Приложение 2 к приказу
Министра науки и высшего образования
Республики Казахстан
от 27 сентября 2024 года № 464
Методика
оценки рисков информационной безопасности
Глава 1. Общие положения
Методика оценки рисков информационной безопасности (далее - Методика) предназначена для определения актуальности и экономической целесообразности используемых систем защиты информации, а также определения соответствия принимаемых мер по информационной безопасности к требованиям нормативно-технических документов в области информационной безопасности Министерства науки и высшего образования Республики Казахстан и его ведомств (далее - Министерство).
Анализ информационных рисков необходим для понимания видов угроз и уязвимости, прогнозирования их наступления и развития, выстраивания системы защиты и необходимого инвестирования на его реализацию.
Риск - это вероятный ущерб, который может понести за собой раскрытие, модификацию, утрату или недоступность информации. Риск зависит от двух факторов, стоимости информации и защищенности информационной системы, в которой она обрабатывается.
Исходя из определения риска, для проведения анализа рисков нужны следующие данные об информационной системе:
Перечень ценной информации с указанием ее уровня критичности;
Сведения об уязвимостях информационной системы и угрозах, которые на нее действуют.
Глава 2. Этапы проведения анализа рисков
Алгоритм оценки рисков информационной безопасности (далее - ИБ) Министерства состоит из нескольких этапов (Рисунок 1):
определение типа актива;
определение ценности активов (Обозначение - Si);
определение угроз и соответствующих им уязвимостей, оценка вероятности реализации угроз;
определение риска информационной безопасности;
формирование планов по снижению риска ИБ.
Рисунок 1. Схема алгоритма оценки рисков информационной безопасности
Глава 3. Этап определения типа актива
Активы информационных технологий (далее - ИТ) делятся на материальные (Обозначение Ат) и нематериальные (Обозначение Anm) активы (Рисунок 1).
Виды материальных и нематериальных активов ИТ приведены в таблицах № 8 и № 9 приложения 1 к настоящей Методике.
Сведения о материальных и нематериальных активах ИТ должны актуализироваться два раза в год.
На данном этапе должны быть обеспечены следующие действия:
Департамент экономики и финансов Министерства (далее - ДЭФ) ежегодно не позднее 15-го января и 15-го июня предоставляет в Департамент по информационной безопасности, по защите государственных секретов и мобилизационной работе (далее - ДИБЗГСМР) информацию по материальным и нематериальным активам;
ДИБЗГСМР на основе полученной информации от ДЭФ разрабатывает сводный перечень материальных и нематериальных активов ИТ с указанием степени важности по бальной системе согласно таблице № 1, 2, 3 приложения 1 к настоящей Методике.
Глава 4. Этап определения угроз и соответствующих им уязвимостей
