Оглавление
- Назначение и область применения. 4
- Нормативные ссылки. 5
- Декларация приверженности руководства Университета. 5
- Цели и задачи. 6
- Принципы управления кибербезопасностью.. 8
- Порядок принятия, утверждения и изменения положения. 11
РАЗРАБОТАНО:
IT отделом университета «Мирас»
СОГЛАСОВАНО:
Вице-президент по развитию университета «Мирас»
В Положении представлены основные требования и рекомендации по обеспечению кибербезопасности в университете «Мирас». Положение является практическим руководством для управления информационных технологий, структурных подразделений, профессорско-преподавательского состава и работников.
1. Назначение и область применения
1.1. Положение о кибербезопасности (далее – «Положение») определяет политику кибербезопасности в университете «Мирас» (далее – «Университет»), как систему документированных управленческих решений, направленных на защиту определенных защищаемых процессов и активов Университета.
1.2. Настоящее Положение является документом, доступным каждому работнику Университета и представляет собой официально принятую руководством Университета систему взглядов на проблему обеспечения кибербезопасности, и устанавливает принципы построения системы управления информационной безопасностью (далее – СУИБ) на основе систематизированного изложения целей, процессов и процедур кибербезопасности Университета.
1.3. Настоящее Положение Университета может быть предоставлено официальным представителям любых органов и ведомств Республики Казахстан, представителям органов сертификационного аудита, партнерам Университета, подрядным организациям и частным лицам, выполняющим работы для Университета, а также другим заинтересованным организациям и лицам как на территории Республики Казахстан, так и за ее пределами. Настоящий документ разработан с учетом накопленного опыта в сфере обеспечения безопасности информационных технологий в Университете.
1.4. Настоящее Положение разработано с целью установления единого подхода в Университете к управлению безопасностью информации.
1.5. В целях настоящего Положения термин кибербезопасность включает в себя в том числе понятие информационной безопасности и безопасности информационных технологий в Университете.
1.6. Настоящий документ обязателен для применения во всех подразделениях и всеми должностными лицами в Университете, при обеспечении и управлении кибербезопасностью Университета.
1.7. Положение распространяется на все аспекты деятельности Университета, тем или иным образом влияющие на кибербезопасность активов Университета.
1.8. Действие настоящего документа распространяется на деятельность всех подразделений Университета.
1.9. Требования настоящего документа распространяются на процессы предоставления сервисов в области информационных технологий, включая облачные сервисы, сервисы эксплуатации, технической поддержки, мониторинга и обслуживания сетевой инфраструктуры, вычислительных систем, комплексов и программного обеспечения, предоставляемых пользователям.
2. Нормативные ссылки
2.1. При разработке настоящего Положения использованы следующие нормативные документы:
- Закон Республики Казахстан «Об образовании», № 351-VI ЗРК от 06.2005 г., с изменениями и дополнениями;
- Закон Республики Казахстан «Об авторском праве и смежных правах», № 6-I от 10 июня 1996 года, с изменениями и дополнениями;
- Закон Республики Казахстан «Об информатизации», № 418-V ЗРК от 24 ноября 2015 года, с изменениями и дополнениями;
- Типовые правила деятельности организаций образования, реализующих образовательные программы высшего и (или) послевузовского образования, утвержденный приказом Министра образования и науки Республики Казахстан от 30 октября 2018 года № 595, изменениями и дополнениями;
- Правила организации учебного процесса по кредитной технологии обучения, утверждены Приказом Министра образования и науки Республики Казахстан №152 от 20 апреля 2011 года, с изменениями и дополнениями;
- Приказ Министра образования и науки Республики Казахстан «Об определении минимальных требований к программно-аппаратному комплексу и прикладному программному обеспечению, используемых в организациях образования» № 79 от 2 марта 2020 года.
3. Декларация приверженности руководства Университета
3.1. Руководство Университета осознает важность и необходимость развития и совершенствования мер и средств обеспечения кибербезопасности в контексте развития законодательства и норм регулирования деятельности по защите информации, а также развития защищенных облачных технологий. Соблюдение требований кибербезопасности позволит создать конкурентные преимущества Университета, обеспечить её стабильность, соответствие правовым, регулятивным и договорным требованиям и повышение имиджа.
3.2. Руководство Университета обязуется обеспечивать необходимыми ресурсами на поддержку и модернизацию СУИБ в соответствие с требованиями международных стандартов.
3.3. На Руководство Университета возлагается ответственность за организацию деятельности по обеспечению кибербезопасности, процесса анализа и оценки пригодности системы защиты информации, ее адекватности, результативности и возможностям улучшения.
3.4. Ответственность за реализацию процессов обеспечению кибербезопасности в Университете возлагается на Руководство Университета, Управление информационных технологий (далее – УИТ) и каждого работника Университета.
3.5. Руководство Университета должно обеспечить мотивацию персонала по обеспечению кибербезопасности Университета.
4. Цели и задачи
4.1. Целью обеспечения кибербезопасности (далее также – КБ) является поддержание устойчивого функционирования Университета, защита процессов и активов, принадлежащих Университету, пользователям его программного обеспечения.
4.2. Общими целями Университета являются:
- развитие информационных и облачных технологий в Республике Казахстан;
- расширение количества и улучшение качества оказываемых, образовательных, услуг;
- расширение географии деятельности Университета;
- развитие отношений с партнерами;
- повышение качества управления Университетом посредством использования международных стандартов.
4.3. Целями обеспечения кибербезопасности в Университете являются:
- устойчивое функционирование и развитие Университета, обеспечение непрерывности предоставления образовательных услуг;
- гарантия защищенности процессов и активов, принадлежащих Университету и пользователям его программного обеспечения;
- обеспечение постоянного, открытого, прозрачного управления и контроля процессов обеспечения кибербезопасности.
4.4. Защищенность активов Университета оценивается и обеспечивается по каждому из следующих аспектов:
- доступность;
- целостность;
- конфиденциальность.
4.5. При этом критерием оценки является вероятность, размер и последствия нанесения Университету любого вида ущерба (невыполнение обязательств, финансовые потери, потеря репутации и пр.).
4.6. Целями внедрения СУИБ в Университете являются:
- снижение актуальных рисков КБ и одновременное выполнение требований законодательства и нормативно-правовых актов Республики Казахстан, применением типовых наборов средств защиты информации (далее – СЗИ);
- обеспечение процесса расследования инцидентов, связанных с безопасностью информации, сбора доказательной базы для отстаивания интересов Университета, в том числе в суде;
- определение ответственности между подразделениями Университете за обеспечение КБ.
4.7. Задачами СУИБ в Университете являются:
- определение активов, подлежащих защите;
- защита конфиденциальной информации в соответствии с законодательством Республики Казахстан, а также информации, определенной Университетом, как нуждающейся в ограничении распространения;
- обеспечение выполнения требований нормативно-правовых документов в сфере информационной безопасности Республики Казахстан;
- организация управления рисками, связанными с нарушением безопасности информационных активов Университета, при котором риски постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска, либо имеется четкий план со сроками по их снижению/передаче;
- обеспечение непрерывности деятельности Университета на основе комплекса организационно-методических и технических мероприятий, направленных на минимизацию последствий утраты информационных активов, а также направленных на бесперебойное оказание образовательных услуг;
- управление инцидентами, связанными с безопасностью информации, при этом любой факт (инцидент) нарушения требований по информационной безопасности рассматривается как существенное событие и требует разбирательства;
- противодействие новейшим комплексным угрозам КБ, таким как постоянные угрозы повышенной сложности APT (Advanced Persistent Threat), угрозы нулевого дня (0-day) и т.д.;
- минимизация потерь и скорейшее восстановление инфраструктуры, программных и технических средств, а также информации, вследствие кризисных (нештатных) ситуаций. Расследование причин возникновения таких ситуаций и принятие мер по их предотвращению в будущем;
- регулярная оценка соответствия СУИБ применимым внутренним и внешним требованиям посредством проведения внутренних аудитов, мониторинга эффективности процессов СУИБ, анализа со стороны руководства Университете;
- внедрение корректирующих действий в случае выявления отклонений или несоответствий в работе СУИБ внутренним и внешним требованиям;
- наращивание компетенции УИТ в области кибербезопасности, что позволяет повышать качество услуг, оказываемых Университетом.
4.8. В результате реализации целей КБ и, в частности, целей и задач СУИБ в Университете разработан и внедрен комплекс организационно-методических и технических мероприятий.
4.9. Данные мероприятия являются базовой составляющей обеспечения и управления кибербезопасностью в Университете.
5. Принципы управления кибербезопасностью
5.1. Университет в области кибербезопасности руководствуется следующими основными принципами.
- Законность защиты: защита активов Университета соответствует положениям и требованиям действующих законов и иных нормативных правовых актов Республики Казахстан.
- Системность защиты: системный подход к обеспечению кибербезопасности означает учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения задачи обеспечения кибербезопасности в Университете.
- Комплексность защиты: КБ обеспечивается эффективным сочетанием организационных, методических мер и программно-технических средств. Применение различных средств и технологий защиты процессов и активов снижает вероятность реализации наиболее значимых угроз КБ.
- Непрерывность защиты: означает, что процессы кибербезопасности функционируют на всех этапах работы с активами Университета. В Университете осуществляется постоянный мониторинг и аудит процессов КБ.
- Своевременность: означает упреждающий характер принимаемых мер по обеспечению КБ.
- Гибкость: предполагает, что в процессе эксплуатации активов Университета изменения характеристик, объёма и категорий обрабатываемой информации влекут за собой своевременные и адекватные изменения в структуре управления КБ.
- Непрерывность совершенствования: означает, что меры и средства защиты активов постоянно совершенствуются в соответствии с результатами анализа функционирования структуры КБ, учитывается появление новых способов и средств реализации угроз КБ, а также принимается во внимание имеющийся отечественный и зарубежный положительный опыт в сфере КБ. В процессе непрерывного совершенствования осведомленности работников в части КБ проводится периодическое обучение.
- Документированность: документирование обеспечивает закрепление достигнутого текущего состояния обеспечения кибербезопасности. Любые изменения этого состояния оформляются документально.
- Разумная достаточность и адекватность: принимаемые меры обеспечения кибербезопасности эффективны и соразмерны имеющим место рискам кибербезопасности, связанных с обработкой и характером защищаемых активов, на основании результатов оценки рисков кибербезопасности;
- программно-технические средства и организационные меры, направленные на защиту активов, проектируются и внедряются таким образом, чтобы не повлечь за собой существенное ухудшение основных функциональных характеристик, а также производительности информационных систем и работников Университета.
- Осведомленность о риске кибербезопасности: процессы обеспечения кибербезопасности затрагивают каждого работника Университета, использующего ее информационные активы, и накладывают на него соответствующие обязанности и ограничения.
- Персональная ответственность: означает, что ответственность за обеспечение безопасности активов возлагается на каждого работника в пределах его полномочий. Помимо этого, в УИТ назначены ответственные лица за поддержание процессов обеспечения и управления КБ.
- Минимизация полномочий: любому работнику Университета доступ к информационным активам предоставляется только в том объеме, который необходим ему для выполнения служебных обязанностей. Все операции по предоставлению доступа или назначению полномочий ограничены, контролируются и осуществляются строго в соответствии с установленными процедурами.
- Взаимодействие и сотрудничество: означает, что в коллективе Университета создана благоприятная атмосфера, способствующая осознанной необходимости соблюдения установленных правил и оказания содействия в деятельности подразделений, обеспечивающих кибербезопасность.
- Разделение полномочий по управлению информационными технологиями: в Университете реализована структура управления информационными технологиями, направленная на исключение конфликта интересов и строгое разграничение ответственности при обеспечении функционирования и безопасности информационных активов: разделены обязанности подразделений и работников Университета, осуществляющих администрирование коммуникационного оборудования, средств защиты, и осуществляющих функции мониторинга состояния кибербезопасности и контроля (аудита) выполнения требований кибербезопасности.
- Специализация и профессионализм: означает, что к разработке средств и реализации мер защиты активов привлекаются специализированные организации или работники УИТ, наиболее подготовленные к конкретному виду деятельности по обеспечению кибербезопасности, имеющие опыт практической работы;
- Реализация административных мер и эксплуатация средств защиты информации (активов) осуществляется профессионально подготовленными специалистами УИТ.
- Кадровая политика (подбор персонала, мотивация работников), используемая в Университете, обеспечивает исключение или минимизацию возможностей работников Университета по нарушению системы информационной безопасности.
- Обязательность контроля: неотъемлемой частью работ по обеспечению КБ является оценка эффективности системы защиты. С целью своевременного выявления и пресечения попыток нарушения, установленных правил обеспечения безопасности активов, в Университете определены процедуры постоянного контроля использования систем обработки и защиты информации, а результаты контроля подвергаются регулярному анализу.
- Контроль со стороны руководства: руководство Университета на регулярной основе (не реже одного раза в год) рассматривает отчеты о состоянии кибербезопасности в Университете и фактах нарушений установленных требований, а также общие и частные вопросы кибербезопасности, связанные с использованием технологий повышенного риска или существенно влияющие на бизнес-процессы. Политика кибербезопасности и предложения по ее актуализации рассматриваются Руководством.
- Целевое финансирование мероприятий по обеспечению КБ: ежегодный бюджет Университета предусматривает специальные статьи расходов на обеспечение кибербезопасности.
5.2. Принципы контроля состояния систем обеспечения кибербезопасности:
- Для обеспечения высокого уровня контроля в отношении системы управления кибербезопасностью в Университете на постоянной основе проводится комплексный анализ существующих защитных механизмов и возникающих инцидентов кибербезопасности, а также периодически полный аудит всей системы защиты информации;
- Процесс мониторинга состояния кибербезопасности включает в себя контроль качества функционирования организационных и технических защитных мер, анализ параметров конфигурации и настройки защитных механизмов;
- С целью оперативного выявления инцидентов КБ и действий в информационных системах, которые могут привести к реализации угроз КБ, в Университете определены процедуры мониторинга и анализа данных о зарегистрированных событиях КБ;
- Внутренние и внешние аудиты или самооценки выполняются по возможности силами доверенных подготовленных независимых аудиторов или сотрудниками УИТ. Состав аудиторов определяется перед началом проведения аудита. Аудиторы проводят аудиты, обеспечивая объективность и беспристрастность процесса аудита;
- По результатам аудита уполномоченные работники УИТ и ответственные подразделения Университета в разумные сроки определяют действия, необходимые для устранения обнаруженных несоответствий в процессе аудита и вызвавших их причин.
6. Порядок принятия, утверждения и изменения положения
6.1. Внесение изменений в действующий документ организует руководитель УИТ при наступлении одного из следующих условий:
- при необходимости по результатам анализа рисков, аудитов и проверок соответствия требованиям кибербезопасности;
- при получении сообщения о необходимости внесения изменений в документ от любого участника процесса, обнаружившего несоответствие в нем;
- при получении распоряжения Руководства Университета;
- при проведении организационных и структурных изменений в Университете, затрагивающих процессы управления КБ;
- в связи с внесением изменений в законодательство;
- в связи с внесением изменений во внутренние документы Университета.
6.2. В целях поддержания актуальности и эффективности действий по обеспечению кибербезопасности данный документ должен пересматриваться не реже одного раза в год.
6.3. Ответственный за соблюдение периода пересмотра документа является руководитель УИТ.
6.4. Внесение изменений в положение, его утверждение и порядок принятия осуществляется приказом Ректора университета на основании решения Ученого Совета университета.