Контакт центр
WhatsApp
E-mail
Instagram
Telegram
Telegram

Политика конфиденциальности мобильного приложения Digital East

СОДЕРЖАНИЕ

 

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Назначение документа

 

Политика информационной безопасности (далее - Политика) предназначена для определения целей и требований обеспечения информационной безопасности.

Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным пользователям, целостность - в случае внесения в данные исключительно авторизованных изменений, доступность - обеспечение возможности получения доступа к данным авторизованным пользователям в нужное для них время.

 

1.2. Цель политики конфиденциальности

 

Главной целью, на достижение которой направлены все положения Политики, является надежное обеспечение информационной безопасности мобильного приложения Digital East (далее – Digital East).

Указанная цель достигается посредством обеспечения и постоянного поддержания следующего состояния:

- обеспечения целостности и конфиденциальности информации, хранимой, обрабатываемой на средствах вычислительной техники и передаваемой по каналам связи;

- целостность и аутентичность информации;

- принятия управленческих решений и разработке практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

- разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации.

 

1.3. Задачи Политики

 

Для достижения поставленных целей необходимо решить следующие задачи:

- защита от вмешательства посторонних лиц в процесс функционирования;

- разграничение доступа зарегистрированных пользователей к информации, аппаратными, программными средствами защиты;

- создание отчета действий пользователей при использовании;

- контроль правомерности действий пользователей, путем анализа отчетов действий пользователей, специалистами информационной безопасности;

- контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;

- защита информации от несанкционированной модификации искажения;

- контроль целостности используемых программных средств, а также защиту системы от внедрения вредоносных кодов, включая компьютерные вирусы;

- защиту коммерческой тайны и персональных данных от утечки, несанкционированного разглашения или искажения при ее обработке, хранении и передаче по каналам связи;

- обеспечение аутентификации пользователей, участвующих в информационном обмене;

- своевременное выявление угроз информационной безопасности, причин и условий, способствующих нанесению ущерба;

- создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции.

 

1.4. Пользователи

 

Пользователями являются пользователи мобильных телефонов установившим приложение.

 

1.5. Область распространения

 

Политика распространяется на функционирование всей инфраструктуры DIGITAL EAST.

Политика обязательна для исполнения всеми лицами, работающими с инфраструктурой DIGITAL EAST.

Исполнение требований Политики обеспечивают все лица, работающие с инфраструктурой DIGITAL EAST.

 

1.6. Описание DIGITAL EAST

 

DIGITAL EAST предназначена для обмена информацией между правоохранительными и специальными органами и состоит из центрального ядра (Шлюза и Портала), линий связи и информационных источников.

Шлюз представляет собой систему, которая принимает и распределяет запросы и ответы от пользователей к информационным источникам. Портал является системой, которая отображает запросы пользователей и ответы информационных источников. Часть государственных органов используют собственные системы отображения запросов и ответов, которые подключаются непосредственно к Шлюзу.

Запросы и ответы, и их история хранятся в базе данных DIGITAL EAST. База данных хранит также служебную информацию, как Шлюза, так и Портала.

Все соединения между составными частями производятся с использованием криптографических механизмов защиты.

Информационные источники представляют собой веб-сервисы, принадлежащие специальным и правоохранительным органам Республики Казахстан.

Информационные источники, DIGITAL EAST и пользователи взаимодействуют внутри ЕТС ГО.

Для получения информации из DIGITAL EAST пользователь должен быть зарегистрирован в системе. Для регистрации пользователя заполняются соответствующие заявки. В соответствии с поданной заявкой, каждый зарегистрированный пользователь DIGITAL EAST назначается ролью (дознаватель, следователь, прокурор, судья и др.). Каждый вид роли имеет свои права доступа к получаемой информации. Для однозначной идентификации пользователя используется электронная цифровая подпись Национального удостоверяющего центра Республики Казахстан. Каждый запрос для получения необходимой информации подписывается электронной цифровой подписью пользователя, и каждый ответ запроса подписывается соответствующим государственным органом предоставившим информацию. Ведется учет всех действий зарегистрированных пользователей портала DIGITAL EAST, отправленной и полученной информации.

Все действия пользователей DIGITAL EAST фиксируются и могут быть просмотрены сотрудниками органов прокуратуры и органами национальной безопасности без права корректировки в соответствии законодательством Республики Казахстан, а также в рамках собственных ведомств, действия своих пользователей могут быть просмотрены ответственными лицами соответствующего ведомства, назначенными для мониторинга.

 

1.7. Составные части DIGITAL EAST

 

Из взаимодействия составных частей системы с точки зрения информационной безопасности можно выделить такие элементы, как объекты и субъекты.

К объектам или ресурсам относятся сервера, на которых функционирует DIGITAL EAST. Линии связи от серверов к клиентам: компьютерам и другим информационным системам тоже относятся к объектам, с оговоркой, т.к. граница компетенции и сферы ответственности DIGITAL EAST пролегает до точек подключения к линиям связи. Но логика работы, правила взаимодействия между составными частями DIGITAL EAST заставляет рассматривать линии связи как объекты системы, но с ограниченной ответственностью. Такие же ограничения распространяются на информационные системы источников, принадлежащих другим государственным организациям и несущим свою ответственность за информационную безопасность.

К другим элементам относятся такие объекты, как программный код и базы данных. Данные в базе - это сведения о пользователях, справочники системы, запросы и ответы, отчеты по деятельности.

К субъектам DIGITAL EAST относятся:

1) организация-владелец DIGITAL EAST;

2) государственные, правоохранительные и специальные органы;

3) пользователи, работающие с системой, сотрудники правоохранительных, специальных органов и заинтересованных государственных органов Республики Казахстан;

4) администраторы DIGITAL EAST;

5) администраторы информационных систем-источников;

6) разработчики, программисты и технический персонал сторонних организаций.

 

 

2. МЕТОДОЛОГИЯ И ПРИНЦИПЫ ПОСТРОЕНИЯ ПОЛИТИКИ
БЕЗОПАСНОСТИ

 

Целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в ресурсы DIGITAL EAST.

В общем контексте безопасность связана с защитой ресурсов от угроз, где угрозы классифицированы на основе потенциала злоупотребления защищаемыми активами.

Политика основывается на модели, которая рассматривает три основных субъекта - владельца, службу информационной безопасности собственника, нарушителя.

В основу разработки и практической реализации Политики положены следующие принципы:

1) Невозможность миновать защитные средства;

2) Усиление самого слабого звена;

3) Недопустимость перехода в открытое состояние;

4) Минимизация привилегий;

5) Разделение обязанностей;

6) Многоуровневая защита;

7) Разнообразие защитных средств;

8) Простота и управляемость информационной системы;

9) Обеспечение всеобщей поддержки мер безопасности.

 

 

3. УПРАВЛЕНИЕ АКТИВАМИ

 

Все основные информационные активы учтены и закреплены за ответственными сотрудниками отдела информатизации и информационной безопасности КПСиСУ.

 

3.1. Классификация ресурсов

 

1. Инвентаризация ресурсов;

2. Классификация информации.

 

3.1.1. Инвентаризация ресурсов

 

В информационной системе следующие виды активов:

- информационные ресурсы: базы данных, системная документация, архивы информации;

- программные ресурсы: приложение, операционные системы, прикладное программное обеспечение, средства разработки;

- физические ресурсы: средства вычислительной техники входящей в состав DIGITAL EAST, коммуникационное оборудование и другие оборудования.

 

3.1.2. Квалификация информации

 

Информация, запрашиваемая посредством портала DIGITAL EAST, предоставляется в рамках уголовных, административных, гражданских делопроизводств, исполнения судебных решений и прочих функциональных обязанностей сотрудников правоохранительных и специальных органов РК.

В DIGITAL EAST предусмотрены механизмы классификации информации по уровню защищенности в соответствии с законодательными актами РК. Уровень конфиденциальности запрашиваемой информации классифицируется по следующим основаниям:

1. первичная проверка - служебная информация не несущая никакой опасности при ее раскрытии;

2. уголовное дело, книга учета заявлений, административное дело, гражданское дело, исполнение судебных актов, проверка субъектов государственным органом - информация закрытого типа, не предоставляется разглашению, если это не соответствует нормам законодательства Республики Казахстан, запрашиваемая в рамках соответствующих уголовных, административных и др. дел;

3. санкционированная информация - информация закрытого типа, которая в соответствии с законодательством Республики Казахстан представляет собой тайну (банковскую, коммерческую и др.). Запрос на получение такой информации согласуется (санкционируется) с уполномоченным лицом (прокурор или судья).

 

 

4. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ DIGITAL EAST,
МЕТОДЫ И СРЕДСТВА

 

В Концепции информационной безопасности Республики Казахстан (далее - Концепция), утвержденной Указом Президента Республики Казахстан «О Концепции информационной безопасности Республики Казахстан» № 199 от 10 октября 2006 года, определены основные угрозы информационной безопасности, их виды, направления и возможные источники исхода/возникновения.

Основными действиями, которые производятся с информацией и могут содержать в себе угрозу, являются сбор, модификация, утечка и уничтожение данных. Эти действия являются базовыми для дальнейшего рассмотрения.

В Концепции определены основные виды угроз информационной безопасности, порождающие их действия, их источники.

Практически все они в явном или неявном виде присутствуют в DIGITAL EAST и могут быть представлены следующим образом.

Придерживаясь принятой в Концепции классификации, все источники угроз DIGITAL EAST разделяются на внешние и внутренние.

 

Источниками внутренних угроз являются:

1. сотрудники организации;

2. программное обеспечение;

3. аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

1. ошибки пользователей и системных администраторов;

2. нарушения сотрудниками установленных регламентов сбора, обработки, передачи и уничтожения информации;

3. ошибки в работе программного обеспечения;

4. отказы и сбои в работе компьютерного оборудования.

 

К внешним источникам угроз относятся:

1. компьютерные вирусы и вредоносные программы;

2. организации, службы и отдельные лица;

3. стихийные бедствия.

 

Формами проявления внешних угроз являются:

1. заражение компьютеров вирусами или вредоносными программами;

2. несанкционированный доступ к корпоративной информации;

3. информационный мониторинг со стороны разведывательных и специальных служб;

4. аварии, пожары, техногенные катастрофы.

 

4.1. Режим обеспечения информационной безопасности

 

С целью повышения уровня информационной безопасности в КПСиСУ вводятся режимные меры, предписывающие соблюдение требований по защите информационных активов, изложенных в настоящей политике информационной безопасности.

Для достижения этих целей рекомендуется обеспечить:

- обучение сотрудников правилам информационной безопасности;

- определение правил реагирования сотрудников на события, несущие угрозу безопасности;

- в обязанности сотрудников вменить обязательное уведомление об обнаруженных инцидентах и слабых местах в системе безопасности;

- определение ответственности за нарушение режима информационной безопасности.

Все должностные лица и сотрудники КПСиСУ обязаны строго соблюдать установленные режимные меры по обеспечению информационной безопасности.

 

4.2. Методы и средства информационной безопасности DIGITAL EAST

 

Обеспечение информационной безопасности DIGITAL EAST реализуется следующими формами защиты:

1. правовой;

2. организационной;

3. программно-аппаратной.

Более подробная информация представлена в нормативно-технической документации DIGITAL EAST, памятке для работы системного администратора и др.

 

4.3. Инфраструктура информационной безопасности

 

Для обеспечения информационной безопасности КПСиСУ развернута соответствующая инфраструктура. Инфраструктура информационной безопасности КПСиСУ состоит из следующих пользователей:

- Руководство КПСиСУ;

- Отдел информатизации и информационной безопасности КПСиСУ;

- Служба Техподдержки.

Детальное описание инфраструктуры указано в регламенте обязанностей сотрудников КПСиСУ.

 

 

5. ТРЕБОВАНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

5.1. Основные принципы обеспечения информационной безопасности

 

Своевременность обнаружения проблем. Служба техподдержки должна своевременно обнаруживать проблемы, потенциально способные повлиять на бизнес-процессы.

Прогнозируемость развития проблем. Техподдержка должна выявлять причинно-следственную связь возможных проблем и строить на этой основе прогноз их развития.

Оценка влияния проблем на бизнес-процессы. Техподдержка должна адекватно оценивать степень влияния выявленных проблем на бизнес-процессы.

Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.

 

5.2. Требования к обучению и осведомленности в вопросах информационной безопасности

 

Все сотрудники, пользователи и лица, работающие с DIGITAL EAST, должны ознакомиться и принять пользовательское соглашение DIGITAL EAST, в ином случае работа с DIGITAL EAST запрещается.

 

5.3. Требования по аутентификации пользователей в DIGITAL EAST

 

Все пользователи, работающие в DIGITAL EAST, проходят безопасную аутентификацию, посредством использования электронной цифровой подписи Национально удостоверяющего центра Республики Казахстан.

 

5.4. Требования к защите информации от несанкционированного доступа

 

Защита от несанкционированного доступа (далее - НСД) обеспечивается:

- возможностью идентификации на цифровых сертификатах инфраструктуры открытых ключей;

- авторизацию пользователей для доступа к информационно-вычислительным ресурсам системы, требующим наличия соответствующих разрешений;

- персонифицированное определение прав на ввод, просмотр данных;

- персонифицированное определение прав на доступ к системным ресурсам;

- аудит событий по зарегистрированным пользователям;

- реализация в информационной системе функций распределения пользователей по группам и присвоение им соответствующих прав доступа;

- защищенные каналы связи ЕТС ГО;

 

5.5. Общие требования конфиденциальности

 

Главным требованием конфиденциальности информации - является обеспечение предоставления информации только авторизированным пользователям.

Подключения пользователей на всех уровнях к DIGITAL EAST фиксируются в полном виде с сохранением данной информации.

При работе с DIGITAL EAST должна исключаться возможность наблюдения за отображаемой информацией посторонними лицами.

При работе DIGITAL EAST должны использоваться специальные лицензионные программные или аппаратные средства, обеспечивающие защиту от вредоносных программ, вирусов и сетевых атак.

 

5.6. Требования к резервному копированию и восстановлению

 

Резервному копированию подлежит СУБД и прикладное ПО DIGITAL EAST;

Резервное копирование СУБД должно производиться еженедельно.

Резервное копирование программного обеспечения ИС (Лог файлы ПО ИС) производится сотрудником Техподдержки ежемесячно или по мере заполнения дискового пространства более чем 85%. Лог файлы ИС копируются с помощью средств ОС на съемный носитель.

Носители с данными СУБД должны храниться в сейфе.

 

5.7. Требования к отказоустойчивости

 

В случае возникновения внештатной ситуации произошедшей с производственным сервером DIGITAL EAST восстановление должно быть произведено в течение не более суток.

 

5.8. Требования по бесперебойному питанию

 

Бесперебойное электропитание обеспечивается источником бесперебойного питания (ИБП) необходимой мощности.

 

5.9. Требования по обеспечению резервирования, резервного оборудования и дублирования мощностей

 

Система хранения данных для центрального узла должна предусматривать автоматический периодический контроль целостности дисков, анализ плохих секторов, проверку состояния резервных батарей, без вмешательства администратора и без влияния на работу пользователей.

Система хранения данных для центрального узла должна обеспечивать возможность «горячей» замены дисков.

Для эффективности и надежности работоспособности DIGITAL EAST, при кризисных и внештатных ситуациях, сбоях работы основного оборудования, предусмотрено резервное оборудование системы. Резервное оборудование системы должно размещаться в отдельном здании от основного оборудования. Резервное оборудование и помещение для резервного центра должны отвечать тем же техническим характеристикам, что и для основного оборудования и помещения. На регулярной основе все части резервного оборудования должны подвергаться тестированию, чтобы в случае необходимости, была возможность переключиться на резервное оборудование.

Весь технологический процесс диагностики и мониторинга резервного оборудования должен быть задокументирован. А также должны проводиться работы по плановому переходу на резервное оборудование при внештатных ситуациях, вестись соответствующий журнал.

 

 

6. МЕРЫ ПО РЕАЛИЗАЦИИ ПОЛИТИКИ

 

6.1. Защита информации, отображаемой на мониторе средств вычислительной техники

 

Защита достигается путем ограничения физического доступа к средствам отображения информации, исключения наблюдения за отображаемой информацией посторонними лицами.

 

6.2. Защита от ошибок программно-аппаратных средств

 

С целью проверки работоспособности, перед вводом в эксплуатацию программные продукты и аппаратные средства подлежат тестированию в условиях приближенных к реальным условиям, а также проводится проверка на совместимость с другими устройствами и компонентами системы. Не пригодные к использованию программное обеспечение и аппаратные средства в эксплуатацию не принимаются.

 

6.3. Защита от некомпетентного использования, настройки или неправомерного отключения средств защиты

 

Средства защиты корпоративной вычислительной сети, в частности DIGITAL EAST вводятся в эксплуатацию, сопровождаются и используются в соответствии с установленным регламентом. Сопровождением серверов DIGITAL EAST занимается отдел информатизации и информационной безопасности КПСиСУ. Все действия персонала по сопровождению регламентированы. При нарушении регламента причастные сотрудники привлекаются к ответственности.

 

6.4. Защита от частичного или полного отказа СВТ или разрушению аппаратных, программных, информационных ресурсов

 

Частичный, полный отказ СВТ, а также разрушение аппаратных, программных, информационных ресурсов в КПСиСУ может возникнуть в результате возникновения аварий, стихийных бедствий и иных внештатных ситуаций. На такие случаи в КПСиСУ предусматриваются соответствующие меры защиты и План обеспечения непрерывной работы и восстановления.

Разрабатывается План обеспечения непрерывной работы и восстановления.

 

6.5. Защита от действий вредоносных программ, вирусов

 

В целях защиты от действий вредоносных программ и вирусов в Организации используются «иммуностойкие» программные средства, защищенные от возможности несанкционированной модификации, специальные программы-анализаторы, осуществляющие постоянный контроль за возникновением отклонений в деятельности прикладных программных продуктов, периодическую проверку наличия возможных следов вирусной активности, а также входной контроль новых программ перед их использованием.

Организационные меры включают в себя разработку нормативных правовых актов Организации, регламентирующие эту деятельность и проведение работ в соответствии с ними.

 

 

7. ОРГАНИЗАЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Данный раздел направлен следующим вопросам:

- обсуждение вносимых в политику изменений, утверждение новой версии политики, согласование списков ответственных лиц;

- мониторинг и анализ важных изменений в структуре информационных ресурсов на предмет выявленных новых угроз;

- изучение и анализ инцидентов нарушения информационной безопасности.

 

7.1. Пересмотр политики информационной безопасности

 

Проведение планового аудита информационной безопасности является одним из основных методов проверки эффективности мер по защите информации. Результаты аудита могут служить основанием для пересмотра некоторых положений Политики и внесения в них необходимых корректировок.

Целесообразно ежегодно проводить аудит информационной безопасности системы DIGITAL EAST, и должен проводиться пересмотр Политики, на предмет соответствия предъявляемым требованиям. В случае возникновения необходимости, при выявлении в процессе аудита несоответствия современным требованиям вносить изменения и дополнения.

Кроме этого, используемые информационные технологии и организация служебной деятельности непрерывно меняются, это приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности.

Пересмотр политики информационной безопасности DIGITAL EAST должен осуществляться в соответствии с руководством по реализации Государственного стандарта Республики Казахстан СТ РК ИСО/МЭК 17799-2006 и др.

 

7.2. Контроль на соответствие требованиям информационной безопасности

 

Для поддержания требуемого уровня информационной безопасности необходимо осуществлять постоянный контроль эффективности принимаемых мер защиты.

Ответственность за контроль эффективности принимаемых мер защиты несут владельцы защищаемых ресурсов и должностные лица инфраструктуры информационной безопасности, в том числе руководство КПСиСУ.

Планирование и непосредственное осуществление контроля состояния информационной безопасности возлагается на администраторов DIGITAL EAST. Более детальное описание распределения обязанностей и границ ответственностей сотрудников по информационной безопасности указаны в должностных инструкциях, отдельных распоряжениях и др. документах соответствующего подразделения.

Контроль требований настоящей политики информационной безопасности на соответствие требованиям информационной безопасности осуществляет уполномоченный орган в области информационной безопасности.

Основными механизмами контроля эффективности принимаемых мер защиты являются мониторинг и аудит информационной безопасности DIGITAL EAST.

 

7.3. Аудит информационной безопасности DIGITAL EAST

 

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. Для оценки рисков ИБ и принятия мер, необходимых для управления этими рисками, должна быть разработана методика проведения аудита и расчета рейтинга по обеспечению информационной безопасности в DIGITAL EAST.

Аудит может проводиться аудиторами КПСиСУ или внешними организациями.

Основными методами получения свидетельств аудита ИБ являются:

- проверка документов, касающихся обеспечения ИБ и отражающих принципы, положения и требования стандартов Республики Казахстан по информационной безопасности;

- проверка (с помощью наблюдения) выполнения сотрудниками проверяемой организации существующих политик ИБ организации;

- проверка прикладного программного оборудования, компонентов и технического оборудования;

- устный опрос сотрудников проверяемой организации и независимой (третьей) стороны.

 

7.4. Мониторинг информационной безопасности

 

Для постоянного контроля требований принятой политики информационной безопасности DIGITAL EAST, своевременного обнаружения и регистрации отклонений, защитных мер от требований ИБ, администраторами DIGITAL EAST должен проводиться мониторинг информационной безопасности:

- мониторинг событий нарушения ИБ, поступающих от средств защиты (сетевые атаки, обнаружение вирусов, регистрация попыток НСД и т.д.). Этот вид мониторинга позволяет реагировать и блокировать атаки сразу же по их обнаружению и за счет этого предотвращать или снижать возможный ущерб от их реализации;

Основными целями мониторинга ИБ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных для осуществления:

- контроля за реализацией требований политики информационной безопасности DIGITAL EAST;

- контроля за реализацией положений государственных нормативных актов по обеспечению ИБ в Портале;

- выявления нештатных (или злоумышленных) действий в Портале;

- выявления потенциальных нарушений ИБ;

- своевременного выявления и блокирования угроз.

Для целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные программные средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т.п.

 

 

8. ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

 

Сокращения, термины и определения, используемые в данном документе

Основные термины и определения, используемые в Политике информационной безопасности «Системы информационного обмена правоохранительных и специальных органов» (далее - DIGITAL EAST), приведены согласно стандартам СТ РК 34.007-2002, СТ РК 34.006-2002 и СТ РК 34.005-2002.

 

Термин

Определение

КПСиСУ

Комитет по правовой статистике и специальным учетам Генеральной прокуратуры Республики Казахстан являющийся владельцем DIGITAL EAST и/или обеспечивающий управление, разработку и сопровождение DIGITAL EAST, а также ответственный за обеспечение информационной безопасности

Информационная система

совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации информационных процессов

Информационные процессы

Процессы, в том числе и технологические процессы создания, сбора, обработки, накопления, хранения, поиска, передачи, использования и распространения информации с использованием информационных технологий.

Информационная безопасность

Состояние защищенности государственных информационных ресурсов и систем, обеспечение конфиденциальности, целостности и доступности информации;

Информационные ресурсы

Электронная систематизированная информация (информационные базы данных), содержащаяся в информационных системах, объединенная соответствующим программным обеспечением и представляющая интерес для пользователей информации.

Информационные услуги

Деятельность по предоставлению информационных ресурсов, информационных систем пользователям по их запросам или по соглашению сторон.

Информация с ограниченным доступом

Информация, для которой установлен специальный режим распространения, сбора, обработки и использования.

Конфиденциальность информации

Обеспечение предоставления информации только авторизированным лицам.

Конфиденциальная информация

Информация, предоставляемая только авторизированным лицам, не составляющая государственные секреты, но содержащая сведения, доступ к которым ограничен в соответствии с законодательством Республики Казахстан.

Корпоративная вычислительная сеть

Совокупность информационных систем, компьютеров, кабелей, сетевых адаптеров, объединенных в единую сеть и эксплуатируемых.

Аутентификация

Подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа, реализованными в информационной системе.

Администратор безопасности информационных систем

Работник, обеспечивающий исполнение мер по информационной безопасности;

Атака

Несанкционированная деятельность с вредоносными намерениями, использующая специально разработанный программный код или специальные методики

Авторизация

Процесс предоставления определенному лицу прав на выполнение некоторых действий.

Активы информационной системы

Информационные, технические, программные и другие ресурсы, входящие в состав информационной системы.

База данных (БД)

Упорядоченная совокупность данных и структур их хранения, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, и предназначенная для обработки с помощью средств вычислительной техники

Единая транспортная среда

Межведомственная информационно-коммуникационная сеть, предназначенная для обеспечения взаимодействия электронных информационных ресурсов и информационных систем «электронного правительства».

Пользователи DIGITAL EAST

Лица, работающие с информацией или другими объектами, относящимися к инфраструктуре DIGITAL EAST.

Несанкционированный доступ к информации

Получение защищаемой информации, заинтересованным субъектом, с нарушением установленных правовыми документами правил доступа к ней

Средства криптографической защиты информации

Средства, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности

Служба Техподдержки

Структурное подразделение КПСиСУ, а также обслуживающая на договорной основе организация, отвечающая за: электроснабжение, техническое сопровождение и обслуживание каналов связи, функционирование компьютерного оборудования и базового программного обеспечения, сопровождение программного обеспечения, информационную безопасность.

Средства вычислительной техники

Технические или программные средства, используемые для обработки, хранения и передачи информации, к которым относятся персональные компьютеры, серверное оборудование, активное сетевое оборудование, а также их периферийное оборудование и программное обеспечение.

Угрозы информационной безопасности

Совокупность причин, условий и факторов, создающих опасность для объектов информационной безопасности, реализация которых может повлечь нарушение прав, свобод и законных интересов юридических и физических лиц в информационных процессах

 

 

9. ПЕРЕЧЕНЬ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ

 

Перечень использованных нормативно-правовых актов:

1. Закон Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» (с изменениями и дополнениями по состоянию на 21.07.2011 г.)

2. Закон Республики Казахстан от 15 марта 1999 года № 349-I «О государственных секретах» (с изменениями и дополнениями по состоянию на 05.07.2011 г.)

3. Закон Республики Казахстан от 26 июня 1998 года № 233-I «О национальной безопасности Республики Казахстан» (с изменениями и дополнениями по состоянию на 11.12.2009 г.)

4. Указ Президента Республики Казахстан от 14 ноября 2011 года № 174 «О Концепции информационной безопасности Республики Казахстан до 2016 года».

5. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006. 219 с.

6. Методы обеспечения защиты. Свод правил по управлению защитой информации. СТ РК ИСО/МЭК 17799-2006. 120 с.

7. Методы и средства обеспечения безопасности системы управления информационной безопасностью. Требования. СТ РК ИСО/МЭК 27001-2008. 43 с.

8. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем. СТ РК 34.022-2006. 30 с.

9. Защита от несанкционированного доступа к информации. Общие технические требования. СТ РК ГОСТ Р 50739-2006. 12 с.

10. Средства обеспечения. Свод правил по управлению защитой информации. СТ РК ИСО/МЭК 27002-2009, 246 с.


×

График приема граждан

×

График приема граждан

Посмотреть ответ на обращение

Подать обращение

Если Вы поставите отметку в поле "Публичный вопрос", то Ваше обращение будет доступно на странице "Вопрос - ответ"

Заказать обратный звонок

9:00 18:00