Об утверждении Правил проведения мониторинга событий информационной безопасности объектов информатизации государственных органов
Об утверждении Правил проведения мониторинга событий информационной безопасности объектов информатизации государственных органов
В соответствии с подпунктом 5-1) статьи 7-1 Закона Республики Казахстан «Об информатизации» ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения «Институт законодательства и правовой информации Республики Казахстан» для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта приказа.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
«СОГЛАСОВАН»
Комитет национальной безопасности
Республики Казахстан
Утверждены
приказом Министра
цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
от 16 августа 2019 года № 199/НҚ
Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов
Глава 1. Общие положения
1. Настоящие Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов (далее - Правила) разработаны в соответствии с подпунктом 5-1) статьи 7-1 Закона Республики Казахстан «Об информатизации» (далее – Закон) и определяют порядок проведения мониторинга событий информационной безопасности объектов информатизации государственных органов.
2. В настоящих Правилах используются следующие понятия и определения:
1) объекты информатизации - электронные информационные ресурсы, программное обеспечение, интернет-ресурс и информационно-коммуникационная инфраструктура;
2) информационная безопасность в сфере информатизации (далее - информационная безопасность) - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
3) мониторинг событий информационной безопасности - постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;
4) событие информационной безопасности (далее - событие ИБ) - состояние объектов информатизации, свидетельствующее о возможном нарушении существующей политики безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности объекта информатизации;
5) инцидент информационной безопасности (далее - инцидент ИБ) - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;
6) государственная техническая служба (далее – АО «ГТС») – акционерное общество, созданное по решению Правительства Республики Казахстан;
7) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;
8) система сбора журналов регистрации событий – аппаратно-программный комплекс, обеспечивающий централизованный сбор журналов регистрации событий объектов информатизации, их хранение и дальнейшую передачу в систему управления событиями ИБ;
9) координатор информационной безопасности – работник АО «ГТС», располагающийся на постоянной основе в государственном органе и осуществляющий координацию мероприятий, направленных на поддержание состояния защищенности объектов информатизации государственных органов.
Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом.
3. Мониторинг событий информационной безопасности объектов информатизации государственных органов (далее – МСИБ) проводится АО «ГТС», реализующим задачи и функции Национального координационного центра информационной безопасности (далее – НКЦИБ).
4. Объектами МСИБ являются объекты информатизации государственного органа (далее – ГО).
5. К объектам МСИБ не относятся:
1) электронные информационные ресурсы, содержащие сведения, составляющие государственные секреты;
2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;
3) объекты информатизации Национального Банка Республики Казахстан, не интегрируемые с объектами информационно-коммуникационной инфраструктуры «электронного правительства».
6. В рамках МСИБ источниками событий ИБ являются:
средства защиты информации в информационно-коммуникационной инфраструктуре (далее – ИКИ) объектов МСИБ, в том числе, устанавливаемые и сопровождаемые АО «ГТС» (далее – источники событий ИБ);
система управления событиями ИБ НКЦИБ.
7. МСИБ включает в себя следующие виды работ:
1) установку источников событий ИБ в ИКИ объектов МСИБ;
2) техническое сопровождение источников событий ИБ в ИКИ объектов МСИБ;
3) отслеживание событий ИБ объектов МСИБ с целью обнаружения инцидентов ИБ и последующего на них реагирования.
8. МСИБ проводится по одному из следующих вариантов:
1) по одному виду работ;
2) по нескольким видам работ.
9. МСИБ проводится АО «ГТС» на основании договорных отношений между Комитетом национальной безопасности Республики Казахстан (далее – КНБ РК) и АО «ГТС», в отношении объектов МСИБ, расположенных на территории Республики Казахстан.
Глава 2. Порядок проведения мониторинга событий информационной безопасности объектов информатизации государственных органов
10. При проведении МСИБ АО «ГТС» осуществляет:
1) в рамках установки источников событий ИБ:
изучение ИКИ объектов МСИБ;
развертывание аппаратно-программного комплекса источников событий ИБ в ИКИ объектов МСИБ;
настройку отдельных механизмов функционирования и политик безопасности источников событий ИБ, а также проверку корректности их работы;
2) в рамках технического сопровождения источников событий ИБ:
установку обновлений источников событий ИБ по мере их выпуска производителем;
контроль состояния источников событий ИБ, их параметров и режимов защиты, в том числе устранение ошибок и недостатков в их функционировании;
отработку заявок от ГО по вопросам функционирования источников событий ИБ;
3) в рамках отслеживания событий ИБ объектов МСИБ, с целью обнаружения инцидентов ИБ и последующего на них реагирования:
определение перечня журналов регистрации событий, необходимых для передачи в систему управления событиями ИБ НКЦИБ;
организацию журналирования событий источников событий ИБ, сопровождаемых АО «ГТС»;
организацию систем сбора журналов регистрации событий НКЦИБ в контурах сетей телекоммуникаций ГО, в которых функционируют объекты МСИБ;
организацию сбора журналов регистрации событий объектов МСИБ и источников событий ИБ в систему сбора журналов регистрации событий НКЦИБ;
организацию передачи журналов регистрации событий объектов МСИБ и источников событий ИБ в систему управления событиями ИБ НКЦИБ их обработку и анализ с целью выявления событий ИБ и инцидентов ИБ;
первичный анализ событий ИБ или инцидентов ИБ, выявленных на объекте МСИБ;
уведомление ГО или уполномоченного им лица о выявленных событиях ИБ и инцидентах ИБ в течение 30 минут с момента выявления события ИБ или инцидента ИБ, КНБ РК – в течение 3 часов;
выдачу первичных рекомендаций по приостановлению распространения инцидента ИБ ГО или уполномоченному им лицу;
при наличии технической возможности принятие мер по приостановлению распространения инцидента ИБ посредством источников событий ИБ;
направление, при необходимости, к месту размещения объектов МСИБ работника АО «ГТС» в рамках реагирования на инцидент ИБ (необходимость определяется КНБ РК или АО «ГТС» самостоятельно);
уведомление уполномоченного органа в сфере обеспечения информационной безопасности (далее – уполномоченный орган) и КНБ РК о неустранении ГО или уполномоченным им лицом причин и последствий инцидента ИБ по истечении 48 часов с момента выявления инцидента ИБ.
11. Координатор информационной безопасности осуществляет:
изучение информационно-коммуникационной инфраструктуры ГО в целях формирования рекомендаций по повышению уровня защищенности ОИ ГО;
изучение технической документации по ИБ ГО в целях формирования рекомендаций по ее актуализации и пересмотра требований технической документации;
координирование мероприятий по реагированию на инциденты ИБ, выявленных в информационно-коммуникационной инфраструктуре ГО;
содействие в реагировании на инциденты ИБ посредством средств защиты информации, установленных работниками АО «ГТС» (при технической возможности);
содействие в проведении мероприятий по повышению осведомленности в сфере ИБ у работников ГО.
12. ГО или уполномоченное им лицо при проведении МСИБ:
предоставляют физический и сетевой доступ сотрудникам АО «ГТС» к информационно-коммуникационной инфраструктуре ГО и учетные записи с необходимыми правами для установки и сопровождения средств защиты информации;
предоставляют АО «ГТС» IP-адреса в контурах сетей телекоммуникаций для организации передачи журналов регистрации событий объектов МСИБ и источников событий ИБ в систему управления событиями ИБ НКЦИБ;
на ежеквартальной основе предоставляют АО «ГТС» актуальные сведения, согласно приложению, к настоящим Правилам;
осуществляют обновление до актуальных версий пользовательских и серверных операционных систем;
оповещают АО «ГТС» о результатах анализа события ИБ и (или) о мерах, принятых по устранению инцидента ИБ, в течение 48 часов с момента получения уведомления от АО «ГТС» о выявлении события ИБ или инцидента ИБ соответственно.
13. АО «ГТС», согласно договорам, на оказание услуг МСИБ, ежеквартально направляет в КНБ РК сводную информацию по выявленным угрозам ИБ, событиям ИБ и инцидентам ИБ, а также сведения о принятых ГО мерах по ним.
14. КНБ РК ежеквартально направляет в уполномоченный орган сводную информацию по выявленным инцидентам ИБ, а также сведения о принятых ГО мерах по ним.
Приложение к Правилам
проведения мониторинга событий
информационной безопасности
объектов информатизации
государственных органов
№
Наименование государственного органа
Структурное подразделение (департамент)
Физическое месторасположение (этаж, кабинет)
ФИО пользователя/ответственного лица
Сетевое имя рабочей станции/серверного оборудования
IP-адрес
Наименование операционной системы
1
2
3
4
5
6
7
8
Локальная сеть внутреннего контура
Локальная сеть внешнего контура