Подготовка к аттестационному обследованию ГТС

Подготовка к аттестационному обследованию ГТС

        Предоставленная ниже информация представляет собой предложение ТОО «ПАЦИФИКА» (далее – Исполнитель) для объектов аттестации (далее – Заказчик) на оказание консультационных услуг по подготовке к аттестационному обследованию информационной системы, информационно-коммуникационной платформы «электронного правительства» и интернет-ресурса государственного органа на их соответствие требованиям информационной безопасности, проводимому Республиканским государственным предприятием на праве хозяйственного ведения «Государственной технической службой» Комитета национальной безопасности Республики Казахстан (РГП ГТС КНБ).

        Оказание услуг состоит из следующих независимых этапов, разработанных Исполнителем на основе «Методики проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности»:

shceme_gts.png

Нормативные акты и стандарты:

  1. Закон Республики Казахстан от 24 ноября 2015 года «Об информатизации»;
  2. Правила проведения аттестации информационной системы, информационно - коммуникационной платформы «электронного правительства», интернет - ресурса государственного органа на соответствие требованиям информационной безопасности, утверждаемые в соответствии с подпунктом 5) статьи 6 Закона;
  3. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утверждаемые в соответствии с подпунктом 3) статьи 6 Закона (далее – ЕТ);
  4. СТ РК ИСО/МЭК 27002-2009 Методы обеспечения защиты. Свод правил по управлению защитой информации (далее – СТ РК ИСО/МЭК 27002-2009);
  5. СТ РК ИСО/МЭК 27001-2008 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (далее – СТ РК ИСО/МЭК 27001-2008);
  6. СТ РК ГОСТ Р 50739-2006 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования (далее – СТ РК ГОСТ Р 50739-2006).

Определения и сокращения:

  1. информационные активы – базы данных, системная документация, руководства пользователя, учетные материалы, процедуры эксплуатации или поддержки объекта аттестации, планы по обеспечению непрерывности функционирования информационного обеспечения и другая документация;
  2. информационная система (далее – ИС) – организационно - упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;
  3. аттестация информационной системы, информационно - коммуникационной платформы «электронного правительства» и интернет - ресурса государственного органа на соответствие требованиям информационной безопасности (далее – аттестация) – организационно-технические мероприятия по определению состояния защищенности объектов аттестации, а также их соответствия требованиям информационной безопасности;
  4. техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии со стандартами в области информационной безопасности и регламентирующих общие требования и принципы по обеспечению информационной безопасности объекта аттестации;
  5. информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
  6. аутентификация – проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности;
  7. объекты аттестации – информационная система государственного органа, негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для формирования государственных электронных информационных ресурсов, информационная система, отнесенная к критически важным объектам информационно - коммуникационной инфраструктуры, информационно -коммуникационная платформа «электронного правительства», интернет - ресурс государственного органа, негосударственная информационная система, негосударственный Интернет-ресурс;
  8. инструментальное обследование компонентов инфраструктуры объекта аттестации – проведение сканирования посредством программного средства для удаленной или локальной диагностики каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и элементов сети на предмет выявления в них уязвимостей;
  9. уязвимость объекта аттестации – недостаток в объекте аттестации, который может нарушить работоспособность объекта аттестации, или привести к несанкционированному доступу в обход используемых средств защиты информации;
  10. аттестационное обследование – комплекс организационно-технических мероприятий, направленных на изучение, анализ, оценку технической документации объекта аттестации, обследование состояния организации работ по выполнению требований информационной безопасности;
  11. программное обеспечение (далее – ПО) – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации;
  12. комплекс средств защиты (далее – КСЗ) – совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения защиты средств вычислительной техники или информационных систем от несанкционированного доступа к информации;
  13. физические активы – серверное оборудование, оборудование связи, магнитные носители и техническое оборудование, используемое в объекте аттестации.

ЭТАП 1: Предварительное изучение структуры объекта аттестации

        Предварительное изучение структуры объекта аттестации проводится с целью определения особенностей функционирования объекта аттестации и получения общей информации об аппаратно-программных средствах, локальной и корпоративной сети, технологиях и процедурах по защите информации, применяемых на аттестуемом объекте.

    Процесс предварительного изучения структуры включает ознакомление со следующей технической документацией:

  • техническое задание на создание объекта аттестации;
  • общая функциональная и локальная схема объекта аттестации;
  • перечень программных и технических средств, используемых в объекте аттестации;
  • договор на использование информационно-коммуникационных услуг (в случае, если объект аттестации использует информационно-коммуникационные услуги).
  • В случае отсутствия у Заказчика технической документации Исполнитель предоставляет шаблоны и/или проводит консультацию Заказчика по разработке недостающих документов.


    ЭТАП 2: Изучение и оценка ТД по ИБ

            Изучение, анализ и оценка ТД по ИБ проводится с целью определения полноты, актуальности и корректности требований по информационной безопасности на соответствие требованиям ЕТ, СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009.

        Изучению, анализу и оценке на соответствие требованиям информационной безопасности подвергаются следующие ТД по ИБ:

    1. политика информационной безопасности (далее – Политика);
    2. правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации (далее – Правила идентификации);
    3. методика оценки рисков информационной безопасности (далее – Методика оценки рисков);
    4. правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации (далее – Правила по обеспечению непрерывной работы);
    5. правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения (далее – Правила инвентаризации);
    6. правила проведения внутреннего аудита информационной безопасности (далее – Правила внутреннего аудита);
    7. правила использования криптографических средств защиты информации (далее – Правила использования криптографических средств);
    8. правила разграничения прав доступа к электронным ресурсам (далее – Правила разграничения доступа);
    9. правила использования Интернет и электронной почты;
    10. правила организации процедуры аутентификации;
    11. правила организации антивирусного контроля;
    12. правила использования мобильных устройств и носителей информации (далее – Правила использования мобильных устройств);
    13. правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов (далее – Правила организации физической защиты);
    14. руководство администратора по сопровождению объекта аттестации (далее – Руководство администратора);
    15. регламент резервного копирования и восстановления информации (далее - Регламент резервного копирования);
    16. инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях (далее – Инструкция по внештатным ситуациям).

            Каждый ТД по ИБ проверяется на наличие листа ознакомления, его полноту и актуальность. В случае отсутствия у Заказчика каких-либо документов Исполнитель предоставляет шаблоны и/или проводит консультацию Заказчика по разработке недостающих документов.

    Параграф 1. Изучение, анализ и оценка Политики

            Изучение, анализ и оценка Политики проводится с целью определения полноты, актуальности и корректности основных положений Политики и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. основных целей и принципов Политики с раскрытием значимости ИБ как инструмента, обеспечивающего возможность совместного использования информации;
    2. описания действий руководства по достижению целей по обеспечению ИБ;
    3. описание наиболее существенных для государственного органа или организации политики безопасности, принципов, правил и требований;
    4. требований в случае нарушения Политики;
    5. общих определений и функции сотрудников в рамках управления ИБ;
    6. требований к периодическому пересмотру Политики;
    7. функции руководства по поддержанию вопросов обеспечения ИБ.

    Параграф 2. Изучение, анализ и оценка Правил идентификации

            Изучение, анализ и оценка Правил идентификации проводится с целью определения полноты, актуальности и корректности основных положений Правил идентификации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. порядка по проведению идентификации и классификации активов (информационные активы, физические активы и другие), исходя из правовых требований, их конфиденциальности, а также ценности и критичности;
    2. закрепление ответственных лиц за идентифицированные активы;
    3. порядка составления и ведения реестра активов (с указанием класса актива, вида актива, значимость и владельца актива);
    4. порядка маркировки активов в зависимости от их установленного класса, конфиденциальности, ценности и критичности;
    5. требований по форме реестра активов на полноту сведений.

    Параграф 3. Изучение, анализ и оценка Методики оценки рисков

            Изучение, анализ и оценка Методики оценки рисков проводится с целью определения полноты, актуальности и корректности основных положений Методики оценки рисков и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. выбора методики оценки рисков, выполнение идентификации рисков;
    2. описания методов по определению ценности и критичности информации;
    3. описания порядка мониторинга, пересмотра и изменения рисков ИБ;
    4. описания методов и последовательности по определению рисков информационной безопасности объекта аттестации;
    5. описания метода и последовательности оценки выявленных рисков;
    6. описания метода по обработке рисков;
    7. описания метода и анализа угроз информационной безопасности и источники;
    8. описания метода определения вероятности инцидента;
    9. описания порядка обработки рисков с учетом корректировки, сохранение, избежание, разделение;
    10. описания требований к периодичности пересмотра и переоценки рисков;
    11. определения и оценку последствий в случае реализации риска;
    12. определение ответственных лиц за ведение и обработку рисков;
    13. описания порядка составления карты рисков;
    14. описания порядка формирования плана обработки рисков по результатам оценки и анализа рисков.

    Параграф 4. Изучение, анализ и оценка Правил по обеспечению непрерывной работы

            Изучение, анализ и оценка Правил по обеспечению непрерывной работы проводится с целью определения полноты, актуальности и корректности основных положений Правил по обеспечению непрерывной работы и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. по идентификации событий, которые являются причиной прерывания процессов функционирования объекта аттестации (планирование должно сопровождаться оценкой рисков);
    2. определения процессов обеспечения непрерывности работы активов, установленных в реестре активов в случае их выхода из строя;
    3. предусматривающих разработку Плана обеспечения непрерывности работы активов, связанных со средствами обработки информации и их актуализация;
    4. о порядке тестирования и обновления планов развития существующих процессов по непрерывности работы активов;
    5. по назначению ответственных лиц за процессы функционирования объекта аттестации;
    6. по проведению анализа Плана обеспечения непрерывности работы активов;
    7. по разработке плана восстановления объекта аттестации;
    8. способы размещения оборудования снижающий риск возникновения угроз, опасностей и возможностей несанкционированного доступа;
    9. способы защиты оборудования от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;
    10. требования периодичности технического обслуживания оборудования для обеспечения непрерывности функционирования, доступности и целостности.

    Параграф 5. Изучение, анализ и оценка Правил инвентаризации

            Изучение, анализ и оценка Правил инвентаризации проводится с целью определения полноты, актуальности и корректности основных положений Правил инвентаризации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. требований к идентификации средств вычислительной техники (далее – СВТ) c учетам их ценности и важности;
    2. порядок оформления паспортов СВТ;
      3) требований к периодичности проведения инвентаризации и паспортизации СВТ;
      4) требований к утилизации и (или) списанию СВТ, телекоммуникационного оборудования и программного обеспечения, в том числе по утилизации устройств хранения данных и гарантированному уничтожению информации при повторном использования оборудования;
    3. требований по назначению ответственных за инвентаризацию и паспортизацию СВТ;
    4. требований к использованию, приобретению и учету лицензионного ПО.

    Параграф 6. Изучение, анализ и оценка Правил внутреннего аудита

            Изучение, анализ и оценка Правил внутреннего аудита проводится с целью определения полноты, актуальности и корректности основных положений Правил внутреннего аудита и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. основных целей внутреннего аудита информационной безопасности;
    2. требований по предоставлению доступа аудиторам;
    3. требований к инструментальному аудиту;
    4. требования по периодичности проведения внутреннего аудита;
    5. требований к наличию и ведению плана - графика поэтапного проведения внутреннего аудита;
    6. требования по порядку формирования рабочей группы по проведению внутреннего аудита;
    7. требований по планированию, порядку и составу проведения аудита для объектов аттестации;
    8. порядка и формы оформления результатов внутреннего аудита информационной безопасности.

    Параграф 7. Изучение, анализ и оценка Правил использования криптографических средств

            Изучение, анализ и оценка Правил использования криптографических средств проводится с целью определения полноты, актуальности и корректности основных положений Правил использования криптографических средств и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. политики использования криптографических средств защиты информации в соответствии с разделом 15.1.6 СТ РК ИСО МЭК 27002-2009;
    2. требования к системе управления ключами;
    3. требований по срокам активизации и дезактивации ключей;
    4. требования по сертификату открытых ключей;
    5. требования к криптографическому шифрованию конфиденциальной информации при хранении, обработке и передаче по сетям телекоммуникаций в соответствии с заданием по безопасности.

    Параграф 8. Изучение, анализ и оценка Правил разграничения доступа

            Изучение, анализ и оценка Правил разграничения доступа проводится с целью определения полноты, актуальности и корректности основных положений Правил разграничения доступа и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. описания стадии регистрации пользователей, с момента регистрации нового пользователя до снятия с регистрации пользователя;
    2. описания перечня предоставляемых прав доступа к ресурсам;
    3. описания порядка предоставления прав доступа;
    4. требований по ведению учета всех зарегистрированных пользователей;
    5. требований по проведению пересмотра прав доступа пользователей;
    6. требований по ознакомлению пользователей о запрете разглашения либо передачи полученных идентификаторов;
    7. описание требований по блокировке учетной записи.

    Параграф 9. Изучение, анализ и оценка Правил использования Интернет и электронной почты

            Изучение, анализ и оценка Правил использования Интернет и электронной почты проводится с целью определения полноты, актуальности и корректности основных положений Правил использования Интернет и электронной почты и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. порядка использования электронной почты;
    2. требования к оформлению электронного сообщения;
    3. порядка и способов предоставления доступа в Интернет;
    4. мониторинга и контроля доступа в Интернет;
    5. требования об осуществлении электронного взаимодействия ведомственной электронной почты государственного органа с внешними электронными почтовыми системами только через единый шлюз электронной почты.

    Параграф 10. Изучение, анализ и оценка Правил организации процедуры аутентификации

            Изучение, анализ и оценка Правил организации аутентификации проводится с целью определения полноты, актуальности и корректности основных положений Правил организации аутентификации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. требований по уведомлению пользователей о необходимости сохранения конфиденциальности вверенных им идентификаторов;
    2. требований по уведомлению пользователей о запрете записи паролей, пин-кодов на бумаге, персональном компьютере или на переносных устройствах, если только не обеспечено безопасное их хранение;
    3. описания порядка безопасного способа выдачи временных паролей;
    4. описания требований к временным паролям;
    5. требований о необходимости изменения идентифицирующих данных, при наличии любого признака возможности компрометации идентификатора;
    6. требований по выбору качественных паролей;
    7. описания требований по изменению парольной аутентификации через равные интервалы времени;
    8. описания требований по смене временных паролей при первой регистрации в системе;
    9. описания требований по запрету включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш.

    Параграф 11. Изучение, анализ и оценка Правил организации антивирусного контроля

            Изучение, анализ и оценка Правил организации антивирусного контроля проводится с целью определения полноты, актуальности и корректности основных положений Правил организации антивирусного контроля и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. требований по использованию лицензионных антивирусных программных обеспечений.
    2. требований по периодичности обновления антивирусных программных обеспечений;
    3. требований для пользователей, по соблюдению информационной безопасности при использовании антивирусных программных обеспечений;
    4. требований к веб-страницам на наличие вредоносного программного обеспечения;
    5. требований по анализу всех файлов на носителях информации сомнительного или неавторизованного происхождения, или файлов, полученных из общедоступных сетей, на наличие вирусов;
    6. требований по анализу электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения
    7. требований по организации мероприятий по управлению информационной безопасностью для борьбы с вредоносным программным обеспечением;
    8. описания процедур по восстановлению информации после вирусных атак.

    Параграф 12. Изучение, анализ и оценка Правил использования мобильных устройств

            Изучение, анализ и оценка Правил использования мобильных устройств проводится с целью определения полноты, актуальности и корректности основных положений Правила использования мобильных устройств и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. требований по анализу рисков в случае использования мобильных устройств за пределами организации;
    2. требований по физической защите мобильных устройств и носителей информации;
    3. требований по составлению перечня мобильных устройств, носителей информации и их маркировка;
    4. требований к ведению журнала выдачи носителей информации.
    5. порядка использования носителей информации;
    6. порядка учета, хранения и обращения со съемными носителями персональных данных, и их утилизации;
    7. требований к сотрудникам при использовании съемных носителей;
    8. способов защиты мобильного оборудования, находящегося за пределами рабочего места, с учетом различных рисков работы за пределами организационных помещений;
    9. порядка действий при выявлении фактов несанкционированных действий сотрудников при использовании, а также при утрате и уничтожении съемных носителей персональных данных.

    Параграф 13. Изучение, анализ и оценка Правил организации физической защиты

            Изучение, анализ и оценка Правил организации физической защиты проводится с целью определения полноты, актуальности и корректности основных положений Правил организации физической защиты и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. требований к организации физической защиты серверного помещения в соответствии с ЕТ и разделом 9.1.1, 9.1.3, 9.1.4, СТ РК ИСО/МЭК 27002-2009;
    2. требований к организации контроля доступа в серверные помещения в соответствии с ЕТ и разделом 9.1.2 СТ РК ИСО/МЭК 27002-2009;
    3. требований по выполнению работ в серверных помещениях в соответствии с ЕТ и разделом 9.1.5СТ РК ИСО/МЭК 27002-2009;
    4. требований по безопасному размещению серверного оборудования в соответствии с ЕТ и разделом 9.2.1СТ РК ИСО/МЭК 27002-2009;
    5. требований по организации вспомогательных услуг в соответствии с ЕТ и разделом 9.2.2 СТ РК ИСО/МЭК 27002-2009;
    6. требований по безопасному использованию кабельной сети в соответствии с ЕТ и разделом 9.2.3 СТ РК ИСО/МЭК 27002-2009;
    7. требований по безопасному техническому обслуживанию серверного оборудования в соответствии с ЕТ и разделом 9.2.4 СТ РК ИСО/МЭК 27002-2009;
    8. требований к безопасной утилизации или повторному использованию оборудования в соответствии с ЕТ и разделом 9.2.6 СТ РК ИСО/МЭК 27002-2009;
    9. требований к выносу/вносу оборудования в соответствии с ЕТ и разделом 9.2.7 СТ РК ИСО/МЭК 27002-2009.

    Параграф 14. Изучение, анализ и оценка Руководства администратора

            Изучение, анализ и оценка Руководства администратора проводится с целью определения полноты, актуальности и корректности основных положений Руководства администратора и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. требований к действиям администратора по основным типовым работам;
    2. требования к действиям администратора при возникновении инцидентов, внештатных ситуаций, стихийных природно-климатических и техногенных воздействий;
    3. порядок по установке, обновления и удаления ПО на серверах и рабочих станциях;
    4. процедуры управления изменениями и анализа ПО в случае изменения системного ПО.

    Параграф 15. Изучение, анализ и оценка Регламента резервного копирования

            Изучение, анализ и оценка Регламента резервного копирования проводится с целью определения полноты, актуальности и корректности основных положений Регламента резервного копирования и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. описания требований по составу информации, подлежащей резервному копированию;
    2. определения объема резервного копирования;
    3. описаний требований по размещению резервного оборудования, резервных копий и выбору места хранения резервных копий;
    4. описаний требований по тестированию резервных копий и резервного оборудования;
    5. описаний требований по размещению резервного серверного оборудования и ее физической защиты;
    6. описаний процедур копирования информации и восстановления информации;
    7. требования о периодичности резервирования информации и составлении графика резервного копирования;
    8. требований по документированию процесса резервного копирования в части ведения реестра эталонных копий, реестра информационных ресурсов, подлежащих резервному копированию, журнала записи резервного копирования, журнала проверок резервных копий на восстановление, журнала учета электронных носителей резервной информации, журнала вноса/выноса электронных носителей резервной информации.

    Параграф 16. Изучение, анализ и оценка Инструкции по внештатным ситуациям

            Изучение, анализ и оценка Инструкции по внештатным ситуациям проводится с целью определения полноты, актуальности и корректности основных положений Инструкции по внештатным ситуация и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

    1. требований по составлению перечня возможных внештатных или кризисных ситуаций, идентификация инцидентов по ИБ;
    2. требование о назначении ответственных лиц за оповещение в случае инцидентов информационной безопасности;
    3. порядок оповещения при возникновении внештатных ситуаций;
    4. требования по принятию мер реагирования при возникновении инцидентов ИБ, внештатных (кризисных) ситуаций;
    5. требования по разработке процедур восстановления работы в случае их остановки;
    6. требования по осуществлению контроля за выполнением профилактических действий для предотвращения возникновения внештатных или кризисных ситуаций;
    7. требований по расследованию случаев возникновения инцидентов и других внештатных ситуаций.

    ЭТАП 3: Определение текущего состояния

            Обследование состояния организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009, СТ РК ГОСТ Р 50739-95-2006, ТД по ИБ проводится с целью обследования и анализа:

    1. положений
    2. процессов по управлению информационной безопасностью;
    3. организации управления активами;
    4. обеспечения безопасности, связанной с персоналом;
    5. физической защиты оборудования и безопасности окружающей среды;
    6. обеспечения надлежащего и безопасного функционирования средств обработки информации;
    7. организации управления доступом к информационным ресурсам;
    8. процессов разработки, внедрения и обслуживания объектов аттестации;
    9. организации управления инцидентами в области информационной безопасности;
    10. управления непрерывности бизнеса;
    11. степени соответствия правовым требованиям;
    12. системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739-95-2006.

    Параграф 1. Обследование и анализ положений Политики

            При обследовании и анализе положений Политики будут учитываться:

    1. одобрение руководством Политики, опубликование и доведение до сведения всех сотрудников и связанных внешних организаций;
    2. понимание и принятие Политики сотрудниками организации;
    3. периодический пересмотр Политики;
    4. адекватность и выполнимость требований документов;
    5. результаты анализа Политики через запланированные интервалы времени или в случае возникновения значительных изменений;
    6. наличие ответственного лица за руководство разработкой, анализом Политики.

    Параграф 2. Обследование и анализ процессов по управлению информационной безопасностью

            При обследовании и анализе процессов по управлению информационной безопасностью, будут учитываться следующие процессы:

    1. функционирование подразделения, ответственное за обеспечение информационной безопасности и (или) ответственное лицо за обеспечение информационной безопасности объекта аттестации;
    2. функционирование органа (технический совет, рабочая группа по информационной безопасности) по вопросам информационной безопасности, с участием высшего руководства организации, для обсуждения политик, рисков и других вопросов информационной безопасности;
    3. проведение в организации регулярных совещаний руководства по вопросам координации действий по поддержанию режима безопасности;
    4. разделение ролей и ответственности в области информационной безопасности между сотрудниками организации;
    5. координация деятельности по вопросам ИБ внутри подразделений и между подразделениями государственного органа или организации;
    6. внедрение идентификации рисков организации и средств обработки информации со стороны бизнес-процессов, затрагивающих сторонние организации (в случае если привлекаются сторонние организации);
    7. соблюдение требований к безопасности перед предоставлением сторонним организациям права доступа к информации или активам организации (в случае если привлекаются сторонние организации);
    8. соблюдение требований безопасности в соглашении со сторонней организацией, включающих доступ, обработку, передачу или управление информацией организации или средствами ее обработки (в случае если привлекаются сторонние организации).

    Параграф 3. Обследование и анализ организации управления активами

            При обследовании и анализе организации управления активами будут учитываться следующие процессы:

    1. анализ идентификации, оформления и поддержки в рабочем состоянии инвентарной ведомости всех активов, связанных с объектом аттестации;
    2. определение степени владения организацией или государственного органа информации и активов, связанных со средствами обработки информации;
    3. закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов.
    4. анализ классификации информации с точки зрения ее ценности, законодательных требований, чувствительности и критичности для организации;
    5. маркировки и обращения с информацией в соответствии с принятой в организации схемой классификации и их исполнения.

    Параграф 4. Обследование и анализ обеспечения безопасности, связанной с персоналом

            При обследовании и анализе обеспечения безопасности, связанной с персоналом, будут рассматриваться:

    1. функции персонала по обеспечению безопасности и исполнение закрепленных функций по ИБ в соответствии с разделом 8.1.1 СТ РК ИСО/МЭК 27002-2009;
    2. полнота требований по информационной безопасности устанавливаемых для сотрудников при приеме на работу в соответствии с разделом 8.1.2 СТ РК ИСО/МЭК 27002-2009;
    3. условия трудового договора в части информационной безопасности в соответствии с разделом 8.1.3 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    4. соблюдение требования руководства о соблюдении безопасности в соответствии с установленными политиками и процедурами организации сотрудниками, подрядчиками и пользователями третьей стороны в соответствии с разделом 8.2.1 СТ РК ИСО/МЭК 27002-2009;
    5. осведомленность, обучение и переподготовку сотрудников в области информационной безопасности в соответствии с разделом 8.2.2 СТ РК ИСО/МЭК 27002-2009;
    6. наличие формализованного дисциплинарного процесса для сотрудников, нарушивших требования безопасности и его фактическое применение в соответствии с разделом 8.2.3 СТ РК ИСО/МЭК 27002-2009;
    7. наличие ответственности сотрудников при окончании срока или изменении условий трудоустройства в части информационной безопасности (возврат активов, аннулирование прав доступа) в соответствии с разделом 8.3 СТ РК ИСО/МЭК 27002-2009 и ЕТ.

    Параграф 5. Физическая защита оборудования

            При обследовании и анализе физической защиты оборудования и безопасности окружающей среды будут учитываться следующие процессы:

    1. обеспечение физической защиты периметра и серверного помещения в соответствии с разделом 9.1.1 СТ РК ИСО/МЭК 27002-2009;
    2. организация контроля доступа в серверные помещения в соответствии с разделом 9.1.2 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    3. организация защиты от внешних угроз в соответствии с разделом с 9.1.4 СТ РК ИСО/МЭК 27002-2009;
    4. организация работ в серверных помещениях в соответствии с разделом 9.1.5 СТ РК ИСО/МЭК 27002-2009;
    5. обеспечение информационной безопасности при приеме и отгрузки материальных ценностей в зонах общественного доступа (если таковые имеются) в соответствии с разделом 9.1.6 и 9.2.7 СТ РК ИСО/МЭК 27002-2009;
    6. размещение оборудования (включая и то, что используется вне организации) для обеспечения защиты и информационной безопасности в соответствии с разделом 9.2.1 и 9.2.5 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    7. обеспечение защиты от перебоев в подаче электроэнергии и других сбоев, связанных с отказом в обеспечении вспомогательных услуг в соответствии с разделом 9.2.2 СТ РК ИСО/МЭК 27002-2009;
    8. обеспечение информационной безопасности кабельной сети в соответствии с разделом 9.2.3 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    9. обеспечение информационной безопасности при техническом обслуживании серверного оборудования в соответствии с разделом 9.2.4 СТ РК ИСО/МЭК 27002-2009;
    10. обеспечение информационной безопасности серверного оборудования, используемого вне серверного помещения в соответствии с разделом 9.2.5 СТ РК ИСО/МЭК 27002-2009;
    11. организация безопасной утилизации (списания) оборудования в соответствии с разделом 9.2.6 СТ РК ИСО/МЭК 27002-2009.

    Параграф 6. Обеспечение функционирования средств обработки информации

            При обследовании и анализе обеспечения надлежащего и безопасного функционирования средств обработки информации будут учитываться следующие процессы:

    1. документальное оформление операционных процедур, ведение контроля изменений в объекте аттестации, разграничение обязанностей в объекте аттестации и разграничение средств разработки, тестирования и эксплуатации в соответствии с разделом 10.1 СТ РК ИСО/МЭК 27002-2009;
    2. соблюдение требований информационной безопасности при получении услуг от сторонних организации и (или) поставке услуг сторонним организациям в соответствии с разделом 10.2 СТ РК ИСО/МЭК 27002-2009;
    3. обеспечение информационной безопасности при управлении производительностью объектов аттестации в соответствии с разделом СТ РК ИСО/МЭК 27002-2009;
    4. обеспечение безопасной защиты от вредоносного кода в соответствии с разделом 10.4 СТ РК ИСО/МЭК 27002-2009;
    5. соблюдение требований информационной безопасности при проведении процедур резервирования информации в объектах аттестации в соответствии с разделом 10.5 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    6. обеспечение информационной безопасности при управлении сетью в соответствии с разделом 10.6 СТ РК ИСО/МЭК 27002-2009;
    7. исполнение требований к локальной и ведомственной (корпоративной) сети, установленных в ЕТ;
    8. соблюдение информационной безопасности при работе с носителями информации (ленты, диски, флэш-накопители) в соответствии с разделом 10.7 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    9. соблюдение информационной безопасности при обмене информации в соответствии с разделом 10.8 СТ ИСО/МЭК 27002-2009;
    10. обеспечения мониторинга информационной безопасности в объекте аттестации в соответствии с разделом 10.10 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    11. обеспечение надлежащего и безопасного функционирования вычислительных ресурсов, реализующих технологии виртуализации и «облачных» вычислений в соответствии с требованиями ЕТ.

    Параграф 7. Организация управления доступом к информационным ресурсам

            При обследовании и анализе организации управления доступа к информационным ресурсам будут обследованы следующие процессы:

    Параграф 1. Изучение, анализ и оценка Политики

            

    1. обеспечение информационной безопасности по контролю доступа к информации и объекту аттестации в соответствии с разделом 11.1. СТ РК ИСО/МЭК 27002-2009;
    2. обеспечение информационной безопасности при управлении доступом пользователей в объекте аттестации в соответствии с разделом 11.2 СТ РК ИСО/МЭК 27002-2009 и ЕТ; 2. обеспечение информационной безопасности при управлении доступом пользователей в объекте аттестации в соответствии с разделом 11.2 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    3. осведомление пользователей об их функциональных обязанностях по управлению доступом и их исполнение в соответствие с разделом 11.3. СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    4. обеспечение информационной безопасности при предоставлении доступа сетевым сервисам в соответствии с разделом 11.4. СТ РК ИСО/МЭК 27002-2009;
    5. обеспечение информационной безопасности при предоставлении доступа к операционной системе в соответствии с разделом 11.5. СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    6. обеспечение контроля доступа к прикладным системам и информации в соответствии с разделом 11.6 СТ РК ИСО/МЭК 27002-2009 и ЕТ;
    7. соблюдение требований информационной безопасности при работе с переносными устройствами и работа в дистанционном режиме в соответствии с разделом 11.7 СТ РК ИСО МЭК 27002-2009;
    8. разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний, с исполнением требовании установленных в ЕТ (для информационных систем);
    9. обеспечение информационной безопасности интернет – ресурса в соответствии с ЕТ.

    Параграф 8. Процессы разработки, внедрения и обслуживания объектов аттестации

            При аттестационном обследовании и анализе процессов разработки, внедрения и обслуживание объектов аттестации будут обследованы следующие процессы:

    1. обеспечение информационной безопасности на каждом этапе жизненного цикла в соответствии с разделом 12.1 СТ РК ИСО МЭК 27002-2009;
    2. обеспечение информационной безопасности при обработке данных в объекте аттестации в соответствии с разделом 12.2 СТ РК ИСО МЭК 27002-2009;
    3. корректность использования криптографических средств защиты информации в соответствии с разделом 12.3 СТ РК ИСО МЭК 27002-2009;
    4. обеспечение информационной безопасности системных файлов объекта аттестации в соответствии с разделом 12.4 СТ РК ИСО МЭК 27002-2009;
    5. обеспечение информационной безопасности в процессе разработки и внедрения объекта аттестации в соответствии с разделом 12.5 СТ РК ИСО МЭК 27002-2009;
    6. проведение работ по устранению, мониторингу уязвимостей объекта аттестации в соответствии с разделом 12.6 СТ РК ИСО МЭК 27002-2009;
    7. разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний, с исполнением требований, установленных в ЕТ (для информационных систем);
    8. обеспечение информационной безопасности интернет - ресурса в соответствии с ЕТ.

    Параграф 9. Организация управления инцидентами в области ИБ

            При обследовании и анализе организации управления инцидентами в области информационной безопасности будут обследованы следующие процессы:

    1. оповещение о случаях нарушения информационной безопасности, позволяющей обеспечить быстрое, результативное и последовательное реагирование на инциденты в области информационной безопасности в соответствии с разделом 13.1. СТ РК ИСО МЭК 27002-2009;
    2. назначение ответственности руководства в соответствии с разделом 13.2.1 СТ РК ИСО МЭК 27002-2009;
    3. мониторинг и регистрация инцидентов информационной безопасности, оперативность информирования об инцидентах в области информационной безопасности, процедуры составлению отчетов об инцидентах информационной безопасности в соответствии с разделом 13.2.2 СТ РК ИСО МЭК 27002-2009;
    4. сбор, сохранение и предоставление информации об инцидентах информационной безопасности на случай, если инцидент информационной безопасности может привести к судебному разбирательству в соответствии с разделом 13.2.3 СТ РК ИСО МЭК 27002-2009;
    5. регистрация событий, связанных с состоянием информационной безопасности и выявление нарушений путем анализа журналов событий в соответствие с ЕТ.

    Параграф 10. Обследование и анализ управления непрерывности бизнеса

            При обследовании и анализе управления непрерывности бизнеса будут обследованы следующие процессы:

    1. развитие и поддержка непрерывности бизнеса, включающие в себя процессы по информационной безопасности в соответствии с разделом 14.1.1 СТ РК ИСО МЭК 27002-2009;
    2. идентификация событий, которые являются причиной прерывания бизнес-процессов в соответствии с разделом 14.1.2;
    3. реализация планов непрерывности бизнеса в соответствии с разделом 14.1.3 СТ РК ИСО МЭК 27002-2009;
    4. проведение тестирования, поддержки и пересмотра планов по обеспечению непрерывности бизнеса в соответствии с разделом 14.1.5 СТ РК ИСО МЭК 27002-2009.

    Параграф 11. Обследование и анализ степени соответствия правовым требованиям

            При обследовании и анализе степени соответствия правовым требованиям необходимо обследовать следующие процессы:

    1. защита записей организации от потери, разрушения и фальсификации в соответствии с законодательными, другими обязательными, контрактными требованиями и бизнес – требованиями в соответствии с разделом 15.1.3 СТ РК ИСО МЭК 27002-2009;
    2. обеспечение информационной безопасности при переносе конфиденциальной персональной информации в соответствии с разделом 15.1.4 СТ РК ИСО МЭК 27002-2009;
    3. контроль нецелевого использования средств обработки информации в соответствии с разделом 15.1.5 СТ РК ИСО МЭК 27002-2009;
    4. проведение мероприятий по управлению техническими уязвимостями вручную и (или) при помощи соответствующих инструментальных и программных средств в соответствии с разделом 15.2.2 СТ РК ИСО МЭК 27002-2009;
    5. применение мер по управлению и согласованию при проведении аудита информационной безопасности в соответствии с разделом 15.3.1 СТ РК ИСО МЭК 27002-2009;
    6. обеспечение информационной безопасности при доступе инструментальных средств аудита в соответствие с разделом 15.3.2 СТ РК ИСО МЭК 27002-2009.

    Параграф 12. Обследование и анализ системы защиты от НСД

            При обследовании и анализе системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739-95-2006 будут обследованы следующие процессы:

    1. обеспечение защищенность информации при ее обработке в объекте аттестации от НСД в соответствии с разделом 4 СТ РК ГОСТ Р 50739-2006;
    2. реализация разграничения прав доступа показателями защищенности в соответствии с разделом 5.1. СТ РК ГОСТ Р 50739-2006;
    3. исполнение требовании к учету, предусматривающие то, что СВТ должны поддерживать регистрацию событий, имеющих отношение к защищенности информации в соответствии с разделом 5.2 СТ РК ГОСТ Р 50739-2006;
    4. исполнение требований к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету в соответствии с разделом 5.3 СТ РК ГОСТ Р 50739-2006;
    5. подробное и всестороннее описание комплексных средств защиты в соответствии с разделом 6 СТ РК ГОСТ Р 50739-2006.

    ЭТАП 4: Инструментальное обследование объекта аттестации

            Инструментальное обследование объекта аттестации проводится с целью выявления уязвимостей на объекте аттестации, в частности в системе защиты от внешнего и внутреннего проникновения, с помощью специализированного программного - аппаратного комплекса (далее - ПАК) на основании учетных записей для доступа к компонентам объекта аттестации, предоставленных Заказчиком.

            Проведение инструментального обследования объекта аттестации включает в себя:

    1. 1. настройку ПАК (прописка учетной записи для проведения локальных и удаленных проверок, выбор режима инструментального обследования и т.п.);
    2. 2. запуск ПАК;
    3. 3. формирование и выдачу программного отчета, включающего в себя перечень выявленных уязвимостей с указанием их описания, количества и уровня;

    ЭТАП 5: Устранение несоответствий

            Устранение несоответствий выполняется совместно со специалистами Заказчика до полного их устранения по следующим направлениям:

    1. Техническая документация ИБ
      • предоставление шаблонов;
      • доработка существующих документов;
      • консультации по разработке нормативных документов
    2. Процессы ИБ
      • внедрение процессов ИБ;
      • контроль исполнения ИБ;
      • консультирование при сборе доказательств эффективности работы процессов ИБ
    3. Инструментальная проверка
      • подробные консультации по устранению найденных уязвимостей ИБ;
      • повторное сканирование
      • отчет об отсутствии уязвимостей

            По окончанию этапа выпускается отчет о проделанной работе. Дополнительно со стороны Исполнителя выделяется консультант, который при необходимости может выступать на стороне Заказчика при проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности.


    Сроки выполнения работ

            Начало проекта: по согласованию сторон.
           Окончание проекта: через 60 рабочих дней с даты начала проекта при условии своевременного предоставления Заказчиком запрашиваемой информации.

    Содержание работ Длительность, рабочих дней
    Этап 1. Предварительное изучение структуры объекта аттестации 5
    Этап 2. Изучение и оценка ТД по ИБ 23
    Этап 3. Определение текущего состояния процессов ИБ 12
    Этап 4. Инструментальное обследование объекта аттестации (за одну ИС) 5
    Этап 5. Устранение несоответствий. 15

            Заказчик может по своему усмотрению поручить выполнение всех этапов Исполнителю, либо выполнить часть этапов самостоятельно.
         Все положения, изложенные выше, являются предварительными. Мы готовы обсуждать их в соответствии с Вашими требованиями и пожеланиями.

    Если у Вас возникнут дополнительные вопросы относительно содержания данной услуги, пожалуйста, обращайтесь к нам в любое удобное для Вас время, используя контактную информацию на нашем сайте. Мы надеемся, что в процессе дальнейших переговоров мы сможем прийти к взаимопониманию и общему решению по всем ключевым вопросам.

    Услуги предоставляются по договору, который подписывается между Заказчиком и Исполнителем. Дополнительно к договору подписываются «Соглашение о неразглашении конфиденциальной информации».

    Получите техническую консультацию