Приложение 1
к приказу и.о. Министра
образования и науки
Республики Казахстан
от 5 ноября 2018 года № 613
Методика
оценки рисков информационной безопасности
Методика оценки рисков информационной безопасности (далее - Методика) Министерства образования и науки Республики Казахстан (далее - Министерство) предназначена для определения актуальности и экономической целесообразности используемых систем защиты информации, а также определения соответствия принимаемых мер по информационной безопасности к требованиям нормативно-технических документов в области информационной безопасности.
Анализ информационных рисков необходим для понимания видов угроз и уязвимости, прогнозирования их наступления и развития, выстраивания системы защиты и необходимого инвестирования на реализацию.
Риск - это вероятный ущерб, который может понести за собой раскрытие, модификацию, утрату или недоступность информации. Риск зависит от двух факторов - стоимости информации и защищенности информационной системы, в которой она обрабатывается.
Исходя из определения риска, для проведения анализа рисков нужны следующие данные об информационной системе:
1. Перечень ценной информации с указанием ее уровня критичности;
2. Сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.
Этапы проведения анализа рисков
Алгоритм оценки рисков информационной безопасности (далее - ИБ) Министерства состоит из нескольких этапов (Рисунок № 1):
1. Определение типа актива;
2. Определение ценности активов (Обозначение - Si);
3. Определение угроз и соответствующих им уязвимостей, оценка вероятности реализации угроз (Обозначение - Vry);
4. Определение риска информационной безопасности (Обозначение - R);
5. Формирование планов по снижению риска ИБ.
Рисунок № 1 Схема алгоритма оценки рисков информационной безопасности.
1. Этап определение типа актива
Активы информационных технологии (далее - ИТ) Министерства делятся на материальные (Обозначение Ат) и нематериальные (Обозначение Апт) активы (Рисунок № 1).
Виды материальных и нематериальных активах ИТ приведены в таблицах № 8 и № 9.
Сведения о материальных и не материальных активах ИТ должны актуализироваться в начале и в середине каждого года.
На данном этапе должны быть обеспечены следующие действия:
1. Служба бухгалтерского учета должны первого числа месяцев января и июня каждого года в течение 5 дней предоставлять службе информационной безопасности информацию по материальным и нематериальным активам ИТ согласно таблицам № 1 и № 2.
2. Основные подразделения Министерства, которые формируют либо контролируют ход формирования информационных данных, сведений в информационных системах Министерства должны первого числа месяцев января и июня каждого года в течение 5 дней предоставлять службе информационной безопасности информацию о нематериальных активах ИТ согласно таблице № 2.
