On approval of risk assessment criteria and checklists in the field of informatization in terms of ensuring information security

Joint order of the Deputy Prime Minister of the Republic of Kazakhstan - Minister of Defense and Aerospace Industry of the Republic of Kazakhstan dated January 29, 2019 No. 13 / НҚ and Minister of National Economy of the Republic of Kazakhstan dated January 29, 2019 No. 12. Registered in the Ministry of Justice of the Republic of Kazakhstan on February 6, 2019 No. 18269.

      Unofficial translation

      In accordance with paragraph 3 of Article 141 and paragraph 1 of Article 143 of the Entrepreneurial Code of the Republic of Kazakhstan dated October 29, 2015, WE HEREBY ORDER:

      1. To approve:

      1) Excluded by joint order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 20.01.2023 № 21/NҚ and the Minister of National Economy of the Republic of Kazakhstan dated 23.01.2023 № 8 (shall enter into force dated 01.01.2023).
      2) Excluded by joint order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 20.01.2023 № 21/NҚ and the Minister of National Economy of the Republic of Kazakhstan dated 23.01.2023 № 8 (shall enter into force dated 01.01.2023).

      3) a checklist in the field of informatization in terms of ensuring information security in relation to state legal entities, entities of the quasi-public sector, possessors and owners of non-state information systems that are integrated with information systems of state bodies or intended to form state electronic information resources, as well as possessors and owners of critically important objects of information and communication infrastructure in accordance with Appendix 3 to this joint order.

      2. The Committee on Information Security of the Ministry of Defense and Aerospace Industry of the Republic of Kazakhstan, in the manner prescribed by the legislation of the Republic of Kazakhstan, to ensure:

      1) state registration of this joint order in the Ministry of Justice of the Republic of Kazakhstan;

      2) within ten calendar days from the date of registration of this joint order, its sending in the Kazakh and Russian languages ​​to the Republican state enterprise on the basis of the right of economic management “Republican Legal Information Center” for official publication and inclusion in the Reference Control Bank of regulatory legal acts of the Republic of Kazakhstan;

      3) placement of a copy of this joint order on the Internet resource of the Ministry of Defense and Aerospace Industry of the Republic of Kazakhstan.

      3. The supervising vice minister of the defense and aerospace industry of the Republic of Kazakhstan shall be authorized to oversee the execution of this joint order.

      4. This joint order shall come into force upon expiry of ten calendar days after the day of its first official publication.

      Deputy Prime Minister of the
      Republic of Kazakhstan –
      Minister of defense and aerospace
      industry of the Republic of Kazakhstan ____________ A. Zhumagaliyev
      Minister of national economy of the
      Republic of Kazakhstan ___________ T. Suleimenov

      "AGREED"

      Committee for legal statistics and

      special accounting of the

      General Prosecutor’s Office of the

      Republic of Kazakhstan

  Appendix 1
to the joint order of the Deputy
Prime Minister of the Republic of
Kazakhstan – Minister of defense
and aerospace industry of the
Republic of Kazakhstan dated
January 29, 2019 № 13/НҚ
and Minister of national economy
of the Republic of Kazakhstan
dated January 29, 2019
№ 12

Risk assessment criteria in the field of informatization in terms
of ensuring information security

      Footnote. Annex 1 recognized as invalid by joint order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 20.01.2023 № 21/NҚ and the Minister of National Economy of the Republic of Kazakhstan dated 23.01.2023 № 8 (shall enter into force dated 01.01.2023).

  Appendix 2
to the joint order of the Deputy
Prime Minister of the Republic of
Kazakhstan – Minister of defense
and aerospace industry of the
Republic of Kazakhstan
dated January 29, 2019 № 13/НҚ
and Minister of national economy
of the Republic of Kazakhstan
dated January 29, 2019 № 12

Checklist in the field of informatization in terms of ensuring information security in relation
to the state and local executive bodies

      Footnote. Annex 1 recognized as invalid by joint order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 20.01.2023 № 21/NҚ and the Minister of National Economy of the Republic of Kazakhstan dated 23.01.2023 № 8 (shall enter into force dated 01.01.2023).

  Appendix 3
to the joint order of the Deputy
Prime Minister of the Republic of
Kazakhstan – Minister of defense
and aerospace industry of the
Republic of Kazakhstan
dated January 29, 2019 № 13/НҚ
and Minister of national economy
of the Republic of Kazakhstan
dated January 29, 2019 № 12

Checklist in the sphere of informatization regarding ensuring information security
_________________________________________________________________
pursuant to Article 138

      Footnote. Annex 3 - as amended by the joint order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 20.01.2023 № 21/NҚ and the Minister of National Economy of the Republic of Kazakhstan dated 23.01.2023 № 8 shall enter into force dated 01.01.2023).

      __________________________________________________________________

      Entrepreneurial Code of the Republic of Kazakhstan

      in relation to: state legal entities, entities

      quasi-public sector, owners and owners of non-state

      information systems integrated with information systems

      state bodies or intended for the formation of state

      electronic information resources, as well as owners and proprietors

      Critical Information and Communications Infrastructure

      ____________________________________________________________________

      name of a homogeneous group of control subjects (objects)

      ____________________________________________________________________

      ____________________________________________________________________

      The state body that appointed the audit __________________________

      ____________________________________________________________________

      Inspection Assignment Certificate ____________________________________________

      №, date

      Name of the subject (object) of control ______________________________

      (Individual Identification Number), Business Identification Number

      subject (object) of control ___________________________________________

      Address of residence ______________________________________________

Requirement list

Conforms to requirements

Does not meet the requirements

1

2

3

4

1

Compliance with the requirement to connect local, departmental and corporate telecommunication networks of state bodies, local executive body, state legal entities, entities of the quasi-public sector, as well as owners of critical information and communication infrastructure (hereinafter referred to as ICI) to the Internet by telecom operators through a unified gateway to the Internet



2

Compliance with the requirement to notify the owner of critical information and communication infrastructure facilities of the National coordination center for information security about information security incidents and the results of response to them



3

Compliance with the requirements for the use of means:
User identification, authentication, and access control
equipment identification;
protection of diagnostic and configuration ports;
Physical segmentation of local network
Logical segmentation of local network
Management of network connections
firewalling;
concealing the internal address space of the local network;
Control the integrity of data, messages, and configurations
cryptographic information protection



4

Compliance with the requirements for information security monitoring, protection and safe functioning during operation of informatization objects



5

Availability of anti-virus tools, updates of operating systems on workstations connected to the Internet when organizing access to the Internet from local networks of the outer outline



6

Availability of information security subdivision, which shall be a structural subdivision separated from other structural subdivisions dealing with the creation, maintenance and development of informatization objects, or determination of an official responsible for information security, with the passage of specialized courses in the field of information security at least once every three years with the issuance of a certificate



7

Availability and compliance with regulatory and technical documentation (hereinafter referred to as TD) on information security, in the form of a four-level system of documented rules, procedures, practices or guidelines that guide state bodies (hereinafter referred to as the SB), local executive body (hereinafter referred to as the LEB) or organization in its activities.
IS TD shall be developed in Kazakh and Russian languages, approved by the legal act of the Civil Defense, LEB or organization and communicated to all employees of the Civil Defense, LEB or organization employees. IS TD shall be revised in order to analyze and update the information set forth therein at least once every two years.
1. The information security policy of a civil defense, IS SB LEB or organization is a first-level document and defines the goals, objectives, guidelines and practices in the field of information security.
2. The list of documents of the second level shall include documents detailing the requirements of the information security policy of the Civil Defense, LEB or organization, including:
1) IS risk assessment methodology;
2) rules for identification, classification and marking of assets related to information processing means;
3) rules for ensuring the continuous operation of assets related to information processing means;
4) rules for inventory and certification of computer equipment, telecommunications equipment and software;
5) IS internal audit rules;
6) rules for the use of cryptographic information protection tools (hereinafter referred to as CIPT);
7) rules for delimiting access rights to electronic information resources;
8) rules for using the Internet and e-mail;
9) rules for organizing the authentication procedure;
10) rules for organizing anti-virus control;
11) rules for the use of mobile devices and storage media;
12) rules for organizing physical protection of information processing means and a safe environment for the functioning of information resources.
3. The third level documents contain description of information security processes and procedures, including:
1) IS threat (risk) catalogue;
2) IS threat (risk) processing plan;
3) information backup and recovery regulations;
4) a plan of measures to ensure the continuous operation and restoration of the operability of assets related to information processing means;
5) administrator's guide to maintaining the informatization object;
6) instructions on the procedure for users to respond to information security incidents and in emergency (crisis) situations.
4. The list of documents of the fourth level shall include working forms, logs, applications, protocols and other documents, including electronic ones, used to register and confirm the performed procedures and works, including:
1) log of information security incidents and recording of emergency situations;
2) server room visit log;
3) report on network resource vulnerability assessment;
4) cable connection logbook;
5) log of accounting of backups (backup, recovery), testing of backups;
6) register of introduction of amendments in equipment configuration, testing and accounting of changes in free software (hereinafter referred to as FSW) and application software (hereinafter referred to as ASW) of information systems (hereinafter referred to as IS), registration and elimination of software vulnerabilities (hereinafter referred to as software);
7) test log of diesel generator sets and uninterruptible power supplies for the server room;
8) test log for microclimate, video surveillance, fire extinguishing systems in server rooms



8

Compliance with the requirements for access to informatization objects of the first and second classes in accordance with the classifier for the use of multifactor authentication, including using an electronic digital signature



9

Compliance with the requirement to include in the job descriptions and (or) the terms of the employment contract functional duties to ensure IS and obligations to fulfill the requirements of the IS TD of the employees of the civil defense, LEB or employees of the organization



10

Compliance with CIPT application requirements



11

Compliance with the requirements for storage, restoration of state electronic information resources contained in the information system, safety of state electronic information resources



12

Compliance with the requirements for information security of information resources (hereinafter referred to as the IS IR) for use
content management systems, which shall perform:
authorization of placement, modification and deletion operations in electronic information resources (hereinafter referred to the EIR);
registration of authorship when posting, changing and deleting EIR;
checking the downloaded EIR for malicious code;
Audit the security of executable code and scripts
monitoring the integrity of the placed EIR;
keeping a log of EIR amendments;
monitoring of abnormal activity of users and software robots



13

Compliance with the requirement for the use of registration certificates to verify the authenticity of the domain name and cryptographic protection of the contents of the communication session using CIPT when ensuring IS IR



14

Compliance with requirements of management identification when using virtualization technology
authentication of information and communication services clients and privileged users;
federated user identification within the same technology platform
storing authentication information after deleting the user ID;
applying controls over procedures for assigning user authorization profiles



15

Compliance with the requirement to audit information security events when using virtualization technology:
mandatory and regular procedures defined in IS IR;
Audit procedures for all operating systems, client virtual machines, and network component infrastructure
logging of events and storage in a storage system inaccessible to the administrator;
Verify that the event logging system is working correctly.
determining the duration of storing event logs in information security DP



16

Compliance with the requirement for registration of information security events when using virtualization technology:
logging of administrator actions;
use of information security incidents and events monitoring system;
alerts based on automatic recognition of a critical event or information security incident



17

Compliance with the requirements for the implementation of network and system administration procedures:
Ensuring the integrity of virtual machine images, monitoring the integrity of the operating system, applications, network configuration, software and data of the PG or organization for the presence of malicious signatures;
separating the hardware platform from the virtual machine operating system to prevent external users from accessing the hardware



18

Compliance with the requirements ensuring storage systems by backup system



19

Compliance with the requirements for the use of software and hardware for information protection, including cryptographic encryption, using CIPT when organizing a dedicated communication channel connecting local networks



20

Compliance with the requirement to exclude interfacing of the internal loop local network and the external loop local network with each other, with the exception of organized communication channels using CIPT



21

Compliance with the use requirement of
departmental e-mail, instant messaging and other services; e-mail, instant messaging services and other services whose control centers and servers shall be physically located in the Republic of Kazakhstan, unless otherwise established by the authorized body, for the implementation of operational information exchange in electronic form by employees of the Civil Defense, LEBs and employees of state legal entities, entities of the quasi-public sector, as well as owners of critical objects of information and communication infrastructure (hereinafter referred to as the ICI) in the performance of their official duties



22

Availability of uninterruptible power supply for active equipment of local networks



23

Compliance with the requirement to physically disconnect unused local network cabling ports from active equipment



24

Compliance with the requirement for the use of firewalling



25

Availability of documentation during technical support of equipment installed in the server room:
1) equipment maintenance;
2) elimination of problems arising during the operation of hardware and software;
3) facts of failures and failures, as well as the results of restoration work;
4) post-warranty maintenance of critical equipment after the expiration of the warranty service period



26

Availability of access control and management system in the server room providing authorized entrance to the server room and authorized exit from it. Barriers and the design of the front door shall prevent access identifiers from being transmitted backwards through the front door vestibule.
The central control device of the access control and management system shall be installed in separate office premises, premises of the security post, protected from access by unauthorized persons. The security personnel shall exclude access to the software of the access control and management system affecting the system operation modes.
Power supply of the access control and monitoring system is provided from the free group of the standby lighting board. Access control and monitoring system is provided by backup power supply



27

Availability of up-to-date list of individuals authorized to maintain ICI objects installed in the server room



28

Availability of a microclimate support system in the server room:
microclimate support system shall include air conditioning, ventilation and microclimate monitoring systems;
air conditioning system shall be backed up;
server room air conditioners shall be powered from the guaranteed power supply system or uninterruptible power supply system;
air conditioning and ventilation systems shall be switched off automatically upon fire alarm signal



29

Availability of security alarm system in the server room:
the security alarm system of the server room shall be performed separately from the building security systems; alarm signals shall be output to the 24-hour security room in the form of a separate console; all entrances and exits of the server room, as well as the internal volume of the server room are subject to control and protection; security alarm system shall have its own redundant power supply



30

Availability of video surveillance system in the server room:
location of CCTV cameras shall be selected taking into account the control of all entrances and exits to the server room, space and passages near the equipment;
the viewing angle and resolution of the cameras must provide face recognition; the image from the cameras is displayed on a separate console in the 24-hour security room



31

Availability of fire alarm system in the server room:
the server room fire alarm system shall be separate from the building fire alarm system;
two types of sensors shall be installed in the server room: temperature and smoke;
sensors monitor the total space of the server room and the volumes formed by the raised floor and (or) raised ceiling;
alarm signals of the fire alarm system are displayed on the console in the 24-hour security room



32

Availability of fire extinguishing system in the server room:
the server room fire extinguishing system is equipped with an automatic gas fire extinguishing system independent of the building fire extinguishing system;
special non-toxic gas shall be used as a fire extinguisher in an automatic gas fire extinguishing system; powder and liquid fire extinguishers shall not be used;
the gas fire extinguishing unit shall be located directly in the server room or near it in a cabinet specially equipped for this;
the fire extinguishing system shall be launched from early fire detection sensors responding to the appearance of smoke, as well as manual sensors located at the exit from the room;
notification of fire extinguishing system actuation shall be displayed on the annunciators located inside and outside the room.



33

Availability of a guaranteed power supply system in the server room:
all power sources shall be supplied to the automatic backup circuit breaker, which performs automatic switching to the backup power input in case of power supply interruption at the main input;
the guaranteed power supply system provides power supply to the equipment and systems of the server room through uninterruptible power supplies



34

Availability of grounding system in the server room:
the server room grounding system shall be separate from the building protective grounding;
all metal parts and structures of the server room shall be grounded with a common grounding bus. Each cabinet (rack) with equipment is grounded by a separate conductor connected to the common grounding bus;
open current-conducting parts of information processing equipment shall be connected to the main earthing terminal of the electrical installation;
earthing conductors connecting overvoltage protection devices to the main earthing busbar shall be the shortest and straightest (without corners)



35

Absence of powerful sources of electromagnetic interference (transformers, electric boards, electric motors, etc.) in the marshalling yard



36

Absence of pipes and valves of the water supply system in the marshalling room



37

Availability of fire safety systems in the marshalling room



38

Absence of easily ignitable materials (wooden racks, cardboard, books, etc.) in the marshalling room



39

Availability of a separate power supply line from a separate circuit breaker in the marshalling room for connection of the cabinet under the project



40

Availability of intrusion alarm systems, access control systems in the cross room



41

Availability of air conditioning system in the marshalling area



42

At the stage of experimental and industrial operation of informatization objects, the following means and systems shall be used:
monitoring and management of information security incidents and events;
intrusion detection and prevention



43

Compliance with the requirements for the creation of its own information security operations center and ensuring its functioning or the acquisition of information security operations center services from third parties, as well as its interaction with the National information security coordination center



44

Compliance with the requirement for placement on the Internet resource with the registered domain name .KZ and (or) KAZ on the hardware and software complex, which shall be located in the Republic of Kazakhstan.
The use of domain names .KZ and/or KAZ in the space of the Kazakhstan segment of the Internet when transferring data by Internet resources shall be carried out using security certificates



45

Compliance with the requirement to conduct a regular inventory of server equipment with verification of its configuration



46

Compliance with the requirements for the purchase of goods in order to implement the requirements for ensuring information security for the country's defense and state security from the register of trusted software and electronic industry products.
At the same time, in the absence of the necessary products in the register of trusted software and products of the electronic industry, the purchase of goods is allowed



47

Compliance with the requirements for monitoring information security violation events in the civil defense, individual training center or organization:
1) monitoring of events related to information security violation and analysis of monitoring results;
2) registration of events related to the information security state, and violations shall be detected by analyzing the event logs, including:
Operating system event logs
event logs of database management systems;
antivirus event logs;
application software event logs;
event logs of telecommunication equipment;
Event logs of attack detection and prevention systems
content management system event logs;
3) ensuring synchronization of the time of event logs with the infrastructure of the time source;
4) storage of event logs for the period specified in the IS TD, but not less than three years and are in operational access for at least two months;
5) event logging
6) ensuring the protection of event logs from interference and unauthorized access. Do not allow system administrators to modify, delete, or disable logs. Confidential ISs require creation and maintenance of a backup log storage;
7) ensuring the implementation of a formalized procedure for reporting information security incidents and responding to information security incidents



48

The existence of an agreement that shall establish the conditions for the operation, access or use of these objects, as well as responsibility for their violation when involving third-party organizations in ensuring the information security of EIR, IS, ICI



49

Compliance with the requirements when dismissing or introducing amendments the conditions of the employment contract of the right of access of an employee of the Civil Defense, MO or employee of the organization to information and information processing means, including physical and logical access, access identifiers, subscriptions, documentation that shall identify him as an active SB employee, LEB or an employee of the organization are canceled after the termination of his employment contract or change when amending the terms of the employment contract



50

Compliance with the requirements of the personnel department of the organization and keeping records of the passage of training in the field of informatization and information security by employees of the SB, LEB or employees of organizations



51

Compliance with the requirement to register with the computer incident response service of the state technical service of events identified as critical for confidentiality, accessibility and integrity
based on the results of IS events monitoring analysis and event log analysis



52

Compliance with the requirement to conduct an IS audit at least once a year, to owners of critical ICI facilities that process data containing legally protected secrets, with the exception of second-tier banks



53

Compliance with the requirement when writing off the IS, software or service software product to ensure the preservation of the structure and content of the database through the built-in functionality of the database management system of the decommissioned IS with the preparation of instructions for the restoration of the EIR



54

Availability of certificate with positive test result for compliance with information security requirements



55

Compliance with the requirement to ensure the development or purchase of finished application software
user interface, input, processing and output of data in Kazakh, Russian and other languages, if necessary, with the possibility of user selection of the interface language



56

Compliance with monitoring requirements:
actions of users and personnel;
use of information processing facilities



57

Compliance with the requirement to provide the developed or purchased ready-made application software with technical documentation for operation in Kazakh and Russian languages



58

Meet embedded server high availability requirements:
1) hot-swappable redundant fans, power supplies, drives, and I/O adapters;
2) notification of critical events;
3) support for continuous monitoring of the state of critical components and measurement of monitored indicators



59

Availability of software and hardware for guaranteed destruction of information during decommissioning of information carriers used in confidential ISs, confidential AIRs and EIRs containing personal data of limited access



60

Availability of local network diagram



61

Availability of hardware and software complex and data storage system in server room



62

Compliance with the requirement for the location of the server room in separate, impassable rooms without window openings. If there are window openings, they are closed or closed with non-combustible materials.
For the surface of walls, ceilings and floors, materials that do not emit or accumulate dust shall be used. For flooring, materials with antistatic properties shall be used. The server room shall be protected from contaminants.
Walls, doors, ceiling, floor and partitions of the server room ensure the tightness of the room



63

Availability of false floor and/or false ceiling in the server room for placement of cable systems and utilities



64

Compliance with the requirement to exclude any transit communications through the server room. Normal and fire water, heating and sewerage routes shall be located outside the server room and shall not be located above the server room on the upper floors



65

Compliance with the requirement to locate the main and backup server rooms at a safe distance in remote buildings. Redundant server room requirements shall be identical to primary server room requirements



66

Compliance with the requirement to exclude placement in a server room in one virtual environment, one server equipment, one mounting cabinet or rack of EIR, IR, MSR, IS related in accordance with the classifier of informatization objects of the first class with informatization objects of the second and third class



      Official (s)

      _________________________________ ____________

      position

      signature

      ______________________________________________

      full name (if any)

      Head of control subject

      ___________________________________ ___________

      position

      signature

      _______________________________________________

      full name (if any)

Об утверждении критериев оценки степени риска и проверочных листов в сфере информатизации в части обеспечения информационной безопасности

Совместный приказ Заместителя Премьер-Министра Республики Казахстан - Министра оборонной и аэрокосмической промышленности Республики Казахстан от 29 января 2019 года № 13/НҚ и Министра национальной экономики Республики Казахстан от 29 января 2019 года № 12. Зарегистрирован в Министерстве юстиции Республики Казахстан 6 февраля 2019 года № 18269.

      В соответствии с пунктом 3 статьи 141 и пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан от 29 октября 2015 года, ПРИКАЗЫВАЕМ:

      1. Утвердить:

      1) Исключен совместным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 20.01.2023 № 21/НҚ и Министра национальной экономики РК от 23.01.2023 № 8 (вводится в действие c 01.01.2023).
      2) Исключен совместным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 20.01.2023 № 21/НҚ и Министра национальной экономики РК от 23.01.2023 № 8 (вводится в действие c 01.01.2023).

      3) проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных юридических лиц, субъектов квазигосударственного сектора, собственников и владельцев негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры согласно приложению 3 к настоящему совместному приказу.

      Сноска. Пункт 1 с изменениями, внесенными совместным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 20.01.2023 № 21/НҚ и Министра национальной экономики РК от 23.01.2023 № 8 (вводится в действие c 01.01.2023).

      2. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

      1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего совместного приказа направление его на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение копии настоящего совместного приказа на интернет - ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан.

      3. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Заместитель Премьер-Министра
Республики Казахстан –
Министр оборонной и аэрокосмической
промышленности Республики Казахстан
____________
А. Жумагалиев
      Министр национальной экономики
Республики Казахстан ___________
Т. Сулейменов

      "СОГЛАСОВАН"
Комитет по правовой статистике
и специальным учетам
Генеральной прокуратуры
Республики Казахстан

  Приложение 1
к совместному приказу
Заместителя Премьер-Министра
Республики Казахстан – Министра
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 29 января 2019 года № 13/НҚ
и Министра национальной экономики
Республики Казахстан
от 29 января 2019 года № 12

Критерии оценки степени риска в сфере информатизации в части обеспечения информационной безопасности

      Сноска. Приложение 1 утратило силу совместным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 20.01.2023 № 21/НҚ и Министра национальной экономики РК от 23.01.2023 № 8 (вводится в действие c 01.01.2023).

  Приложение 2
к совместному приказу
Заместителя Премьер-Министра
Республики Казахстан – Министра
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 29 января 2019 года № 13/НҚ
и Министра национальной экономики
Республики Казахстан
от 29 января 2019 года № 12

Проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных и местных исполнительных органов

      Сноска. Приложение 2 утратило силу совместным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 20.01.2023 № 21/НҚ и Министра национальной экономики РК от 23.01.2023 № 8 (вводится в действие c 01.01.2023).

  Приложение 3
к совместному приказу
Заместителя Премьер-Министра
Республики Казахстан
– Министра оборонной
и аэрокосмической промышленности
Республики Казахстан
от 29 января 2019 года № 13/НҚ
и Министра национальной экономики
Республики Казахстан
от 29 января 2019 года № 12

      Сноска. Приложение 3 – в редакции совместного приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 20.01.2023 № 21/НҚ и Министра национальной экономики РК от 23.01.2023 № 8 (вводится в действие c 01.01.2023).

Проверочный лист в сфере информатизации в части обеспечения информационной безопасности
_________________________________________________________________
в соответствии со статьей 138

      __________________________________________________________________
Предпринимательского кодекса Республики Казахстан
в отношении: государственных юридических лиц, субъектов
квазигосударственного сектора, собственников и владельцев негосударственных
информационных систем, интегрируемых с информационными системами
государственных органов или предназначенных для формирования государственных
электронных информационных ресурсов, а также собственников и владельцев
критически важных объектов информационно-коммуникационной инфраструктуры
____________________________________________________________________
наименование однородной группы субъектов (объектов) контроля
____________________________________________________________________
____________________________________________________________________
Государственный орган, назначивший проверку __________________________
____________________________________________________________________
Акт о назначении проверки ____________________________________________
№, дата
Наименование субъекта (объекта) контроля ______________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный номер
субъекта (объекта) контроля ___________________________________________
Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1

Соблюдение требования по осуществлению подключения локальных, ведомственных и корпоративных сетей телекоммуникаций государственных органов, местным исполнительным органом, государственных юридических лиц, субъектов квазигосударственного сектора, а также владельцев критически важных объектов информационно-коммуникационной инфраструктуры (далее - ИКИ) к Интернету операторами связи через единый шлюз доступа к Интернету



2

Соблюдение требования по оповещению владельцем критически важных объектов информационно-коммуникационной инфраструктуры Национального координационного центра информационной безопасности об инцидентах информационной безопасности и о результатах реагирования на них



3

Соблюдение требования по применению средств:
идентификации, аутентификации и управления доступом пользователей;
идентификации оборудования;
защиты диагностических и конфигурационных портов;
физического сегментирования локальной сети;
логического сегментирования локальной сети;
управления сетевыми соединениями;
межсетевого экранирования;
сокрытия внутреннего адресного пространства локальной сети;
контроля целостности данных, сообщений и конфигураций;
криптографической защиты информации



4

Соблюдение требования мониторинга обеспечения ИБ, защиты и безопасного функционирования при эксплуатации объектов информатизации



5

Наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет при организации доступа к Интернету из локальных сетей внешнего контура



6

Наличие подразделения ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определение должностного лица, ответственного за обеспечение ИБ, с прохождением специализированных курсов в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата



7

Наличие и соответствие нормативно-технической документации (далее – ТД) по обеспечению ИБ, в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется государственные органы (далее - ГО), местным исполнительным органом (далее - МИО) или организация в своей деятельности.
ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации. ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.
1. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.
2. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:
1) методика оценки рисков ИБ;
2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
5) правила проведения внутреннего аудита ИБ;
6) правила использования средств криптографической защиты информации (далее - СКЗИ);
7) правила разграничения прав доступа к электронным информационным ресурсам;
8) правила использования Интернет и электронной почты;
9) правила организации процедуры аутентификации;
10) правила организации антивирусного контроля;
11) правила использования мобильных устройств и носителей информации;
12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.
3. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:
1) каталог угроз (рисков) ИБ;
2) план обработки угроз (рисков) ИБ;
3) регламент резервного копирования и восстановления информации;
4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
5) руководство администратора по сопровождению объекта информатизации;
6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.
4. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:
1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;
2) журнал посещения серверных помещений;
3) отчет о проведении оценки уязвимости сетевых ресурсов;
4) журнал учета кабельных соединений;
5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;
6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений свободного программного обеспечения (далее - СПО) и прикладного программного обеспечения (далее - ППО) информационных систем (далее - ИС), регистрации и устранения уязвимостей программного обеспечения (далее - ПО);
7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;
8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений



8

Соблюдение требования при доступе к объектам информатизации первого и второго классов в соответствии с классификатором по применению многофакторной аутентификации, в том числе с использованием электронной цифровой подписи



9

Соблюдение требования по внесению в должностные инструкции и (или) условия трудового договора функциональных обязанностей по обеспечению ИБ и обязательств по исполнению требований ТД ИБ служащих ГО, МИО или работников организации



10

Соблюдение требования по применению СКЗИ



11

Соблюдение требования по хранению, восстановлению государственных электронных информационных ресурсов, содержащихся в информационной системе, сохранности государственных электронных информационных ресурсов



12

Соблюдение требования для обеспечения ИБ информационных ресурсов (далее – ИБ ИР) по применению
систем управления содержимым (контентом), выполняющая:
санкционирование операций размещения, изменения и удаления в электронных информационных ресурсах (далее – ЭИР);
регистрацию авторства при размещении, изменении и удалении ЭИР;
проверку загружаемого ЭИР на наличие вредоносного кода;
аудит безопасности исполняемого кода и скриптов;
контроль целостности размещенного ЭИР;
ведение журнала изменений ЭИР;
мониторинг аномальной активности пользователей и программных роботов



13

Соблюдение требования по применению регистрационных свидетельств для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ при обеспечении ИБ ИР



14

Соблюдения требования по управлению идентификацией при использовании технологии виртуализации:
аутентификация клиентов информационно-коммуникационных услуг и привилегированных пользователей;
федеративной идентификации пользователей в пределах одной технологической платформы;
сохранения информации об аутентификации после удаления идентификатора пользователя;
применения средств контроля процедур назначения профилей полномочий пользователя



15

Соблюдение требования по проведению аудита событий ИБ при использовании технологии виртуализации:
обязательность и регулярность процедур, определяемых в ТД ИБ;
проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;
ведения журнала регистрации событий и хранения в недоступной для администратора системе хранения;
проверки правильности работы системы ведения журнала регистрации событий;
определения длительности хранения журналов регистрации событий в ТД ИБ



16

Соблюдение требования регистрации событий ИБ при использовании технологии виртуализации:
журналирования действий администраторов;
применения системы мониторинга инцидентов и событий ИБ;
оповещения на основе автоматического распознавания критического события или инцидента ИБ



17

Соблюдение требования по исполнению процедур сетевого и системного администрирования:
обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур;
отделения аппаратной платформы от операционной системы виртуальной машины c целью исключения доступа внешних пользователей к аппаратной части



18

Соблюдение требования по обеспечению системы хранения данных системой резервного копирования



19

Соблюдение требования по применению программно-технических средств защиты информации, в том числе криптографического шифрования, с использованием СКЗИ при организации выделенного канала связи, объединяющего локальные сети



20

Соблюдение требования по исключению сопряжения ЛС внутреннего контура и ЛС внешнего контура между собой, за исключением организованных каналов связи с использованием СКЗИ



21

Соблюдение требовании по использованию
ведомственной электронной почты, службы мгновенных сообщений и иных сервисов; электронной почты, службы мгновенных сообщений и иных сервисов, центры управления и сервера которых физически размещены на территории Республики Казахстан, если иное не установлено уполномоченным органом, для осуществления оперативного информационного обмена в электронной форме служащими ГО, МИО и работниками государственных юридических лиц, субъектами квазигосударственного сектора, а также владельцами критически важных объектов информационно-коммуникационной инфраструктуры (далее - ИКИ) при исполнении ими служебных обязанностей



22

Наличие бесперебойного электропитания для активного оборудования локальных сетей



23

Соблюдение требования по физическому отключению неиспользуемых портов кабельной системы локальной сети от активного оборудования



24

Соблюдение требования по применению межсетевого экранирования



25

Наличие документирования при техническом сопровождении оборудования, установленного в серверном помещении:
1) обслуживание оборудования;
2) устранение проблем, возникающих при работе аппаратно-программного обеспечения;
3) факты сбоев и отказов, а также результаты восстановительных работ;
4) послегарантийное обслуживание критически важного оборудования по истечении гарантийного срока обслуживания



26

Наличие системы контроля и управления доступом в серверном помещении обеспечивающие санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери.
Устройство центрального управления системы контроля и управления доступом устанавливается в защищенных от доступа посторонних лиц отдельных служебных помещениях, помещении поста охраны. Доступ к программным средствам системы контроля и управления доступом, влияющим на режимы работы системы, со стороны персонала охраны исключить.
Электроснабжение системы контроля и управления доступом осуществляется от свободной группы щита дежурного освещения. Система контроля и управления доступом обеспечивается резервным электропитанием



27

Наличие в актуальном состоянии списка лиц, авторизованных для осуществления сопровождения объектов ИКИ, установленных в серверном помещении



28

Наличие системы обеспечения микроклимата в серверном помещении:
система обеспечения микроклимата включает системы кондиционирования, вентиляции и мониторинга микроклимата;
система кондиционирования воздуха обеспечивается резервированием;
электропитание кондиционеров серверного помещения осуществляется от системы гарантированного электропитания или системы бесперебойного электропитания;
системы кондиционирования и вентиляции отключаются автоматически по сигналу пожарной сигнализации



29

Наличие системы охранной сигнализации в серверном помещении:
система охранной сигнализации серверного помещения выполняется отдельно от систем безопасности здания; сигналы оповещения выводятся в помещение круглосуточной охраны в виде отдельного пульта; контролю и охране подлежат все входы и выходы серверного помещения, а также внутренний объем серверного помещения; система охранной сигнализации имеет собственный источник резервированного питания



30

Наличие системы видеонаблюдения в серверном помещении:
расположение камер системы видеонаблюдения выбирается с учетом обеспечения контроля всех входов и выходов в серверное помещение, пространства и проходов возле оборудования;
угол обзора и разрешение камер должны обеспечить распознавание лиц; изображение с камер выводится на отдельный пульт в помещение круглосуточной охраны



31

Наличие системы пожарной сигнализации в серверном помещении:
система пожарной сигнализации серверного помещения выполняется отдельно от пожарной сигнализации здания;
в серверном помещении устанавливаются два типа датчиков: температурные и дымовые;
датчиками контролируются общее пространство серверного помещения и объемы, образованные фальшполом и (или) фальшпотолком;
сигналы оповещения системы пожарной сигнализации выводятся на пульт в помещение круглосуточной охраны



32

Наличие системы пожаротушения в серверном помещении:
система пожаротушения серверного помещения оборудуется автоматической установкой газового пожаротушения, независимой от системы пожаротушения здания;
в качестве огнегасителя в автоматической установке газового пожаротушения используется специальный нетоксичный газ; порошковые и жидкостные огнегасители не используются;
установка газового пожаротушения размещается непосредственно в серверном помещении или вблизи него в специально оборудованном для этого шкафу;
запуск системы пожаротушения производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также ручных датчиков, расположенных у выхода из помещения;
оповещение о срабатывании системы пожаротушения выводится на табло, размещаемые внутри и снаружи помещения.



33

Наличие системы гарантированного электропитания в серверном помещении:
все источники электроэнергии подаются на автомат ввода резерва, осуществляющий автоматическое переключение на резервный ввод электропитания при прекращении, перерыве подачи электропитания на основном вводе;
система гарантированного электропитания предусматривает электроснабжение оборудования и систем серверного помещения через источники бесперебойного питания



34

Наличие системы заземления в серверном помещении:
система заземления серверного помещения выполняется отдельно от защитного заземления здания;
все металлические части и конструкции серверного помещения заземляются с общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемым с общей шиной заземления;
открытые токопроводящие части оборудования обработки информации должны быть соединены с главным заземляющим зажимом электроустановки;
заземляющие проводники, соединяющие устройства защиты от перенапряжения с главной заземляющей шиной, должны быть самыми короткими и прямыми (без углов)



35

Отсутствие мощных источников электромагнитных помех (трансформаторов, электрических щитов, электродвигателей и прочее) в кроссовом помещении



36

Отсутствие труб и вентилей системы водоснабжения в кроссовом помещении



37

Наличие систем пожарной безопасности в кроссовом помещении



38

Отсутствие легко возгораемых материалов (деревянные стеллажи, картон, книги и прочее) в кроссовом помещении



39

Наличие в кроссовом помещении отдельной линии электропитания от отдельного автомата для подключения шкафа по проекту



40

Наличие в кроссовом помещении систем охранной сигнализации, контроля доступа



41

Наличие в кроссовом помещении системы кондиционирования



42

На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:
мониторинга и управления инцидентами и событиями ИБ информационной инфраструктурой;
обнаружения и предотвращения вторжений



43

Соблюдение требований по созданию собственного оперативного центра информационной безопасности и обеспечению его функционирования или приобретению услуг оперативного центра информационной безопасности у третьих лиц, а также взаимодействие его с Национальным координационным центром информационной безопасности



44

Соблюдение требования по размещению на Интернет-ресурсе с зарегистрированным доменным именем .KZ и (или) .ҚАЗ на аппаратно-программном комплексе, который расположен на территории Республики Казахстан.
Использование доменных имен .KZ и (или).ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных Интернет-ресурсами осуществляется с применением сертификатов безопасности



45

Соблюдение требования по проведению на регулярной основе инвентаризации серверного оборудования с проверкой его конфигурации



46

Соблюдение требований по приобретению товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства из реестра доверенного программного обеспечения и продукции электронной промышленности.
При этом, в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции, допускается приобретение товаров



47

Соблюдение требований по контролю событий нарушений ИБ в ГО, МИО или организации:
1) проведение мониторинга событий, связанных с нарушением ИБ, и анализ результатов мониторинга;
2) регистрация события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:
журналов событий операционных систем;
журналов событий систем управления базами данных;
журналов событий антивирусной защиты;
журналов событий прикладного ПО;
журналов событий телекоммуникационного оборудования;
журналов событий систем обнаружения и предотвращения атак;
журналов событий системы управления контентом;
3) обеспечение синхронизации времени журналов регистрации событий с инфраструктурой источника времени;
4) хранение журналов регистрации событий в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;
5) ведение журналов регистрации событий
6) обеспечение защиты журналов регистрации событий от вмешательства и неавторизированного доступа. Не допущение наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;
7) обеспечение внедрения формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ



48

Наличие соглашения, в котором устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение при привлечении сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ



49

Соблюдение требований при увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора



50

Соблюдение требования кадровой службой организации и ведения учета прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ



51

Соблюдение требования по регистрации в службе реагирования на компьютерные инциденты государственной технической службы событий, идентифицированных как критические для конфиденциальности, доступности и целостности
по результатам анализа мониторинга событий ИБ и анализа журнала событий



52

Соблюдение требования по проведению аудита ИБ не реже одного раз в год, владельцам критически важных объектов ИКИ, обрабатывающий данные, содержащие охраняемую законом тайну, за исключением банков второго уровня



53

Соблюдение требования при списании ИС, ПО или сервисного программного продукта по обеспечению сохранения структуры и содержания базы данных посредством встроенного функционала системы управления базы данных списываемой ИС с подготовкой инструкции по восстановлению ЭИР



54

Наличие акта с положительным результатом испытаний на соответствие требованиям ИБ



55

Соблюдение требования по обеспечению разрабатываемого или приобретаемого готового прикладного ПО
интерфейсом пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса



56

Соблюдение требования по осуществлению мониторинга:
действий пользователей и персонала;
использования средств обработки информации



57

Соблюдение требования по обеспечению разрабатываемого или приобретаемого готового прикладного ПО технической документацией по эксплуатации на казахском и русском языках



58

Соблюдение требования по обеспечению высокой доступности сервера встроенных систем:
1) горячей замены резервных вентиляторов, блоков питания, дисков и адаптеров ввода-вывода;
2) оповещения о критических событиях;
3) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей



59

Наличие программного и аппаратного обеспечения гарантированного уничтожения информации при выводе из эксплуатации носителей информации, используемых в конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа



60

Наличие схемы локальной сети



61

Наличие в серверном помещении серверное оборудование аппаратно-программный комплекс и системы хранения данных



62

Соблюдение требования по расположению серверного помещения в отдельных, непроходных помещениях без оконных проемов. В случае наличия оконных проемов, они закрываются или заделываются негорючими материалами.
Для поверхности стен, потолков и пола применяются материалы, не выделяющие и не накапливающие пыль. Для напольного покрытия применяются материалы с антистатическими свойствами. Серверное помещение защищается от проникновения загрязняющих веществ.
Стены, двери, потолок, пол и перегородки серверного помещения обеспечивают герметичность помещения



63

Наличие в серверном помещений фальшпола и (или) фальшпотолка для размещения кабельных систем и инженерных коммуникаций



64

Соблюдение требования по исключению через серверное помещение прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением на верхних этажах



65

Соблюдение требования по расположению основных и резервных серверных помещений на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям



66

Соблюдение требования по исключению в серверном помещении размещения в одной виртуальной среде, одном серверном оборудовании, одном монтажном шкафу или стойке ЭИР, ИР, СПП, ИС, относящихся в соответствии с классификатором объектов информатизации первого класса с объектами информатизации второго и третьего класса



      Должностное (ые) лицо (а)
_________________________________ ____________
должность подпись
______________________________________________
фамилия, имя, отчество (при наличии)
Руководитель субъекта контроля
___________________________________ ___________
должность подпись
_______________________________________________
фамилия, имя, отчество (при наличии)