On approval of uniform requirements in the field of information and communication technologies and information security

Decree of the Government of the Republic of Kazakhstan dated December 20, 2016 № 832.

      Unofficial translation

      In accordance with subparagraph 3) of article 6 of the Law of the Republic of Kazakhstan dated November 24, 2015 On Informatization, the Government of the Republic of Kazakhstan hereby RESOLVES:

      1. To approve the attached uniform requirements in the field of information and communication technologies and ensuring information security (hereinafter - the uniform requirements).

      2. To recognize as invalid some decisions of the Government of the Republic of Kazakhstan in accordance with the appendix to this resolution.

      3. This resolution shall be enforced upon expiry of ten calendar days after the date of its first official publication.

      Paragraph 140 of the uniform requirements is valid until January 1, 2018.

      Prime Minister
      of the Republic of Kazakhstan B. Sagintayev

  Approved By
Order No. 832 of the Government
of the Republic of Kazakhstan
dated December 20, 2016

Uniform requirements in the field of information and communication technologies and information security Chapter 1. General Provisions

      1. Unified requirements in the field of information and communication technologies and ensuring information security (hereinafter referred to as UR) have been developed in accordance with subparagraph 3) of Article 6 of the Law of the Republic of Kazakhstan "On Informatization" (hereinafter referred to as the Law) and shall determine the requirements in the field of information and communication technologies and ensuring information security.

      Footnote. Paragraph 1 - as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      2. UR provisions related to information security shall be mandatory for application by state bodies, local executive bodies, state legal entities, quasi-public sector entities, owners and holders of non-state information systems, integrated with information systems of state bodies or intended for the formation of state electronic information resources, also owners and holders of critical information and communication infrastructure facilities.

      3. The provisions of the UR shall not apply to:

      1) relations arising from the implementation by the National Bank of the Republic of Kazakhstan and organizations that are part of its structure, work on the creation or development, operation of Internet resources, information systems that are not integrated with the objects of the information and communication infrastructure of "electronic government", local area networks and networks telecommunications, as well as procurement of goods, works and services in the field of informatization;

      2) secure information systems classified as state secrets in accordance with the legislation of the Republic of Kazakhstan on state secrets, as well as special purpose telecommunications networks and/or presidential, government, classified, encrypted and coded communications;

      3) relations arising from the implementation by the authorized body for regulation, control and supervision of the financial market and financial organizations of work on the creation or development of information systems that are integrated with the information systems of the National Bank of the Republic of Kazakhstan, which are not integrated with the objects of the information and communication infrastructure of "electronic government";

      4) organizations in cases where the implementation of such provisions leads to a violation of paragraph 4 of Article 50 of the Law of the Republic of Kazakhstan "On banks and banking activities in the Republic of Kazakhstan".

      Footnote. Paragraph 3 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      4. The purpose of the UR is to establish requirements in the field of information and communication technologies and information security that are binding to state bodies, local authorities, state legal entities, quasi-public sector entities, owners and holders of non-state information systems integrated with information systems of state bodies or intended for the formation of state electronic information resources, also to the owners and holders of critical information and communication infrastructure facilities.

      5. The tasks of UR are:

      1) determination of the principles of organization and management of the informatization of state bodies for solving current and strategic tasks of public administration;

      2) determination of uniform principles for ensuring and managing information security of objects of informatization of "electronic government";

      3) establishment of requirements for the unification of the components of information and communication infrastructure facilities;

      4) the establishment of requirements for the structuring of the information and communication infrastructure and the organization of server rooms;

      5) establishment of the obligation to apply the recommendations of standards in the field of information and communication technologies and information security at all stages of the life cycle of objects of informatization;

      6) increasing the level of security of state and non-state electronic information resources, software, information systems and the information and communication infrastructure supporting them.

      Footnote. Clause 5 as amended by the Decree of the Government of the Republic of Kazakhstan No. 1047 dated December 31, 2019 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); No. 12 dated January 18, 2021 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      6. For the purposes of these URs, the following definitions are used:

      1) marking of an asset associated with information processing facilities - the application of symbols, letters, numbers, graphic signs or inscriptions on an asset for its further identification (recognition), the indication of its properties and characteristics;

      2) means of cryptographic information protection (hereinafter referred to as MCIP) - software or a hardware-software complex that implements algorithms for cryptographic transformations, generation, formation, distribution or management of encryption keys;

      3) assets associated with information processing facilities (hereinafter referred to as Asset) - a tangible or intangible object that is information or contains information, or is used to process, store, transfer information and is of value to the organization in the interests of achieving the goals and continuity of its activities;

      4) technical documentation on information security (hereinafter referred to as TD IS) - documentation that establishes policies, rules, and protective measures related to the processes of ensuring IS of informatization objects and (or) organizations;

      5) monitoring of information security events (hereinafter referred to as IS events monitoring) - constant monitoring of the informatization object to detect and identify information security events;

      6) scalability - the ability of an informatization object to provide the possibility of increasing its performance as the volume of processed information and (or) the number of simultaneously working users grows;

      7) software robot - software of a search engine or monitoring system that performs automatically and (or) according to a given schedule browsing web pages, reading and indexing their content, following the links found in web pages;

      8) unloaded (cold) redundancy of equipment - the use of additional server and telecommunications equipment, software prepared for operation and in an inactive mode for prompt restoration of an information system or an electronic information resource;

      9) loaded (hot) redundancy of equipment - the use of additional (redundant) server and telecommunications equipment, and software and keeping them in active mode to flexibly and promptly increase the throughput, reliability and fault tolerance of an information system, an electronic information resource;

      10) workstation - a stationary computer as part of a local area network, designed to solve applied tasks;

      11) system software - a set of software to ensure the operation of computing equipment;

      12) Internet browser - application software designed to visually display the content of Internet resources and interactively interact with it;

      13) encrypted communication - secure communication using documents and coding techniques;

      14) multi-factor authentication - a method of user authentication using a combination of various parameters, including the generation and input of passwords or authentication features (digital certificates, tokens, smart cards, one-time password generators and biometric identification tools);

      15) cross room - a telecommunications room designed to accommodate connecting, distribution points and devices;

      16) application software (hereinafter referred to as AS) - a software package for solving an applied problem of a certain class of subject area;

      17) classified communication - secure communication using classified equipment;

      18) server center of state bodies (hereinafter referred to as the server center of SB) - a server room (data processing center), the owner or owner of which is the operator of the information and communication infrastructure of "electronic government", intended to accommodate objects of informatization of "electronic government";

      19) event logging - the process of recording information about software or hardware events occurring with the informatization object in the event log;

      20) server room (data processing center) - a room designed to accommodate server, active and passive network (telecommunication) equipment and equipment of structured cable systems;

      21) a local area network of an external loop (hereinafter referred to as LAN of an external loop) - a local area network of subjects of informatization, determined by an authorized body, assigned to the outer loop of the telecommunications network of subjects of informatization, having a connection to the Internet, access to which for subjects of informatization is provided by telecom operators only through single gateway access to the Internet;

      22) terminal system - a thin or zero client for working with applications in a terminal environment or programs - thin clients in a client-server architecture;

      23) time source infrastructure - a hierarchically connected server equipment using a network time synchronization protocol that performs the task of synchronizing the internal clocks of servers, workstations and telecommunications equipment;

      24) government communications - special secure communications for the needs of public administration;

      25) organization - a state legal entity, a subject of the quasi-public sector, the possessor and owner of non-state information systems integrated with the information systems of state bodies or intended for the formation of state electronic information resources, as well as the possessor and owner of critical information and communication infrastructure facilities;

      26) federated identification - a set of technologies that allows using a single user name and authentication identifier to access electronic information resources in systems and networks that have established trust relationships;

      27) encrypted communication - secure communication using manual cyphers, encryption machines, linear encryption equipment and special computer equipment;

      28) internal loop local area network (hereinafter referred to as internal loop LAN) - a local area network of informatization subjects, determined by the authorized body, related to the inner loop of the telecommunications network of informatization subjects, having a connection with a single transport environment of state bodies;

      29) external gateway of "electronic government" (hereinafter referred to as EGEG) - a subsystem of the gateway of "electronic government", designed to ensure the interaction of information systems located in the SB UTE with information systems located outside the SB UTE;

      30) internal audit of information security - an objective, documented process of monitoring the qualitative and quantitative characteristics of the current state of information security of informatization objects in an organization, carried out by the organization itself in its interests;

      31) firewall - a hardware-software or software complex that operates in the information and communication infrastructure, which monitors and filters network traffic in accordance with specified rules;

      32) subjects of informatization, determined by the authorized body - state bodies, their subordinate organizations and LEBs, as well as other subjects of informatization using a single transport environment of state bodies for the interaction of local (except for local area networks with access to the Internet), departmental and corporate networks.

      Footnote. Paragraph 6 - as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      6-1. Digitalization of civil defence and LEB as part of digital transformation shall be carried out by creating and developing objects of informatization of "electronic government" or by acquiring objects of informatization of "electronic government" or information and communication services in accordance with the architecture of "electronic government", including taking into account:

      1) platforming - the formation and continuous development of interdepartmental centralized technological platforms for the information and communication infrastructure of "electronic government" and tools for solving common technical problems within various branches (areas) of public administration;

      2) universality of solutions - determination and ensuring the use of ready-made software and service software products for solving typical applied problems and automating typical supporting state functions;

      3) component building solutions - ensuring the development and implementation of individual standard components of the "electronic government" informatization objects in the format of microservices, which are planned, developed and implemented iteratively, gradually providing parts of the functionality of the entire solution and the benefits of its use;

      4) effectiveness - extracting the maximum benefit from the use of "electronic government" informatization objects, reducing costs and risks by optimizing structural components and costs;

      5) optimization of technical diversity - ensuring the reasonable use of free software and the systematic management of technical diversity.

      Footnote. Paragraph 1 is supplemented by paragraph 6-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      7. For the purposes of these URs, the following abbreviations shall be used:

      1) HSC – hardware and software complex;

      2) IS - information security;

      3) IS - information system;

      4) ICI - information and communication infrastructure;

      5) ICT - information and communication technologies;

      6) SW- software;

      7) LEB - local executive bodies;

      8) FS –free software;

      9) UIAG- unified Internet access gateway;

      10) IR – Internet resource;

      11) SB - the central executive body, the state body directly subordinate and accountable to the President of the Republic of Kazakhstan, territorial units of the department of the central executive body;

      12) SB UTM - unified transport medium of state bodies;

      13) SB UPIR – unified platform of Internet resources of state bodies;

      14) - excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      15) EIR - electronic information resources;

      16) EG ICP - information and communication platform of "electronic government";

      17) EDS - electronic digital signature.

      Footnote. Paragraph 7 as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication); dated 10.02.2023 No. 112 (shall be enforced from 01.01.2023).

      7-1. Platforming shall be based on the following requirements:

      1) implementation of the creation and development of solutions based on the technological platforms of the information and communication infrastructure of "electronic government" and (or) the use of the functionality of the technological platforms of the information and communication infrastructure of "electronic government";

      2) exclusion of components that duplicate the functionality of the technological platforms of the information and communication infrastructure of "electronic government";

      3) ensuring the automation of the processes of performing state functions and the services arising from them using technological platforms of the information and communication infrastructure of "electronic government".

      Footnote. Paragraph 1 is supplemented by paragraph 7-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

Chapter 2. Requirements for organization and management of informatization and information security Paragraph 1. Requirements for informatization of a state body

      8. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).
      8-1. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      8-2. The versatility of solutions shall be based on the fulfillment of the following requirements:

      1) the use of ready-made software and service software products for automating the processes of performing typical applied tasks and typical supporting state functions;

      2) adaptation of the features of the performance of state functions of a state body to the processes implemented in ready-made software and service software products, without the need to configure and refine the software in the implementation process;

      3) the absence of additional costs of state bodies for the implementation, training of users, the purchase of software and components of the information and communication infrastructure when using service software products.

      Footnote. Paragraph 2 is supplemented by paragraph 8-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).
      9. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      9-1. Component construction of solutions shall be based on the following requirements:

      1) building solutions based on microservice architecture using standard components;

      2) the use of the minimum required set of components to solve the tasks and ensure compliance with the requirements;

      3) exclusion of redundant components that simultaneously automate unrelated specific state functions and (or) typical providing state functions;

      4) ensuring adaptability, scalability and flexibility of the composition, structure and functionality of the components to changes in the legislation of the Republic of Kazakhstan, the priorities of socio-economic development, as well as the composition, structure and powers of state bodies;

      5) full compliance of the components with the goals, objectives and purpose of the "electronic government" informatization object;

      6) ensuring functional independence and lack of duplication of tasks and functionality of components;

      7) the formation of components based on open standards and using a set of standard application programming interfaces (application programming interface, API) provided by the component to third-party solutions to ensure its reuse;

      8) multi-level construction of the architecture by excluding the coverage of solution components simultaneously by several levels of architecture, including presentation levels, business logic and data storage;

      9) ensuring the availability of components for revision and reuse.

      Footnote. Paragraph 2 is supplemented by paragraph 9-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      10. Development of the "electronic government" architecture shall be carried out in accordance with the requirements for development of architecture of "electronic government" approved by the authorized body in accordance with subparagraph 10) of article 7 of the Law.

      10-1. Efficiency shall be based on the fulfillment of the following requirements:

      1) ensuring the maximum quantitative economic effect by reducing costs, ensuring payback and increasing the volume of budget receipts;

      2) focus on meeting the needs of individuals and legal entities, the industry (sphere) of public administration and (or) the state as a whole;

      3) ensuring the consistency of values and units of measurement of indicators of the results of the functioning of objects of informatization of "electronic government" and target indicators of the industry (sphere) of public administration;

      4) ensuring the priority of automation of the processes of performing specific state functions;

      5) sequential iterative creation and development of solutions by introducing part of the solution components with a basic set of functionality, followed by expanding the number of components and (or) increasing the level of their functionality.

      Footnote. Paragraph 2 is supplemented by paragraph 10-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).
      11. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      11-1. Optimization of technical diversity shall be based on the fulfillment of the following requirements:

      1) alienability and independence from the names and versions of software, as well as restrictions on the components of the existing information and communication infrastructure of the state body;

      2) ensuring optimization of the diversity of existing software and simplification of the existing information and communication infrastructure of the state body;

      3) exclusion of restrictions for further development as a result of changing operating conditions and expanding the number of automation objects;

      4) ensuring the use of up-to-date software versions;

      5) implementation of the creation and development of solutions using free software in cases of ensuring the ability of the components of the solution to function without restrictions and the optimal total cost of ownership concerning proprietary licensed software.

      Footnote. Paragraph 2 is supplemented by paragraph 11-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).
      12. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      13. Provision of SB and local authorities with goods, works, services in the field of informatization shall be carried out by procurement, taking into account the conclusion of the authorized body in the field of informatization on the calculations of expenses for public procurement of goods, works and services in the field of informatization submitted by the administrators of budget programs.

      Footnote. Paragraph 13 - as amended by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      13-1. SB and organizations shall place on the architectural portal of "electronic government" information about informatization objects and electronic copies of technical documentation for them in accordance with the rules for recording information about informatization objects of "electronic government" and placing electronic copies of technical documentation of informatization objects of "electronic government".

      The list of technical documentation for the informatization object required for placement shall be determined by the Rules for recording information about the "electronic government" informatization objects and placing electronic copies of the technical documentation for the "electronic government" informatization objects.

      Footnote. Paragraph 2 is supplemented by paragraph 13-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      14. Informatization tasks in the SB or LEB shall be implemented by the information technology unit, which shall:

      1) monitor and analyze the ICT use;

      2) participate in accounting and analysis of the ICT assets use;

      3) develop proposals to the SB strategic plan on informatization;

      4) coordinate works on the creation, maintenance and development of the "electronic government" software;

      5) control the provision by suppliers of the quality of informatization services stipulated by the agreements;

      6) registration and updating of information about objects of informatization of "electronic government" and electronic copies of technical documentation of objects of informatization of "electronic government" on the architectural portal of "electronic government";

      7) transfer to the service integrator of "electronic government" for accounting and storage of the developed software, source program codes (if any), a set of settings for licensed software of objects of informatization of "electronic government";

      8) excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      9) fulfill requirements for information security.

      Footnote. Clause 14 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 10.02.2023 No. 112 (shall be enforced from 01.01.2023).

      14-1. Owners and (or) possessors from the moment of putting into commercial operation the object of informatization of "electronic government" shall ensure the transfer to the operator for accounting and storage of all versions of the developed software, source code (if any), a set of settings for licensed software of objects of informatization of "electronic government" in accordance with the Rules for accounting and storage of developed software, source program codes (if any), a set of settings for licensed software of "electronic government" informatization objects, approved by the authorized body in accordance with subparagraph 31) of Article 7 of the Law.

      Footnote. Paragraph 2 is supplemented by paragraph 14-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      15. The workspace in SB and MPR is organized in accordance with the sanitary rules "Sanitary and Epidemiological Requirements for Administrative and Residential Buildings" approved by the authorized body in the field of sanitary and epidemiological welfare of the population in accordance with paragraph 6 of Article 144 of the Code of the Republic of Kazakhstan dated September 18, 2009 year "On the health of the people and the health care system."

      Footnote. Clause 15 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after its first official publication).

      16. The workplace of a SB and LEB servant shall be equipped with regard to his functional responsibilities and comprise:

      1) a workstation or a unified workstation or terminal system connected to the LAN internal circuit of the SB or LEB. It shall be allowed to equip the workplace with an extra monitor if necessary;

      2) a set of multimedia equipment (headphones, microphone and webcam) for working with multimedia EIR or video conferencing system, if necessary;

      3) telephone or IP telephony device.

      17. Requirements for a unified workplace or terminal system of SB and LEB, as well as components of information and communication infrastructure facilities shall be approved by the authorized body.

      Footnote. Paragraph 17 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      17-1. Compliance of the workplace or terminal system of SB and LEB with the requirements for a unified workplace or terminal system of SB and LEB, approved by the authorized body, is ensured.

      Requirements are updated and updated as needed.

      Footnote. The unified requirements are supplemented by paragraph 17-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      18. When choosing models of procured workstations, the following rules shall be complied with:

      1) the hardware characteristics of workstations meeting or exceeding the system requirements recommended by the developer (manufacturer) of the software used;

      2) workstation configurations are unified to ensure general level of services;

      3) centralized automated distribution of software updates is organized for workstations;

      4) to improve the quality and speed of administration, the number of different hardware-software configurations of workstations is reduced to three types:

      workstation for working with application software;

      high-power workstation for working with graphic packages, modeling software packages and others, used for applications with developed graphics, high requirements for processor performance, random access memory (RAM) and video subsystems amount;

      laptop for mobile users.

      19. For specification of technical requirements, the following key parameters of workstations shall be distinguished:

      1) performance, including:

      processor fast performance parameters;

      the necessary amount of RAM;

      Internal data bus speed;

      graphics subsystem performance;

      performance of input / output devices;

      monitor matrix parameters;

      2) reliability provided through the use of fault-tolerant hardware and software, determined basing on the average no failure operating time;

      3) scalability provided by the architecture and design of the personal computer due to the possibility of increasing:

      processor numbers and performance;

      RAM and external memory volumes;

      capacity of internal drives.

      20. To ensure information security:

      1) the technical documentation on information security shall define:

      ways of placing workstations of SB and LEB servants;

      ways to protect workstations against failures in the power supply system and other breaches caused by failures in the utilities;

      procedures and frequency of workstations maintenance to ensure continuous accessibility and integrity;

      ways to protect the workstations of mobile users outside the SB or LEB, factoring in various external risks;

      methods for guaranteed destruction of information during reuse of workstations or decommissioning of data storage media;

      rules for moving workstations outside the workplace;

      2) accounting of workstations shall be carried out regularly with a configuration check, as well as electronic storage media with unique identifying data;

      3) installation and use at the workstations of remote control software or hardware outside the internal LAN circuit shall be excluded. Remote control inside the LAN internal circuit shall be allowed in cases explicitly provided for in the SB or LEB legal act;

      4) unused input-output ports of workstations and mobile computers of SB and LEB servants shall be disabled or blocked, with the exception of workstations of IS unit staff.

      Footnote. Clause 20 as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      21. The issue of input-output operations with the use of external electronic data storage media at the workstations of SB and LEB servants shall be regulated in accordance with the IS policy adopted by the SB or LEB.

      22. To optimize equipment placement at the SB and LEB servant’s work station, the use of specialized equipment shall be permitted that ensures the use of one unit of a monitor, a manual manipulator (mouse) and a keyboard for several workstations, without using network interfaces.

      23. To use the services of the EG ICP, the workstation connected to the internal circuit LAN of the SB or LEB shall be provided with a network connection to the EG ICP infrastructure.

      24. Processing and storage of service information of the HE and LEB are carried out at workstations connected to the local area network of the internal loop and the external loop of the SB or LEB.

      Service information of SB and LEB with limited access shall be processed at workstations connected to the local area network of the internal loop of SB or LEB and not having an Internet connection.

      Footnote. Paragraph 24 as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      25. Access to the Internet for SB and LEB shall be provided from workstations connected to the LAN of the external circuit of SB and LEB, located outside the sensitive premises, determined in accordance with the Instruction on the protection of state secrets of the Republic of Kazakhstan.

      Footnote. Paragraph 25 as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      25-1. When organizing access to the Internet from local area networks of the external circuit, availability of anti-virus tools and updates of the operating systems at workstations connected to the Internet is mandatory.

      Footnote. Chapter 2 was supplemented with clause 25-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 06/18/2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      26. Telephone service:

      1) shall be both based on digital telephone networks for general use, and IP-telephony technology;

      2) shall provide user switching with telephone network subscribers via the following channels:

      the use of subscriber connections through the existing local network of internal and external circuits and departmental data transmission network;

      the use of communication services of public telephony operator on the E1 stream;

      the use of mobile operators;

      the use of long-distance and international call services.

      27. For conferences, presentations, meetings, teleconference bridges, the SB and LEB conference room shall be equipped with:

      1) sound amplification conference system, with a microphone, loudspeaker at the participant’s place, and light indicator of the participant’s request and presentation.

      2) information input-output device.

      To organize a teleconference with geographically distributed participants who are in other cities or countries, the conference system can be optionally supplemented by the audio and video conferencing system of the EG ICI operator.

      28. Printing service:

      1) is implemented by means of printing, copying and scanning equipment connected to the local network of the SB internal circuit using a network interface or direct connection to the print server;

      2) is provided by software that carries out:

      centralized user and device management;

      accounting of printed documents, copies, e-mailed faxes and scans by user identification numbers with the possibility of distributing costs between departments and users;

      a system of reports graphically illustrating print, copy, and scan activity;

      user identification before the print service use;

      authorization of the SB servant on the printing device in the ways regulated in the IS technical documentation;

      forming a print queue that prints using a single print queue with the ability to receive printed documents on an available print device.

Paragraph 2. Requirements for information security organization

      29. When organizing, providing and managing information security in SB, LEB or organization, it shall be necessary to be guided by the provisions of the standard of the Republic of Kazakhstan ST RK ISO/IEC 27002-2015 "Information technology. Methods and means of ensuring security. Code of rules for information security management tools".

      Footnote. Paragraph 29 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      29-1. To implement the requirements for ensuring information security for the defense of the country and the security of the state, software and products of the electronic industry shall be purchased in the form of goods and information and communication services from the register of trusted software and products of the electronic industry in accordance with the Law and legislation of the Republic of Kazakhstan on public procurement, procurement individual subjects of the quasi-public sector.

      The register of trusted software and products of the electronic industry shall be maintained by the authorized body in the field of electronic industry in accordance with the Rules for the formation and maintenance of the register of trusted software and products of the electronic industry, as well as the criteria for including software and products of the electronic industry in the register of trusted software and electronic products industry, approved by the authorized body in the field of electronic industry in accordance with paragraph 7 of Article 7-6 of the Law.

      Therewith, in the absence of the necessary products in the register of trusted software and products of the electronic industry, it shall be allowed to purchase them in accordance with the legislation of the Republic of Kazakhstan on public procurement, and procurement of individual entities of the quasi-public sector.

      Owners and possessors of software included in the register of trusted software and products of the electronics industry shall ensure the transfer of source program codes to the operator for accounting and storage.

      Footnote. The unified requirements were supplemented by paragraph 29-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      30. To delineate responsibilities and functions in the field of IS maintenance, an IS subdivision shall be created, which is a structural subdivision, separate from other structural subdivisions involved in the creation, maintenance and development of informatization objects, or an official responsible for ensuring IS shall be determined.

      Employees responsible for ensuring information security shall take specialized courses in the field of information security at least once every three years with the issuance of a certificate.

      Footnote. Paragraph 30 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      31. TD IS is created in the form of a four-level system of documented rules, procedures, practices or guidelines, which are guided by the SB, MPR or organization in their activities.

      TD IS is developed in Kazakh and Russian languages, approved by a legal act of the SB, MPR organization and is communicated to all employees of the SB, MPR or employees of the organization.

      TD IS is revised in order to analyze and update the information contained in them at least once every two years.

      Footnote. Clause 31 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      32. The IS policy of the SB, LEB or organization is a first-level document and it shall define goals, objectives, guidelines and practical methods in the field of IS maintenance.

      32-1. The list of internal documents of a financial organization detailing the requirements of the IS policy shall be determined in accordance with the regulatory legal acts of the authorized body for regulation, control and supervision of the financial market and financial organizations that regulate the activities of financial organizations to ensure information security.

      Footnote. The unified requirements are supplemented by paragraph 32-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      33. The list of the second level documents shall comprise the documents detailing the requirements of the IS policy of SB, LEB, or organization, including:

      1) methodology for assessing information security risks;

      2) rules of identification, classification and labeling of assets associated with information processing facilities;

      3) rules of ensuring continuous operation of assets relating to information processing facilities;

      4) rules of inventory and certification of the hardware, telecommunications equipment and software;

      5) rules of conducting IS internal audit;

      6) rules of using data encryption tools;

      7) rules of differentiation of access rights to electronic information resources;

      8) rules of using Internet and email;

      9) rules of organizing authentication procedure;

      10) rules of organizing anti-virus control;

      11) rules of using mobile devices and data storage media;

      12) rules of organizing safeguards of information processing facilities and safe environment for the information resources operation.

      34. Third level documents shall contain description of the processes and procedures for ensuring information security, including:

      1) a catalog of IS threats (risks);

      2) action plan on processing the IS threats (risks);

      3) regulations on the information backup and recovery;

      4) action plan on ensuring continuous operation and restoration of the operability of assets associated with information processing facilities;

      5) the administrator's guide on maintenance of the informatization object;

      6) instruction on the procedure for users to respond to IS incidents and emergency (crisis) situations.

      35. The list of documents of the fourth level includes working forms, journals, applications, protocols and other documents, including electronic ones, used for registration and confirmation of the procedures and works performed, including:

      1) a log of information security incidents and accounting for emergency situations;

      2) a log of visiting server rooms;

      3) report on the assessment of the vulnerability of network resources;

      4) cable connection log;

      5) journal of accounting of backups (backup, recovery), testing of backups;

      6) a logbook for recording changes in the configuration of equipment, testing and recording changes in PPS and FPP, registration and elimination of software vulnerabilities ;

      7) test log of diesel generator sets and uninterruptible power supplies for the server room;

      8) log of testing systems for providing microclimate, video surveillance, fire extinguishing server rooms.

      Footnote. Clause 35 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      36. To ensure the assets security, the following actions shall be taken:

      1) inventory of assets;

      2) classification and labeling of assets in accordance with the classification system adopted by the SB or LEB;

      3) assignment of assets to servants and defining the range of their responsibilities in the IS assets management;

      4) regimentation in the IS TD of:

      the use and return of assets;

      identification, classification and labeling of assets.

      37. In order to manage risks in the field of ICT in a civil society or MPR the following is carried out:

      1) selection of a risk assessment methodology in accordance with the recommendations of the standard of the Republic of Kazakhstan ST RK 31010-2010 "Risk management. Risk assessment methods" and development of a risk analysis procedure;

      2) identification of risks in relation to the list of identified and classified assets, including:

      identification of IS threats and their sources;

      identification of vulnerabilities that can lead to the implementation of threats;

      identification of information leakage channels;

      formation of a model of the intruder;

      3) selection of criteria for accepting identified risks;

      4) formation of a catalogue of IS threats (risks), including assessment (reassessment) of identified risks in accordance with the requirements of the Republic of Kazakhstan ST RK ISO/IEC 27005-2013 "Information technologies. Security methods. Information security risk management";

      5) development and approval of a plan for processing IS threats (risks), containing measures to neutralize or reduce them.

      Footnote. Clause 37 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); No. 12 dated January 18, 2021 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      38. In order to control the events of information security violations in an SB, MPR or organization:

      1) monitoring of events related to IS violation and analysis of monitoring results;

      2) events related to the state of information security are recorded, and violations are identified by analyzing the event logs, including:

      operating system event logs;

      event logs of database management systems;

      anti-virus protection event logs;

      application software event logs;

      event logs of telecommunication equipment;

      event logs of systems for detecting and preventing attacks;

      content management system event logs;

      3) synchronization of the time of event logs with the infrastructure of the time source is provided;

      4) event logs are stored for the period specified in the IS TD, but not less than three years and are available online for at least two months;

      5) logs of events are kept in accordance with the formats and types of records defined in the rules for monitoring information security of objects of informatization of "electronic government" and critical objects of information and communication infrastructure, approved by the authorized body in the field of information security in agreement with the national authorities safety in accordance with subparagraph 7) of Article 7-1 of the Law;

      6) provides protection of event logs from interference and unauthorized access. System administrators are not allowed to have the authority to modify, delete, or disable logs. For confidential IS, the creation and maintenance of a backup storage of logs is required;

      7) implementation of a formalized procedure for informing about information security incidents and responding to IS incidents is ensured.

      Footnote. Clause 38 as amended by the decrees of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 31.12.2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      39. To protect critical processes of SB, LEB or organizations against internal and external threats:

      1) an action plan shall be developed, tested and implemented to ensure continuous operation and restoration of the operability of assets associated with information processing facilities;

      2) instruction shall be communicated to the SB and LEB or organization servants on the procedure for users to respond to IS incidents and in emergency (crisis) situations.

      The action plan for ensuring continuous operation and restoring operability of assets associated with information processing facilities shall be regularly updated.

      40. The functional responsibilities for ensuring IS and obligations to fulfill the requirements of the IS TD for SB and LEB or organization’s servants shall be included in their work descriptions and (or) the employment contract terms.

      Obligations in the IS maintenance, which are in force after termination of the employment contract, shall be fixed in the labor contract of the SB and LEB or organization’s servants.

      41. In the event of involving third-party organizations in maintaining the information security of EIR, information systems, ICI, their owner or holder shall enter into agreements that establish conditions for the operation, access or use of these facilities, and also liability for their violation.

      42. Content of the procedures in dismissal of the SB and LEB or organization’s servants who have obligations in the field of IS maintenance, shall be defined in the IS TD.

      43. Upon dismissal or amending the terms of the employment contract, the right of access of an employee of the SB, MPR or an employee of the organization to information and information processing facilities, including physical and logical access, access identifiers, subscriptions, documentation that identifies him as an active employee of the SB, MPR or an employee of the organization, are canceled after the termination of his employment contract or are changed when changes are made to the terms of the employment contract.

      Footnote. Clause 43 as amended by the Resolution of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      44. The human resources service shall organize and maintain records on the SB and LEB or organization’s servant’s training in the field of informatization and IS maintenance.

      45. When initiating the creation or development of informatization objects of the first and second classes in accordance with the classifier of informatization objects approved by the authorized body in the field of informatization in accordance with subparagraph 11) of Article 7 of the Law (hereinafter referred to as the Classifier), as well as confidential IS, protection profiles shall be developed for composite components and security task in accordance with the requirements of the Republic of Kazakhstan ST RK ISO/IEC 15408-2017 "Information technology. Security methods and means. Criteria for assessing information technology security".

      Footnote. Paragraph 45 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      46. In order to ensure IS during the operation of informatization objects, requirements are established for:

      1) methods of authentication;

      2) applied ISC;

      3) ways to ensure availability and fault tolerance;

      4) monitoring of information security, protection and safe operation;

      5) the use of information security tools and systems;

      6) registration certificates of certification centers.

      Footnote. Clause 46 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 06/18/2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      46-1. For signing, the objects of informatization of "electronic government" use registration certificates of accredited certification centers in accordance with the Rules for issuing and revoking a certificate of accreditation of certification centers, approved by the authorized body in accordance with subparagraph 2) of paragraph 3 of Article 5 of the Law of the Republic of Kazakhstan "On electronic document and electronic digital signatures".

      Footnote. Paragraph 2 is supplemented by paragraph 46-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      47. When accessing objects of informatization of the first and second classes, in accordance with the classifier, multifactor authentication is applied, including using EDS.

      Footnote. Clause 47 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      48. To protect the restricted service information, confidential information systems, confidential EIR and the EIR containing personal data of limited access, data encryption tools (software or hardware) shall be applied with parameters meeting the requirements of the cryptographic information protection system in accordance with the standard of the Republic of Kazakhstan ST RK 1073-2007 Means of Cryptographic Protection of Information. General Technical Requirements for Informatization objects of:

      first class in accordance with the classifier - the third level of security;

      second class in accordance with the classifier - the second level of security;

      third class in accordance with the classifier - the first level of security.

      49. To ensure availability and fault tolerance, the owners of EG informatization objects shall provide:

      1) own or leased backup server room for EG informatization objects of the first and second classes in accordance with the classifier;

      2) backup of hardware and software for data processing, data storage systems, components of data storage networks and data transmission channels, including for EG informatization objects of:

      first class in accordance with the classifier - loaded (hot) in the backup server room;

      second class, in accordance with the classifier - not loaded (cold) in the backup server room;

      third class in accordance with the classifier - storage in a warehouse close to the main server room.

      49-1. The integration of "electronic government" informatization objects shall be carried out in accordance with the Rules for the integration of "electronic government" informatization objects, approved by the authorized body in accordance with subparagraph 13) of Article 7 of the Law, and subject to the information security requirements determined by the protection profile and drawn up by the contract of joint work on information security of the state and non-state information systems, and shall be based on ensuring:

      1) a unified integration environment - ensuring the technological possibility of interdepartmental and departmental information interaction of informatization objects;

      2) one-time integration - ensuring a single connection of objects of informatization of "electronic government" to the system of interaction and subsequent repeated use to minimize financial and time costs in the transfer and receipt of information;

      3) a single information space - ensuring the compatibility and comparability of data during transmission based on the use of standard data transmission formats.

      Footnote. Paragraph 2 is supplemented by paragraph 49-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      50. EG informatization objects of the first and second classes in accordance with the classifier shall be connected to the system of IS monitoring, protection and safe operation no later than one year after they are put into operation.

      50-1. Owners or possessors of non-state information systems intended for the formation of state electronic information resources, the implementation of state functions and the provision of public services, before integrating with information systems of state bodies, shall create their operational information security center and shall ensure its functioning or purchase the services of an operational information security center from third parties in accordance with the Civil Code of the Republic of Kazakhstan, and also ensure its interaction with the National Coordinating Center for Information Security.

      The owners of critically important information and communication infrastructure facilities shall create their operational information security center and ensure its operation or purchase the services of an operational information security center from third parties in accordance with the Civil Code of the Republic of Kazakhstan.

      Owners or possessors of critically important information and communication infrastructure facilities, with the exception of state bodies, LEBs, state legal entities, quasi-public sector entities, within a year from the date of inclusion in the list of critically important information and communication infrastructure facilities, shall create their own operational information security center and shall ensure its functioning or acquire the services of the operational information security center from third parties in accordance with the Civil Code of the Republic of Kazakhstan, and shall also ensure its interaction with the National Information Security Coordination Center.

      Footnote. The unified requirements are supplemented by paragraph 50-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication); as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      50-2. A unified integration environment shall be based on the following requirements:

      1) implementation of integration into a single integration environment in accordance with a service-oriented architecture;

      2) implementation of interstate information interaction of informatization objects of several states through the national gateway of the Republic of Kazakhstan;

      3) implementation of the creation, modification and deletion of data by interfacing them with the relevant processes for the implementation of public functions and the provision of public services initiated by the owners of the data or on their behalf;

      4) the use of uniform approaches and standards in ensuring the unambiguous identification of the interacting parties and the scope of their rights in the course of interaction;

      5) priority implementation of synchronous interaction between the objects of informatization of "electronic government";

      6) ensuring the use of information from the repository of electronic documents and a unified system of regulatory and reference information of the "electronic government" gateway in the process of information interaction and the provision of public services;

      7) ensuring fixation of the date, time, content and participants of all actions and operations carried out within the framework of information interaction, as well as information that allows restoring the history of information interaction;

      8) providing technical feasibility for access to data stored in organizations;

      9) ensuring the legitimacy and integrity of information interaction by signing the request and transmitted EDS data.

      Footnote. Paragraph 2 is supplemented by paragraph 50-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      51. SB, MPR or organization monitors:

      actions of users and staff;

      use of information processing facilities.

      Footnote. Clause 51 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      51-1. One-time integration shall be based on the following requirements:

      1) integration and provision of access to the functionality and EIR (data) of informatization objects based on a set of universal information interaction services published on the e-government gateway;

      2) ensuring the reuse of information interaction services by including them in the register of services of the "electronic government" gateway;

      3) ensuring the creation of information interaction services based on standard technologies, formats and data transfer protocols used in the Republic of Kazakhstan;

      4) distribution of data through a single virtual data source with access rights management for information recipients;

      5) implementation of the development of a new service of information interaction in cases of absence of a similar or similar service in the register of services of the "electronic government" gateway;

      6) providing technical feasibility for the formation of composite services based on information interaction services;

      7) ensuring the operability of the "electronic government" gateway, regardless of ongoing technical, administrative, organizational and other changes in the "electronic government" informatization objects connected to the "electronic government" gateway;

      8) ensuring the possibility of independent development of the object of informatization of the "electronic government" of the information provider without the need to refine all related consumers of information by ensuring the invariance of the interfaces of the information exchange service.

      Footnote. Paragraph 2 is supplemented by paragraph 51-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      52. In SB, MPR or organization in the framework of monitoring the actions of users and personnel:

      1) when detecting abnormal activity and malicious actions of users, these actions:

      the administrator is registered, blocked and promptly notified for the objects of informatization of the first class ES in accordance with the classifier;

      registered and blocked for objects of informatization of electronic signatures of the second class in accordance with the classifier;

      are registered for objects of informatization of electronic signatures of the third class in accordance with the classifier;

      2) the actions of the maintenance personnel are recorded and controlled by the IS department.

      Footnote. Clause 52 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      52-1. The unified information space shall be based on compliance with data management requirements, including taking into account the requirements for:

      1) ensuring data compatibility in the process of information interaction by syntactic, semantic and spatial correspondence of the transmitted data and interfaces of information interaction services;

      2) ensuring the distribution of a certain type of data by using reference sources of information and comparing them in the case of using data from several sources;

      3) unambiguous and unique identification of the disseminated data;

      4) distribution of publicly available data in a structured, machine-readable and linked format through an open data portal;

      5) ensuring the possibility of confirming the reliability and relevance of data, identifying inaccurate data, as well as informing interested participants in information interaction about cases of identifying inaccurate data and changes made in the process of updating it;

      6) the use of a single scheme for converting data from the data format of the information consumer to the data format of the information provider when interacting with the objects of informatization of the "electronic government" using the "electronic government" gateway.

      Footnote. Paragraph 2 is supplemented by paragraph 52-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      53. IS events identified as critical for confidentiality, accessibility and integrity, according to the information security events monitoring and event log analysis:

      1) shall be defined as IS incidents;

      2) shall be accounted for in the catalog of information security threats (risks);

      3) shall be registered in the computer incident response service of the state technical service.

      53-1. If the IS has the function of signing electronic documents, the IS user shall be allowed to upload an electronic document from the IS, both signed by the user's EDS, and other electronic documents available to him, along with all the EDS that certify such electronic documents, to get the IS user the ability to verify the authenticity of the electronic document without using this IP in other ways available to them.

      Footnote. Paragraph 2 is supplemented by paragraph 53-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-2. If the IS has the function of signing electronic documents, the IS user shall be allowed to upload a previously signed electronic document to the IS along with all the digital signatures that certify such an electronic document, including if such an electronic document was signed without using this IS.

      Footnote. Paragraph 2 is supplemented by paragraph 53-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-3. If the IS has the function of working with electronic documents, the IS shall check the powers of the person who signed the document in accordance with the Rules for verifying the authenticity of an electronic digital signature, approved by the authorized body in accordance with subparagraph 10) of paragraph 1 of Article 5 of the Law of the Republic of Kazakhstan "On electronic document and electronic digital signature".

      Footnote. Paragraph 2 is supplemented by paragraph 53-3 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-4. If the IS has the function of working with electronic documents, the IS must store electronic documents unchanged along with all the EDS with which they are certified, time stamps and information about the status of checking registration certificates for revocation (cancellation) at the time of signing during the entire period of storage of the electronic document in IS.

      Footnote. Paragraph 2 is supplemented by paragraph 53-4 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-5. If the IS has the function of working with electronic documents, the IS must support work with all types of EDS key stores supported by certification centers with which this IS works.

      Footnote. Paragraph 2 is supplemented by paragraph 53-5 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      54. At the stage of pilot and industrial operation of informatization objects, the following tools and systems shall be used:

      detection and prevention of malicious code;

      monitoring and management of information security incidents and events;

      intrusion detection and prevention;

      monitoring and management of information infrastructure.

      Footnote. Paragraph 54 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      54-1. Data leakage prevention systems (DLP) shall be used to protect the objects of informatization of SB, LEB and critically important objects of information and communication infrastructure.

      This shall provide:

      visual notification of the user about the ongoing control of actions;

      placement of the control center and servers of the data leakage prevention system within the local area network.

      Footnote. Paragraph 2 is supplemented by paragraph 54-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced ten calendar days after the day of its first official publication); as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      55. The registration certificates of the Root Certification Authority of the Republic of Kazakhstan are subject to recognition in trusted lists of software products of world software manufacturers for authentication purposes in accordance with the standards of ST RK ISO / IEC 14888-1-2006 Information Technology. Information Protection Methods. Digital Signatures with Appendix. Part 1. General Provisions, ST RK ISO / IEC 14888-3-2006, Information Technology. Security Techniques, Digital Signatures with Appendix. Part 3. Certificate-Based Mechanisms, GOST R ISO / IEC 9594-8-98, Information Technology. Open Systems Interconnection. The directory. Part 8: Authentication Framework.

      56. Certification authorities of the Republic of Kazakhstan, excepting the Root Certification Authority of the Republic of Kazakhstan, are recognized in trusted lists of software products of world software manufacturers by accreditation of the certification authority in accordance with the rules of accreditation of certification authorities.

      Certification authorities of the Republic of Kazakhstan shall place their registration certificate with a trusted third party of the Republic of Kazakhstan to ensure verification of EDS of the citizens of the Republic of Kazakhstan in foreign countries.

      56-1. The owner of critically important objects of information and communication infrastructure, which processes data containing secrets protected by law, shall conduct an information security audit at least once a year. The information security audit of second-tier banks shall be carried out in accordance with the requirements of the banking legislation of the Republic of Kazakhstan.

      Footnote. The unified requirements are supplemented by paragraph 56-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

Chapter 3. Requirements for informatization objects Paragraph 1. Requirements for electronic information resources and Internet resources

      57. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      58. Requirements for creation or development of IR shall be defined in the technical specification for the acquisition of goods, works and services in the field of informatization.

      59. The owner and (or) holder of the IR shall provide creation of publicly available IR in the Kazakh, Russian and, if necessary, in other languages, with the possibility for the user to choose the interface language.

      60. Creation or development of IR shall be carried out with regard to requirements of the standards of the Republic of Kazakhstan ST RK 2190-2012 Information Technologies. Web Sites of State Bodies and Organizations. Requirements, ST RK 2191-2012 Information Technologies. Availability of Internet for Physically Challenged People, ST RK 2192-2012 Information technologies. Web Site, Web Portal, Intranet Portal. General Descriptions, ST RK 2193-2012 Information Technologies. Recommended Practice of Development of Portable Web-Applications, ST RK 2199- 2012 Information Technologies. Safety Requirements for Web-based Applications in State Bodies.

      61. Preparation, placement, updating of EIR on the IR of SB or LEB shall be carried out in accordance with the rules of content and requirements for the maintenance of IR of the SB, approved by the authorized body.

      62. The IR of the central executive body, structural and territorial units of the central executive body, local executive body shall be placed on the SB UPIR and registered with the gov.kz and мем.қаз. domain zones.

      SB UPIR shall be placed on the EG ICP.

      62-1. An Internet resource with a registered.KZ and (or) .ҚАЗ domain name shall be hosted on a hardware and software complex located on the territory of the Republic of Kazakhstan.

      Footnote. The unified requirements are supplemented by paragraph 62-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      62-2. The use of .KZ and (or) .ҚАЗ domain names in the space of the Kazakhstan segment of the Internet when transmitting data by Internet resources shall be carried out using security certificates.

      Footnote. The unified requirements are supplemented by paragraph 62-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      63. IR management, placement and updating of EIR of the central executive body, structural and territorial units of the central executive body, local executive body shall be carried out from the external circuit of the EG ICI local network by the operator on the basis of a request from the owner and (or) holder of the IR.

      63-1. Industrial operation of IR SB and MPR is allowed provided there is an act with a positive test result for compliance with information security requirements.

      Footnote. Chapter 3 was supplemented with clause 63-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).
      64. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      65. In case of non-use of the EIR, the SB or LEB shall ensure its transfer to the archive in the manner prescribed by the Law of the Republic of Kazakhstan "On the National Archival Fund and Archives" (hereinafter referred to as the Law on Archives).

      Footnote. Paragraph 65 as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      66. To ensure IS of IR, the following actions shall be applied:

      1) registration of certificates for authentication of the domain name and cryptographic protection of the contents of the communication session with the use of DET;

      2) content management system (content), performing:

      authorization of operations of EIR placement, change and deletion;

      registration of authorship when placing, changing and deleting EIR;

      checking of downloaded EIR for malware;

      security audit of executable code and scripts;

      integrity control of the placed EIR;

      maintaining of a log of EIR changes;

      monitoring of anomalies in users and software robots activity.

Paragraph 2. Requirements for developed or acquired application software

      67. At the stage of initiating creation or development of application software (AS), the software class shall be determined and recorded in the project documentation in accordance with the rules for classifying informatization objects and informatization objects classifier, approved by the authorized body in accordance with subparagraph 11) of article 7 of the Law.

      68. Requirements for the created or developed IP application software are determined in the terms of reference created in accordance with the requirements of the standard of the Republic of Kazakhstan ST RK 34.015-2002 “Information technology. Set of standards for automated systems. Terms of reference for the creation of an automated system ", these ET and the rules for the preparation and consideration of technical specifications for the creation and development of objects of informatization of" electronic government ", approved by the authorized body in the field of information security in accordance with subparagraph 20) of Article 7 of the Law.

      Footnote. Clause 68 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).
      69. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).
      69-1. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      70. Requirements for AS that is being acquired shall be defined in the technical specifications for the purchase of goods, works and services in informatization area, with regard to requirements of these UR.

      71. In the purchase of off-the-shelf AS the priority of free software (FS) shall be taken into account, provided that its characteristics are identical with commercial software.

      72. When forming requirements for development or acquisition of software, the EIR class and information of the EIR catalog shall be taken into account.

      73. Developed or acquired off-the-shelf AS shall:

      1) provide a user interface, input, processing and output of data in Kazakh, Russian and other languages, if necessary, with the possibility to select a user interface language;

      2) take into account the requirements such as:

      reliability;

      maintainability;

      ease of use;

      effectiveness;

      universality;

      functionality;

      cross-platform operation;

      3) provide full-functional virtualization technology support;

      4) support clustering;

      5) shall be provided with technical documentation for operation in the Kazakh and Russian languages.

      74. Creation and development or acquisition of software is provided with technical support and maintenance.

      Planning, implementation and documentation of technical support and software maintenance are carried out in accordance with the specifications of the manufacturer, supplier or the requirements of the IS TD.

      Footnote. Clause 74 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      75. The process of creating and developing application software:

      1) provides:

      creation of an information base of algorithms, source codes and software;

      testing and testing of software modules;

      typification of algorithms, programs and information security tools that ensure information, technological and software compatibility;

      use of licensed development tools;

      2) includes procedures for acceptance of applied software, providing for:

      the transfer by the developer of the source codes of programs and other objects necessary for the creation of application software to the owner and (or) the owner;

      control compilation of the transferred source texts, with the creation of a fully functional version of the application software;

      running a test case on a given version of the software.

      Footnote. Clause 75 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      76. Control over authorized changes to the software and access rights to it is carried out with the participation of employees of the department of information technology SB, MPR or organizations.

      Footnote. Clause 76 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).
      77. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      78. In order to ensure IS:

      1) at the software development stage, recommendations shall be taken into account of the standard of the Republic of Kazakhstan ST RK GOST R 50739-2006 Computers Technique. Information Protection against Unauthorised Access to Information. General Technical Requirements;

      2) requirements for the AS that is being developed or acquired shall include the use of tools such as:

      identification and authentication of users, if necessary, EDS and registration certificates;

      access control;

      integrity control;

      logging of user actions that affect information security;

      online transaction protection;

      cryptographic protection of information using DET of confidential information systems in storage, processing;

      logging of critical software events;

      3) IS TD shall determine and apply during operation:

      rules for installing, updating and deleting software on servers and workstations;

      management procedures of change and analysis of AS in the event of a change in the system software;

      4) licensed software shall be used and acquired only in the availability of a license.

      79. Measures to control proper use of software are defined in the IS TD, and shall be carried out at least once a year and include:

      defining of actually used software;

      determination of the software use rights;

      comparison of actually used software and available licenses.

      80. The application software shall perform verification of the ownership and validity of the EDS public key and the registration certificate of the person who signed the electronic document, in accordance with the Rules for verifying the authenticity of electronic digital signature, approved by the authorized body in accordance with subparagraph 10) of paragraph 1 of Article 5 of the Law of the Republic of Kazakhstan "On electronic document and electronic digital signature".

      Footnote. Paragraph 80- as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

Paragraph 3. Requirements for information and communication infrastructure

      81. Requirements for ICI shall be formed with regard to the facilities comprised in it, in accordance with subparagraph 25) of Article 1 of the Law.

      82. UR establishes requirements for the following ICI objects:

      1) information system;

      2) technological platform;

      3) hardware and software complex;

      4) telecommunication networks;

      5) systems of uninterrupted functioning of technical means and information security;

      6) server room (data center).

      Footnote. Clause 82 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

Paragraph 4. Information System Requirements

      83. Information system of SB or LEB shall be created and developed in the manner specified by paragraph 1 of Article 39 of the Law, and with regard to requirements of Article 38 of the Law.

      Mandatory requirements for the means of processing, storage and backup of EIR in the information system of SB or LEB are determined by Article 42 of the Law.

      84. Before starting a trial operation by the developer:

      1) a set of tests, test scripts and test methods shall be created for all functional components of the information system;

      2) bench tests of the information system shall be carried out;

      3) for the staff:

      of information system of SB or LEB of the first class, training is mandatory in accordance with the classifier;

      of information system of SB or LEB of the second class - creation of video, - multimedia training materials in accordance with the classifier;

      for information system of SB or LEB of the third class - creation of a help system and (or) operating instructions in accordance with the classifier.

      85. Trial operation of SB IS or LIE shall include:

      documentation of procedures for trial operation;

      optimization and elimination of identified defects and shortcomings with their subsequent correction;

      registration of an act on the completion of trial operation of the IS;

      the period of trial operation should not exceed one year.

      Footnote. Paragraph 85 - as amended by Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      85-1. The introduction of the object of informatization of "electronic government" shall be carried out in accordance with the standards in force in the territory of the Republic of Kazakhstan.

      Footnote. The unified requirements are supplemented by paragraph 85-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      86. Before entering into industrial operation of an IS in an SB, MPR or organization, the criteria for the acceptance of the created IS or new versions and updates of the IS are determined, agreed, documented.

      Footnote. Clause 86 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      87. Putting into industrial operation of IS SB or MPR is carried out in accordance with the requirements of technical documentation, subject to the positive completion of trial operation, the presence of an act with a positive test result for compliance with IS requirements, signing of an act on putting into industrial operation of IS by an acceptance committee with the participation of representatives of the authorized body , interested SB, MPR and organizations.

      Footnote. Clause 87 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after its first official publication)

      87-1. Tests for compliance with information security requirements are carried out in accordance with Article 49 of the Law.

      Footnote. The unified requirements are supplemented by paragraph 87-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      88. Submission for accounting and storage to the electronic government’s service integrator the developed software, source software codes (if available) and a set of settings for licensed software of the information system of the SB, LEB or organizations, is mandatory and shall be carried out in accordance with the procedure determined by the authorized body.

      Modification, disclosure and (or) use of source software codes, software products and software shall be carried out with the permission of its owner.

      89. During the industrial operation of IS SB or M&E, the following shall be provided:

      1) safety, protection, and restoration of EIR in case of failure or damage;

      2) redundancy and control over the timely updating of the EIR;

      3) automated accounting, preservation and periodic archiving of information about calls to the SB IS or LEB;

      4) fixing changes in the configuration settings of software, server and telecommunications equipment;

      5) control and regulation of functional performance characteristics;

      6) maintenance of IP;

      7) technical support of the used licensed IP software;

      8) warranty service by the IS developer, including the elimination of errors and shortcomings of the IS identified during the warranty period (Warranty service shall be provided for a period of at least a year from the date of putting the IS into commercial operation);

      9) the connection of users to the IS, as well as the interaction of the IS, shall be carried out using domain names;

      10) system maintenance;

      11) reduction (exclusion) of the use of paper documents, as well as requirements for their submission in the performance of public functions and the provision of public services.

      Footnote. Paragraph 89 - as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      90. Integration of the SB or LEB information system, including with SB or LEB information system, which is in trial operation, shall be carried out in accordance with the requirements specified in Article 43 of the Law.

      Integration of non-state information system with SB or LEB information system shall be carried out in accordance with the requirements defined by Article 44 of the Law.

      90-1. At the fulfillment of functions of integration interaction of informatization facilities or components of informatization facilities through a gateway, integration bus, integration component or integration module, the following actions shall be provided:

      1) registration and verification of sources (connection points) of legitimacy requests;

      2) verification of the legitimacy of requests for:

      password or EDS;

      connection point;

      presence of connection blocking;

      permitted types of requests defined in the regulation on integration interaction;

      the allowed request frequency defined in the regulation on integration interaction;

      presence in requests of signs of information security violations;

      presence of malicious code on signatures;

      3) connection blocking upon detection of violations in the messaging protocols in the events of:

      absence of connection during the time defined in the regulation on integration interaction;

      excess of the allowed frequency of requests for the time specified in the regulation of integration interaction;

      presence in requests of signs of information security violations;

      excess in the number of authentication errors defined in the regulation of integration interaction;

      detection of anomalous user activity;

      detection of attempts to upload data arrays;

      4) regular change of connection passwords according to the duration of time defined in the regulation of integration interaction;

      5) replacement of the login when identifying IS incidents;

      6) concealment of internal circuit LAN addressing;

      7) event logging, including:

      recording of events of transmission / receipt of information messages;

      recording of file transfer / receipt events;

      recording of service messages transfer / receipt events;

      the use of IS incident and event management system for monitoring of event logs;

      automation of procedures for analyzing event logs for the presence of IS events;

      storage of event logs on a specialized log server, accessible for administrators only for viewing;

      separate event logging (if necessary) by:

      a) the current day;

      b) connection (communication channel);

      c) to a state body (legal entity);

      d) integrable informatization objects;

      8) provision of time synchronization service for integrable informatization objects;

      9) software and hardware cryptographic protection of connections made through data transmission networks;

      10) storage and transmission of encrypted passwords;

      11) automation of notifying the responsible persons of integrated informatization objects of IS incidents.

      Footnote. Chapter 3 was supplemented with clause 90-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      91. Warranty service of the information system at the industrial operation stage with involvement of third parties shall require:

      IS regulation in warranty service agreements;

      ICT risk management in the process of warranty service.

      92. Management of software and hardware IS SB and MPR is carried out from the PP of the internal circuit of the owner of the IS.

      The software and hardware of the IS SB or PP and non-state IS integrated with the IS SB or MPR is located on the territory of the Republic of Kazakhstan, except for cases related to interstate information exchange, carried out using the national gateway, within the framework of international treaties ratified by the Republic of Kazakhstan.

      Footnote. Clause 92 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      92-1. To organize the work of the SB or LEB information system, it shall be allowed to use cloud services (hardware and software systems, information system providing resources with the use of virtualization technology), the control centers and servers of which are physically situated on the territory of the Republic of Kazakhstan.

      Footnote. Chapter 3 was supplemented with clause 92-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      92-2. The hardware and software of the information system of critical informatization facilities and ICI containing personal data of citizens of the Republic of Kazakhstan shall be placed on the territory of the Republic of Kazakhstan.

      Footnote. Chapter 3 was supplemented with clause 92-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      92-3. Possessors and owners of information systems of a state body shall create their operational information security center and ensure its functioning or purchase the services of an operational information security center from third parties in accordance with the Civil Code, and shall also ensure its interaction with the National Information Security Coordination Center.

      Footnote. The unified requirements are supplemented by paragraph 92-3 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      92-4. Possessors, owners and users of SB IS and LEB shall carry out filling, ensure the reliability and relevance of the EIR.

      Footnote. The unified requirements are supplemented by paragraph 92-4 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      93. The owner or holder of the SB or LEB information system shall make a decision on the termination of the information system operation in the absence of the need for its further use.

      The service integrator shall be notified of the cessation of operation of the SB or LEB information system, with the publication on the architectural portal of the "electronic government" of the informatization subjects whose information systems are integrated with the decommissioned information system of SB or LEB, and the SB or LEB that are users of this information system.

      94. The SB or LEB shall draw up a plan for decommissioning of the SB or LEB information system operations and coordinate it with the SB or LEBs that are users of the information system of the SB or LEB.

      95. After the IS is decommissioned, the SB or LEB shall submit to the departmental archive electronic documents, technical documentation, journals and an archived database of the decommissioned SB IS or LEB in accordance with the Rules for the receipt, storage, accounting and use of documents of the National Archival Fund and other archival documents by departmental and private archives approved by the Decree of the Government of the Republic of Kazakhstan in accordance with subparagraph 3) of paragraph 1-1 of Article 18 of the Law on Archives.

      Footnote. Paragraph 95 - as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      96. Upon receipt of an application for terminating operation of the SB or LEB information system, the service integrator shall cancel the electronic registration certificate of the SB or LEB information system and place the relevant information on the architectural portal of the "electronic government".

      97. Withdrawal and (or) disposal of the decommissioned information system of the SB or LEB shall be carried out in accordance with the legislation of the Republic of Kazakhstan on accounting and financial reporting.

      If the operation of the information system of the SB or LEB is terminated, but the information system of the SB or LEB is not withdrawn in the prescribed manner, this information system shall be considered to be in conservation.

      After decommissioning the information system of the SB or LEB shall not be used.

      98. To maintain IS:

      1) at the stages of bench tests, acceptance tests and test operation the following actions shall be carried out:

      testing of information system software based on developed test suites configured for specific classes of programs;

      full-scale testing of programs under extreme loads with simulated exposure to active defects (stress testing);

      testing of the information system’s software to identify possible defects;

      bench tests of the information system’s software to determine unintended software design errors, identify potential problems for performance;

      Identification and elimination of vulnerabilities in software and hardware;

      development of protection tools against unauthorized exposure;

      2) before putting the information system into trial operation, it shall be required to provide:

      control of adverse effects of the new information system on the functioning information systems and components of the EG ICI, especially during maximum loads;

      analysis of the new information system impact on the condition of the information system of the EG ICI;

      organization of staff training for the operation of the new information system;

      3) separation of the environments of the pilot or industrial operation of the information system from the environments of development, testing or bench testing. The following requirements shall be implemented:

      transfer of the information system from the development phase to the testing phase shall be recorded and documented;

      transfer of the information system from the testing phase to the trial operation phase shall be recorded and documented;

      transfer of the information system from the pilot operation phase to the industrial operation phase shall be recorded and documented;

      development tools and tested software of the information system shall be located in different domains;

      compilers, editors and other development tools in the operating environment shall not be located or shall not be available for use from the operating environment;

      the test environment of the information system shall correspond to the operating environment in terms of hardware and software and architecture;

      for tested information systems, it shall not be allowed to use real user accounts of the systems that are in industrial operation;

      data from the information system in industrial operation shall not be subject to copying into the test environment;

      4) during the information system decommissioning the following steps shall be provided:

      archiving of information contained in the information system;

      destruction (erasing) of data and residual information from computer storage media and (or) destruction of computer storage media. Upon decommissioning of machine storage media on which information was stored and processed, physical destruction of these storage media shall be carried out with execution of the relevant act.

      98-1. The information system of critical objects of ICI is also subject to the requirements of the standard of the Republic of Kazakhstan IEC / PAS 62443-3-2017 “Industrial communication networks. Security (cybersecurity) of the network and system. Part 3. Security (Cybersecurity) of the industrial measurement and control process ”.

      Footnote. The uniform requirements were supplemented by clause 98-1 in accordance with the Decree of the Government of the Republic of Kazakhstan No. 1047 dated December 31, 2019 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

Paragraph 5. Technology platform requirements

      99. The choice of a technological platform is carried out taking into account the priority of equipment with the ability to support virtualization technology.

      Footnote. Clause 99 as amended by the Resolution of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      100. In the choice of equipment that implements virtualization technology, the need to ensure the following functions shall be taken into account:

      1) decomposition:

      computing resources distributed between virtual machines;

      many applications and operating systems coexisting on the same physical computing system;

      2) isolation:

      virtual machines completely isolated from each other, and an emergency failure of one of them not affecting the others;

      data is not transferred between virtual machines and applications, except when using shared network connections;

      3) compatibility:

      applications and OS are provided with computing resources of equipment that implements virtualization technology.

      101. EG ICP shall be placed on the equipment located in the server center of the SB.

      EG ICP shall ensure:

      automated provision of IC services with a single entry point for their management;

      virtualization of computing resources of server equipment with the use of various technologies;

      uninterrupted and fault-tolerant functioning of the provided IC services with utilization ratio of at least 98.7%;

      exclusion of a single point of failure at the logical and physical levels by the means of used equipment, telecommunications and software;

      separation of computing resources at the hardware and software levels.

      Reliability of the virtual infrastructure is provided by the built-in virtualization software and virtual environment management software.

      101-1. Industrial operation of the ICP is allowed provided there is an act with a positive test result for compliance with information security requirements.

      Footnote. Chapter 3 was supplemented with clause 101-1 in accordance with the Decree of the Government of the Republic of Kazakhstan No. 355 dated June 18, 2018 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      102. To maintain IS using virtualization technology, the following measures shall be implemented:

      1) identity management requiring:

      authentication of IC services clients and privileged users;

      federated user identification within the same technology platform;

      saving of authentication information after deleting the user ID;

      the use of control tools for the procedures of assigning the user authority profiles;

      2) access control requiring:

      separation of powers of the information system administrator and the virtualization environment administrator;

      restrictions on access rights of the virtualization environment administrator to the IC service user data. Access rights are limited to the specific procedures defined in the SB TD and the service agreement for maintenance, and shall be subject to regular updating;

      multi-factor authentication for privileged and critical operations;

      restrictions on the use of roles with full authority. Information system administrator profile settings shall exclude access to the virtualization environment components;

      definition of minimum privileges and implementation of the role-based access control model;

      remote access via secure gateway or the list of allowed network addresses of the senders;

      3) encryption key management, requiring:

      control of access restrictions to data on encryption keys of data encryption tools (DET);

      control over organization of the root directory and key subscription;

      blocking of compromised keys and their safe destruction;

      4) conducting an audit of IS events, requiring:

      obligatory and regular procedures defined in the IS TD;

      conducting audit procedures for all the operating systems, client virtual machines, network components infrastructure;

      maintaining an event log and storing in a storage system inaccessible to the administrator;

      checking the correct operation of the event logging system;

      determining duration of the event logs storage in the IS TD;

      5) registration of IS events, requiring:

      logging of administrators’ actions;

      applying a system for monitoring incidents and IS events;

      alerting based on automatic detection of a critical event or information security incident;

      6) IS incident management, requiring:

      determining the formal process of detecting, identifying, evaluating and responding to IS incidents with updating once every six months;

      reporting at the intervals specified in the IS TD, based on the results of detection, identification, evaluation and response to IS incidents;

      notifications of responsible persons of the SB, LEB or organizations about IS incidents;

      recording of IS incidents in the computer incident response Service of the State technical service;

      7) applying protective measures of hardware and software components of the virtualization environment infrastructure that carry out:

      physical shutdown or blocking of unused physical devices (removable drives, network interfaces);

      disabling of unused virtual devices and services;

      monitoring of the interaction between guest operating systems;

      control of virtual and physical devices association (mapping);

      the use of certified hypervisors;

      8) physical separation of operating environments from development and testing environments;

      9) definition in the IS TD of change management procedures for informatization objects;

      10) determination in the IS TD of the recovery procedures after failures and malfunctioning of the equipment and software;

      11) implementation of network and system administration procedures requiring:

      provision of the safety of virtual machine images, monitoring of integrity of the operating system, applications, network configuration, software and data of the SB or organization for the presence of malicious signatures;

      separation of the hardware platform from the operating system of the virtual machine in order to exclude access of external users to the hardware;

      logical isolation between various functional areas of the virtualization environment infrastructure;

      physical isolation between EIR and information system virtualization environments of various classes according to the IS level.

Paragraph 6. Requirements for hardware-software complex

      103. Requirements for configuration of server equipment of the HSC are determined in the requirements specification for creation or development of the information system and (or) technical specifications for the purchase of goods, works and services in the field of informatization.

      104. The HSC server equipment of typical configuration shall be selected with regard to priority of servers:

      1) with multiprocessor architecture;

      2) enabling scaling of resources and increase of productivity;

      3) supporting virtualization technology;

      4) including controls, changes and redistribution of resources;

      5) compatible with the used information and communication infrastructure.

      105. To ensure high availability of the server, the embedded systems shall be used:

      1) hot-swappable redundant fans, power supplies, drives and I / O adapters;

      2) dynamic clearance and redistribution of memory pages;

      3) dynamic redistribution of processors;

      4) alerts about critical events;

      5) supporting continuous monitoring of critical components and measuring monitored indicators.

      106. Acquired server hardware shall be provided with technical support of the manufacturer. Discontinued server hardware shall not be acquirable.

      107. To ensure IS on a regular basis, as defined in the TD IS, an inventory of server equipment shall be carried out with a check of its configuration.

      108. To ensure the security and quality of service with the execution of an IS joint work agreement in the manner prescribed by the legislation of the Republic of Kazakhstan, the server equipment of the agro-industrial complex of the objects of informatization of SB and LEB:

      first class - located only in the server center of SB;

      second class - located in the server center of the SB, the server room of the SB and local authorities or the involved legal entity, equipped in accordance with the requirements for server rooms established in these UT.

      Footnote. Paragraph 108 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      108-1. To ensure the availability and fault tolerance of the agro-industrial complex of objects of informatization of SB and LEB, reservation of hardware and software for data processing, data storage systems, and components of data storage networks shall be carried out with the execution of an agreement for joint work on information security in the manner established by the legislation of the Republic of Kazakhstan for objects of informatization of the first and second classes in the reserve server room of the SB, LEB or involved legal entity, equipped in accordance with the requirements for server rooms established in these UR.

      Footnote. Unified requirements are supplemented by paragraph 108-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication); as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      109. Requirements for data storage systems shall be defined in the requirements specification for creation or development of the information system and (or) technical specifications for the purchase of goods, works and services in the field of informatization.

      110. The data storage system shall provide support for:

      single tools for data replication;

      scalability by data storage volume.

      111. For highly loaded information systems, requiring high availability, the following shall be applied:

      1) data storage networks;

      2) data storage systems that support virtualization system and (or) tiered data storage.

      112. To ensure high availability, the storage systems shall include embedded systems:

      1) hot-swappable redundant fans and power supplies;

      2) hot-swap drives and I / O adapters;

      3) alerts about critical events;

      4) active controllers (at least two controllers);

      5) storage network interfaces (at least two ports per controller);

      6) support for continuous monitoring of the critical components status and measurement of monitored indicators.

      113. The data storage system shall be provided by a backup system.

      114. To maintain IS, safe storage and data recovery capabilities:

      1) cryptographic protection shall be applied of the stored service information of limited use, information of confidential information systems, confidential EIR and EIR containing personal data of limited access with the use of DET in accordance with paragraph 48 of these URs;

      2) a dedicated server shall be used for secure storage of encryption keys with a security level not lower than the security level of the used DET established for cryptographic keys in the rules for using data encryption tools;

      3) recording and testing of backups shall be provided in accordance with the backup regulations defined in the IS TD.

      115. When decommissioning storage media used in confidential information systems, confidential EIR and EIR containing personal data of limited access, software and hardware for guaranteed destruction of information shall be used.

      116. When choosing system software for server hardware and workstations, the following are taken into account:

      1) is excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023).

      2) compliance with the type of operating systems (client or server);

      3) compatibility with the used application software;

      4) support for network services operating in the telecommunications network;

      5) support for multitasking;

      6) availability of standard means of obtaining and installing critical updates and security updates issued by the manufacturer of operating systems;

      7) availability of diagnostic, audit and event logging tools;

      8) support for virtualization technologies.

      Footnote. Clause 116 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 10.02.2023 No. 112 (shall be enforced from 01.01.2023).

      116-1. SB and LEB get access from the workstation to the "Digital Workplace of an Employee", designed to provide a single interface and access to all systems and services (components, software products) of "electronic government".

      Footnote. Paragraph 3 is supplemented by paragraph 116-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      117. Acquisition of the system software shall be carried out with regard to priority of:

      1) a licensing model that ensures decrease in the purchase cost, also aggregate cost of the license for the operation period;

      2) software provided with technical support and maintenance.

      118. To maintain IS, the system software shall enable:

      1) access control with the use of:

      identification, authentication and user password management;

      recording of successful and failed accesses;

      recording of the use of system privileges;

      restriction of the connection time, if necessary, and blocking the session if the time limit is exceeded;

      2) exceptions for users and restrictions for administrators in the use of system utilities that are able to bypass control mechanisms of the operating system.

      119. Free software (FS) distribution shall be gratis, without licensing restrictions, which prevent the use in the SB with observance of the copyright law requirements.

      120. FS shall be provided with open source code.

      121. FS used in the SB shall be updated taking into account the support of information interaction formats through the EG external gateway (EGEG).

      122. To maintain IS in the use of FS:

      FS supported by the community of FS developers or through examination and certification of software code shall be permitted;

      FS versions that were used shall be saved.

Paragraph 7. Requirements for telecommunication networks

      123. Departmental (corporate) telecommunication networks shall be organized by integrating local networks held by one owner through dedicated private or leased communication channels.

      Dedicated communication channels designed for integrating local networks shall be organized with the use of channel and network layer protocols.

      124. When organizing a departmental (corporate) network by integrating several local networks, a radial or radial-node network topology is applied. At the anchor connection points, dedicated channels are connected to one border gateway. Cascading (serial) LAN connection is not used.

      125. During designing, a documented scheme of a departmental (corporate) telecommunication network is created and maintained in operation.

      126. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).
      127. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      128. In order to ensure the IS of a dedicated communication channel:

      1) software and hardware means of information protection shall be applied, including cryptographic encryption, using MCIP;

      2) connect to the local area network through an edge gateway with prescribed routing rules and security policies. The Edge Gateway shall provide the following minimum functionality:

      centralized authorization of network nodes;

      configuration of administrator privilege levels;

      recording the actions of administrators;

      static network address translation;

      protection against network attacks;

      monitoring the status of physical and logical ports;

      filtering of incoming and outgoing packets on each interface;

      cryptographic protection of transmitted traffic using MCIP;

      3) when connecting a departmental (corporate) telecommunications network and local SI networks, the following shall be used:

      means of separation and isolation of information flows;

      equipment with components that provide information security and secure management;

      dedicated and integrated with access equipment firewalls installed at each connection point to protect the ETC SB perimeter;

      4) when connecting a departmental (corporate) telecommunications network and local area networks to the Internet via SB EGEG, state legal entities, quasi-public sector entities, as well as Owners or possessors of critically important ICI facilities use the services of an operator or another telecom operator that has reserved communication channels on equipment UIAG.

      Connection of a departmental (corporate) telecommunications network and local area networks to the Internet through the UIAG shall be carried out in accordance with the Rules for the functioning of a single gateway for accessing the Internet, approved by the authorized body in the field of information security;

      5) employees of SB, LEB and employees of state legal entities, subjects of the quasi-public sector, as well as owners or possessors of critically important ICI facilities for the implementation of operational information exchange in electronic form in the performance of their official duties use:

      departmental e-mail, instant messaging and other services;

      e-mail, instant messaging service and other services, the control centers and servers of which are physically located on the territory of the Republic of Kazakhstan, unless otherwise established by the authorized body;

      available online cloud videoconferencing services for communication with foreign individuals and legal entities;

      6) the interaction of departmental e-mail of SB and LEB with external electronic mail systems shall be carried out only through a single e-mail gateway;

      7) employees of SB, LEB and employees of state legal entities, subjects of the quasi-public sector, as well as owners or possessors of critically important ICI facilities access IR from the LAN of the external circuit only through the UIAG using a web browser that is an open source software and meets the requirements of the Rules for the functioning of the UIAG approved by the authorized body in the field of information security;

      8) employees of SB, LEB and employees of state legal entities shall access to Internet resources through an Internet browser, the distribution kit of which has pre-installed registration certificates of the national certification center of the Republic of Kazakhstan and the root certification center of the Republic of Kazakhstan.

      Footnote. Paragraph 128 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      129. Connection of SI to the SB UTE shall be carried out in accordance with the Rules for connecting to the SB UTE and providing access to an intranet resource through the SB UTE, determined by the authorized body.

      At the request of the SI, the operator shall perform:

      distribution, registration and re-registration of IP addresses of SI local area networks connected to the SB UTE, upon SI requests;

      registration of domain names in the Internet domain zones gov.kz and мем.қаз at the request of SI;

      registration of domain names in the ETS SB network at the request of SI;

      provision of DNS service in the ETS SB network.

      Footnote. Paragraph 129 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      130. In SB or LEB it shall be allowed to use devices for organizing wireless access only to publicly available EIRs of the "electronic government" and places permitted for SB or LEB visitors staying in the "guest zone".

      131. It shall be prohibited to connect to the SB UTE, the local area network SI, as well as the technical means that are part of the SB UTE, the local area network SI, devices for organizing remote access via wireless networks, wireless access, modems, radio modems, modems of networks of cellular operators, cellular subscriber devices and other wireless network devices, except for ETS SB wireless communication channels organized by the EG ICP operator, using MCIP in accordance with clause 48 of these UR.

      Footnote. Paragraph 131 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      131-1. It shall be necessary to control the connection of subscriber devices of cellular communication, modems of networks of cellular operators, as well as electronic media that are not allowed by the information security policy adopted in the SB or LEB.

      Footnote. The unified requirements are supplemented by paragraph 131-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      132. The operator of the EG ICP, at the request of the SI, shall perform:

      distribution, registration and re-registration of IP addresses of SI local area networks connected to the SB UTE, upon SI requests;

      registration of domain names in the Internet domain zones gov.kz and mem.қаз at the request of SI;

      registration of domain names in the ETS SB network at the request of SI;

      provision of DNS service in the ETS SB network.

      Footnote. Paragraph 132 - as amended by the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      133. SB and MPR annually:

      1) request from the state technical service a list of categories of Internet resources used on the equipment of SGIA;

      2) choose from the above list the categories of Internet resources, access to which is allowed for employees of the civil society and local authorities by means of SGIA, and make a list of them;

      3) send to the state technical service the above list and lists of network addresses of information and communication networks of civil society and their territorial subdivisions, MPRs that get access to the Internet, for use on SGIA equipment;

      4) send to the state technical service, in case of operational need to organize VPN channels, technical information on the required VPN channels (source and destination IP addresses, ports, protocol), agreed with the authorized body in the field of information security.

      Footnote. Clause 133 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); No. 12 dated January 18, 2021 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      133-1. It shall be prohibited to install and use at informatization objects located in the LAN of the external circuit of the SB or LEB, software or hardware for remote control of them from outside the LAN of the external circuit of the SB or LEB.

      Footnote. The unified requirements are supplemented by paragraph 133-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).
      134. Excluded by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      134-1. The State Technical Service shall apply the policy of blocking the following categories of IRs and software on the UIAG equipment (by default):

      - VPN;

      - remote access;

      - p2p;

      - game resources;

      - unknown applications that are not included in the list of IR and software categories by default;

      - malicious IR and software.

      Footnote. The unified requirements are supplemented by paragraph 134-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      134-2. The possibility of unlocking certain categories of IR and software specified in paragraph 134-1 shall be considered by the state technical service on the basis of an official request received from SB, LEB, government organizations, subjects of the quasi-public sector, as well as owners of critical ICI objects.

      Footnote. The unified requirements are supplemented by paragraph 134-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 No. 12 (shall be enforced ten calendar days after the day of its first official publication).

      135. Requirements for the created or developed local network shall be defined in the technical specification for the purchase of goods, works and services in the field of informatization.

      When designing a cabling system for a local network, requirements shall be observed of the state standard SN RK 3.02-17-2011 Structured Cabling Networks. Design Standards.

      136. During the design, a documented scheme of the local network shall be created, which is kept up to date during operation.

      137. All the cabling system elements shall be subject to marking in accordance with requirements of paragraph 13.1.5 of the State standard SN RK 3.02-17-2011 Structured Cabling Networks. Design Standards.

      All the cabling connections shall be recorded in the cabling connection log.

      138. Active equipment of local networks shall be fed with electric power from uninterruptible power supplies.

      139. To ensure the IS of local area networks:

      1) unused LAN cabling ports shall be physically disconnected from the active equipment;

      2) TD IS shall be developed and approved, including the rules of:

      use of networks and network services;

      connections to international (territorial) data transmission networks;

      connections to the Internet and (or) telecommunications networks, communication networks with access to international (territorial) data transmission networks;

      use of wireless access to network resources;

      3) service information of limited distribution, information of confidential IS, confidential EIR and EIR containing personal data of limited access, shall not be transmitted via unprotected wired communication channels and radio channels that are not equipped with appropriate MCIP.

      The transfer of official information of limited distribution shall be carried out in compliance with special requirements for the protection of information of limited distribution in accordance with the Rules for classifying information as official information of limited distribution and working with it, established by the Government of the Republic of Kazakhstan;

      4) the following means shall be applied:

      identification, authentication and user access control;

      equipment identification;

      protection of diagnostic and configuration ports;

      physical segmentation of the local area network;

      logical segmentation of the local area network;

      network connection management;

      firewall;

      hiding the internal address space of the local area network;

      integrity control of data, messages and configurations;

      cryptographic protection of information in accordance with paragraph 26 of these URs;

      physical protection of data transmission channels and network equipment;

      registration of IS events;

      monitoring and analysis of network traffic;

      network management;

      5) the interaction of the local area networks of SB, as well as the LEB among themselves, shall be carried out only through the UTS of SB, except for special-purpose telecommunications networks and/or government, classified, encrypted and coded communications;

      6) the local area networks of the central executive state body and its territorial divisions shall interact with each other only through the SB UTE, except for special-purpose telecommunications networks and/or government, classified, encrypted and coded communications;

      7) interfacing of the LAN of the internal circuit and the LAN of the external SI circuit with each other shall be excluded, except for organized communication channels using MCIP, in accordance with paragraph 48 of these UR for institutions of the Republic of Kazakhstan located abroad or organized using a shielded subnet;

      8) the connection of the LAN of the internal circuit of the SI to the Internet shall be excluded;

      9) the LAN of the external SI circuit shall be connected to the Internet only through the UIAG. Connection to the Internet in any other way is not shall be prohibited, except for special and law enforcement SB for operational purposes. The interaction of the EGEG with the Internet shall be carried out through the UIAG;

      10) IS SIs that implement information interaction via the Internet shall be placed in a dedicated LAN segment of the SI outer loop and interaction with IS SI located in the local area network of the SI inner loop shall be carried out through the HSEP, except for cases where a shielded subnet is used;

      11) information interaction of IS located on the Internet with IS SI located in the local area network of the SI internal circuit shall be carried out only through the HSEP, except for cases when a shielded subnet is used;

      12) servers of the top-level time source infrastructure are synchronized with the time and frequency standard reproducing the national UTC(kz) coordinated universal time scale.

      The Time Infrastructure servers shall be synchronized with the top-level Time Infrastructure server.

      Time infrastructure servers shall provide access to clients for time synchronization;

      13) open unused network ports shall be disabled.

      Footnote. Paragraph 139 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced ten calendar days after the day of its first official publication).

      140. The requirements provided for in subparagraphs 10), 11) of paragraph 139 UR are not applicable to IS SB and MPR, put into commercial operation before January 1, 2016 and not subject to development until January 1, 2018.

      The procedure for information interaction of data from IS SB or MPR with non-state IS is determined by the Rules for the integration of objects of informatization of "electronic government", approved by the authorized body in the field of informatization in accordance with subparagraph 13) of Article 7 of the Law.

      Footnote. Clause 140 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

Paragraph 8. Requirements for systems of uninterrupted functioning of technical facilities and information security

      141. Server equipment of HSC and data storage systems shall be placed in the server room.

      142. The server room shall be located in separate, closed to admissions premises without windows. If there are window openings, they must be closed or sealed with non-combustible materials.

      For the surface of walls, ceilings and floors, materials are used that do not emit and do not accumulate dust. For flooring, antistatic materials are used. The server room shall be protected from contaminants.

      The walls, doors, ceiling, floor and partitions of the server room shall provide hermetic state of the premises.

      143. The doors of the server room must be at least 1.2 meters wide and 2.2 meters high, open outward or move apart. The door frame must be without a threshold and a central pillar.

      144. The server room must have a false floor and (or) false ceiling to accommodate cable systems and utility lines.

      145. Laying of any transit communications through the server room shall be excluded. Routes of ordinary and fire water supply, heating and sewage shall be withdrawn from the server room and shall not be located above the server room on the upper floors.

      146. Installation of communication channels for laying power and low-current cable networks of a building is carried out in separate or separated by partitions cable trays, ducts or pipes spaced from each other. Low-current and power cabinets shall be installed separately and locked.

      Cables through inter-floor covering, walls, partitions are laid in sections of fireproof pipes, and are hermetically sealed by non-combustible materials.

      147. The server room shall be reliably protected from external electromagnetic radiation.

      148. When placing equipment:

      1) the implementation of the Rules for the technical operation of electrical installations of consumers, approved by the authorized body in the field of energy in accordance with subparagraph 27) of Article 5 of the Law of the Republic of Kazakhstan "On Electricity" (hereinafter referred to as the Law on Electricity), shall be ensured;

      2) compliance with the requirements of suppliers and (or) equipment manufacturer for installation (assembly), load on floors and raised floors shall be ensured, taking into account the weight of equipment and communications;

      3) the availability of free service passages for equipment maintenance shall be ensured;

      4) the organization of air flows of the microclimate system shall be taken into account;

      5) the organization of the system of raised floors and false ceilings shall be taken into account.

      Footnote. Paragraph 148- as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      149. In technical support of the equipment installed in the server room, the following shall be documented:

      1) equipment maintenance;

      2) elimination of problems arising during the operation of hardware and software complex (HSC);

      3) facts of failures and malfunctions, also restoration work results;

      4) post-warranty service of critical equipment after the warranty service period expiry.

      The form and method of documentation shall be determined independently.

      150. Maintenance of critical equipment shall be performed by certified engineering staff.

      151. In close proximity to the server room, a warehouse of spare parts for critical equipment shall be created, containing a stock of components and equipment for operational replacement during remedial measures.

      152. Intervention in the work of equipment in operation shall be possible only with the permission of the head of the information technology unit or of a person replacing him.

      153. The main and backup server rooms have to be located at a safe distance in the buildings that are remote from each other. Requirements for redundant (backup) server rooms are identical to the requirements for primary server rooms.

      154. In order to ensure IS, fault tolerance and operational reliability:

      1) in the server room, methods of equipment location are used to reduce the risks of threats, dangers and opportunities for unauthorized access;

      2) excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 No. 112 (shall be enforced from January 1, 2023);

      3) the list of persons authorized to support the IСI objects installed in the server room is kept up to date;

      4) the server room is equipped with systems:

      access control and management;

      providing a microclimate;

      security alarm;

      video surveillance;

      fire alarm;

      fire extinguishing;

      guaranteed power supply;

      grounding;

      5) the fault tolerance of the server room infrastructure is at least 99.7%.

      Footnote. Clause 154 as amended by the Decree of the Government of the Republic of Kazakhstan No. 1047 dated December 31, 2019 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 10.02.2023 No. 112 (shall be enforced from 01.01.2023).

      155. The access control and management system shall provide authorized entry into the server room and authorized exit from it. The blocking devices and design of the front door shall prevent the possibility of transmitting access identifiers in the opposite direction through the front door.

      The central control device of the access control and management system shall be installed in separate service rooms, premises of the security post, protected from access by unauthorized persons. Access of the security personnel to the software of the access control and management system that influences the system’s operating modes shall be excluded.

      Power supply to the access control and management system is provided from a free group of standby lighting panels. Access control and management system shall be provided with redundant power supply.

      156. The microclimate provision system includes air conditioning, ventilation and microclimate monitoring systems. The server room microclimate systems are not combined with other microclimate systems installed in the building.

      The temperature in the server room is maintained in the range from 20 ° C to 25 ° C with a relative humidity of 45% to 55%.

      The capacity of the air conditioning system must exceed the total heat generated by all equipment and systems. The air conditioning system is redundant. The power supply of air conditioners in the server room is carried out from a guaranteed power supply system or an uninterruptible power supply system.

      The ventilation system provides fresh air inflow with filtration and heating of incoming air in winter. The server room is pressurized to prevent contaminated air from entering the adjacent rooms. On the air ducts of the supply and exhaust ventilation, safety valves are installed, controlled by the fire extinguishing system.

      Air conditioning and ventilation systems are turned off automatically by a fire alarm signal.

      Microclimate monitoring system controls climatic parameters in server cabinets and telecommunication racks:

      air temperature;

      air humidity;

      dustiness of the air;

      smoke in the air;

      opening (closing) cabinet doors.

      Footnote. Clause 156 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      157. The security system of the server room shall be separate from the building security systems. Alerts are displayed in the premises of the round-the-clock security on a separate display console. All the inlets and outlets of the server room, as well as the internal volume of the server room, are subject to control and protection. The alarm system has its own redundant power supply.

      158. Location of the video surveillance system cameras shall be selected with regard to control of all the entrances and exits to the server room, the space and passages near the equipment. The viewing angle and resolution of cameras must enable face recognition. The image from the cameras is displayed on a separate remote control in a 24-hour security room.

      159. The fire alarm system of the server room shall operate separate from the fire alarm of the building. Two types of sensors shall be installed in the server room: of temperature and smoke.

      The sensors control the total space of the server room and the volumes formed by the false floor and / or false ceiling. Alerts of the fire alarm system are displayed on the remote control in round-the-clock security premises.

      160. The server room fire extinguishing system shall be supplied with an automatic gas fire extinguishing installation, independent of the building fire extinguishing system. A special non-toxic gas is used as a fire extinguisher in an automatic gas fire extinguishing installation. Powder and liquid fire extinguishers shall not be used. The gas fire extinguishing installation shall be located directly in or near the server room in a cabinet specially equipped for this purpose. The fire extinguishing system is launched from sensors of early fire detection, which react to the emergence of smoke, also from hand sensors located at the premises exit. The delay time for the extinguisher release shall be no more than 30 seconds. Alert on the fire extinguishing system actuation comes up on the display, placed inside and outside the room. The fire extinguishing system issues commands to close the protective valves of the ventilation system and turn off the power to the equipment. A server room with a fire extinguishing system shall be provided with exhaust ventilation to air away the extinguishing gas.

      161. The guaranteed power supply system shall comprise two power supply inputs from different external power sources the voltage of ~ 400 / 230V, frequency of 50 Hz and an autonomous generator. All the electricity sources are fed to the power-transfer relay, which automatically switches to the backup power input when the main power input is interrupted or stopped. The parameters of the power lines and the core section are determined issuing from the planned total power consumption of the equipment and subsystems of the server room. Power lines are in a five-wire circuit.

      The guaranteed power supply system shall provide for the power supply of equipment and systems of the server room through uninterruptible power sources. The power and configuration of uninterruptible power sources is calculated taking into account all the powered equipment and stock for perspective development. Run time from uninterruptible power supplies is calculated taking into account the needs, as well as the necessary time to switch to the backup lines and the time for the generator to start up in operating mode.

      162. The grounding system of the server room shall be carried out separately from the protective grounding of the building. All metal parts and structures of the server room shall be grounded with a common ground bus. Each cabinet (rack) with equipment shall be grounded by a separate conductor connected to a common ground bus. Exposed conductive parts of information processing equipment must be connected to the main earth terminal of the electrical installation.

      The earth conductors connecting the surge protectors to the main earth bus must be as short and straight as possible (no angles).

      When constructing and operating a grounding system, it is necessary to be guided by:

      Rules for the installation of electrical installations, approved by order of the authorized body in the field of energy in accordance with subparagraph 19) of Article 5 of the Law on Electricity;

      standard of the Republic of Kazakhstan ST RK IEC 60364-5-548-96 "Electrical installations of buildings. Part 5. Selection and installation of electrical equipment". Section 548 "Grounding the device and system for equalizing electrical potentials in electrical installations containing information processing equipment";

      the standard of the Republic of Kazakhstan ST RK IEC 60364-7-707-84 "Electrical installations of buildings. Part 7. Requirements for special electrical installations". Section 707 Grounding of Information Processing Equipment;

      the standard of the Republic of Kazakhstan ST RK GOST 12.1.030-81 "OSSS. Electrical safety. Protective grounding, zeroing";

      standard of the Republic of Kazakhstan ST RK GOST 464-79 "Grounding for fixed installations of wired communication, radio relay stations, radio broadcasting nodes of wire broadcasting and antennas of collective television reception systems. Resistance standards".

      Footnote. Paragraph 162 - as amended by the Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 No. 383 (shall be enforced ten calendar days after the day of its first official publication).

      163. Switchgears of telecommunication networks are located in a cross room. The cross room is located closer to the center of the work area it serves.

      The size of the cross room is selected based on the size of the served work area and the equipment to be installed.

      The cross room must meet the following requirements:

      availability of free service aisles for equipment maintenance;

      absence of powerful sources of electromagnetic interference (transformers, electrical panels, electric motors, etc.);

      lack of pipes and valves of the water supply system;

      the presence of fire safety systems;

      lack of easily flammable materials (wooden shelves, cardboard, books, etc.);

      the presence of a separate power line from a separate machine for connecting the cabinet according to the project;

      the presence of security alarm systems, access control;

      the presence of an air conditioning system.

      Footnote. Chapter 3 was supplemented with clause 163 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 No. 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

  Appendix
  to Order No. 832 of the Government
  of the Republic of Kazakhstan
  dated December 20, 2016

List of certain orders of the Government of the Republic of Kazakhstan that lost force

      1. Subparagraphs 5) and 6) of paragraph 1, paragraphs 2-1 and 2-2 of Order No. 965 of the Government of the Republic of Kazakhstan dated September 14, 2004 "On some measures to ensure information security in the Republic of Kazakhstan".

      2. Order No. 244 of the Government of the Republic of Kazakhstan dated March 14, 2013 "On introducing amendments to Order No. 965 of the Government of the Republic of Kazakhstan dated September 14, 2004 "On some measures to ensure information security in the Republic of Kazakhstan ".

      3. Order No. 706 of the Government of the Republic of Kazakhstan dated June 26, 2014 "On introducing amendments to Order No. 965 of the Government of the Republic of Kazakhstan dated September 14, 2004 "On some measures to ensure information security in the Republic of Kazakhstan".

Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832.

      В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – единые требования).

      2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению.

      3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Пункт 140 единых требований действует до 1 января 2018 года.

     
      Премьер-Министр
Республики Казахстан
Б. Сагинтаев

  Утверждены
постановлением Правительства
Республики Казахстан
от 20 декабря 2016 года № 832

Единые требования
в области информационно-коммуникационных технологий и обеспечения информационной безопасности

Глава 1. Общие положения

      1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан "Об информатизации" (далее – Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности.

      Сноска. Пункт 1- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

      3. Положения ЕТ не распространяются на:

      1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры "электронного правительства", локальных сетей и сетей телекоммуникаций, а также проведении закупок товаров, работ и услуг в сфере информатизации;

      2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или президентской, правительственной, засекреченной, шифрованной и кодированной связи;

      3) отношения, возникающие при осуществлении уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций работ по созданию или развитию информационных систем, интегрируемых с информационными системами Национального Банка Республики Казахстан, которые не интегрируются с объектами информационно-коммуникационной инфраструктуры "электронного правительства";

      4) организации в случаях, когда исполнение таких положений ведет к нарушению пункта 4 статьи 50 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан".

      Сноска. Пункт 3 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

      5. Задачами ЕТ являются:

      1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления;

      2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации "электронного правительства";

      3) установление требований по унификации компонентов объектов информационно-коммуникационной инфраструктуры;

      4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений;

      5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации;

      6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры.

      Сноска. Пункт 5 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. Для целей настоящих ЕТ в них используются следующие определения:

      1) маркировка актива, связанного со средствами обработки информации, – нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;

      2) средство криптографической защиты информации (далее – СКЗИ) – программное обеспечение или аппаратно-программный комплекс, реализующие алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;

      3) активы, связанные со средствами обработки информации, (далее – актив) – материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеющий ценность для организации в интересах достижения целей и непрерывности ее деятельности;

      4) техническая документация по информационной безопасности (далее –ТД ИБ) – документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации;

      5) мониторинг событий информационной безопасности (далее – мониторинг событий ИБ) – постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;

      6) масштабируемость – способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;

      7) программный робот – программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и (или) по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным в веб-страницах;

      8) не нагруженное (холодное) резервирование оборудования – использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса;

      9) нагруженное (горячее) резервирование оборудования – использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса;

      10) рабочая станция – стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач;

      11) системное программное обеспечение – совокупность программного обеспечения для обеспечения работы вычислительного оборудования;

      12) интернет-браузер – прикладное программное обеспечение, предназначенное для визуального отображения содержания интернет-ресурсов и интерактивного взаимодействия с ним;

      13) кодированная связь – защищенная связь с использованием документов и техники кодирования;

      14) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

      15) кроссовое помещение – телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;

      16) прикладное программное обеспечение (далее – ППО) – комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;

      17) засекреченная связь – защищенная связь с использованием засекречивающей аппаратуры;

      18) серверный центр государственных органов (далее – серверный центр ГО) – серверное помещение (центр обработки данных), собственником или владельцем которого является оператор информационно-коммуникационной инфраструктуры "электронного правительства", предназначенное для размещения объектов информатизации "электронного правительства";

      19) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;

      20) серверное помещение (центр обработки данных) – помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;

      21) локальная сеть внешнего контура (далее – ЛС внешнего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внешнему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с Интернетом, доступ к которому для субъектов информатизации предоставляется операторами связи только через единый шлюз доступа к Интернету;

      22) терминальная система – тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами - тонкими клиентами в клиент-серверной архитектуре;

      23) инфраструктура источника времени – иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;

      24) правительственная связь – специальная защищенная связь для нужд государственного управления;

      25) организация – государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры;

      26) федеративная идентификация – комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения;

      27) шифрованная связь – защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники;

      28) локальная сеть внутреннего контура (далее – ЛС внутреннего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внутреннему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с единой транспортной средой государственных органов;

      29) внешний шлюз "электронного правительства" (далее – ВШЭП) – подсистема шлюза "электронного правительства", предназначенная для обеспечения взаимодействия информационных систем, находящихся в ЕТС ГО с информационными системами, находящимися вне ЕТС ГО;

      30) внутренний аудит информационной безопасности – объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах;

      31) межсетевой экран – аппаратно-программный или программный комплекс, функционирующий в информационно-коммуникационной инфраструктуре, осуществляющий контроль и фильтрацию сетевого трафика в соответствии с заданными правилами;

      32) субъекты информатизации, определенные уполномоченным органом, – государственные органы, их подведомственные организации и органы местного самоуправления, а также иные субъекты информатизации, использующие единую транспортную среду государственных органов для взаимодействия локальных (за исключением локальных сетей, имеющих доступ к Интернету), ведомственных и корпоративных сетей.

      Сноска. Пункт 6 - в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6-1. Цифровизация ГО и МИО в рамках цифровой трансформации осуществляется путем создания и развития объектов информатизации "электронного правительства" либо путем приобретения объектов информатизации "электронного правительства" или информационно-коммуникационных услуг в соответствии с архитектурой "электронного правительства", в том числе с учетом:

      1) платформенности – формирование и постоянное развитие межведомственных централизованных технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и инструментов для решения общих технических задач в рамках различных отраслей (сфер) государственного управления;

      2) универсальности решений – определение и обеспечение использования готового программного обеспечения и сервисных программных продуктов для решения типовых прикладных задач и автоматизации типовых обеспечивающих государственных функций;

      3) компонентного построения решений – обеспечение разработки и внедрения отдельных стандартных компонентов объектов информатизации "электронного правительства" по формату микросервисов, которые планируются, разрабатываются и внедряются итеративно, поэтапно предоставляя части функционала всего решения и выгод от его использования;

      4) результативности – извлечение максимальной выгоды от использования объектов информатизации "электронного правительства", сокращение издержек и рисков путем оптимизации структурных компонентов и затрат;

      5) оптимизации технического разнообразия – обеспечение обоснованного применения свободного программного обеспечения и систематичного управления техническим разнообразием.

      Сноска. Глава 1 дополнена пунктом 6-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Для целей настоящих ЕТ в них используются следующие сокращения:

      1) АПК – аппаратно-программный комплекс;

      2) ИБ – информационная безопасность;

      3) ИС – информационная система;

      4) ИКИ – информационно-коммуникационная инфраструктура;

      5) ИКТ – информационно-коммуникационные технологии;

      6) ПО – программное обеспечение;

      7) МИО – местные исполнительные органы;

      8) СПО – свободное программное обеспечение;

      9) ЕШДИ – единый шлюз доступа к Интернету;

      10) ИР – интернет-ресурс;

      11) ГО – центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориальные подразделения ведомства центрального исполнительного органа;

      12) ЕТС ГО – единая транспортная среда государственных органов;

      13) ЕПИР ГО – единая платформа интернет-ресурсов государственных органов;

      14) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      15) ЭИР – электронные информационные ресурсы;

      16) ИКП ЭП – информационно–коммуникационная платформа "электронного правительства";

      17) ЭЦП – электронная цифровая подпись;

      18) СИ – субъекты информатизации, определенные уполномоченным органом.

      Сноска. Пункт 7 с изменениями, внесенными постановлениями Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      7-1. Платформенность основывается на выполнении следующих требований:

      1) осуществление создания и развития решений на базе технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и (или) использование функциональных возможностей технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства";

      2) исключение компонентов, дублирующих функциональные возможности технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства";

      3) обеспечение автоматизации процессов выполнения государственных функций и вытекающих из них услуг с использованием технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства".

      Сноска. Глава 1 дополнена пунктом 7-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью
Параграф 1. Требования к информатизации государственного органа

      8. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).
      8-1. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      8-2. Универсальность решений основывается на выполнении следующих требований:

      1) использование готового программного обеспечения и сервисных программных продуктов для автоматизации процессов выполнения типовых прикладных задач и типовых обеспечивающих государственных функций;

      2) адаптация особенностей выполнения государственных функций государственного органа к процессам, реализованным в готовом программном обеспечении и сервисных программных продуктах, без необходимости настройки и доработки программного обеспечения в процессе внедрения;

      3) отсутствие дополнительных затрат государственных органов на внедрение, обучение пользователей, приобретение программного обеспечения и компонентов информационно-коммуникационной инфраструктуры при использовании сервисных программных продуктов.

      Сноска. Глава 2 дополнена пунктом 8-2 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      9. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      9-1. Компонентное построение решений основывается на выполнении следующих требований:

      1) построение решений на базе микросервисной архитектуры с использованием стандартных компонентов;

      2) использование минимально необходимого набора компонентов, позволяющих решить поставленные задачи и обеспечить соответствие требованиям;

      3) исключение избыточных компонентов, параллельно автоматизирующих несвязанные специфичные государственные функции и (или) типовые обеспечивающие государственные функции;

      4) обеспечение адаптируемости, масштабируемости и гибкости состава, структуры и функциональности компонентов к изменениям законодательства Республики Казахстан, приоритетам социально-экономического развития, а также составу, структуре и полномочиям государственных органов;

      5) полное соответствие компонентов целям, задачам и назначению объекта информатизации "электронного правительства";

      6) обеспечение функциональной независимости и отсутствия дублирования задач и функциональных возможностей компонентов;

      7) формирование компонентов на базе открытых стандартов и с использованием набора стандартных интерфейсов прикладного программирования (application programming interface, API), предоставляемых компонентом сторонним решениям для обеспечения его многократного использования;

      8) многоуровневое построение архитектуры путем исключения охвата компонентами решения одновременно нескольких уровней архитектуры, в том числе уровней представления, бизнес-логики и хранения данных;

      9) обеспечение доступности компонентов для доработки и многократного использования.

      Сноска. Глава 2 дополнена пунктом 9-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      10. Развитие архитектуры "электронного правительства" осуществляется в соответствии с требованиями по развитию архитектуры "электронного правительства", утверждаемыми уполномоченным органом в соответствии с подпунктом 10) статьи 7 Закона.

      10-1. Результативность основывается на выполнении следующих требований:

      1) обеспечение максимального количественного экономического эффекта путем сокращения затрат, обеспечения окупаемости и повышения объемов поступлений средств в бюджет;

      2) направленность на удовлетворение потребностей физических и юридических лиц, отрасли (сферы) государственного управления и (или) государства в целом;

      3) обеспечение согласованности значений и единиц измерения показателей результатов функционирования объектов информатизации "электронного правительства" и целевых индикаторов отрасли (сферы) государственного управления;

      4) обеспечение приоритета автоматизации процессов выполнения специфичных государственных функций;

      5) последовательное итерационное создание и развитие решений путем внедрения части компонентов решения с базовым набором функциональных возможностей с последующим расширением количества компонентов и (или) повышением уровня их функциональности.

      Сноска. Глава 2 дополнена пунктом 10-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      11. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      11-1. Оптимизация технического разнообразия основывается на выполнении следующих требований:

      1) отчуждаемость и независимость от наименований и версий программного обеспечения, а также ограничений компонентов существующей информационно-коммуникационной инфраструктуры государственного органа;

      2) обеспечение оптимизации разнообразия существующего программного обеспечения и упрощения существующей информационно-коммуникационной инфраструктуры государственного органа;

      3) исключение ограничений для дальнейшего развития в результате изменения условий эксплуатации и расширения числа объектов автоматизации;

      4) обеспечение использования актуальных версий программного обеспечения;

      5) осуществление создания и развития решений с использованием свободного программного обеспечения в случаях обеспечения способности компонентов решения функционировать без ограничений и оптимальной совокупной стоимости владения по отношению к проприетарному лицензионному программному обеспечению.

      Сноска. Глава 2 дополнена пунктом 11-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      12. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      13. Обеспечение ГО и МИО товарами, работами, услугами в сфере информатизации осуществляется путем закупа с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчеты расходов на государственные закупки товаров, работ и услуг в сфере информатизации.

      Сноска. Пункт 13 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      13-1. ГО и организации размещают на архитектурном портале "электронного правительства" сведения об объектах информатизации и электронные копии технической документации к ним в соответствии с правилами учета сведений об объектах информатизации "электронного правительства" и размещения электронных копий технической документации объектов информатизации "электронного правительства".

      Перечень технической документации к объекту информатизации, требуемой к размещению, определяется Правилами учета сведений об объектах информатизации "электронного правительства" и размещения электронных копий технической документации объектов информатизации "электронного правительства".

      Сноска. Глава 2 дополнена пунктом 13-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      14. Реализацию задач в сфере информатизации в ГО или МИО обеспечивает подразделение информационных технологий, осуществляющее:

      1) мониторинг и анализ применения ИКТ;

      2) участие в мероприятиях по учету и анализу использования ИКТ-активов;

      3) выработку предложений в стратегический план ГО по вопросам информатизации;

      4) координацию работ по созданию, сопровождению и развитию объектов информатизации "электронного правительства";

      5) контроль за обеспечением поставщиками предусмотренного договорами уровня качества оказываемых услуг в сфере информатизации;

      6) учет и актуализацию сведений об объектах информатизации "электронного правительства" и электронных копий технической документации объектов информатизации "электронного правительства" на архитектурном портале "электронного правительства";

      7) передачу сервисному интегратору "электронного правительства" для учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации "электронного правительства";

      8) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      9) реализацию требований по ИБ.

      Сноска. Пункт 14 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      14-1. Собственники и (или) владельцы с момента ввода в промышленную эксплуатацию объекта информатизации "электронного правительства" обеспечивают передачу оператору для учета и хранения всех версий разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации "электронного правительства" в соответствии с Правилами учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации "электронного правительства", утвержденными уполномоченным органом в соответствии с подпунктом 31) статьи 7 Закона.

      Сноска. Глава 2 дополнена пунктом 14-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      15. Рабочее пространство в ГО и МИО организуется в соответствии с санитарными правилами "Санитарно-эпидемиологические требования к административным и жилым зданиям", утвержденными уполномоченным органом в сфере санитарно-эпидемиологического благополучия населения в соответствии с пунктом 6 статьи 144 Кодекса Республики Казахстан от 18 сентября 2009 года "О здоровье народа и системе здравоохранения".

      Сноска. Пункт 15 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      16. Рабочее место служащего ГО и МИО оснащается с учетом его функциональных обязанностей и включает:

      1) рабочую станцию или унифицированное рабочее место или терминальную систему с подключением к ЛС внутреннего контура ГО или МИО. Допускается оснащение рабочего места дополнительным монитором при необходимости;

      2) комплект мультимедийного оборудования (наушники, микрофон и веб-камера) для работы с мультимедийными ЭИР или системой видеоконференц-связи при необходимости;

      3) аппарат телефонной связи или IP-телефонии.

      17. Требования к унифицированному рабочему месту или терминальной системе ГО и МИО, а также компонентам объектов информационно-коммуникационной инфраструктуры утверждаются уполномоченным органом.

      Сноска. Пункт 17 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      17-1. Обеспечивается соответствие рабочего места или терминальной системы ГО и МИО требованиям к унифицированному рабочему месту или терминальной системе ГО и МИО, утвержденным уполномоченным органом.

      Требования обновляются и актуализируются по мере необходимости.

      Сноска. Единые требования дополнены пунктом 17-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      18. При выборе закупаемых моделей рабочих станций необходимо руководствоваться следующими положениями:

      1) аппаратные характеристики рабочих станций соответствуют либо превосходят системные требования, рекомендуемые разработчиком (производителем) используемого ПО;

      2) для обеспечения общего уровня услуг унифицируются конфигурации рабочих станций;

      3) для рабочих станций организуется централизованное автоматизированное распространение обновлений ПО;

      4) для повышения качества и скорости администрирования количество различных аппаратно-программных конфигураций рабочих станций ограничивается тремя типами:

      рабочая станция для работы с прикладным ПО;

      рабочая станция повышенной мощности для работы с графическими пакетами, пакетами ПО моделирования и прочими. Используется для приложений с развитой графикой, высокими требованиями к производительности процессора, объемам оперативной памяти и видеоподсистем;

      ноутбук для работы мобильных пользователей.

      19. Для спецификации технических требований выделяются следующие ключевые параметры рабочих станций:

      1) производительность, включающая в себя:

      параметры быстродействия процессора;

      необходимый объем оперативной памяти;

      скорости внутренних шин передачи данных;

      быстродействие графической подсистемы;

      быстродействие устройств ввода/вывода;

      параметры матрицы монитора;

      2) надежность, обеспечиваемая за счет использования отказоустойчивых аппаратных средств и ПО, и определяется исходя из среднего времени безотказной работы;

      3) масштабируемость, обеспечиваемая архитектурой и конструкцией персонального компьютера за счет возможности наращивания:

      числа и производительности процессоров;

      объемов оперативной и внешней памяти;

      емкости встроенных накопителей.

      20. Для обеспечения ИБ:

      1) в ТД ИБ определяются:

      способы размещения рабочих станций служащих ГО или МИО;

      способы защиты рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;

      процедуры и периодичность технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности;

      способы защиты рабочих станций мобильных пользователей, находящихся за пределами ГО или МИО, с учетом различных внешних рисков;

      способы гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации;

      правила выноса рабочих станций за пределы рабочего места;

      2) на регулярной основе проводится учет рабочих станций с проверкой конфигурации, а также электронных носителей информации с уникальными идентифицирующими данными;

      3) установка и применение на рабочих станциях программных или аппаратных средств удаленного управления извне ЛС внутреннего контура исключается. Удаленное управление внутри ЛС внутреннего контура допускается в случаях, прямо предусмотренных в правовом акте ГО или МИО;

      4) неиспользуемые порты ввода-вывода рабочих станций и мобильных компьютеров служащих ГО и МИО отключаются или блокируются, за исключением рабочих станций служащих подразделения ИБ.

      Сноска. Пункт 20 с изменением, внесенным постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      21. Вопрос операций ввода-вывода с применением внешних электронных носителей информации на рабочих станциях служащих ГО и МИО регулируется в соответствии с политикой ИБ, принятой в ГО или МИО.

      22. Для оптимизации размещения оборудования на рабочем месте служащего ГО и МИО допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов.

      23. Для использования сервисов ИКП ЭП рабочая станция, подключенная к ЛС внутреннего контура ГО или МИО, обеспечивается сетевым подключением к инфраструктуре ИКП ЭП.

      24. Обработка и хранение служебной информации ГО и МИО осуществляются на рабочих станциях, подключенных к локальной сети внутреннего контура и внешнего контура ГО или МИО.

      Служебная информация ГО и МИО с ограниченным доступом обрабатывается на рабочих станциях, подключенных к локальной сети внутреннего контура ГО или МИО и не имеющих подключения к Интернету.

      Сноска. Пункт 24 в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      25. Доступ к Интернету служащим ГО и МИО предоставляется с рабочих станций, подключенных к ЛС внешнего контура ГО и МИО, размещенных за пределами режимных помещений, определяемых в соответствии с Инструкцией по защите государственных секретов Республики Казахстан.

      Сноска. Пункт 25- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.

      Сноска. Глава 2 дополнена пунктом 25-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      26. Сервис телефонной связи:

      1) реализуется как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии;

      2) обеспечивает коммутацию пользователя с абонентами телефонных сетей по следующим каналам:

      использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных;

      использование услуг связи оператора телефонной связи общего пользования по потоку Е1;

      использование операторов сотовой связи;

      использование услуг междугородних и международных вызовов.

      27. Для проведения конференций, презентаций, совещаний, телемостов конференцзал ГО и МИО оснащается:

      1) конференцсистемой звукового усиления, включающей размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника;

      2) устройством ввода-вывода информации.

      Для организации "телемоста" с географически распределенными участниками, находящимися в других городах или странах, конференцсистема по необходимости дополняется системой аудио- и видеоконференцсвязи оператора ИКИ ЭП.

      28. Сервис печати:

      1) реализуется посредством печатающего, копирующего и сканирующего оборудования, подключенного к локальной сети внутреннего контура ГО с использованием сетевого интерфейса либо прямого подключения к серверу печати;

      2) обеспечивается программным обеспечением, реализующим:

      централизованное управление пользователями и устройствами;

      учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями;

      систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования;

      идентификацию пользователя до начала использования сервиса печати;

      авторизацию служащего ГО на устройстве печати способами, регламентированными в ТД ИБ;

      формирование очереди печати, осуществляющей печать посредством единой очереди печати с возможностью получения распечатанных документов на доступном устройстве печати.

Параграф 2. Требования к организации информационной безопасности

      29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ISO/IEC 27002-2015 "Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации".

      Сноска. Пункт 29 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      29-1. В целях реализации требований обеспечения информационной безопасности для обороны страны и безопасности государства осуществляется приобретение ПО и продукции электронной промышленности в виде товара и информационно-коммуникационной услуги из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с Законом и законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

      Реестр доверенного программного обеспечения и продукции электронной промышленности ведется уполномоченным органом в сфере электронной промышленности в соответствии с Правилами формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериями по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности, утвержденными уполномоченным органом в сфере электронной промышленности согласно пункту 7 статьи 7-6 Закона.

      При этом в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции допускается ее приобретение в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

      Собственники и владельцы программного обеспечения, включенного в реестр доверенного программного обеспечения и продукции электронной промышленности, обеспечивают передачу исходных программных кодов оператору для учета и хранения.

      Сноска. Единые требования дополнены пунктом 29-1 в соответствии с постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.

      Сотрудники, ответственные за обеспечение ИБ, проходят специализированные курсы в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата.

      Сноска. Пункт 30 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      31. ТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО, МИО или организация в своей деятельности.

      ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.

      ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.

      Сноска. Пункт 31 с изменением, внесенным постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      32. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.

      32-1. Перечень внутренних документов финансовой организации, детализирующий требования политики ИБ, определяется в соответствии с нормативными правовыми актами уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций, регулирующими деятельность финансовых организаций по обеспечению информационной безопасности.

      Сноска. Единые требования дополнены пунктом 32-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:

      1) методика оценки рисков информационной безопасности;

      2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;

      3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

      4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

      5) правила проведения внутреннего аудита ИБ;

      6) правила использования средств криптографической защиты информации;

      7) правила разграничения прав доступа к электронным информационным ресурсам;

      8) правила использования Интернет и электронной почты;

      9) правила организации процедуры аутентификации;

      10) правила организации антивирусного контроля;

      11) правила использования мобильных устройств и носителей информации;

      12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.

      34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:

      1) каталог угроз (рисков) ИБ;

      2) план обработки угроз (рисков) ИБ;

      3) регламент резервного копирования и восстановления информации;

      4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

      5) руководство администратора по сопровождению объекта информатизации;

      6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

      35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:

      1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;

      2) журнал посещения серверных помещений;

      3) отчет о проведении оценки уязвимости сетевых ресурсов;

      4) журнал учета кабельных соединений;

      5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;

      6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений СПО и ППО ИС, регистрации и устранения уязвимостей ПО;

      7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;

      8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.

      Сноска. Пункт 35 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      36. Для обеспечения защиты активов проводятся:

      1) инвентаризация активов;

      2) классификация и маркировка активов в соответствии с системой классификации, принятой в ГО, МИО;

      3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов;

      4) регламентация в ТД ИБ порядка:

      использования и возврата активов;

      идентификации, классификации и маркировки активов.

      37. С целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:

      1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2010 "Менеджмент риска. Методы оценки риска" и разработка процедуры анализа рисков;

      2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая:

      выявление угроз ИБ и их источников;

      выявление уязвимостей, которые могут привести к реализации угроз;

      определение каналов утечки информации;

      формирование модели нарушителя;

      3) выбор критериев принятия идентифицированных рисков;

      4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 27005-2013 "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности".

      5) разработка и утверждение плана обработки угроз (рисков) ИБ, содержащего мероприятия по их нейтрализации или снижению.

      Сноска. Пункт 37 с изменениями, внесенными постановлениями Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      38. С целью контроля событий нарушений ИБ в ГО, МИО или организации:

      1) проводится мониторинг событий, связанных с нарушением ИБ, и анализ результатов мониторинга;

      2) регистрируются события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:

      журналов событий операционных систем;

      журналов событий систем управления базами данных;

      журналов событий антивирусной защиты;

      журналов событий прикладного ПО;

      журналов событий телекоммуникационного оборудования;

      журналов событий систем обнаружения и предотвращения атак;

      журналов событий системы управления контентом;

      3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени;

      4) журналы регистрации событий хранятся в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;

      5) ведутся журналы регистрации событий в соответствии с форматами и типами записей, определенными в правилах проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности по согласованию с органами национальной безопасности в соответствии с подпунктом 7) статьи 7-1 Закона;

      6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;

      7) обеспечивается внедрение формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ.

      Сноска. Пункт 38 с изменениями, внесенными постановлениями Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      39. С целью защиты критически важных процессов ГО, МИО или организации от внутренних и внешних угроз:

      1) разрабатывается, тестируется и реализуется план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

      2) доводится до сведения служащих ГО, МИО или работников организации инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

      План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, подлежит регулярной актуализации.

      40. Функциональные обязанности по обеспечению ИБ и обязательства по исполнению требований ТД ИБ служащих ГО, МИО или работников организации вносятся в должностные инструкции и (или) условия трудового договора.

      Обязательства в области обеспечения ИБ, имеющие силу после прекращения действий трудового договора, закрепляются в трудовом договоре служащих ГО, МИО или работников организации.

      41. В случае привлечения сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ, их собственник или владелец заключает соглашения, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение.

      42. В ТД ИБ определяется содержание процедур при увольнении служащих ГО, МИО или работников организации, имеющих обязательства в области обеспечения ИБ.

      43. При увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора.

      Сноска. Пункт 43 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      44. Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ.

      45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее – классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 15408-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".

      Сноска. Пункт 45 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      46. В целях обеспечения ИБ при эксплуатации объектов информатизации устанавливаются требования к:

      1) способам аутентификации;

      2) применяемым СКЗИ;

      3) способам обеспечения доступности и отказоустойчивости;

      4) мониторингу обеспечения ИБ, защиты и безопасного функционирования;

      5) применению средств и систем обеспечения ИБ;

      6) регистрационным свидетельствам удостоверяющих центров.

      Сноска. Пункт 46 с изменением, внесенным постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      46-1. Для подписания объекты информатизации "электронного правительства" используют регистрационные свидетельства аккредитованных удостоверяющих центров в соответствии с Правилами выдачи и отзыва свидетельства об аккредитации удостоверяющих центров, утверждаемыми уполномоченным органом в соответствии с подпунктом 2) пункта 3 статьи 5 Закона Республики Казахстан "Об электронном документе и электронной цифровой подписи".

      Сноска. Глава 2 дополнена пунктом 46-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      47. При доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием ЭЦП.

      Сноска. Пункт 47 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      48. C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования" для объектов информатизации:

      первого класса в соответствии с классификатором – третьего уровня безопасности;

      второго класса в соответствии с классификатором – второго уровня безопасности;

      третьего класса в соответствии с классификатором – первого уровня безопасности.

      49. Для обеспечения доступности и отказоустойчивости владельцами объектов информатизации ЭП обеспечиваются:

      1) наличие резервного собственного или арендованного серверного помещения для объектов информатизации ЭП первого и второго классов в соответствии с классификатором;

      2) резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных, в том числе для объектов информатизации ЭП:

      первого класса в соответствии с классификатором – нагруженное (горячее) в резервном серверном помещении;

      второго класса в соответствии с классификатором – не нагруженное (холодное) в резервном серверном помещении;

      третьего класса в соответствии с классификатором – хранение на складе в непосредственной близости от основного серверного помещения.

      49-1. Интеграция объектов информатизации "электронного правительства" осуществляется в соответствии с Правилами интеграции объектов информатизации "электронного правительства", утвержденными уполномоченным органом в соответствии с подпунктом 13) статьи 7 Закона, и при соблюдении требований информационной безопасности, определяемых профилем защиты и оформляемых договором совместных работ по информационной безопасности государственных и негосударственных информационных систем, и основывается на обеспечении:

      1) единой интеграционной среды – обеспечение технологической возможности межведомственного и ведомственного информационного взаимодействия объектов информатизации;

      2) единовременной интеграции – обеспечение однократного подключения объектов информатизации "электронного правительства" к системе взаимодействия и последующего многократного использования для минимизации финансовых и временных издержек при передаче и получении информации;

      3) единого информационного пространства – обеспечение совместимости и сопоставимости данных при передаче на основе применения стандартных форматов передачи данных.

      Сноска. Глава 2 дополнена пунктом 49-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      50. Объекты информатизации ЭП первого и второго классов в соответствии с классификатором подключаются к системе мониторинга обеспечения ИБ, защиты и безопасного функционирования не позднее одного года после их введения в промышленную эксплуатацию.

      50-1. Собственники или владельцы негосударственных информационных систем, предназначенных для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг, до интеграции с информационными системами государственных органов создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

      Владельцы критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан.

      Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение года со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

      Сноска. Единые требования дополнены пунктом 50-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      50-2. Единая интеграционная среда основывается на выполнении следующих требований:

      1) осуществление интеграции в единую интеграционную среду в соответствии с сервисно-ориентированной архитектурой;

      2) осуществление межгосударственного информационного взаимодействия объектов информатизации нескольких государств посредством национального шлюза Республики Казахстан;

      3) осуществление создания, изменения и удаления данных путем их сопряжения с соответствующими процессами реализации государственных функций и предоставления государственных услуг, инициированными владельцами данных или от их имени;

      4) применение единых подходов и стандартов в обеспечении однозначной идентификации взаимодействующих сторон и объема их прав при осуществлении взаимодействия;

      5) приоритетное осуществление синхронного взаимодействия между объектами информатизации "электронного правительства";

      6) обеспечение использования сведений из хранилища электронных документов и единой системы нормативно-справочной информации шлюза "электронного правительства" в процессе информационного взаимодействия и предоставления государственных услуг;

      7) обеспечение фиксации даты, времени, содержания и участников всех действий и операций, осуществляемых в рамках информационного взаимодействия, а также сведений, позволяющих восстановить историю информационного взаимодействия;

      8) обеспечение технической возможности для доступа к данным, хранящимся в организациях;

      9) обеспечение легитимности и целостности информационного взаимодействия путем подписания запроса и передаваемых данных ЭЦП.

      Сноска. Глава 2 дополнена пунктом 50-2 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      51. ГО, МИО или организация осуществляют мониторинг:

      действий пользователей и персонала;

      использования средств обработки информации.

      Сноска. Пункт 51 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      51-1. Единовременная интеграция основывается на выполнении следующих требований:

      1) осуществление интеграции и предоставления доступа к функциональным возможностям и ЭИР (данным) объектов информатизации на основе набора универсальных сервисов информационного взаимодействия, опубликованных на шлюзе "электронного правительства";

      2) обеспечение многократного использования сервисов информационного взаимодействия путем их включения в реестр сервисов шлюза "электронного правительства";

      3) обеспечение создания сервисов информационного взаимодействия на основании стандартных технологий, форматов и протоколов передачи данных, используемых в Республике Казахстан;

      4) распространение данных посредством единого виртуального источника данных с управлением правами доступа получателей информации;

      5) осуществление разработки нового сервиса информационного взаимодействия в случаях отсутствия аналогичного либо похожего сервиса в регистре сервисов шлюза "электронного правительства";

      6) обеспечение технической возможности для формирования композитных сервисов на основе сервисов информационного взаимодействия;

      7) обеспечение работоспособности шлюза "электронного правительства" в независимости от проводимых технических, административных, организационных и иных изменений объектов информатизации "электронного правительства", подключенных к шлюзу "электронного правительства";

      8) обеспечение возможности независимого развития объекта информатизации "электронного правительства" поставщика информации без необходимости доработки всех связанных потребителей информации путем обеспечения неизменности интерфейсов сервиса информационного взаимодействия.

      Сноска. Глава 2 дополнена пунктом 51-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      52. В ГО, МИО или организации в рамках осуществления мониторинга действий пользователей и персонала:

      1) при выявлении аномальной активности и злоумышленных действий пользователей эти действия:

      регистрируются, блокируются и оперативно оповещается администратор для объектов информатизации ЭП первого класса в соответствии с классификатором;

      регистрируются и блокируются для объектов информатизации ЭП второго класса в соответствии с классификатором;

      регистрируются для объектов информатизации ЭП третьего класса в соответствии с классификатором;

      2) регистрируются и контролируются подразделением ИБ действия обслуживающего персонала.

      Сноска. Пункт 52 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      52-1. Единое информационное пространство основывается на соблюдении требований по управлению данными, в том числе с учетом требований по:

      1) обеспечению совместимости данных в процессе информационного взаимодействия путем синтаксического, семантического и пространственного соответствия передаваемых данных и интерфейсов сервисов информационного взаимодействия;

      2) обеспечению распространения определенного вида данных путем использования эталонных источников информации и их сопоставления в случае использования данных из нескольких источников;

      3) однозначной и уникальной идентификации распространяемых данных;

      4) распространению общедоступных данных в структурированном, машиночитаемом и связанном формате посредством портала открытых данных;

      5) обеспечению возможности подтверждения достоверности и актуальности данных, выявления недостоверных данных, а также информирования заинтересованных участников информационного взаимодействия о случаях выявления недостоверных данных и изменениях, произведенных в процессе ее актуализации;

      6) использованию единой схемы преобразования данных из формата данных потребителя информации к формату данных поставщика информации при взаимодействии объектов информатизации "электронного правительства" с использованием шлюза "электронного правительства".

      Сноска. Глава 2 дополнена пунктом 52-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53. События ИБ, идентифицированные как критические для конфиденциальности, доступности и целостности, по результатам анализа мониторинга событий ИБ и анализа журнала событий:

      1) определяются как инциденты ИБ;

      2) учитываются в каталоге угроз (рисков) ИБ;

      3) регистрируются в службе реагирования на компьютерные инциденты государственной технической службы.

      53-1. При наличии в ИС функции подписания электронных документов пользователю ИС предоставляется возможность выгрузки из ИС электронного документа, как подписанного ЭЦП пользователя, так и иных доступных ему электронных документов вместе со всеми ЭЦП, которыми удостоверены такие электронные документы, с целью получения пользователем ИС возможности проверки подлинности электронного документа без использования данной ИС иными доступными ему способами.

      Сноска. Глава 2 дополнена пунктом 53-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-2. При наличии в ИС функции подписания электронных документов пользователю ИС предоставляется возможность загрузки в ИС ранее подписанного электронного документа вместе со всеми ЭЦП, которыми удостоверен такой электронный документ, в том числе, если такой электронный документ был подписан без использования данной ИС.

      Сноска. Глава 2 дополнена пунктом 53-2 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-3. При наличии в ИС функции работы с электронными документами ИС осуществляет проверку полномочий лица, подписавшего документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утверждаемыми уполномоченным органом согласно подпункту 10) пункта 1 статьи 5 Закона Республики Казахстан "Об электронном документе и электронной цифровой подписи".

      Сноска. Глава 2 дополнена пунктом 53-3 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-4. При наличии в ИС функции работы с электронными документами ИС должна хранить электронные документы в неизменном виде вместе со всеми ЭЦП, которыми они удостоверены, метками времени и информацией о статусе проверки регистрационных свидетельств на отозванность (аннулирование) на момент подписания в течение всего срока хранения электронного документа в ИС.

      Сноска. Глава 2 дополнена пунктом 53-4 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-5. При наличии в ИС функции работы с электронными документами ИС должна поддерживать работу со всеми типами хранилищ ключей ЭЦП, поддерживаемыми удостоверяющими центрами, с которыми работает данная ИС.

      Сноска. Глава 2 дополнена пунктом 53-5 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:

      обнаружения и предотвращения вредоносного кода;

      мониторинга и управления инцидентами и событиями ИБ;

      обнаружения и предотвращения вторжений;

      мониторинга и управления информационной инфраструктурой.

      Сноска. Пункт 54 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      54-1. Для защиты объектов информатизации ГО, МИО и критически важных объектов информационно-коммуникационной инфраструктуры применяются системы предотвращения утечки данных (DLP).

      При этом обеспечиваются:

      визуальное уведомление пользователя о проводимом контроле действий;

      размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.

      Сноска. Глава 2 дополнена пунктом 54-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      55. Регистрационные свидетельства Корневого удостоверяющего центра Республики Казахстан подлежат признанию в доверенных списках программных продуктов мировых производителей ПО для целей аутентификации в соответствии со стандартами СТ РК ИСО/МЭК 14888-1-2006 "Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения", СТ РК ИСО/МЭК 14888-3-2006 "Методы защиты информации цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате", ГОСТ Р ИСО/МЭК 9594-8-98 "Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации".

      56. Удостоверяющие центры Республики Казахстан, за исключением Корневого удостоверяющего центра Республики Казахстан, признаются в доверенных списках программных продуктов мировых производителей ПО путем аккредитации удостоверяющего центра в соответствии с правилами аккредитации удостоверяющих центров.

      Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств.

      56-1. Владелец критически важных объектов информационно-коммуникационной инфраструктуры, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раз в год. Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан.

      Сноска. Единые требования дополнены пунктом 56-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 3. Требования к объектам информатизации
Параграф 1. Требования к электронным информационным ресурсам и интернет-ресурсам

      57. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      58. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      59. Собственник и (или) владелец ИР обеспечивают создание общедоступных ИР на казахском, русском и, по необходимости, на других языках, с возможностью выбора пользователем языка интерфейса.

      60. Создание или развитие ИР осуществляется с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 "Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования", СТ РК 2191-2012 "Информационные технологии. Доступность Интернет-ресурса для людей с ограниченными возможностями", СТ РК 2192-2012 "Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания", СТ РК 2193-2012 "Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений", СТ РК 2199-2012 "Информационные технологии. Требования к безопасности веб-приложений в государственных органах".

      61. Подготовка, размещение, актуализация ЭИР на ИР ГО или МИО осуществляются в соответствии с правилами информационного наполнения и требованиями к содержанию ИР ГО, утвержденными уполномоченным органом.

      62. ИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз.

      ЕПИР ГО размещается на ИКП ЭП.

      62-1. Интернет-ресурс с зарегистрированным доменным именем .KZ и (или) .ҚАЗ размещается на аппаратно-программном комплексе, который расположен на территории Республики Казахстан.

      Сноска. Единые требования дополнены пунктом 62-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      62-2. Использование доменных имен .KZ и (или) .ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных интернет-ресурсами осуществляется с применением сертификатов безопасности.

      Сноска. Единые требования дополнены пунктом 62-2 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      63. Управление ИР, размещение и актуализация ЭИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа осуществляются из внешнего контура локальной сети ИКИ ЭП оператором на основании заявки собственника и (или) владельца ИР.

      63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности.

      Сноска. Глава 3 дополнена пунктом 63-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      64. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      65. ГО или МИО при неиспользовании ЭИР обеспечивает его передачу в архив в порядке, установленном Законом Республики Казахстан "О Национальном архивном фонде и архивах" (далее – Закон об архивах).

      Сноска. Пункт 65- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      66. Для обеспечения ИБ ИР применяются:

      1) регистрационные свидетельства для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ;

      2) система управления содержимым (контентом), выполняющая:

      санкционирование операций размещения, изменения и удаления ЭИР;

      регистрацию авторства при размещении, изменении и удалении ЭИР;

      проверку загружаемого ЭИР на наличие вредоносного кода;

      аудит безопасности исполняемого кода и скриптов;

      контроль целостности размещенного ЭИР;

      ведение журнала изменений ЭИР;

      мониторинг аномальной активности пользователей и программных роботов.

Параграф 2. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению

      67. На стадии инициирования создания или развития прикладного ПО определяется и фиксируется в проектной документации класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона.

      68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями стандарта Республики Казахстан СТ РК 34.015-2002 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации "электронного правительства", утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с подпунктом 20) статьи 7 Закона.

      Сноска. Пункт 68 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      69. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      69-1. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      70. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом требований настоящих ЕТ.

      71. Приобретение готового прикладного ПО осуществляется с учетом приоритета СПО при условии идентичности его характеристик с коммерческим ПО.

      72. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР.

      73. Разрабатываемое или приобретаемое готовое прикладное ПО:

      1) обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса;

      2) учитывает требования:

      надежности;

      сопровождаемости;

      удобства использования;

      эффективности;

      универсальности;

      функциональности;

      кроссплатформенности;

      3) обеспечивает полнофункциональную поддержку технологии виртуализации;

      4) поддерживает кластеризацию;

      5) обеспечивается технической документацией по эксплуатации на казахском и русском языках.

      74. Создание и развитие или приобретение ПО обеспечиваются технической поддержкой и сопровождением.

      Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями ТД ИБ.

      Сноска. Пункт 74 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      75. Процесс создания и развития прикладного ПО:

      1) предусматривает:

      создание информационной базы алгоритмов, исходных текстов и программных средств;

      испытание и тестирование программных модулей;

      типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость;

      использование лицензионных инструментальных средств разработки;

      2) включает процедуры приемки прикладного ПО, предусматривающие:

      передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу;

      контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО;

      выполнение контрольного примера на данной версии ПО.

      Сноска. Пункт 14 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      76. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников подразделения информационных технологий ГО, МИО или организаций.

      Сноска. Пункт 76 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      77. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      78. С целью обеспечения ИБ:

      1) на этапе разработки ПО учитываются рекомендации стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";

      2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:

      идентификации и аутентификации пользователей, при необходимости ЭЦП и регистрационных свидетельств;

      управления доступом;

      контроля целостности;

      журналирования действий пользователей, влияющих на ИБ;

      защиты онлайновых транзакций;

      криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;

      журналирования критичных событий ПО;

      3) в ТД ИБ определяются и применяются при эксплуатации:

      правила установки, обновления и удаления ПО на серверах и рабочих станциях;

      процедуры управления изменениями и анализа прикладного ПО, в случае изменения системного ПО;

      4) лицензируемое ПО используется и приобретается только при условии наличия лицензии.

      79. Мероприятия по контролю правомерности использования ПО определяются в ТД ИБ, проводятся не реже одного раза в год и включают в себя:

      определение фактически используемого ПО;

      определение прав на использование ПО;

      сравнение фактически используемого ПО и имеющихся лицензий.

      80. Прикладное ПО выполняет проверки подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утвержденными уполномоченным органом в соответствии с подпунктом 10) пункта 1 статьи 5 Закона Республики Казахстан "Об электронном документе и электронной цифровой подписи".

      Сноска. Пункт 80- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 3. Требования к информационно-коммуникационной инфраструктуре

      81. Требования к ИКИ формируются с учетом объектов, входящих в ее состав, согласно подпункту 25) статьи 1 Закона.

      82. ЕТ устанавливает требования к следующим объектам ИКИ:

      1) информационная система;

      2) технологическая платформа;

      3) аппаратно-программный комплекс;

      4) сети телекоммуникаций;

      5) системы бесперебойного функционирования технических средств и информационной безопасности;

      6) серверное помещение (центр обработки данных).

      Сноска. Пункт 82 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 4. Требования к информационной системе

      83. ИС ГО или МИО создается и развивается в порядке, определенном пунктом 1 статьи 39 Закона, а также учитываются требования статьи 38 Закона.

      Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в ИС ГО или МИО определяются статьей 42 Закона.

      84. Перед началом опытной эксплуатации разработчиком:

      1) для всех функциональных компонентов ИС создается набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;

      2) осуществляются стендовые испытания ИС;

      3) осуществляется для персонала:

      ИС ГО или МИО первого класса в соответствии с классификатором обязательное обучение;

      ИС ГО или МИО второго класса в соответствии с классификатором создание видео,- мультимедиа обучающих материалов;

      ИС ГО или МИО третьего класса в соответствии с классификатором создание справочной системы и (или) инструкций по эксплуатации.

      85. Опытная эксплуатация ИС ГО или МИО включает:

      документирование процедур проведения опытной эксплуатации;

      оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;

      оформление акта о завершении опытной эксплуатации ИС;

      срок проведения опытной эксплуатации не должен превышать один год.

      Сноска. Пункт 85 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      85-1. Внедрение объекта информатизации "электронного правительства" осуществляется в соответствии с действующими на территории Республики Казахстан стандартами.

      Сноска. Единые требования дополнены пунктом 85-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      86. Перед вводом в промышленную эксплуатацию ИС в ГО, МИО или организации определяются, согласовываются, документально оформляются критерии приемки созданной ИС или новых версий и обновлений ИС.

      Сноска. Пункт 86 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      87. Ввод в промышленную эксплуатацию ИС ГО или МИО осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия акта с положительным результатом испытаний на соответствие требованиям ИБ, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченного органа, заинтересованных ГО, МИО и организаций.

      Сноска. Пункт 87 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      87-1. Испытания на соответствие требованиям информационной безопасности проводятся в соответствии со статьей 49 Закона.

      Сноска. Единые требования дополнены пунктом 87-1 в соответствии с постановлением Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      88. Предоставление сервисному интегратору "электронного правительства" для учета и хранения разработанного ПО, исходных программных кодов (при наличии) и комплекса настроек лицензионного ПО ИС ГО или МИО является обязательным и осуществляется в соответствии с порядком, определенным уполномоченным органом.

      Модифицирование, разглашение и (или) использование исходных программных кодов, программных продуктов и ПО осуществляются по разрешению его собственника.

      89. При промышленной эксплуатации ИС ГО или МИО обеспечиваются:

      1) сохранность, защита, восстановление ЭИР в случае сбоя или повреждения;

      2) резервное копирование и контроль за своевременной актуализацией ЭИР;

      3) автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к ИС ГО или МИО;

      4) фиксация изменений в конфигурационных настройках ПО, серверного и телекоммуникационного оборудования;

      5) контроль и регулирование функциональных характеристик производительности;

      6) сопровождение ИС;

      7) техническая поддержка используемого лицензионного ПО ИС;

      8) гарантийное обслуживание разработчиком ИС, включающее устранение ошибок и недочетов ИС, выявленных в период гарантийного срока (Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию ИС);

      9) подключение пользователей к ИС, а также взаимодействие ИС осуществляется с использованием доменных имен;

      10) системно-техническое обслуживание;

      11) сокращение (исключение) использования документов на бумажном носителе, а также требований по их представлению при осуществлении государственных функций и оказании государственных услуг.

      Сноска. Пункт 89- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      90. Интеграция ИС ГО или МИО, в том числе с ИС ГО и МИО, находящейся в опытной эксплуатации, осуществляется в соответствии с требованиями, определенными статьей 43 Закона.

      Интеграция негосударственной ИС с ИС ГО или МИО осуществляется в соответствии с требованиями, определенными статьей 44 Закона.

      90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:

      1) регистрация и проверка источников (точек подключений) запросов на легитимность;

      2) проверка легитимности запросов по:

      паролю или ЭЦП;

      точке подключения;

      наличию блокировки соединения;

      разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;

      разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;

      наличию в запросах признаков нарушений информационной безопасности;

      наличию вредоносного кода по сигнатурам;

      3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:

      отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;

      превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;

      наличии в запросах признаков нарушений информационной безопасности;

      превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;

      выявлении аномальной активности пользователей;

      выявлении попыток выгрузки массивов данных;

      4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;

      5) замена логина соединения при выявлении инцидентов ИБ;

      6) сокрытие адресации ЛС внутреннего контура;

      7) журналирование событий, включающее:

      регистрацию событий передачи/приема информационных сообщений;

      регистрацию событий передачи/ получения файлов;

      регистрацию событий передачи/получения служебных сообщений;

      применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;

      автоматизацию процедур анализа журналов событий на наличие событий ИБ;

      хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;

      раздельное ведение журналов событий (при необходимости) по:

      а) текущим суткам;

      б) соединению (каналу связи);

      в) государственному органу (юридическому лицу);

      г) интегрируемым объектам информатизации;

      8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;

      9) программно-аппаратная криптографическая защита соединений, осуществляемых через сети передачи данных;

      10) хранение и передача паролей соединений в зашифрованном виде;

      11) автоматизация оповещения об инцидентах ИБ ответственных лиц интегрируемых объектов информатизации.

      Сноска. Глава 3 дополнена пунктом 90-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      91. Гарантийное обслуживание ИС на этапе промышленной эксплуатации с привлечением сторонних организаций требует:

      регламентации вопросов ИБ в соглашениях на гарантийное обслуживание;

      управления рисками ИКТ в процессе гарантийного обслуживания.

      92. Управление программно-аппаратным обеспечением ИС ГО и МИО осуществляется из ЛС внутреннего контура владельца ИС.

      Программно-аппаратное обеспечение ИС ГО или МИО и негосударственных ИС, интегрируемых с ИС ГО или МИО, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом, осуществляемым с использованием национального шлюза, в рамках международных договоров, ратифицированных Республикой Казахстан.

      Сноска. Пункт 92 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-1. Для организации работы ИС ГО и МИО допускается использование облачных сервисов (аппаратно-программные комплексы, ИС, предоставляющие ресурсы с использованием технологии виртуализации), центры управления и сервера которых физически размещены на территории Республики Казахстан.

      Сноска. Глава 3 дополнена пунктом 92-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-2. Программно-аппаратное обеспечение ИС критически важных объектов информационно-коммуникационной инфраструктуры, содержащее персональные данные граждан Республики Казахстана, размещается на территории Республики Казахстан.

      Сноска. Глава 3 дополнена пунктом 92-2 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-3. Собственники и владельцы информационных систем государственного органа создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

      Сноска. Единые требования дополнены пунктом 92-3 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-4. Собственники, владельцы и пользователи ИС ГО и МИО осуществляют наполнение, обеспечивают достоверность и актуальность ЭИР.

      Сноска. Единые требования дополнены пунктом 92-4 в соответствии с постановлением Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      93. Собственник или владелец ИС ГО или МИО принимает решение о прекращении эксплуатации ИС в случае отсутствия необходимости ее дальнейшего использования.

      О прекращении эксплуатации ИС ГО или МИО необходимо уведомить сервисного интегратора, с публикацией на архитектурном портале "электронного правительства" субъектов информатизации, чьи ИС интегрированы со снимаемой с эксплуатации ИС ГО или МИО, и ГО или МИО, являющихся пользователями данной ИС.

      94. ГО или МИО составляет план снятия ИС ГО или МИО с эксплуатации и согласовывает его с ГО или МИО, являющимися пользователями ИС ГО или МИО.

      95. После снятия ИС с эксплуатации ГО или МИО сдают в ведомственный архив электронные документы, техническую документацию, журналы и архивированную базу данных снятой с эксплуатации ИС ГО или МИО в соответствии с Правилами приема, хранения, учета и использования документов Национального архивного фонда и других архивных документов ведомственными и частными архивами, утвержденными постановлением Правительства Республики Казахстан в соответствии с подпунктом 3) пункта 1-1 статьи 18 Закона об архивах.

      Сноска. Пункт 95 - в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      96. При поступлении заявки на прекращение эксплуатации ИС ГО или МИО сервисный интегратор аннулирует электронное свидетельство о регистрации ИС ГО или МИО и размещает соответствующие сведения на архитектурном портале "электронного правительства".

      97. Списание и (или) утилизация снятой с эксплуатации ИС ГО или МИО осуществляются в соответствии с законодательством Республики Казахстан о бухгалтерском учете и финансовой отчетности.

      В случае, если эксплуатация ИС ГО или МИО прекращена, но ИС ГО или МИО не списана в установленном порядке, то ИС ГО или МИО считается находящейся в консервации.

      После списания ИС ГО или МИО не используется.

      98. Для обеспечения ИБ:

      1) на стадиях стендовых, приемо-сдаточных испытаний и тестовой эксплуатации осуществляются:

      тестирование ПО ИС на основе разработанных комплексов тестов, настроенных на конкретные классы программ;

      натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование);

      тестирование ПО ИС с целью выявления возможных дефектов;

      стендовые испытания ПО ИС для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности;

      выявление и устранение уязвимостей программного и аппаратного обеспечения;

      отработка средств защиты от несанкционированного воздействия;

      2) перед вводом ИС в опытную эксплуатацию требуется предусмотреть:

      контроль неблагоприятного влияния новой ИС на функционирующие ИС и компоненты ИКИ ЭП, особенно во время максимальных нагрузок;

      анализ влияния новой ИС на состояние ИБ ИКИ ЭП;

      организацию подготовки персонала к эксплуатации новой ИС;

      3) осуществляется разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования:

      перевод ИС из фазы разработки в фазу тестирования фиксируется и документально оформляется;

      перевод ИС из фазы тестирования в фазу опытной эксплуатации фиксируется и документально оформляется;

      перевод ИС из фазы опытной эксплуатации в этап промышленной эксплуатации фиксируется и документально оформляется;

      инструментальные средства разработки и испытываемое ПО ИС размещаются в разных доменах;

      компиляторы, редакторы и другие инструментальные средства разработки в среде эксплуатации не размещаются или недоступны для использования из среды эксплуатации;

      среда испытаний ИС соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры;

      для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации;

      не подлежат копированию данные из ИС, находящихся в промышленной эксплуатации, в испытательную среду;

      4) при выводе из эксплуатации ИС обеспечиваются:

      архивирование информации, содержащейся в ИС;

      уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей с оформлением соответствующего акта.

      98-1. На информационную систему критически важных объектов ИКИ также распространяются требования стандарта Республики Казахстан IEC/PAS 62443-3- 2017 "Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (Кибербезопасность) промышленного процесса измерения и управления".

      Сноска. Единые требования дополнены пунктом 98-1 в соответствии с постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 5. Требования к технологической платформе

      99. Выбор технологической платформы осуществляется с учетом приоритета оборудования с возможностью поддержки технологии виртуализации.

      Сноска. Пункт 99 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      100. При выборе оборудования, реализующего технологию виртуализации, учитывается необходимость обеспечения следующей функциональности:

      1) декомпозиции:

      вычислительные ресурсы распределяются между виртуальными машинами;

      множество приложений и операционных систем сосуществуют на одной физической вычислительной системе;

      2) изоляции:

      виртуальные машины полностью изолированы друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные;

      данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений;

      3) совместимости:

      приложениям и ОС предоставляются вычислительные ресурсы оборудования, реализующего технологию виртуализации.

      101. ИКП ЭП размещается на оборудовании, расположенном в серверном центре ГО.

      ИКП ЭП обеспечивает:

      автоматизированное предоставление ИК-услуг с единой точкой входа для их управления;

      виртуализацию вычислительных ресурсов серверного оборудования с использованием различных технологий;

      бесперебойное и отказоустойчивое функционирование предоставляемых ИК-услуг с коэффициентом использования не менее 98,7 %;

      исключение единой точки отказа на логическом и физическом уровнях средствами используемого оборудования, телекоммуникаций и программного обеспечения;

      разделение вычислительных ресурсов на аппаратном и программном уровнях.

      Надежность виртуальной инфраструктуры обеспечивается встроенными средствами ПО технологии виртуализации и управления виртуальной средой.

      101-1. Промышленная эксплуатация ИКП допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности.

      Сноска. Глава 3 дополнена пунктом 101-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      102. Для обеспечения ИБ при использовании технологии виртуализации реализуются:

      1) управление идентификацией, требующее:

      аутентификацию клиентов ИК-услуг и привилегированных пользователей;

      федеративной идентификации пользователей в пределах одной технологической платформы;

      сохранения информации об аутентификации после удаления идентификатора пользователя;

      применения средств контроля процедур назначения профилей полномочий пользователя;

      2) управление доступом, требующее:

      разделения полномочий администратора ИС и администратора среды виртуализации;

      ограничения прав доступа администратора среды виртуализации к данным пользователя ИК-услуги. Права доступа ограничиваются конкретными процедурами, определенными в ТД ИБ и сервисном соглашении об обслуживании, и подлежат регулярной актуализации;

      применения многофакторной аутентификации для привилегированных и критичных операций;

      ограничения использования ролей со всеми полномочиями. Настройки профиля администратора ИС исключают получение доступа к компонентам среды виртуализации;

      определения минимальных привилегий и реализацию модели ролевого управления доступом;

      удаленного доступа посредством защищенного шлюза или списка разрешенных сетевых адресов отправителей;

      3) управление ключами шифрования, требующее:

      контроля ограничения доступа к данным о ключах шифрования СКЗИ;

      контроля над организацией корневого каталога и подписки ключей;

      блокирования скомпрометированных ключей и их надежного уничтожения;

      4) проведение аудита событий ИБ, требующее:

      обязательности и регулярности процедур, определяемых в ТД ИБ;

      проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;

      ведения журнала регистрации событий и хранения в недоступной для администратора системе хранения;

      проверки правильности работы системы ведения журнала регистрации событий;

      определения длительности хранения журналов регистрации событий в ТД ИБ;

      5) регистрация событий ИБ, требующая:

      журналирования действий администраторов;

      применения системы мониторинга инцидентов и событий ИБ;

      оповещения на основе автоматического распознавания критического события или инцидента ИБ;

      6) управление инцидентами ИБ, требующее:

      определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты ИБ с актуализацией раз в полугодие;

      составления отчетов с периодичностью, определенной в ТД ИБ, по результатам обнаружения, выявления, оценки и реагирования на инциденты ИБ;

      уведомления ответственных лиц ГО, МИО или организации об инцидентах ИБ;

      регистрации инцидентов ИБ в Службе реагирования на компьютерные инциденты Государственной технической службы;

      7) применение защитных мер аппаратных и программных компонентов инфраструктуры среды виртуализации, осуществляющих:

      физическое отключение или блокирование неиспользуемых физических устройств (съемных накопителей, сетевых интерфейсов);

      отключение неиспользуемых виртуальных устройств и сервисов;

      мониторинг взаимодействия между гостевыми операционными системами;

      контроль сопоставления виртуальных устройств физическим;

      применение сертифицированных гипервизоров;

      8) физическое разделение сред эксплуатации от сред разработки и тестирования;

      9) определение в ТД ИБ процедур управления изменениями для объектов информатизации;

      10) определение в ТД ИБ процедур восстановления после сбоев и отказов оборудования и ПО;

      11) исполнение процедур сетевого и системного администрирования требующее:

      обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур;

      отделения аппаратной платформы от операционной системы виртуальной машины c целью исключения доступа внешних пользователей к аппаратной части;

      логической изоляции между различными функциональными областями инфраструктуры среды виртуализации;

      физической изоляции между средами виртуализации ЭИР и ИС различных классов по уровню ИБ.

Параграф 6. Требования к аппаратно-программному комплексу

      103. Требования к конфигурации серверного оборудования АПК определяются в техническом задании на создание или развитие ИС и (или) технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      104. Выбор типовой конфигурации серверного оборудования АПК осуществляется с учетом обеспечения приоритета серверов:

      1) с многопроцессорной архитектурой;

      2) позволяющих масштабировать ресурсы и увеличивать производительность;

      3) поддерживающих технологию виртуализации;

      4) включающих средства управления, изменения и перераспределения ресурсов;

      5) совместимых с используемой информационно-коммуникационной инфраструктурой.

      105. Для обеспечения высокой доступности сервера применяются встроенные системы:

      1) горячей замены резервных вентиляторов, блоков питания, дисков и адаптеров ввода-вывода;

      2) динамической очистки и перераспределения страниц памяти;

      3) динамического перераспределения процессоров;

      4) оповещения о критических событиях;

      5) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.

      106. Приобретаемое серверное оборудование обеспечивается технической поддержкой от производителя. Снимаемое с производства серверное оборудование не подлежит приобретению.

      107. С целью обеспечения ИБ на регулярной основе, определенной в НТД ИБ, осуществляется инвентаризация серверного оборудования с проверкой его конфигурации.

      108. Для обеспечения безопасности и качества обслуживания с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан, серверное оборудование АПК объектов информатизации ГО и МИО:

      первого класса – размещается только в серверном центре ГО;

      второго класса – размещается в серверном центре ГО, серверном помещении ГО и МИО или привлекаемого юридического лица, оборудованными в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.

      Сноска. Пункт 108 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      108-1. Для обеспечения доступности и отказоустойчивости АПК объектов информатизации ГО и МИО резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных осуществляется с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан для объектов информатизации первого и второго классов в резервном серверном помещении ГО, МИО или привлекаемого юридического лица, оборудованном в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.

      Сноска. Единые требования дополнены пунктом 108-1 в соответствии с постановлением Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      109. Требования к системам хранения данных определяются в техническом задании на создание или развитие ИС и (или) технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      110. Система хранения данных обеспечивает поддержку:

      единых средств для репликации данных;

      масштабируемости по объему хранения данных.

      111. Для высоконагруженных ИС, требующих высокой доступности, применяются:

      1) сети хранения данных;

      2) системы хранения данных, поддерживающие систему виртуализации и (или) ярусного хранения данных.

      112. Для обеспечения высокой доступности системы хранения данных включают встроенные системы:

      1) горячей замены резервных вентиляторов и блоков питания;

      2) горячей замены дисков и адаптеров ввода-вывода;

      3) оповещения о критических событиях;

      4) активных контроллеров (в количестве не менее двух);

      5) интерфейсов сети хранения данных (в количестве не менее двух портов на контроллер);

      6) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.

      113. Система хранения данных обеспечивается системой резервного копирования.

      114. Для обеспечения ИБ, надежного хранения и возможности восстановления данных:

      1) применяется криптографическая защита хранимой служебной информации ограниченного распространения, информации конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа с использованием СКЗИ, в соответствии с пунктом 48 настоящих ЕТ;

      2) используется выделенный сервер для защищенного хранения ключей шифрования по уровню безопасности не ниже уровня безопасности, используемых СКЗИ, установленного для криптографических ключей в правилах использования криптографических средств защиты информации;

      3) обеспечивается запись и испытание резервных копий в соответствии с регламентом резервного копирования, определенным в ТД ИБ.

      115. При выводе из эксплуатации носителей информации, используемых в конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяется программное и аппаратное обеспечение гарантированного уничтожения информации.

      116. При выборе системного ПО серверного оборудования и рабочих станций учитываются:

      1) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      2) соответствие типу операционных систем (клиентской или серверной);

      3) совместимость с используемым прикладным ПО;

      4) поддержка сетевых сервисов, функционирующих в сети телекоммуникаций;

      5) поддержка многозадачности;

      6) наличие штатных средств получения и установки критичных обновлений и обновлений безопасности выпускаемых производителем операционных систем;

      7) наличие средств диагностики, аудита и ведение журнала событий;

      8) поддержка технологий виртуализации.

      Сноска. Пункт 116 с изменениями, внесенными постановлениями Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      116-1. Служащие ГО и МИО получают доступ с рабочей станции к "Цифровому рабочему месту служащего", предназначенному для обеспечения единого интерфейса и доступа ко всем системам и сервисам (компонентам, программным продуктам) "электронного правительства".

      Сноска. Глава 3 дополнена пунктом 116-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      117. Приобретение системного ПО осуществляется с учетом приоритета:

      1) модели лицензирования, обеспечивающей снижение стоимости закупки, а также совокупной стоимости лицензии за период эксплуатации;

      2) ПО, обеспеченного технической поддержкой и сопровождением.

      118. С целью обеспечения ИБ системное ПО обеспечивает возможность:

      1) контроля доступа с применением:

      идентификации, аутентификации и управления паролями пользователей;

      регистрации успешных и неудавшихся доступов;

      регистрации использования системных привилегий;

      ограничения времени соединения, при необходимости, и блокировки сеанса по превышению лимита времени;

      2) исключения для пользователей и ограничения для администраторов использования системных утилит, способных обходить средства контроля операционной системы.

      119. СПО распространяется безвозмездно, без лицензионных ограничений, препятствующих использованию в ГО с соблюдением требований законодательства об авторском праве.

      120. СПО предоставляется с открытым исходным кодом.

      121. Используемое в ГО СПО дорабатывается с учетом поддержки форматов информационного взаимодействия через ШЭП.

      122. Для обеспечения ИБ при применении СПО:

      к использованию допускается СПО, поддерживаемое сообществом разработчиков СПО или прошедшее экспертизу и сертификацию программного кода;

      сохраняются применявшиеся версии СПО.

Параграф 7. Требования к сетям телекоммуникаций

      123. Ведомственные (корпоративные) сети телекоммуникаций организуются путем объединения локальных сетей, принадлежащих одному собственнику, посредством выделенных собственных или арендованных каналов связи.

      Выделенные каналы связи, предназначенные для объединения локальных сетей, организовываются с использованием протоколов канального и сетевого уровней.

      124. При организации ведомственной (корпоративной) сети путем объединения нескольких локальных сетей применяется радиальная или радиально-узловая топология сети. В узловых точках выделенные каналы подключаются к одному пограничному шлюзу. Каскадное (последовательное) подключение локальных сетей не используется.

      125. При проектировании создается и при эксплуатации поддерживается в актуальном состоянии документированная схема ведомственной (корпоративной) сети телекоммуникаций.

      126. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      127. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      128. В целях обеспечения ИБ выделенного канала связи:

      1) применяются программно-технические средства защиты информации, в том числе криптографического шифрования, с использованием СКЗИ;

      2) подключаются к локальной сети посредством пограничного шлюза с прописанными правилами маршрутизации и политиками безопасности. Пограничный шлюз обеспечивает следующий минимальный набор функций:

      централизованную авторизацию узлов сети;

      конфигурацию уровней привилегий администраторов;

      протоколирование действий администраторов;

      статическую трансляцию сетевых адресов;

      защиту от сетевых атак;

      контроль состояния физических и логических портов;

      фильтрацию входящих и исходящих пакетов на каждом интерфейсе;

      криптографическую защиту передаваемого трафика с использованием СКЗИ;

      3) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей СИ между собой используются:

      средства разделения и изоляции информационных потоков;

      оборудование с компонентами, обеспечивающими ИБ и безопасное управление;

      выделенные и интегрированные с оборудованием доступа межсетевые экраны, установленные в каждой точке подключения, с целью защиты периметра ЕТС ГО;

      4) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ ГО, государственные юридические лица, субъекты квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ используют услуги оператора или другого оператора связи, имеющего зарезервированные каналы связи на оборудовании ЕШДИ.

      Подключение ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ осуществляется в соответствии с Правилами функционирования единого шлюза доступа к Интернету, утвержденными уполномоченным органом в сфере обеспечения информационной безопасности;

      5) служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ для осуществления оперативного информационного обмена в электронной форме при исполнении ими служебных обязанностей используют:

      ведомственную электронную почту, службу мгновенных сообщений и иные сервисы;

      электронную почту, службу мгновенных сообщений и иные сервисы, центры управления и серверы которых физически размещены на территории Республики Казахстан, если иное не установлено уполномоченным органом;

      доступные облачные онлайн-сервисы видеоконференцсвязи в целях коммуникаций с иностранными физическими и юридическими лицами;

      6) взаимодействие ведомственной электронной почты ГО и МИО с внешними электронными почтовыми системами осуществляется только через единый шлюз электронной почты;

      7) служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ осуществляют доступ к ИР из ЛС внешнего контура только через ЕШДИ с использованием веб-обозревателя, являющегося СПО и соответствующего требованиям Правил функционирования ЕШДИ, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности;

      8) служащими ГО, МИО и работниками государственных юридических лиц доступ к интернет-ресурсам осуществляется посредством интернет-браузера, дистрибутив которого имеет предустановленные регистрационные свидетельства национального удостоверяющего центра Республики Казахстан и корневого удостоверяющего центра Республики Казахстан.

      Сноска. Пункт 128 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      129. Подключение СИ к ЕТС ГО осуществляется в соответствии с Правилами подключения к ЕТС ГО и предоставления доступа к интранет-ресурсу через ЕТС ГО, определяемыми уполномоченным органом.

      Оператор по заявкам СИ осуществляет:

      распределение, регистрацию и перерегистрацию IP-адресов локальных сетей СИ, подключенных к ЕТС ГО, по заявкам СИ;

      регистрацию доменных имен в доменных зонах Интернета gov.kz и мем.қаз по заявкам СИ;

      регистрацию доменных имен в сети ЕТС ГО по заявкам СИ;

      предоставление сервиса DNS в сети ЕТС ГО.

      Сноска. Пункт 129 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      130. В ГО или МИО допускается применение устройств для организации беспроводного доступа только к общедоступным ЭИР "электронного правительства" и местах, разрешенных для пребывания посетителей ГО или МИО в "гостевой зоне".

      131. Не допускается подключение к ЕТС ГО, локальной сети СИ, а также техническим средствам, входящим в состав ЕТС ГО, локальной сети СИ, устройств для организации удаленного доступа посредством беспроводных сетей, беспроводного доступа, модемов, радиомодемов, модемов сетей операторов сотовой связи, абонентских устройств сотовой связи и других беспроводных сетевых устройств, за исключением организованных оператором ИКИ ЭП беспроводных каналов связи ЕТС ГО, с использованием СКЗИ в соответствии с пунктом 48 настоящих ЕТ.

      Сноска. Пункт 131 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      131-1. Необходимо осуществлять контроль подключения абонентских устройств сотовой связи, модемов сетей операторов сотовой связи, а также электронных носителей информации, не разрешенных политикой ИБ, принятой в ГО или МИО.

      Сноска. Единые требования дополнены пунктом 131-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      132. Оператор ИКИ ЭП по заявкам СИ осуществляет:

      распределение, регистрацию и перерегистрацию IP-адресов локальных сетей СИ, подключенных к ЕТС ГО, по заявкам СИ;

      регистрацию доменных имен в доменных зонах Интернета gov.kz и мем.қаз по заявкам СИ;

      регистрацию доменных имен в сети ЕТС ГО по заявкам СИ;

      предоставление сервиса DNS в сети ЕТС ГО.

      Сноска. Пункт 132 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      133. ГО и МИО ежегодно:

      1) запрашивают у государственной технической службы перечень используемых на оборудовании ЕШДИ категорий интернет-ресурсов;

      2) выбирают из вышеуказанного перечня категории интернет-ресурсов, доступ к которым разрешается для служащих ГО и МИО средствами ЕШДИ, и составляют их список;

      3) направляют в государственную техническую службу вышеуказанный список и списки сетевых адресов информационно-коммуникационных сетей ГО и их территориальных подразделений, МИО, получающих доступ к Интернету, для применения на оборудовании ЕШДИ;

      4) направляют в государственную техническую службу, в случае производственной необходимости организации VPN-каналов, техническую информацию по требуемым VPN-каналам (IP-адреса источника и назначения, порты, протокол), согласованную с уполномоченным органом в сфере обеспечения информационной безопасности.

      Сноска. Пункт 133 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      133-1. Не допускаются установка и применение на объектах информатизации, размещенных в ЛС внешнего контура ГО или МИО, программных или технических средств для удаленного управления ими извне ЛС внешнего контура ГО или МИО.

      Сноска. Единые требования дополнены пунктом 133-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      134. Исключен постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      134-1. Государственная техническая служба применяет на оборудовании ЕШДИ политику блокировки следующих категорий ИР и ПО (по умолчанию):

      - VPN;

      - удаленный доступ;

      - p2p;

      - игровые ресурсы;

      - неизвестные приложения, не входящие по умолчанию в перечень категорий ИР и ПО;

      - вредоносные ИР и ПО.

      Сноска. Единые требования дополнены пунктом 134-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      134-2. Возможность разблокировки отдельных категорий ИР и ПО, указанных в пункте 134-1, рассматривается государственной технической службой на основании официального запроса, поступившего от ГО, МИО, государственных организаций, субъектов квазигосударственного сектора, а также владельцев критически важных объектов ИКИ.

      Сноска. Единые требования дополнены пунктом 134-2 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      135. Требования к создаваемой или развиваемой локальной сети определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      При проектировании кабельной системы локальной сети необходимо соблюдать требования государственного норматива СН РК 3.02-17-2011 "Структурированные кабельные сети. Нормы проектирования".

      136. При проектировании создается документированная схема локальной сети, которая поддерживается в актуальном состоянии при эксплуатации.

      137. Все элементы кабельной системы подлежат маркировке в соответствии с требованиями пункта 13.1.5 Государственного норматива СН РК 3.02-17-2011 "Структурированные кабельные сети. Нормы проектирования".

      Все кабельные соединения регистрируются в журнале учета кабельных соединений.

      138. Активное оборудование локальных сетей обеспечивается электропитанием от источников бесперебойного питания.

      139. Для обеспечения ИБ локальных сетей:

      1) неиспользуемые порты кабельной системы локальной сети физически отключаются от активного оборудования;

      2) разрабатывается и утверждается ТД ИБ, включающая правила:

      использования сетей и сетевых услуг;

      подключения к международным (территориальным) сетям передачи данных;

      подключения к Интернету и (или) сетям телекоммуникаций, сетям связи, имеющим выход в международные (территориальные) сети передачи данных;

      использования беспроводного доступа к сетевым ресурсам;

      3) служебная информация ограниченного распространения, информация конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, не передается по незащищенным проводным каналам связи и радиоканалам, не оборудованным соответствующими СКЗИ.

      Передача служебной информации ограниченного распространения производится с соблюдением специальных требований по защите информации ограниченного распространения в соответствии с Правилами отнесения сведений к служебной информации ограниченного распространения и работы с ней, установленными Правительством Республики Казахстан;

      4) применяются средства:

      идентификации, аутентификации и управления доступом пользователей;

      идентификации оборудования;

      защиты диагностических и конфигурационных портов;

      физического сегментирования локальной сети;

      логического сегментирования локальной сети;

      управления сетевыми соединениями;

      межсетевого экранирования;

      сокрытия внутреннего адресного пространства локальной сети;

      контроля целостности данных, сообщений и конфигураций;

      криптографической защиты информации в соответствии с пунктом 26 настоящих ЕТ;

      физической защиты каналов передачи данных и сетевого оборудования;

      регистрации событий ИБ;

      мониторинга и анализа сетевого трафика;

      управления сетью;

      5) осуществляется взаимодействие локальных сетей ГО, а также МИО между собой только через ЕТС ГО, за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;

      6) осуществляется взаимодействие локальных сетей центрального исполнительного государственного органа и его территориальных подразделений между собой только через ЕТС ГО, за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;

      7) исключаются сопряжения ЛС внутреннего контура и ЛС внешнего контура СИ между собой, за исключением организованных каналов связи с использованием СКЗИ, в соответствии с пунктом 48 настоящих ЕТ для учреждений Республики Казахстан, находящихся за границей или организованных с применением экранированной подсети;

      8) исключается подключение ЛС внутреннего контура СИ к Интернету;

      9) осуществляется соединение ЛС внешнего контура СИ с Интернетом только через ЕШДИ. Подключение к Интернету иным способом не допускается, за исключением специальных и правоохранительных ГО в оперативных целях. Взаимодействие ВШЭП с Интернетом осуществляется через ЕШДИ;

      10) размещаются ИС СИ, реализующие информационное взаимодействие через Интернет, в выделенном сегменте ЛС внешнего контура СИ и осуществляется взаимодействие с ИС СИ, размещенными в локальной сети внутреннего контура СИ, через ВШЭП, за исключением случаев применения экранированной подсети;

      11) осуществляется информационное взаимодействие ИС, размещенных в Интернете, с ИС СИ, размещенными в локальной сети внутреннего контура СИ, только через ВШЭП, за исключением случаев применения экранированной подсети;

      12) серверы инфраструктуры источника времени верхнего уровня синхронизируются с эталоном времени и частоты, воспроизводящим национальную шкалу всемирного координированного времени UTC(kz).

      Серверы инфраструктуры точного времени синхронизируются с сервером инфраструктуры точного времени верхнего уровня.

      Серверы инфраструктуры точного времени предоставляют доступ клиентам для синхронизации времени;

      13) отключаются открытые неиспользуемые сетевые порты.

      Сноска. Пункт 139 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      140. Требования, предусмотренные в подпунктах 10), 11) пункта 139 ЕТ, не предъявляются к ИС ГО и МИО, введенным в промышленную эксплуатацию до 1 января 2016 года и не подлежащим развитию до 1 января 2018 года.

      Порядок информационного взаимодействия данных ИС ГО или МИО с негосударственными ИС определяется Правилами интеграции объектов информатизации "электронного правительства", утвержденными уполномоченным органом в сфере информатизации в соответствии с подпунктом 13) статьи 7 Закона.

      Сноска. Пункт 140 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 8. Требования к системам бесперебойного функционирования технических средств и информационной безопасности

      141. Серверное оборудование АПК и системы хранения данных размещаются в серверном помещении.

      142. Серверное помещение располагается в отдельных, непроходных помещениях без оконных проемов. В случае наличия оконных проемов, они закрываются или заделываются негорючими материалами.

      Для поверхности стен, потолков и пола применяются материалы, не выделяющие и не накапливающие пыль. Для напольного покрытия применяются материалы с антистатическими свойствами. Серверное помещение защищается от проникновения загрязняющих веществ.

      Стены, двери, потолок, пол и перегородки серверного помещения обеспечивают герметичность помещения.

      143. Двери серверного помещения составляют не менее 1,2 метра в ширину и 2,2 метра в высоту, открываются наружу или раздвигаются. Конструкция рамы двери не предусматривает порога и центральной стойки.

      144. Серверное помещение оборудуется фальшполом и (или) фальшпотолком для размещения кабельных систем и инженерных коммуникаций.

      145. Через серверное помещение исключается прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением на верхних этажах.

      146. Монтаж коммуникационных каналов для прокладки силовых и слаботочных кабельных сетей здания выполняется в отдельных или разделенных перегородками кабельных лотках, коробах или трубах, разнесенных между собой. Слаботочные и силовые шкафы устанавливаются раздельно и закрываются на замок.

      Прокладка кабелей через перекрытия, стены, перегородки осуществляется в отрезках несгораемых труб с герметизацией негорючими материалами.

      147. Серверное помещение надежно защищается от внешнего электромагнитного излучения.

      148. При размещении оборудования:

      1) обеспечивается исполнение Правил технической эксплуатации электроустановок потребителей, утвержденных уполномоченным органом в сфере энергетики в соответствии с подпунктом 27) статьи 5 Закона Республики Казахстан "Об электроэнергетике" (далее – Закон об электроэнергетике);

      2) обеспечивается исполнение требований поставщиков и (или) производителя оборудования к установке (монтажу), нагрузке на перекрытия и фальшпол, с учетом веса оборудования и коммуникаций;

      3) обеспечивается наличие свободных служебных проходов для обслуживания оборудования;

      4) учитывается организация воздушных потоков системы обеспечения микроклимата;

      5) учитывается организация системы фальшполов и фальшпотолков.

      Сноска. Пункт 148- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      149. При техническом сопровождении оборудования, установленного в серверном помещении, документируются:

      1) обслуживание оборудования;

      2) устранение проблем, возникающих при работе аппаратно-программного обеспечения;

      3) факты сбоев и отказов, а также результаты восстановительных работ;

      4) послегарантийное обслуживание критически важного оборудования по истечении гарантийного срока обслуживания.

      Форма и способ документирования определяются самостоятельно.

      150. Обслуживание критически важного оборудования выполняется сертифицированным техническим персоналом.

      151. В непосредственной близости от серверного помещения создается склад запасных частей для критически важного оборудования, содержащий запас комплектующих и оборудования для выполнения оперативной замены при проведении ремонтно-восстановительных работ.

      152. Вмешательство в работу находящегося в эксплуатации оборудования возможно только с разрешения руководителя подразделения информационных технологий либо лица, его замещающего.

      153. Основные и резервные серверные помещения располагаются на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям.

      154. С целью обеспечения ИБ, отказоустойчивости и надежности функционирования:

      1) в серверном помещении применяются способы расположения оборудования, обеспечивающие снижение рисков возникновения угроз, опасностей и возможностей несанкционированного доступа;

      2) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      3) поддерживается в актуальном состоянии список лиц, авторизованных для осуществления сопровождения объектов ИКИ, установленных в серверном помещении;

      4) серверное помещение оборудуется системами:

      контроля и управления доступом;

      обеспечения микроклимата;

      охранной сигнализации;

      видеонаблюдения;

      пожарной сигнализации;

      пожаротушения;

      гарантированного электропитания;

      заземления;

      5) отказоустойчивость инфраструктуры серверного помещения составляет не менее 99,7 %.

      Сноска. Пункт 154 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      155. Система контроля и управления доступом обеспечивает санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери.

      Устройство центрального управления системы контроля и управления доступом устанавливается в защищенных от доступа посторонних лиц отдельных служебных помещениях, помещении поста охраны. Доступ к программным средствам системы контроля и управления доступом, влияющим на режимы работы системы, со стороны персонала охраны исключить.

      Электроснабжение системы контроля и управления доступом осуществляется от свободной группы щита дежурного освещения. Система контроля и управления доступом обеспечивается резервным электропитанием.

      156. Система обеспечения микроклимата включает системы кондиционирования, вентиляции и мониторинга микроклимата. Системы обеспечения микроклимата серверного помещения не объединяются с другими системами микроклимата, установленными в здании.

      Температура в серверном помещении поддерживается в диапазоне от 20 0С до 25 0С при относительной влажности от 45 % до 55 %.

      Мощность системы кондиционирования воздуха должна превышать суммарное тепловыделение всего оборудования и систем. Система кондиционирования воздуха обеспечивается резервированием. Электропитание кондиционеров серверного помещения осуществляется от системы гарантированного электропитания или системы бесперебойного электропитания.

      Система вентиляции обеспечивает приток свежего воздуха с фильтрацией и подогревом поступающего воздуха в зимний период. В серверном помещении давление создается избыточным для предотвращения поступления загрязненного воздуха из соседних помещений. На воздуховодах приточной и вытяжной вентиляций устанавливаются защитные клапаны, управляемые системой пожаротушения.

      Системы кондиционирования и вентиляции отключаются автоматически по сигналу пожарной сигнализации.

      Система мониторинга микроклимата контролирует климатические параметры в серверных шкафах и телекоммуникационных стойках:

      температуру воздуха;

      влажность воздуха;

      запыленность воздуха;

      задымленность воздуха;

      открытие (закрытие) дверей шкафов.

      Сноска. Пункт 156 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      157. Система охранной сигнализации серверного помещения выполняется отдельно от систем безопасности здания. Сигналы оповещения выводятся в помещение круглосуточной охраны в виде отдельного пульта. Контролю и охране подлежат все входы и выходы серверного помещения, а также внутренний объем серверного помещения. Система охранной сигнализации имеет собственный источник резервированного питания.

      158. Расположение камер системы видеонаблюдения выбирается с учетом обеспечения контроля всех входов и выходов в серверное помещение, пространства и проходов возле оборудования. Угол обзора и разрешение камер должны обеспечить распознавание лиц. Изображение с камер выводится на отдельный пульт в помещение круглосуточной охраны

      159. Система пожарной сигнализации серверного помещения выполняется отдельно от пожарной сигнализации здания. В серверном помещении устанавливаются два типа датчиков: температурные и дымовые.

      Датчиками контролируются общее пространство серверного помещения и объемы, образованные фальшполом и (или) фальшпотолком. Сигналы оповещения системы пожарной сигнализации выводятся на пульт в помещение круглосуточной охраны.

      160. Система пожаротушения серверного помещения оборудуется автоматической установкой газового пожаротушения, независимой от системы пожаротушения здания. В качестве огнегасителя в автоматической установке газового пожаротушения используется специальный нетоксичный газ. Порошковые и жидкостные огнегасители не используются. Установка газового пожаротушения размещается непосредственно в серверном помещении или вблизи него в специально оборудованном для этого шкафу. Запуск системы пожаротушения производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также ручных датчиков, расположенных у выхода из помещения. Время задержки выпуска огнегасителя составляет не более 30 с. Оповещение о срабатывании системы пожаротушения выводится на табло, размещаемые внутри и снаружи помещения. Система пожаротушения выдает команды на закрытие защитных клапанов системы вентиляции и отключение питания оборудования. Серверное помещение, оборудованное системой пожаротушения, оснащается вытяжной вентиляцией для удаления огнегасящего газа.

      161. Система гарантированного электропитания предусматривает наличие двух вводов электропитания от разных источников внешнего электропитания на напряжение ~400/230В, частотой 50 Гц и автономного генератора. Все источники электроэнергии подаются на автомат ввода резерва, осуществляющий автоматическое переключение на резервный ввод электропитания при прекращении, перерыве подачи электропитания на основном вводе. Параметры линий электропитания и сечение жил определяются исходя из планируемой суммарной потребляемой мощности оборудования и подсистем серверного помещения. Линии электропитания выполняются по пятипроводной схеме.

      Система гарантированного электропитания предусматривает электроснабжение оборудования и систем серверного помещения через источники бесперебойного питания. Мощность и конфигурация источников бесперебойного питания рассчитываются с учетом всего запитываемого оборудования и запаса для перспективного развития. Время автономной работы от источников бесперебойного питания рассчитывается с учетом потребностей, а также необходимого времени для перехода на резервные линии и времени запуска генератора в рабочий режим.

      162. Система заземления серверного помещения выполняется отдельно от защитного заземления здания. Все металлические части и конструкции серверного помещения заземляются с общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемым с общей шиной заземления. Открытые токопроводящие части оборудования обработки информации должны быть соединены с главным заземляющим зажимом электроустановки.

      Заземляющие проводники, соединяющие устройства защиты от перенапряжения с главной заземляющей шиной, должны быть самыми короткими и прямыми (без углов).

      При построении и эксплуатации системы заземления необходимо руководствоваться:

      Правилами устройства электроустановок, утвержденными приказом уполномоченного органа в сфере энергетики в соответствии с подпунктом 19) статьи 5 Закона об электроэнергетике;

      стандартом Республики Казахстан СТ РК МЭК 60364-5-548-96 "Электроустановки зданий. Часть 5. Выбор и монтаж электрооборудования". Раздел 548 "Заземление устройства и системы уравнивания электрических потенциалов в электроустановках, содержащих оборудование обработки информации";

      стандартом Республики Казахстан СТ РК МЭК 60364-7-707-84 "Электроустановки зданий. Часть 7. Требования к специальным электроустановкам". Раздел 707 "Заземление оборудования обработки информации";

      стандартом Республики Казахстан СТ РК ГОСТ 12.1.030-81 "ССБТ. Электробезопасность. Защитное заземление, зануление";

      стандартом Республики Казахстан СТ РК ГОСТ 464-79 "Заземление для стационарных установок проводной связи, радиорелейных станций, радиотрансляционных узлов проводного вещания и антенн систем коллективного приема телевидения. Нормы сопротивления".

      Сноска. Пункт 162- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      163. Распределительные устройства сетей телекоммуникаций размещаются в кроссовом помещении. Кроссовое помещение размещается ближе к центру обслуживаемой им рабочей области.

      Размер кроссового помещения выбирается исходя из размера обслуживаемой рабочей области и устанавливаемого оборудования.

      Помещение кроссового помещения должно соответствовать следующим требованиям:

      наличие свободных служебных проходов для обслуживания оборудования;

      отсутствие мощных источников электромагнитных помех (трансформаторов, электрических щитов, электродвигателей и прочее);

      отсутствие труб и вентилей системы водоснабжения;

      наличие систем пожарной безопасности;

      отсутствие легко возгораемых материалов (деревянные стеллажи, картон, книги и прочее);

      наличие отдельной линии электропитания от отдельного автомата для подключения шкафа по проекту;

      наличие систем охранной сигнализации, контроля доступа;

      наличие системы кондиционирования.

      Сноска. Глава 3 дополнена пунктом 163 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

  Приложение
к постановлению Правительства
Республики Казахстан
от 20 декабря 2016 года № 832

Перечень
утративших силу некоторых решений Правительства
Республики Казахстан

      1. Подпункты 5) и 6) пункта 1, пункты 2-1 и 2-2 постановления Правительства Республики Казахстан от 14 сентября 2004 года № 965 "О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан".

      2. Постановление Правительства Республики Казахстан от 14 марта 2013 года № 244 "О внесении дополнений в постановление Правительства Республики Казахстан от 14 сентября 2004 года № 965 "О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан".

      3. Постановление Правительства Республики Казахстан от 26 июня 2014 года № 706 "О внесении дополнений в постановление Правительства Республики Казахстан от 14 сентября 2004 года № 965 "О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан".