On approval of the National anti-crisis plan for responding to information security incidents

Resolution of the Government of the Republic of Kazakhstan dated August 9, 2018 No. 488.

      Unofficial translation

      In accordance with subparagraph 6-1) of article 6 of the Law of the Republic of Kazakhstan “On informatization” dated November 24, 2015 the Government of the Republic of Kazakhstan RESOLVES:

      1. To approve the attached the National anti-crisis plan for responding to information security incidents.

      2. This resolution shall come into effect ten calendar days after the day of its first official publication.

      Prime Minister of the
Republic of Kazakhstan 		B. Sagintayev

  Approved
by Resolution No. 488 of
the Government of the
Republic of Kazakhstan
dated August 9, 2018

National anti-crisis plan for responding to information security incidents Chapter 1. General provisions

      1. National anti-crisis plan for responding to information security incidents (hereinafter referred to as the plan) determines the order of actions of the entities of the system to reduce the impact of information security incidents on the state of information security while minimizing violations of their work.

      2. This plan does not apply to protected information systems, classified as state secrets in accordance with the legislation of the Republic of Kazakhstan on state secrets, as well as to telecommunications of special purpose and / or governmental, presidential, secret, encrypted and coded communications.

      3. In this plan the following concepts shall be used:

      1) facilities of information and communication infrastructure (hereinafter referred to as the ICI facilities) – information systems, technological platforms, hardware and software systems, telecommunications networks, as well as support systems for the smooth operation of hardware and information security;

      2) critical objects of information and communication infrastructure (hereinafter referred to as COICI) - objects of ICI, violation or termination of the functioning of which leads to illegal collection and processing of personal data of limited access and other information containing secret protected by law, social and (or) technogenic nature or significant negative consequences for defense, security, international relations, economy, individual spheres of economy or life of the population living in the relevant territory, including infrastructure: heat supply, power supply, gas supply, water supply, industry, healthcare, communications, banking, transport, hydraulic structures, law enforcement, "electronic government";

      3) information security incident response system (hereinafter referred to as the system) – a set of forces and means of ensuring information security, designed to implement a nationwide set of measures to protect electronic information resources, information systems, and information and communication infrastructure from technological failures or unauthorized exposure as a result of computer attacks, and liquidation of their consequences;

      4) information security incident (hereinafter referred to as the IS incident) – separately or serially disruptions in the operation of the information and communication infrastructure or its separate objects, posing a threat to their proper functioning and (or) conditions for the unlawful acquisition, copying, distribution, modification, destruction or blocking of electronic information resources;

      5) crisis situation in the field of information security – IS incident or real precondition for its occurrence at ICI facilities, which can lead to the impossibility or restriction of the provision of public services, an emergency situation of a social and (or) technogenic nature, or significant negative consequences for defense, security, international relations, the economy, certain sectors of the economy, the infrastructure of the Republic of Kazakhstan, or for the livelihoods of the population living in the relevant territory;

      6) national coordination center of information security (hereinafter referred to as NCCIS) - structural subdivision of the joint-stock company "State technical service";

      7) system entities – government agencies authorized to resolve information security or response to IS incident, NCCIS, Operational headquarters, owners of "e-government" information facilities, the CIOICI owners, information security operational centers (hereinafter referred to as the ISOC), Information security incident response services;

      8) computer attack – a deliberate attempt to implement the threat of tampering information, electronic resources, information systems, or to access them using a software or firmware (or interworking protocol).

      Other concepts used in the plan correspond to the concepts used in the legislation of the Republic of Kazakhstan in the field of informatization and communication.

      Footnote. Paragraph 3 as amended with the resolution of the Government of the RK dated 01.10.2020 № 630; dated 26.10.2022 No. 849 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

Chapter 2. Preventive actions

      4. In order to prevent incidents in the field of informatization and communication, the NCCIS conducts explanatory work on IS incidents on a planned basis. In this regard, it collects, analyzes and compiles information from system entities and other sources, including foreign and international organizations in the field of information security.

      5. ISOC in order to identify and suppress IS threats monitors the connected information and communication infrastructure and information facilities.

      6. ISOC interoperability in monitoring the provision of information security for information objects provided by NCCIS.

      7. The system entities to improve the level of protection of electronic information resources, software, information systems and the information and communication infrastructure supporting them are guided by the Uniform requirements in the field of information and communication technologies and information security, as well as other regulatory legal acts governing the field of information security.

Chapter 3. Actions of owners of critical information and communication infrastructure
facilities and “e- government” information facilities

      8. In order to ensure response to IS incidents with levels of criticality from 0 to 5, owners of “e-government" information facilities, CIOICI, ISOC owners develop and approve response plans, which include measures to deal with threats (risks) of information security, ensure continuous operation and recovery the health of assets associated with information processing facilities, and the following mandatory measures for:

      1) organizing and conducting measures to prevent the emergence of a crisis situation of information security;

      2) collection and analysis of data on the state of information security in the information and communication infrastructure;

      3) interacting with ISOC and NCCIS;

      4) supporting measures to ensure continuity of work and resilience to external changes;

      5) informing the system stakeholders on the issues of information security incidents detected and their elimination;

      6) the procedure for eliminating information security incidents and their consequences, minimizing the impact on the information and communication infrastructure of the system entity;

      7) measures for saving the digital traces of information security incidents (magazines, reports and forms);

      8) determining the causes of information security incidents;

      9) the actions to be taken after the information security incident;

      10) eliminate the cause of an IS incident;

      11) recovery procedures.

      Other activities may be included based on the characteristics of the information and communication infrastructure and (or) technological processes of the subjects of the system.

      9. Owners of e-government informatization facilities and CIOICI send a copy of the approved information security incident response plans to the authorized information security authority.

      10. On IS issues, the owners of CIOICI and e-government informatization facilities interact with NCCIS through the around-the-clock 1400 call center or the official www.kz-cert.kz website.

      11. According to the decision of the owners of "electronic government" informatization facilities and CIOICI, the information security incident response services and (or) ISOC may be involved in response to information security incidents.

      12. The “electronic government” informatization facilities and CIOICI, owners after the completion of the response, start implementing the measures provided for by the plan to restore the system, including using the recommendations of the authorized agency for information security and the NCCIS.

      13. For the purpose of effective interaction, the “electronic government” informatization facilities and CIOICI owners determine responsible officials for ensuring information security.

      Contact details of officials are sent to NCCIS. The NCCIS is informed about all cases of replacement of the responsible official or their contacts within 48 hours.

Chapter 4. Information security incident response
Paragraph 4.1. Actions of authorized agencies to respond to information security incidents

      14. NCCIS in cases of receiving information on information security incidents at information facilities, in accordance with 3, 4 and 5 levels of information security incidents, established by the Rules for monitoring of information security of e-government informatization facilities and critical ICI facilities and the Information Exchange Rules required for information security, between operational information security centers and the National Information Security Coordination Center, informs the national security agencies of the Republic of Kazakhstan.

      15. In urgent cases and that can result in the commission of serious and extremely serious crimes, as well as crimes being prepared and committed by a criminal group, the Chairman of the National Security Committee of the Republic of Kazakhstan, his deputies or the heads of territorial bodies of the National Security Committee of the Republic of Kazakhstan or their substitutes , has the right to suspend the operation of networks and (or) means of communication, the provision of communication services, access to Internet resources and (or) information posted on them in the interests of all subjects of operational investigative activities with subsequent notification to the authorized body in the field of communications and the General Prosecutor's Office of the Republic of Kazakhstan within 24 hours.

      16. In emergency situations of social, natural and technogenic nature, the introduction of state of emergency or martial law, the authorized body for ensuring information security coordinates the management of Internet resources and ICI facilities.

      17. Measures to respond to IS cross-border incidents are coordinated with the authorized body on foreign policy activities and implemented in accordance with international treaties ratified by the Republic of Kazakhstan..

Paragraph 4.2. Actions of the Operational headquarters

      18. In order to coordinate information crisis response activities in the field of information security, an operational headquarters for information security crisis response is created on the basis of NCCIS (hereinafter referred to as the Operational Headquarters).

      19. Prior to the convening of the Operational Headquarters, NCCIS, together with the forces and means of the owners of critical ICI facilities and e-government informatization facilities, conducts primary response to a crisis situation in order to prevent the spread and minimize its consequences.

      20. The head of the Operational Headquarters is the Deputy Chairman of the National Security Committee supervising the area of information security or his acting official. The deputy head of the Operational Headquarters is the head of the department, the authorized body in the field of information security, ensuring the implementation of state policy in the field of information security or his acting official.

      21. By decision of the head of the Operational Headquarters, it may include representatives of state bodies and other organizations.

      22. Based on the initial analysis of the information security crisis, the head of the NCCIS proposes to the head of the Operational Headquarters the decision to convene the Operational Headquarters to organize and implement a set of measures to prevent it and localize the consequences of an information security incident..

      23. The main tasks of the Operational Headquarters in a crisis situation are:

      determination of the procedure for the actions of authorized divisions of state bodies and organizations in responding to the information security crisis situation;

      making adjustments to the actions of the forces and means of authorized divisions of state bodies and organizations for localizing and eliminating information security crisis situations;

      coordination of organizational and technical response to crises in the field of information security;

      development and organization of measures to restore the functioning of the information and communication infrastructure, which work was disrupted during a crisis situation of information security;

      organizing of official and technical investigations and proceedings to establish the causes and conditions for the emergence of a crisis situation of information security;

      informing owners of information facilities about information security incidents via the mass media.

Об утверждении Национального антикризисного плана реагирования на инциденты информационной безопасности

Постановление Правительства Республики Казахстан от 9 августа 2018 года № 488.

      В соответствии с подпунктом 6-1) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемый Национальный антикризисный план реагирования на инциденты информационной безопасности.

      2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Премьер-Министр
Республики Казахстан 		Б. Сагинтаев

  Утвержден
постановлением Правительства
Республики Казахстан
от 9 августа 2018 года № 488

Национальный антикризисный план
реагирования на инциденты информационной безопасности

Глава 1. Общие положения

      1. Национальный антикризисный план реагирования на инциденты информационной безопасности (далее – план) определяет порядок действий субъектов системы по снижению влияния инцидентов информационной безопасности на состояние информационной безопасности с одновременным сведением к минимуму нарушений их работы.

      2. Настоящий план не распространяется на информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или правительственной, президентской, засекреченной, шифрованной и кодированной связи.

      3. В настоящем плане используются следующие понятия:

      1) объекты информационно-коммуникационной инфраструктуры (далее – объекты ИКИ) – информационные системы, технологические платформы, аппаратно-программные комплексы, сети телекоммуникаций, а также системы обеспечения бесперебойного функционирования технических средств и информационной безопасности;

      2) критически важные объекты информационно-коммуникационной инфраструктуры (далее – КВОИКИ) – объекты ИКИ, нарушение или прекращение функционирования которых приводит к незаконному сбору и обработке персональных данных ограниченного доступа и иных сведений, содержащих охраняемую законом тайну, чрезвычайной ситуации социального и (или) техногенного характера или значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, "электронного правительства";

      3) система реагирования на инциденты информационной безопасности (далее – система) – совокупность сил и средств обеспечения информационной безопасности, предназначенных для реализации общегосударственного комплекса мероприятий по защите электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от технологических сбоев или несанкционированного воздействия в результате компьютерных атак и ликвидации их последствий;

      4) инцидент информационной безопасности (далее – инцидент ИБ) – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

      5) кризисная ситуация в сфере информационной безопасности – инцидент ИБ или реальные предпосылки к его возникновению на объектах ИКИ, которые могут привести к невозможности или ограничению предоставления государственных услуг, чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства, инфраструктуры Республики Казахстан или для жизнедеятельности населения, проживающего на соответствующей территории;

      6) национальный координационный центр информационной безопасности (далее – НКЦИБ) – структурное подразделение акционерного общества "Государственная техническая служба";

      7) субъекты системы – государственные органы, уполномоченные на решение вопросов информационной безопасности или реагирования на инциденты ИБ, НКЦИБ, Оперативный штаб, владельцы объектов информатизации "электронного правительства", владельцы КВОИКИ, оперативные центры информационной безопасности (далее – ОЦИБ), службы реагирования на инциденты информационной безопасности;

      8) компьютерная атака – целенаправленная попытка реализации угрозы несанкционированного воздействия на информацию, электронный ресурс, информационную систему или получения доступа к ним с применением программных или программно-аппаратных средств (или протоколов межсетевого взаимодействия).

      Иные понятия, применяемые в плане, соответствуют понятиям, используемым в законодательстве Республики Казахстан в области информатизации и связи.

      Сноска. Пункт 3 с изменениями, внесенными постановлениями Правительства РК от 01.10.2020 № 630; от 26.10.2022 № 849 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Профилактические мероприятия

      4. В целях профилактики и недопущения инцидентов в сфере информатизации и связи НКЦИБ на плановой основе проводит разъяснительные работы по инцидентам ИБ, для этого на постоянной основе осуществляет сбор, анализ и обобщение информации от субъектов системы и иных источников, включая иностранные и международные организации в сфере информационной безопасности.

      5. ОЦИБ в целях выявления и пресечения угроз ИБ осуществляет мониторинг подключенной к нему информационно-коммуникационной инфраструктуры и объектов информатизации.

      6. Взаимодействие ОЦИБ по вопросам мониторинга обеспечения информационной безопасности объектов информатизации обеспечивает НКЦИБ.

      7. Субъекты системы для повышения уровня защищенности электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры руководствуются Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, а также иными нормативными правовыми актами, регламентирующими сферу информационной безопасности.

Глава 3. Действия собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры и объектов информатизации "электронного правительства"

      8. В целях обеспечения реагирования на инциденты ИБ с уровнями критичности от 0 до 5 владельцы объектов информатизации "электронного правительства", владельцы КВОИКИ, ОЦИБ разрабатывают и утверждают планы реагирования, в которых предусматриваются меры по обработке угроз (рисков) информационной безопасности, обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, и следующие обязательные мероприятия по:

      1) организации и проведению мероприятий по недопущению возникновения кризисной ситуации информационной безопасности;

      2) сбору и анализу данных о состоянии информационной безопасности в информационно-коммуникационной инфраструктуре;

      3) осуществлению взаимодействия с ОЦИБ и НКЦИБ;

      4) поддерживающим мерам обеспечения непрерывности работы и устойчивости к внешним изменениям;

      5) информированию заинтересованных субъектов системы по вопросам обнаруженных инцидентов информационной безопасности и их устранению;

      6) порядку действий при ликвидации инцидентов информационной безопасности и их последствий, минимизации воздействия на информационно-коммуникационную инфраструктуру субъекта системы;

      7) мерам сохранения цифровых следов инцидентов информационной безопасности (журналов, отчетов и форм);

      8) установлению причин инцидентов информационной безопасности;

      9) действиям, которые должны быть предприняты после инцидента информационной безопасности;

      10) устранению причины инцидента ИБ;

      11) процедурам восстановления.

      Иные мероприятия могут быть включены, исходя из особенностей функционирования информационно-коммуникационной инфраструктуры и (или) технологических процессов субъектов системы.

      9. Владельцы объектов информатизации "электронного правительства" и КВОИКИ направляют копию утвержденных планов реагирования на инциденты информационной безопасности в уполномоченный орган по обеспечению информационной безопасности.

      10. По вопросам инцидентов ИБ собственники и владельцы КВОИКИ и объектов информатизации "электронного правительства" взаимодействуют с НКЦИБ посредством круглосуточного call-центра 1400 или официального сайта www.kz-cert.kz.

      11. По решению владельцев объектов информатизации "электронного правительства", КВОИКИ к реагированию на инциденты информационной безопасности могут быть привлечены службы реагирования на инциденты информационной безопасности и (или) ОЦИБ.

      12. Владельцы объектов информатизации "электронного правительства", КВОИКИ после завершения реагирования приступают к реализации предусмотренных планом мер по восстановлению системы, в том числе используя рекомендации уполномоченного органа по информационной безопасности и НКЦИБ.

      13. В целях эффективного взаимодействия владельцы объектов информатизации "электронного правительства", КВОИКИ определяют ответственных должностных лиц за обеспечение информационной безопасности.

      Контактные данные лиц направляются в НКЦИБ. Обо всех случаях замены ответственного должностного лица, либо его контактов НКЦИБ информируется в течение 48-и часов.

Глава 4. Реагирование на инциденты информационной безопасности

Параграф 4.1. Действия уполномоченных органов по реагированию на инциденты информационной безопасности

      14. НКЦИБ в случаях получения информации об инцидентах информационной безопасности на объектах информатизации в соответствии с 3, 4 и 5 уровнями критичности инцидентов информационной безопасности, установленными Правилами проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов ИКИ и Правилами обмена информацией, необходимой для обеспечения информационной безопасности, между оперативными центрами обеспечения информационной безопасности и Национальным координационным центром информационной безопасности, информирует органы национальной безопасности Республики Казахстан.

      15. В случаях, не терпящих отлагательств и могущих привести к совершению тяжких и особо тяжких преступлений, а также преступлений, подготавливаемых и совершаемых преступной группой, Председатель Комитета национальной безопасности Республики Казахстан, его заместители или начальники территориальных органов Комитета национальной безопасности Республики Казахстан либо лица, их замещающие, вправе приостанавливать работу сетей и (или) средств связи, оказание услуг связи, доступ к интернет-ресурсам и (или) размещенной на них информации в интересах всех субъектов оперативно-розыскной деятельности с последующим уведомлением уполномоченного органа в области связи и Генеральной прокуратуры Республики Казахстан в течение 24-х часов.

      16. При чрезвычайных ситуациях социального, природного и техногенного характера, введении чрезвычайного или военного положения уполномоченный орган по обеспечению информационной безопасности осуществляет координацию деятельности по управлению интернет-ресурсами и объектами ИКИ.

      17. Меры реагирования на инциденты ИБ трансграничного характера согласовываются с уполномоченным органом по внешнеполитической деятельности и осуществляются в соответствии с международными договорами, ратифицированными Республикой Казахстан.

Параграф 4.2. Действия Оперативного штаба

      18. В целях координации деятельности по реагированию на кризисные ситуации в сфере информационной безопасности на базе НКЦИБ создается оперативный штаб по реагированию на кризисные ситуации информационной безопасности (далее – Оперативный штаб).

      19. До созыва Оперативного штаба НКЦИБ совместно с силами и средствами собственников и владельцев критически важных объектов ИКИ и объектов информатизации "электронного правительства" проводит мероприятия первичного реагирования на кризисную ситуацию с целью предотвращения распространения и минимизации ее последствий.

      20. Руководителем Оперативного штаба является заместитель Председателя Комитета национальной безопасности, курирующий сферу информационной безопасности или исполняющий его обязанности. Заместителем руководителя Оперативного штаба является руководитель ведомства, уполномоченного органа в сфере обеспечения информационной безопасности, обеспечивающий реализацию государственной политики в сфере обеспечения информационной безопасности или исполняющий его обязанности.

      21. По решению руководителя Оперативного штаба в его состав могут включаться представители государственных органов и иных организаций.

      22. На основе первичного анализа кризисной ситуации информационной безопасности руководитель НКЦИБ предлагает руководителю Оперативного штаба решение о созыве Оперативного штаба для организации и реализации комплекса мер по ее предотвращению и локализации последствий инцидента информационной безопасности.

      23. Основными задачами Оперативного штаба в кризисной ситуации являются:

      определение порядка действий уполномоченных подразделений государственных органов и организаций по реагированию на кризисную ситуацию информационной безопасности;

      внесение корректив в действия сил и средств уполномоченных подразделений государственных органов и организации по локализации и ликвидации кризисной ситуации информационной безопасности;

      координация организационного и технического реагирования на кризисные ситуации в сфере информационной безопасности;

      разработка и организация мероприятий по восстановлению функционирования информационно-коммуникационной инфраструктуры, работа которой была нарушена в период кризисной ситуации информационной безопасности;

      организация служебных и технических расследований и разбирательств по установлению причин и условий возникновения кризисной ситуации информационной безопасности;

      оповещение собственников и владельцев объектов информатизации об инцидентах информационной безопасности через средства массовой информации.