В соответствии с подпунктом 5-1) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Институт законодательства и правовой информации Республики Казахстан" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта приказа.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
|
и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
"СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
| Утверждены приказом исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 16 августа 2019 года № 199/нқ |
Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов
Глава 1. Общие положения
1. Настоящие Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов (далее – Правила) разработаны в соответствии с подпунктом 5-1) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и определяют порядок проведения мониторинга событий информационной безопасности объектов информатизации государственных органов.
2. В настоящих Правилах используются следующие понятия и определения:
1) объекты информатизации – электронные информационные ресурсы, программное обеспечение, интернет-ресурс и информационно-коммуникационная инфраструктура;
2) информационная безопасность в сфере информатизации (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
3) мониторинг событий информационной безопасности – постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;
4) событие информационной безопасности (далее – событие ИБ) – состояние объектов информатизации, свидетельствующее о возможном нарушении существующей политики безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности объекта информатизации;
5) инцидент информационной безопасности (далее – инцидент ИБ) – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;
6) государственная техническая служба (далее – РГП "ГТС") – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан.
7) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;
8) система сбора журналов регистрации событий – аппаратно-программный комплекс, обеспечивающий централизованный сбор журналов регистрации событий объектов информатизации, их хранение и дальнейшую передачу в систему управления событиями ИБ;
9) национальный координационный центр информационной безопасности (далее – НКЦИБ) – структурное подразделение республиканского государственного предприятия на праве хозяйственного ведения "Государственная техническая служба" Комитета национальной безопасности Республики Казахстан;
Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом.
3. Мониторинг событий информационной безопасности объектов информатизации государственных органов (далее – МСИБ) проводится НКЦИБ.
4. Объектами МСИБ являются объекты информатизации, размещенные в информационно-коммуникационной инфраструктуре, находящейся во владении государственного органа (далее – ГО).
5. К объектам МСИБ не относятся:
1) электронные информационные ресурсы, содержащие сведения, составляющие государственные секреты;
2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;
3) объекты информатизации Национального Банка Республики Казахстан, не интегрируемые с объектами информационно-коммуникационной инфраструктуры "электронного правительства".
6. В рамках МСИБ источниками событий ИБ являются:
средства защиты информации в информационно-коммуникационной инфраструктуре, находящейся во владении ГО (далее – ИКИ ГО), в том числе, устанавливаемые и сопровождаемые НКЦИБ (далее – источники событий ИБ);
система управления событиями ИБ НКЦИБ.
7. МСИБ включает в себя следующие виды работ:
1) установку источников событий ИБ в ИКИ ГО;
2) техническое сопровождение источников событий ИБ в ИКИ ГО;
3) отслеживание событий ИБ объектов МСИБ, с целью обнаружения инцидентов ИБ и последующего на них реагирования.
8. МСИБ проводится по одному из следующих вариантов:
1) по одному виду работ;
2) по нескольким видам работ;
3) в полном составе видов работ.
9. МСИБ проводится на основании договорных отношений между
Комитетом национальной безопасности Республики Казахстан (далее – КНБ РК) и РГП "ГТС", реализующего задачи и функции НКЦИБ.
Глава 2. Порядок проведения мониторинга событий информационной безопасности объектов информатизации государственных органов
10. При проведении МСИБ НКЦИБ осуществляет:
1) в рамках установки источников событий ИБ:
изучение ИКИ ГО;
развертывание аппаратно-программного комплекса источников событий ИБ в ИКИ ГО;
настройку отдельных механизмов функционирования и политик безопасности источников событий ИБ, а также проверку корректности их работы;
2) в рамках сопровождения источников событий ИБ:
установку обновлений источников событий ИБ по мере их выпуска производителем;
контроль состояния источников событий ИБ, их параметров и режимов защиты, в том числе устранение ошибок и недостатков в их функционировании;
отработку заявок от ГО по вопросам функционирования источников событий ИБ;
3) в рамках отслеживания состояния объектов МСИБ с целью обнаружения инцидентов ИБ и последующего на них реагирования:
определение перечня журналов регистрации событий, необходимых для передачи в систему управления событиями ИБ НКЦИБ;
организацию журналирования событий источников событий ИБ, сопровождаемых НКЦИБ;
организацию систем сбора журналов регистрации событий НКЦИБ в контурах сетей телекоммуникаций ГО, в которых функционируют объекты МСИБ;
организацию сбора журналов регистрации событий объектов МСИБ и источников событий ИБ в системы сбора журналов регистрации событий НКЦИБ;
организацию передачи журналов регистрации событий объектов МСИБ и источников событий ИБ в систему управления событиями ИБ НКЦИБ, их обработку и анализ с целью выявления событий ИБ и инцидентов ИБ;
первичный анализ событий ИБ или инцидентов ИБ, выявленных на объекте МСИБ;
уведомление ГО или уполномоченного им лица о выявленных событиях ИБ и инцидентах ИБ в течение 30 минут с момента выявления события ИБ или инцидента ИБ, КНБ РК – в течение 3 часов;
выдачу первичных рекомендаций по приостановлению распространения инцидента ИБ ГО или уполномоченному им лицу;
при наличии технической возможности принятие мер по приостановлению распространения инцидента ИБ посредством источников событий ИБ;
направление, при необходимости, к месту размещения объекта МСИБ работника НКЦИБ в рамках реагирования на инцидент ИБ (необходимость определяется КНБ РК или НКЦИБ самостоятельно);
уведомление уполномоченного органа в сфере обеспечения информационной безопасности (далее – уполномоченный орган) и КНБ РК о неустранении ГО или уполномоченным им лицом причин и последствий инцидента ИБ по истечении 48 часов с момента выявления инцидента ИБ.
11. НКЦИБ ежеквартально направляет в КНБ РК сводную информацию по выявленным событиям ИБ и инцидентам ИБ, а также сведения о принятых ГО мерах по ним.
12. КНБ РК ежеквартально направляет в уполномоченный орган сводную информацию по выявленным инцидентам ИБ, а также сведения о принятых ГО мерах по ним.