Мемлекеттік органдардың ақпараттандыру объектілерінің ақпараттық қауіпсіздік оқиғаларына мониторинг жүргізу қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 2019 жылғы 16 тамыздағы № 199/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2019 жылғы 23 тамызда № 19286 болып тіркелді.

      "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 5-1) тармақшасына сәйкес БҰЙЫРАМЫН:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      1. Қоса беріліп отырған Мемлекеттік органдардың ақпараттандыру объектілерінің ақпараттық қауіпсіздік оқиғаларына мониторинг жүргізу қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты мемлекеттік тіркелген күнінен бастап күнтізбелік он күн ішінде оны қазақ және орыс тілдерінде Қазақстан Республикасының Нормативтік құқықтық актілерінің эталондық бақылау банкіне ресми жариялау және енгізу үшін "Қазақстан Республикасының Заңнама және құқықтық ақпарат институты" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

      3) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      4) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде осы тармақтың 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланғаннан кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрінің м.а.

      "КЕЛІСІЛГЕН"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

  Қазақстан Республикасы
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің
2019 жылғы 16 тамыздағы
№ 199/НҚ бұйрығымен
бекітілген

Мемлекеттік органдардың ақпараттандыру объектілерінің ақпараттық қауіпсіздік оқиғаларына мониторинг жүргізу қағидалары

      Ескерту. Қағида жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

1-тарау. Жалпы ережелер

      1. Осы Мемлекеттік органдардың ақпараттандыру объектілерінің ақпараттық қауіпсіздік оқиғаларына мониторинг жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 5-1) тармақшасына сәйкес әзірленді және мемлекеттік органдардың ақпараттандыру объектілері оқиғаларына мониторинг жүргізу тәртібін айқындайды.

      2. Осы Қағидаларда мынадай ұғымдар мен анықтамалар пайдаланылады:

      1) ақпараттандыру объектілері – электрондық ақпараттық ресурстар, бағдарламалық қамтылым, интернет-ресурс және ақпараттық-коммуникациялық инфрақұрылым;

      2) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;

      3) ақпараттық қауіпсіздік оқиғаларын мониторингтеу – ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін тұрақты байқау;

      4) ақпараттық қауіпсіздік оқиғасы (бұдан әрі – АҚ оқиғасы) – ақпараттандыру объектілерінің қазіргі бар қауіпсіздік саясатын ықтимал бұзу туралы не ақпараттандыру объектілерінің қауіпсіздігіне қатысы болуы мүмкін, бұрын белгісіз болған жағдай туралы куәландыратын жай-күйі;

      5) ақпараттық қауіпсіздіктің оқыс оқиғасы (бұдан әрі – АҚ оқыс оқиғасы) – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жекелей немесе сериялы түрде туындайтын, олардың тиiсiнше жұмыс iстеуiне қатер төндiретiн және (немесе) электрондық ақпараттық ресурстарды заңсыз алу, көшiрмесін түсіріп алу, тарату, түрлендiру, жою немесе бұғаттау үшiн жағдай жасайтын іркілістер;

      6) мемлекеттік техникалық қызмет (бұдан әрі – "МТҚ" АҚ)– Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      7) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;

      8) оқиғаларды тіркеу журналдарын жинау жүйесі – ақпараттандыру объектілерінің оқиғаларын тіркеу журналдарын орталықтандырылған жинауды, оларды сақтауды және АҚ оқиғаларын басқару жүйесіне одан әрі беруді қамтамасыз ететін аппараттық-бағдарламалық кешен;

      9) ақпараттық қауіпсіздік үйлестірушісі – тұрақты негізде мемлекеттік органда болатын және мемлекеттік органдардың ақпараттандыру объектілері қорғалуының жай-күйін ұстауға бағытталған іс-шараларды үйлестіруді жүзеге асыратын "МТҚ" АҚ қызметкері;

      Осы Қағидаларда пайдаланылатын өзге де ұғымдар Заңға сәйкес қолданылады.

      3. Мемлекеттік органдардың ақпараттандыру объектілерінің ақпараттық қауіпсіздік оқиғаларының мониторингін (бұдан әрі – АҚОМ) Ақпараттық қауіпсіздіктің ұлттық үйлестіруші орталығының (бұдан әрі – АҚҰҮО) міндеттері мен функцияларын іске асыратын "МТҚ" АҚ жүргізеді.

      4. АҚОМ объектілері мемлекеттік органның (бұдан әрі – МО) ақпараттандыру объектілері болып табылады.

      5. Мыналар:

      1) мемлекеттік құпияларды құрайтын мәліметтерді қамтитын электрондық ақпараттық ресурстар;

      2) Қазақстан Республикасының Мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалған орындаудағы ақпараттық жүйелер, сондай-ақ арнайы мақсаттағы және/немесе үкімет, құпия, шифрланған және кодталған телекоммуникация желілері;

      3) "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбаған Қазақстан Республикасы Ұлттық Банкінің ақпараттандыру объектілері АҚОМ объектілеріне жатпайды.

      6. АҚОМ шеңберінде АҚ оқиғаларының көздері:

      МО иелігіндегі ақпараттық-коммуникациялық инфрақұрылымдағы ақпаратты қорғау құралдары (бұдан әрі – МО АКИ), оның ішінде "МТҚ" АҚ орнататын және қолдап отыратын (бұдан әрі – АҚ оқиғаларының көздері);

      ҰАҚҮО АҚ оқиғаларын басқару жүйесі болып табылады.

      7. АҚОМ мынадай жұмыс түрлерін:

      1) МО АКИ-де АҚ оқиғалар көздерін орнатуды;

      2) АҚ оқиғалар көздерін МО АКИ-де техникалық сүйемелдеуді;

      3) АҚ оқыс оқиғаларын анықтауды және оларға кейіннен ден қою мақсатында АҚОМ объектілерінің АҚ оқиғасын қадағалауды қамтиды.

      8. АҚОМ мынадай нұсқалардың бірі бойынша:

      1) бір жұмыс түрі бойынша;

      2) бірнеше жұмыс түрлері бойынша;

      3) жұмыс түрлерінің толық құрамында жүргізіледі.

      9. АҚОМ-ны "МТҚ" АҚ Қазақстан Республикасының Ұлттық қауіпсіздік комитеті (бұдан әрі – ҚР ҰҚК) мен "МТҚ" АҚ арасындағы шарттық қатынастар негізінде, Қазастан Республикасының аумағында орналасқан АҚОМ-ге қатысты жүргізеді.

2-тарау. Мемлекеттік органдардың ақпараттандыру объектілерінің ақпараттық қауіпсіздік оқиғаларына мониторинг жүргізу тәртібі

      10. АҚОМ жүргізу кезінде "МТҚ" АҚ:

      1) АҚ орнату шеңберінде:

      МО АКИ-ды зерделеуді;

      АҚ аппараттық-бағдарламалық кешенін МО АКИ-ға өрістетуді;

      АҚ-тың жекелеген қорғау механизмдерін және қауіпсіздік саясатын баптауды және олардың жұмысының дұрыстығын тексеруді жүзеге асырады;

      2) АҚ оқиғаларының көздерін техникалық сүйемелдеу шеңберінде:

      АҚ жаңартуларын өндірушінің шығаруына қарай орнатуды;

      АҚ-ның жай-күйін, олардың параметрлері мен қорғау режимдерін бақылауды, оның ішінде олардың жұмыс істеуіндегі қателер мен кемшіліктерді жоюды;

      АҚ-тың жұмыс істеу мәселелері бойынша өтінімдерді өңдеуді жүзеге асырады.

      3) АҚ оқыс оқиғаларын анықтау және оларға кейіннен ден қою мақсатында АҚОМ объектілерінің жай-күйін қадағалау шеңберінде:

      ҰАҚҮО АҚ оқиғаларын басқару жүйесіне беру үшін қажетті оқиғаларды тіркеу журналдарының тізбесін айқындауды;

      "МТҚ" АҚ қолдап отыратын, АҚ оқиғаларын журналдауды ұйымдастыруды;

      АҚОМ объектісі жұмыс істейтін МО телекоммуникациялық желісінің контурында ҰАҚҮО оқиғаларын тіркеу журналдарын жинау жүйесін ұйымдастыруды;

      ҰАҚҮО оқиғаларын тіркеу журналдарын жинау жүйесіне АҚ және АҚОМ объектілерінің оқиғаларын тіркеу журналдарын жинауды ұйымдастыруды;

      ҰАҚҮО АҚ оқиғаларын басқару жүйесіне АҚОМ және АҚ объектілерінің оқиғаларын тіркеу журналдарын беруді ұйымдастыруды және АҚ оқиғалары мен АҚ оқыс оқиғаларын анықтау мақсатында оларды өңдеуді және талдауды;

      АҚОМ объектісінде анықталған, АҚ оқиғаларын немесе АҚ оқыс оқиғаларын бастапқы талдауды;

      АҚ оқиғасы немесе АҚ оқыс оқиғасы анықталған сәттен бастап 30 минут ішінде, ҚР ҰҚК – 3 сағат ішінде АҚ оқиғалары мен АҚ оқыс оқиғалар туралы МО немесе ол уәкілеттік берген тұлғаны хабардар етуді;

      МО АҚ немесе ол уәкілеттік берген тұлғаға оқыс оқиғасының таралуын тоқтата тұру бойынша бастапқы ұсынымдар беруді;

      техникалық мүмкіндік болған жағдайда АҚ оқыс оқиғасының таралуын АҚ арқылы тоқтата тұру бойынша шаралар қабылдауды;

      қажет болған жағдайда АҚ оқыс оқиғаға ден қою шеңберінде "МТҚ" АҚ қызметкерінің АҚОМ объектісін орналастыру орнына жіберуді (қажеттілігіне қарай ҚР ҰҚК немесе "МТҚ" АҚ дербес айқындайды);

      АҚ оқыс оқиғасы анықталған сәттен бастап 48 сағат өткеннен кейін МО немесе ол уәкілеттік берген тұлғаның АҚ оқыс оқиғасының себептері мен салдарын жоймағаны туралы ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органды (бұдан әрі – уәкілетті орган) және ҚР ҰҚК хабардар етуді жүзеге асырады.

      11. Ақпараттық қауіпсіздік үйлестірушісі:

      МО АО қорғалғандық деңгейін арттыру бойынша ұсынымдар қалыпастыру мақсатында МО-ның ақпараттық-коммуникациялық инфрақұрылымын зерделеуді;

      МО АҚ жөніндегі техникалық құжаттамасын өзектендіру бойынша ұсынымдар қалыптастыру және техникалық құжаттама талаптарын қайта қарау мақсатында оны зерделеуді;

      МО ақпараттық-коммуникациялық инфрақұрылымында анықталған АҚ оқыс оқиғаларына ден қою жөніндегі іс-шараларды үйлестіруді;

      "МТҚ" АҚ қызметкерлері орнатқан ақпаратты қорғау құралдары арқылы АҚ оқыс оқиғаларына ден қоюға жәрдемдесуді (техникалық мүмкіндік болған кезде);

      МО қызметкерлерінде АҚ саласындағы хабардарлықты арттыру жөнінде іс-шаралар жүргізуге жәрдемдесуді жүзеге асырады.

      12. МО немесе ол уәкілеттілік берген тұлға АҚОМ жүргізу кезінде:

      "МТҚ" АҚ қызметкерлеріне МО ақпараттық-коммуникациялық инврақұрылымына физиклық және желілік қолжетімділік және ақпаратты қорғау құралдарын орнату және қолдап отыру үшін қажетті құқықтармен есептік жазбалар ұсынады;

      "МТҚ" АҚ-ға АҚОМ объектілерінің оқиғаларын тіркеу журналдарын және АҚ оқиғаларының көздерін АҚҰҮО АҚ оқиғаларды басқару жүйесіне беруді ұйымдастыру үшін телекоммуникациялар желілері контурларында IP-мекенжайлар береді;

      тоқсан сайынғы негізде "МТҚ" АҚ-ға осы Қағидаларға қосымшаға сәйкес өзекті мәліметтер ұсынады;

      қолданушылық және серверлік операциялық жүйелердің өзекті нұсқаларына дейін жаңартуды жүзеге асырады;

      "МТҚ" АҚ-дын АҚ оқиғасының немесе сәйкесінше АҚ оқыс оқиғасының анықталғаны туралы хабарлама алған сәттен бастап 48 сағат ішінде АҚ оқиғасын талдау нәтижелері және (немесе) АҚ оқыс оқиғасын жою бойынаш қабылданған шаралар туралы "МТҚ" АҚ-ны хабардар етеді.

      13. "МТҚ" АҚ АҚОМ қызметтерін көрсетуге шарттарға сәйкес, тоқсан сайын ҚР ҰҚК-ға анықталған АҚ қатерлері, АҚ оқиғалары және АҚ оқыс оқиғалары жөнінде жиынтық ақпарат, сондай-ақ олар бойынша МО қабылдаған шаралар туралы мәліметтер жолдайды.

      14. ҚР ҰҚК тоқсан сайын уәкілетті органға анықталған АҚ оқыс оқиғалары жөнінде жиынтық ақпарат, сондай-ақ олар бойынша МО қабылдаған шаралар туралы мәліметтер жолдайды.

  Мемлекеттік органдардың
ақпараттандыру объектілерінің
ақпараттық қауіпсіздігі
оқиғаларына мониторинг
жүргізу қағидаларына
қосымша

АҚОМ объектісі туралы мәліметтер

Мемлекеттік органның атауы

Құрылымдық бөлімше (департамент)

Физикалық орналасуы (этаж, кабинет)

Пайдаланушының/жауапты тұлғаның ТАӘ

Жұмыс станциясының/серверлік жабдықтың желілік атауы

IP-мекенжай

Операциялық жүйенің атауы

1

2

3

4

5

6

7

8

Ішкі контурдың локалды желісі









Сыртқы контурдың локалды желісі










Об утверждении Правил проведения мониторинга событий информационной безопасности объектов информатизации государственных органов

Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 16 августа 2019 года № 199/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 23 августа 2019 года № 19286.

      В соответствии с подпунктом 5-1) статьи 7-1 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:

      Сноска. Преамбула - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Институт законодательства и правовой информации Республики Казахстан" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта приказа.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      и.о. Министра цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан

  Утверждены
приказом Министра
цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
от 16 августа 2019 года № 199/НҚ

Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов

      Сноска. Правила - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила проведения мониторинга событий информационной безопасности объектов информатизации государственных органов (далее - Правила) разработаны в соответствии с подпунктом 5-1) статьи 7-1 Закона Республики Казахстан "Об информатизации" (далее – Закон) и определяют порядок проведения мониторинга событий информационной безопасности объектов информатизации государственных органов.

      2. В настоящих Правилах используются следующие понятия и определения:

      1) объекты информатизации - электронные информационные ресурсы, программное обеспечение, интернет-ресурс и информационно-коммуникационная инфраструктура;

      2) информационная безопасность в сфере информатизации (далее - информационная безопасность) - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      3) мониторинг событий информационной безопасности - постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;

      4) событие информационной безопасности (далее - событие ИБ) - состояние объектов информатизации, свидетельствующее о возможном нарушении существующей политики безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности объекта информатизации;

      5) инцидент информационной безопасности (далее - инцидент ИБ) - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

      6) государственная техническая служба (далее – АО "ГТС") – акционерное общество, созданное по решению Правительства Республики Казахстан;

      7) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;

      8) система сбора журналов регистрации событий – аппаратно-программный комплекс, обеспечивающий централизованный сбор журналов регистрации событий объектов информатизации, их хранение и дальнейшую передачу в систему управления событиями ИБ;

      9) координатор информационной безопасности – работник АО "ГТС", располагающийся на постоянной основе в государственном органе и осуществляющий координацию мероприятий, направленных на поддержание состояния защищенности объектов информатизации государственных органов.

      Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом.

      3. Мониторинг событий информационной безопасности объектов информатизации государственных органов (далее – МСИБ) проводится АО "ГТС", реализующим задачи и функции Национального координационного центра информационной безопасности (далее – НКЦИБ).

      4. Объектами МСИБ являются объекты информатизации государственного органа (далее – ГО).

      5. К объектам МСИБ не относятся:

      1) электронные информационные ресурсы, содержащие сведения, составляющие государственные секреты;

      2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;

      3) объекты информатизации Национального Банка Республики Казахстан, не интегрируемые с объектами информационно-коммуникационной инфраструктуры "электронного правительства".

      6. В рамках МСИБ источниками событий ИБ являются:

      средства защиты информации в информационно-коммуникационной инфраструктуре (далее – ИКИ) объектов МСИБ, в том числе, устанавливаемые и сопровождаемые АО "ГТС" (далее – источники событий ИБ);

      система управления событиями ИБ НКЦИБ.

      7. МСИБ включает в себя следующие виды работ:

      1) установку источников событий ИБ в ИКИ объектов МСИБ;

      2) техническое сопровождение источников событий ИБ в ИКИ объектов МСИБ;

      3) отслеживание событий ИБ объектов МСИБ с целью обнаружения инцидентов ИБ и последующего на них реагирования.

      8. МСИБ проводится по одному из следующих вариантов:

      1) по одному виду работ;

      2) по нескольким видам работ.

      9. МСИБ проводится АО "ГТС" на основании договорных отношений между Комитетом национальной безопасности Республики Казахстан (далее – КНБ РК) и АО "ГТС", в отношении объектов МСИБ, расположенных на территории Республики Казахстан.

Глава 2. Порядок проведения мониторинга событий информационной безопасности объектов информатизации государственных органов

      10. При проведении МСИБ АО "ГТС" осуществляет:

      1) в рамках установки источников событий ИБ:

      изучение ИКИ объектов МСИБ;

      развертывание аппаратно-программного комплекса источников событий ИБ в ИКИ объектов МСИБ;

      настройку отдельных механизмов функционирования и политик безопасности источников событий ИБ, а также проверку корректности их работы;

      2) в рамках технического сопровождения источников событий ИБ:

      установку обновлений источников событий ИБ по мере их выпуска производителем;

      контроль состояния источников событий ИБ, их параметров и режимов защиты, в том числе устранение ошибок и недостатков в их функционировании;

      отработку заявок от ГО по вопросам функционирования источников событий ИБ;

      3) в рамках отслеживания событий ИБ объектов МСИБ, с целью обнаружения инцидентов ИБ и последующего на них реагирования:

      определение перечня журналов регистрации событий, необходимых для передачи в систему управления событиями ИБ НКЦИБ;

      организацию журналирования событий источников событий ИБ, сопровождаемых АО "ГТС";

      организацию систем сбора журналов регистрации событий НКЦИБ в контурах сетей телекоммуникаций ГО, в которых функционируют объекты МСИБ;

      организацию сбора журналов регистрации событий объектов МСИБ и источников событий ИБ в систему сбора журналов регистрации событий НКЦИБ;

      организацию передачи журналов регистрации событий объектов МСИБ и источников событий ИБ в систему управления событиями ИБ НКЦИБ их обработку и анализ с целью выявления событий ИБ и инцидентов ИБ;

      первичный анализ событий ИБ или инцидентов ИБ, выявленных на объекте МСИБ;

      уведомление ГО или уполномоченного им лица о выявленных событиях ИБ и инцидентах ИБ в течение 30 минут с момента выявления события ИБ или инцидента ИБ, КНБ РК – в течение 3 часов;

      выдачу первичных рекомендаций по приостановлению распространения инцидента ИБ ГО или уполномоченному им лицу;

      при наличии технической возможности принятие мер по приостановлению распространения инцидента ИБ посредством источников событий ИБ;

      направление, при необходимости, к месту размещения объектов МСИБ работника АО "ГТС" в рамках реагирования на инцидент ИБ (необходимость определяется КНБ РК или АО "ГТС" самостоятельно);

      уведомление уполномоченного органа в сфере обеспечения информационной безопасности (далее – уполномоченный орган) и КНБ РК о неустранении ГО или уполномоченным им лицом причин и последствий инцидента ИБ по истечении 48 часов с момента выявления инцидента ИБ.

      11. Координатор информационной безопасности осуществляет:

      изучение информационно-коммуникационной инфраструктуры ГО в целях формирования рекомендаций по повышению уровня защищенности ОИ ГО;

      изучение технической документации по ИБ ГО в целях формирования рекомендаций по ее актуализации и пересмотра требований технической документации;

      координирование мероприятий по реагированию на инциденты ИБ, выявленных в информационно-коммуникационной инфраструктуре ГО;

      содействие в реагировании на инциденты ИБ посредством средств защиты информации, установленных работниками АО "ГТС" (при технической возможности);

      содействие в проведении мероприятий по повышению осведомленности в сфере ИБ у работников ГО.

      12. ГО или уполномоченное им лицо при проведении МСИБ:

      предоставляют физический и сетевой доступ сотрудникам АО "ГТС" к информационно-коммуникационной инфраструктуре ГО и учетные записи с необходимыми правами для установки и сопровождения средств защиты информации;

      предоставляют АО "ГТС" IP-адреса в контурах сетей телекоммуникаций для организации передачи журналов регистрации событий объектов МСИБ и источников событий ИБ в систему управления событиями ИБ НКЦИБ;

      на ежеквартальной основе предоставляют АО "ГТС" актуальные сведения, согласно приложению, к настоящим Правилам;

      осуществляют обновление до актуальных версий пользовательских и серверных операционных систем;

      оповещают АО "ГТС" о результатах анализа события ИБ и (или) о мерах, принятых по устранению инцидента ИБ, в течение 48 часов с момента получения уведомления от АО "ГТС" о выявлении события ИБ или инцидента ИБ соответственно.

      13. АО "ГТС", согласно договорам, на оказание услуг МСИБ, ежеквартально направляет в КНБ РК сводную информацию по выявленным угрозам ИБ, событиям ИБ и инцидентам ИБ, а также сведения о принятых ГО мерах по ним.

      14. КНБ РК ежеквартально направляет в уполномоченный орган сводную информацию по выявленным инцидентам ИБ, а также сведения о принятых ГО мерах по ним.

  Приложение к Правилам
проведения мониторинга событий
информационной безопасности
объектов информатизации
государственных органов

Сведения об объекте МСИБ

Наименование государственного органа

Структурное подразделение (департамент)

Физическое месторасположение (этаж, кабинет)

ФИО пользователя/ответственного лица

Сетевое имя рабочей станции/серверного оборудования

IP-адрес

Наименование операционной системы

1

2

3

4

5

6

7

8

Локальная сеть внутреннего контура









Локальная сеть внешнего контура