ, являющееся структурным подразделением ГО или МИО, обособленное от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, осуществляет:

1) контроль исполнения требований ТД ИБ;

2) контроль за документальным оформлением ИБ;

3) контроль за управлением активами в части обеспечения ИБ;

4) контроль правомерности использования ПО;

5) контроль за управлением рисками в сфере ИКТ;

6) контроль за регистрацией событий ИБ;

7) проведение внутреннего аудита ИБ;

8) контроль за организацией внешнего аудита ИБ;

9) контроль за обеспечением непрерывности бизнес-процессов, использующих ИКТ;

10) контроль соблюдения требований ИБ при управлении персоналом;

11) контроль за состоянием ИБ объекта информатизации «электронного правительства».

31. ТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО, МИО или организация в своей деятельности.

ТД ИБ утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.

ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.

32. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.

33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:

1) методика оценки рисков информационной безопасности;

2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;

3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

5) правила проведения внутреннего аудита ИБ;

6) правила использования средств криптографической защиты информации;

7) правила разграничения прав доступа к электронным информационным ресурсам;

8) правила использования Интернет и электронной почты;

9) правила организации процедуры аутентификации;

10) правила организации антивирусного контроля;

11) правила использования мобильных устройств и носителей информации;

12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.

34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:

1) каталог угроз (рисков) ИБ;

2) план обработки угроз (рисков) ИБ;

3) регламент резервного копирования и восстановления информации;

4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

5) руководство администратора по сопровождению объекта информатизации;

6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:

1) журнал регистрации инцидентов ИБ;

2) журнал учета внештатных ситуаций;

3) журнал посещения серверных помещений;

4) отчет о проведении оценки уязвимости сетевых ресурсов;

5) журнал регистрации и устранения уязвимостей ПО;

6) журнал учета кабельных соединений;

7) журнал учета резервных копий;

8) журнал учета тестирования резервных копий;

9) журнал учета изменений конфигурации оборудования;

10) журнал тестирования и учета изменений СПО и ППО ИС;

11) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;

12) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.

Требования по содержанию документов третьего и четвертого уровней предусматриваются к ГО и МИО с 1 января 2017 года.

36. Для обеспечения защиты активов проводятся:

1) инвентаризация активов;

2) классификация и маркировка активов в соответствии с системой классификации, принятой в ГО, МИО;

3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов;

4) регламентация в ТД ИБ порядка:

использования и возврата активов;

идентификации, классификации и маркировки активов.

37. С целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:

1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2010 «Менеджмент риска. Методы оценки риска» и разработка процедуры анализа рисков;

2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая:

выявление угроз ИБ и их источников;

выявление уязвимостей, которые могут привести к реализации угроз;

определение каналов утечки информации;

формирование модели нарушителя;

3) выбор критериев принятия идентифицированных рисков;

4) формирование каталога угроз (рисков) ИБ, включающее:

оценку (переоценку) рисков идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК 13335-2008 «Информационная технология. Методы и средства обеспечения безопасности. Управление защитой информационных и коммуникационных технологий»;

определение потенциального ущерба;

5) разработка и утверждение плана обработки угроз (рисков) ИБ, содержащего мероприятия по их нейтрализации или снижению.

38. С целью контроля событий нарушений ИБ в ГО, МИО или организации:

1) проводится мониторинг событий, связанных с нарушением ИБ, и анализ результатов мониторинга;

2) регистрируются события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:

журналов событий операционных систем;

журналов событий систем управления базами данных;

журналов событий антивирусной защиты;

журналов событий прикладного ПО;

журналов событий телекоммуникационного оборудования;

журналов событий систем обнаружения и предотвращения атак;

журналов событий системы управления контентом;

3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени;

4) журналы регистрации событий хранятся в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее трех месяцев;

5) ведутся журналы регистрации событий создаваемого ПО в соответствии с форматами и типами записей, определенными в Правилах проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом;

6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;

7) обеспечивается внедрение формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ.

39. С целью защиты критически важных процессов ГО, МИО или организации от внутренних и внешних угроз:

1) разрабатывается, тестируется и реализуется план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

2) доводится до сведения служащих ГО, МИО или работников организации инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, подлежит регулярной актуализации.

40. Функциональные обязанности по обеспечению ИБ и обязательства по исполнению требований ТД ИБ служащих ГО, МИО или работников организации вносятся в должностные инструкции и (или) условия трудового договора.

Обязательства в области обеспечения ИБ, имеющие силу после прекращения действий трудового договора, закрепляются в трудовом договоре служащих ГО, МИО или работников организации.

41. В случае привлечения сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ, их собственник или владелец заключает соглашения, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение.

42. В ТД ИБ определяется содержание процедур при увольнении служащих ГО, МИО или работников организации, имеющих обязательства в области обеспечения ИБ.

43. При увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации:

включают физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации;

аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора.

44. Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ.

45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона (далее - классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ГОСТ Р ИСО/МЭК 15408-2004 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

46. В целях обеспечения ИБ при эксплуатации объектов информатизации устанавливаются требования к:

1) способам идентификации;

2) применяемым СКЗИ;

3) способам обеспечения доступности и отказоустойчивости;

4) мониторингу обеспечения ИБ, защиты и безопасного функционирования;

5) применению средств и систем обеспечения ИБ;

6) регистрационным свидетельствам удостоверяющих центров.

47. С целью идентификации при доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием ЭЦП.

48. C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» для объектов информатизации:

первого класса в соответствии с классификатором - третьего уровня безопасности;

второго класса в соответствии с классификатором - второго уровня безопасности;

третьего класса в соответствии с классификатором - первого уровня безопасности.

49. Для обеспечения доступности и отказоустойчивости владельцами объектов информатизации ЭП обеспечиваются:

1) наличие резервного собственного или арендованного серверного помещения для объектов информатизации ЭП первого и второго классов в соответствии с классификатором;

2) резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных, в том числе для объектов информатизации ЭП:

первого класса в соответствии с классификатором - нагруженное (горячее) в резервном серверном помещении;

второго класса в соответствии с классификатором - не нагруженное (холодное) в резервном серверном помещении;

третьего класса в соответствии с классификатором - хранение на складе в непосредственной близости от основного серверного помещения.

50. Объекты информатизации ЭП первого и второго классов в соответствии с классификатором подключаются к системе мониторинга обеспечения ИБ, защиты и безопасного функционирования не позднее одного года после их введения в промышленную эксплуатацию.

51. ГО, МИО осуществляют мониторинг:

действий пользователей и персонала;

использования средств обработки информации.

52. В ГО, МИО в рамках осуществления мониторинга действий пользователей и персонала:

1) при выявлении аномальной активности и злоумышленных действий пользователей эти действия:

регистрируются, блокируются и оперативно оповещается администратор для объектов информатизации ЭП первого класса в соответствии с классификатором;