Оглавление

О Плане мероприятий по реализации поручений Президента Республики Казахстан Назарбаева Н.А., данных на XIX сессии Ассамблеи народа Казахстана

Распоряжение Государственного секретаря Республики Казахстан от 18 мая 2012 года № 2

Действующий

      В соответствии с подпунктом 21) пункта 12 Положения о Канцелярии Премьер-Министра Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 11 сентября 2002 года № 993, ПРИКАЗЫВАЮ:
      1. Утвердить прилагаемую Инструкцию по проведению проверок состояния защищенности информационных сетей и ресурсов государственных органов и организаций Республики Казахстан.
      2. Отделу по защите государственных секретов Канцелярии Премьер-Министра Республики Казахстан (Толымбеков М.И.) в установленном законодательством порядке обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан.
      3. Контроль за исполнением настоящего приказа возложить на заведующего Отделом по защите государственных секретов Канцелярии Премьер-Министра Республики Казахстан Толымбекова М.И.
      4. Настоящий приказ вводится в действие со дня государственной регистрации в Министерстве юстиции Республики Казахстан.

      Руководитель Канцелярии                    Е. Кошанов

СОГЛАСОВАНО
Генеральный прокурор
Республики Казахстан
_______ А. Даулбаев
14 мая 2012 года

СОГЛАСОВАНО
Председатель Комитета
национальной безопасности
Республики Казахстан
__________ Н. Абыкаев
14 мая 2012 года

СОГЛАСОВАНО
Министр финансов
Республики Казахстан
________ Б. Жамишев
15 мая 2012 года

СОГЛАСОВАНО
Министр транспорта и
коммуникации
Республики Казахстан
_________ А. Жумагалиев
15 мая 2012 года

Утверждена            
приказом Руководителя     
Канцелярии Премьер-Министра 
Республики Казахстан     
от 21 мая 2012 года № 25-1-50 

Инструкция
по проведению проверок состояния защищенности информационных
сетей и ресурсов государственных органов и организаций Республики Казахстан

      Настоящая Инструкция по проведению проверок состояния защищенности информационных сетей и ресурсов государственных органов и организаций Республики Казахстан (далее - Инструкция) разработана в соответствии с законами Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан» от 6 января 2011 года, «Об информатизации» от 11 января 2007 года, «О техническом регулировании» от 9 ноября 2004 года, Правилами проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, утвержденных постановлением Правительства Республики Казахстан от 30 декабря 2009 года № 2280 (далее – постановление), СТ РК ИСО/МЭК 17799-2006 «Методы обеспечения защиты. Свод правил по управлению защитой информации», ГОСТ РК ИСО/МЭК 27001-2006 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», СТ РК 34.022-2006 «Защита информации. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем» и определяют порядок проведения проверок состояния информационной безопасности в государственных органах и организациях, за исключением проверок информационных систем в защищенном исполнении*.

1. Общие положения

      1. Проверка состояния защищенности информационных сетей и ресурсов государственных органов и организаций (далее - проверка) осуществляется уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности (далее - уполномоченный орган) с привлечением соответствующих специалистов органов национальной безопасности, уполномоченного государственного органа в области информатизации, уполномоченной организации в области информатизации и соответствующих подразделений по защите государственных секретов, проверяемых государственных органов и организаций. Для проведения проверки уполномоченным органом формируется состав проверочной комиссии (далее – Комиссия), указываемый в предписании уполномоченного органа на проведение проверки.
      2. Проверки состояния защищенности информационных сетей и ресурсов государственных органов и организаций осуществляются с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых государственными органами и организациями, требованиям нормативных правовых актов и стандартов Республики Казахстан в области информационной безопасности, защиты информации.
      3. Проверка осуществляется на основании предписания уполномоченного органа, подписанного первым руководителем и заверенного гербовой печатью, с предъявлением проверяющими документов, удостоверяющих личность. Предписание готовится в 2-х экземплярах, первый экземпляр которого остается в проверяемой организации.
      4. Уполномоченный орган письменно уведомляет организацию о предстоящей проверке за 10 календарных дней до ее начала.

2. Проведение проверки

      5. Проверка состояния защищенности информационных сетей и ресурсов государственных органов и организаций включает:
      1) определение установленных на объекте технологических режимов обработки информации, используемых информационных систем, характера циркулирующей информации в информационных системах;
      2) наличие организационно-распорядительной документации, учитывающей конкретные условия функционирования средств вычислительной техники различного уровня и назначения (рабочие станции пользователей, серверное и иное периферийное оборудование, технические средства защиты информации, в том числе средства криптографической защиты информации, кроме государственных шифровальных средств), порядок работы сотрудников организации при эксплуатации средств вычислительной техники (в соответствии с постановлением):
      приказ руководителя организации, регламентирующий порядок организации обеспечения информационной безопасности;
      политика информационной безопасности организации;
      Правила паспортизации средств вычислительной техники и использования информационных ресурсов корпоративной сети;
      Инструкция о парольной защите;
      Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях;
      Инструкция по организации антивирусной защиты;
      Инструкция пользователя по эксплуатации и обслуживанию компьютерного оборудования и программного обеспечения;
      Инструкция о резервном копировании информации;
      Правила регистрации пользователей в корпоративной информационной сети организации;
      Памятка для работы системных администраторов;
      Памятка пользователей средств вычислительной техники;
      3) определение круга технических специалистов, имеющих доступ к средствам вычислительной техники, информационных систем и базам данных, проверка функционально закрепленных обязанностей сотрудников организации;
      4) организация и фактическое состояние работ по защите информации при проведении технического обслуживания, ремонта и других работ средств вычислительной техники, информационных систем и баз данных с привлечением сторонних организаций;
      5) анализ принятых мер (программных, технических, организационных), обеспечивающих защиту средств вычислительной техники, информационных систем и баз данных от несанкционированного доступа. Оценка продуктивности организационного процесса защиты информации. Достаточность технических средств обработки и защиты информации, наличие подтверждений соответствия по требованиям информационной безопасности (сертификатов);
      6) проведение анализа конфигураций активного сетевого оборудования, маршрутизаторов, коммутаторов, серверов с целью выявления уязвимых мест в системе защиты информации;
      7) проведение инструментального анализа сетевого и серверного оборудования локально-вычислительных сетей, информационных систем и баз данных с применением программно-аппаратных средств;
      8) проверка работоспособности используемых программно-аппаратных средств обнаружения и предотвращения компьютерных атак;
      9) проверка наличия лицензионных средств защиты от вредоносных программ и вирусов или сертифицированных свободно распространяемых антивирусных средств защиты;
      10) организация работы по обеспечению доступа сотрудников организации к глобальной информационной сети Интернет, анализ защищенности средств вычислительной техники от несанкционированного доступа из сети Интернет;
      11) проверка оснащения серверных и кроссовых помещений средствами контроля доступа и пожаротушения, обеспечения температурного режима, регламент доступа к серверным и кроссовым помещениям;
      12) состояние защищенности информационных ресурсов от сбоев в системе электропитания (схема резервирования, система автоматического ввода резерва);
      13) состояние линейно-кабельного оборудования локально-вычислительных сетей (наличие запирающих и опечатывающих устройств, оборудования распределительных шкафов).
      6. Проверяемая организация обеспечивает предоставление своими работниками объяснений (устно и письменно) на вопросы проверяющих, доступ к информации, в том числе к автоматизированным системам. Предоставляет возможность членам комиссии снятия копий необходимых документов, а также оказывает комиссии содействие в своевременном проведении и завершении проверки.
      7. Члены Комиссии при проведении проверки обеспечивают сохранность полученных от организации документов и конфиденциальность содержащейся в них информации.
      8. Работа Комиссии (проверяющего) завершается подведением итогов (обобщением) результатов проверки и составлением акта в произвольной форме.
      9. Акт должен содержать:
      1) дата, время и место составления акта;
      2) наименование органа контроля и надзора;
      3) дата и номер акта о назначении проверки, на основании которого проведена проверка;
      4) фамилия, имя, отчество (при его наличии) и должность лица (лиц), проводившего проверку;
      5) наименование или фамилия, имя, отчество (при его наличии) проверяемого субъекта, должность представителя физического или юридического лица, присутствовавших при проведении проверки;
      6) дата, место и период проведения проверки;
      7) сведения о результатах проверки, в том числе о выявленных нарушениях, об их характере;
      8) сведения об ознакомлении или об отказе в ознакомлении с актом представителя проверяемого субъекта, а также лиц, присутствовавших при проведении проверки, их подписи или отказ от подписи;
      9) подпись должностного лица (лиц), проводившего проверку;
      10) достоверное и обоснованное изложение состояния защищенности информационных сетей и ресурсов организации, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков;
      11) объективно отражать практическую деятельность подразделения по информатизации, ответственного за обеспечение информационной безопасности, и руководства организации по обеспечению защиты информационных сетей и ресурсов.
      Акт составляется в двух экземплярах. Первый для проверяемой организации, а второй - для уполномоченного органа.
      10. С актом знакомятся руководители организации, а при необходимости и отдельные исполнители, в части их касающейся, которые подписывают его или прилагают к нему свои письменные объяснения с замечаниями и возражениями.
      11. Об устранении выявленных в результате проверки недостатков и нарушений и реализации предложений руководитель проверяемой организации в установленные в акте сроки сообщает в уполномоченный орган и, в установленных (необходимых) случаях, в вышестоящую организацию.