Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы

Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы.

      РҚАО-ның ескертпесі!
      Осы қаулының қолданысқа енгізілу тәртібін 3-тармақтан қараңыз.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – бірыңғай талаптар) бекітілсін.

      2. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасы Үкіметінің кейбір шешімдерінің күші жойылды деп танылсын.

      3. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Бірыңғай талаптардың 140-тармағы 2018 жылғы 1 қаңтарға дейін қолданылады.


      Қазақстан Республикасының
      Премьер-Министрі Б. Сағынтаев

  Қазақстан Республикасы
  Үкіметінің
  2016 жылғы 20 желтоқсандағы
  № 832 қаулысымен
  бекітілген

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар

      Ескерту. Бүкіл мәтін бойынша "локальдық желі", "локальдық желінің", "оқшау желі", "оқшау желісінің" деген сөздер тиісінше "жергілікті желі", "жергілікті желінің", "жергілікті желісінің" деген сөздермен ауыстырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      1. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – БТ) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 6-бабының 3) тармақшасына сәйкес әзірленді және ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы талаптарды айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына қатысты БТ ережелерін мемлекеттік органдар, жергілікті атқарушы органдар, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері міндетті түрде қолдануы тиіс.

      3. БТ ережелері:

      1) Қазақстан Республикасының Ұлттық Банкі мен оның құрылымына кіретін ұйымдар интернет-ресурстарды, "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерді, жергілікті желілерді және телекоммуникациялар желілерін құру немесе дамыту, пайдалану бойынша жұмыстарды жүзеге асырған кезде, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді сатып алуды жүргізген кезде туындайтын қатынастарға;

      2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалып орындалған ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе президенттік, үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілеріне;

      3) қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган Қазақстан Республикасы Ұлттық Банкінің "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерімен интеграцияланатын ақпараттық жүйелерді құру немесе дамыту жөніндегі жұмыстарды жүзеге асырған кезде туындайтын қатынастарға;

      4) осындай ережелерді орындау "Қазақстан Республикасындағы банктер және банк қызметі туралы" ҚР Заңының 50-бабының 4-тармағын бұзуға әкеп соғатын жағдайларда ұйымдарда қолданылмайды.

      Ескерту. 3-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      4. БТ мақсаты мемлекеттік органдар, жергілікті өзін-өзі басқару органдары, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласында міндетті түрде орындауға тиіс талаптарды белгілеу болып табылады.

      5. БТ міндеттері:

      1) мемлекеттік басқарудың ағымдағы және стратегиялық міндеттерін шешу үшін мемлекеттік органдарды ақпараттандыруды ұйымдастыру және басқару қағидаттарын айқындау;

      2) "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау;

      3) ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттерін біріздендіру жөніндегі талаптарды белгілеу;

      4) серверлік үй-жайлардың ақпараттық-коммуникациялық инфрақұрылымын құрылымдау мен ұйымдастыру жөніндегі талаптарды белгілеу;

      5) ақпараттандыру объектілерінің барлық өміршеңдік кезеңдерінде ақпараттық-коммуникациялық технологиялар мен ақпараттық қауіпсіздік саласындағы стандарттар ұсынымдарының міндетті қолданылуын белгілеу;

      6) мемлекеттік және мемлекеттік емес электрондық ақпараттық ресурстардың, бағдарламалық қамтылымның, ақпараттық жүйелердің және оларды қолдайтын ақпараттық-коммуникациялық инфрақұрылымның қорғалу деңгейін арттыру болып табылады.

      Ескерту. 5-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      6. Осы БТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады:

      1) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін генерациялауды, қалыптастыруды, таратуды немесе басқаруды іске асыратын бағдарламалық қамтылым немесе ақпараттық-бағдарламалық кешен;

      2) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі – актив) – ақпарат болып табылатын немесе ақпаратты қамтитын немесе ақпаратты өңдеу, сақтау, беру үшін қызмет ететін және мақсаттарға қол жеткізу мен қызметінің үздіксіздігі мүддесінде ұйым үшін құндылығы бар материалдық немесе материалдық емес объект;

      3) ақпаратты өңдеу құралдарымен байланысты активті таңбалау – активті кейіннен сәйкестендіру (тану), оның қасиеттері мен сипаттамаларын көрсету мақсатында оған шартты белгілерді, әріптерді, цифрларды, графикалық белгілерді немесе жазуларды түсіру;

      4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ ТҚ) – ақпараттандыру объектілерінің және (немесе) ұйымның АҚ-ны қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;

      5) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуына алғышарт жасайтын жағдайлар мен факторлар жиынтығы;

      6) ақпараттық қауіпсіздік оқиғаларының мониторингі (бұдан әрі – АҚ оқиғаларының мониторингі) – ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін ұдайы байқауда ұстау;

      7) ақпараттық қауіпсіздікті қамтамасыз ету мониторингінің жүйесі – ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану мониторингін жүргізуге бағытталған ұйымдастырушылық және техникалық іс-шаралар;

      8) ақпараттық қауіпсіздіктің жедел орталығы – электрондық ақпараттық ресурстарды, ақпараттық жүйелерді, телекоммуникация желілері мен ақпараттандырудың басқа да объектілерін қорғау жөніндегі қызметті жүзеге асыратын заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;

      9) ақпараттық қауіпсіздіктің ішкі аудиті – ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың объективті, құжатталған, өз мүдделерінде ұйымның өзі жүзеге асыратын процесі;

      10) бағдарламалық робот – іздеу жүйесінің немесе мониторинг жүйесінің веб-парақтарды автоматты түрде және (немесе) берілген кесте бойынша қарап шығуды орындайтын, веб-парақтарда табылған сілтемелермен өтіп, олардың мазмұнын оқитын және индекстейтін бағдарламалық қамтылымы;

      11) деректердің таралып кетуіне жол бермеу жүйесі (DLP) – қолжетімділігі шектеулі электрондық ақпараттық ресурстардың таралып кетуіне жол бермеуге арналған ақпаратты қорғау құралы;

      12) жабдықты жүктелген (қызу) резервтеу – ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігі мен істен шығуға төзімділігін икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану және оларды белсенді режимде ұстау;

      13) жабдықты жүктелмеген (суық) резервтеу – ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа дайындалған және белсенді емес режимде тұрған қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану;

      14) желіаралық экран – ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылау мен сүзгілеуді жүзеге асыратын ақпараттық-бағдарламалық немесе бағдарламалық кешен;

      15) жұмыс станциясы – қолданбалы міндеттерді шешуге арналған жергілікті желі құрамындағы стационарлық компьютер;

      16) жүйелік бағдарламалық қамтылым – есептеу жабдығының жұмысын қамтамасыз етуге арналған бағдарламалық қамтылым жиынтығы;

      17) интернет-браузер – интернет-ресурстардың мазмұнын көрнекі көрсетуге және онымен интерактивті өзара іс-қимыл жасауға арналған қолданбалы бағдарламалық қамтылым;

      18) кодталған байланыс – кодтау құжаттары мен техникасы пайдаланылатын қорғалған байланыс;

      19) көпфакторлы аутентификациялау – әртүрлі параметрлер комбинациясының, оның ішінде парольдерді немесе аутентификациялық белгілерді (цифрлық сертификаттарды, токендерді, смарт-карталарды, бірреттік парольдердің генераторларын және биометриялық сәйкестендіру құралдарын) генерациялаудың және енгізудің көмегімен пайдаланушының шынайылығын тексеру тәсілі;

      20) кросстық үй-жай – қосу, тарату пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;

      21) қолданбалы бағдарламалық қамтылым (бұдан әрі – ҚБҚ) – пәндік саланың белгілі бір сыныбындағы қолданбалы міндетін шешуге арналған бағдарламалық қамтылым кешені;

      22) құпияландырылған байланыс – құпияландыру аппаратурасы пайдаланылатын қорғалған байланыс;

      23) масштабталу – ақпараттандыру объектісінің өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай өзінің өнімділігін арттыру мүмкіндігін қамтамасыз ету қабілеті;

      24) мемлекеттік органдардың серверлік орталығы (бұдан әрі – МО серверлік орталығы) – меншік иесі және иеленушісі "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының операторы болып табылатын, "электрондық үкіметтің" ақпараттандыру объектілерін орналастыруға арналған серверлік үй-жай (деректерді өңдеу орталығы);

      25) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;

      26) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

      27) прокси-сервер – өзі арқылы ақпаратты желілік шабуылдардан қорғау мақсатында онымен алмасу жүретін компьютерлер/серверлер арасындағы интернет-байланысқа қатысатын аралық сервер;

      28) серверлік үй-жай (деректерді өңдеу орталығы) – серверлік, активті және пассивті желілік (телекоммуникациялық) жабдықты және құрылымдалған кәбілдік жүйелердің жабдығын орналастыруға арналған үй-жай;

      29) тіркеу куәлігі (бұдан әрі – цифрлық сертификат) – электрондық цифрлық қолтаңбаның "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының Заңында белгіленген талаптарға сәйкестігін растау үшін куәландырушы орталық беретін электрондық құжат;

      30) сыртқы шеңбердің жергілікті желісі (бұдан әрі – сыртқы шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, ақпараттандыру субъектілері үшін қолжетімділікті байланыс операторлары Интернетке қол жеткізудің бірыңғай шлюзі арқылы ғана ұсынатын, Интернетке қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің сыртқы шеңберіне жатқызылған жергілікті желісі;

      31) терминалдық жүйе – терминалдық ортада қосымшалармен не клиенттік-серверлік архитектурада талғампаз клиент-бағдарламалармен жұмыс істеуге арналған талғампаз немесе нөлдік клиент;

      32) уақыт көзінің инфрақұрылымы – серверлердің, жұмыс станцияларының және телекоммуникациялық жабдықтың ішкі сағаттарын синхрондау міндетін орындайтын, уақытты синхрондаудың желілік хаттамасын пайдаланатын иерархиялық байланысқан серверлік жабдық;

      33) уәкілетті орган айқындаған ақпараттандыру субъектілері – жергілікті (Интернетке қолжетімділігі бар жергілікті желілерді қоспағанда), ведомстволық және корпоративтік желілердің өзара іс-қимылын қамтамасыз ету үшін мемлекеттік органдардың бірыңғай көліктік ортасын пайдаланатын мемлекеттік органдар, олардың ведомстволық бағынысты ұйымдары мен жергілікті өзін-өзі басқару органдары, сондай-ақ өзге де ақпараттандыру субъектілері;

      34) ұйым – мемлекеттік заңды тұлға, квазимемлекеттік сектор субъектісі, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иесі және иеленушісі, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иесі және иеленушісі;

      35) үкіметтік байланыс – мемлекеттік басқару мұқтажына арналған арнайы қорғалған байланыс;

      36) федеративті сәйкестендіру – сенімді қатынастар орнатқан жүйелердегі және желілердегі электрондық ақпараттық ресурстарға қол жеткізу үшін пайдаланушының бірыңғай атын және аутентификациялық сәйкестендіргішті пайдалануға мүмкіндік беретін технологиялар кешені;

      37) шифрланған байланыс – қол шифрлары, шифрлау машиналары, желілік шифрлау аппаратурасы және есептеу техникасының арнаулы құралдары пайдаланылатын қорғалған байланыс;

      38) ішкі шеңбердің жергілікті желісі (бұдан әрі – ішкі шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, мемлекеттік органдардың бірыңғай көліктік ортасына қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің ішкі шеңберіне жатқызылған жергілікті желісі;

      39) "электрондық үкіметтің" бірыңғай репозиторийі – "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтары мен олардан құрастырылған орындалатын кодтарды сақтау орны;

      40) "электрондық үкіметтің" сыртқы шлюзі (бұдан әрі – ЭҮСШ) – МО БКО-да тұрған ақпараттық жүйелердің МО БКО-дан тыс тұрған ақпараттық жүйелермен өзара іс-қимылын қамтамасыз етуге арналған "электрондық үкімет" шлюзінің кіші жүйесі.

      Ескерту. 6-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      6-1. Цифрлық трансформациялау шеңберінде МО мен ЖАО-ны цифрландыру "электрондық үкімет" ақпараттандыру объектілерін құру және дамыту не "электрондық үкімет" архитектурасына сәйкес "электрондық үкімет" ақпараттандыру объектілерін немесе ақпараттық-коммуникациялық көрсетілетін қызметтерді сатып алу жолымен, оның ішінде мыналар ескеріле отырып жүзеге асырылады:

      1) платформалылық – "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының ведомствоаралық орталықтандырылған технологиялық платформаларын және мемлекеттік басқарудың әртүрлі салалары (аялары) шеңберінде ортақ техникалық міндеттерді шешу құралдарын қалыптастыру және тұрақты дамыту;

      2) шешімдердің әмбебаптығы – үлгілік қолданбалы міндеттерді шешу және қамтамасыз етуші үлгілік мемлекеттік функцияларды автоматтандыру үшін дайын бағдарламалық қамтылым мен сервистік бағдарламалық өнімдерді айқындау және олардың пайдаланылуын қамтамасыз ету;

      3) шешімдерді компонентпен құру – итеративті түрде жоспарланып, әзірленіп және енгізіліп, бүкіл шешім функционалының бір бөлігін және оны пайдаланудан түсетін пайданы кезең-кезеңімен ұсынатын микросервистер форматы бойынша "электрондық үкімет" ақпараттандыру объектілерінің жекелеген стандартты компоненттерін әзірлеуді және енгізуді қамтамасыз ету;

      4) нәтижелілік – "электрондық үкімет" ақпараттандыру объектілерін пайдаланудан барынша пайда алу, құрылымдық компоненттер мен шығындарды оңтайландыру жолымен шығасылар мен тәуекелдерді қысқарту;

      5) техникалық әралуандықты оңтайландыру – еркін бағдарламалық қамтылымның негізделген қолданылуын және техникалық әралуандықты жүйелі басқаруды қамтамасыз ету.

      Ескерту. 1-тарау 6-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      7. Осы БТ мақсаттары үшін мынадай қысқартулар пайдаланылады:

      1) АБК – аппараттық-бағдарламалық кешен;

      2) АҚ – ақпараттық қауіпсіздік;

      3) АЖ – ақпараттық жүйе;

      4) АКИ – ақпараттық-коммуникациялық инфрақұрылым;

      5) АКТ – ақпараттық-коммуникациялық технологиялар;

      6) БҚ – бағдарламалық қамтылым;

      7) ЖАО – жергілікті атқарушы органдар;

      8) ЕБҚ – еркін бағдарламалық қамтылым;

      9) ИҚБШ – Интернетке қолжетімділіктің бірыңғай шлюзі;

      10) ИР – интернет-ресурс;

      11) МО – орталық атқарушы орган, Қазақстан Республикасының Президентіне тікелей бағынатын және есеп беретін мемлекеттік орган, орталық атқарушы орган ведомствосының аумақтық бөлімшелері;

      12) МО БКО – мемлекеттік органдардың бірыңғай көліктік ортасы;

      13) МО ИРБТ – мемлекеттік органдардың интернет-ресурстарының бірыңғай тұғырнамасы;

      14) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен;

      15) ЭАР – электрондық ақпараттық ресурстар;

      16) ЭҮ АКП – "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;

      17) ЭЦҚ – электрондық цифрлық қолтаңба;

      18) АС – уәкілетті орган айқындайтын ақпараттандыру субъектілері.

      Ескерту. 7-тармаққа өзгерістер енгізілді - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулыларымен.

      7-1. Платформалылық мынадай талаптарды орындауға негізделеді:

      1) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформалары базасында шешімдер құруды және дамытуды жүзеге асыру және (немесе) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларының функционалдық мүмкіндіктерін пайдалану;

      2) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы технологиялық платформаларының функционалдық мүмкіндіктерін қайталайтын компоненттерді алып тастау;

      3) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларын пайдалана отырып, мемлекеттік функцияларды орындау процестерін және олардан туындайтын көрсетілетін қызметтерді автоматтандыруды қамтамасыз ету.

      Ескерту. 1-тарау 7-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

2-тарау. Ақпараттандыруды және ақпараттық қауіпсіздікті ұйымдастыру
мен басқаруға қойылатын талаптар
1-параграф. Мемлекеттік органды ақпараттандыруға қойылатын талаптар

      8. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.
      8-1. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      8-2. Шешімдердің әмбебаптығы мынадай талаптарды орындауға негізделеді:

      1) үлгілік қолданбалы міндеттерді және қамтамасыз етуші үлгілік мемлекеттік функцияларды орындау процестерін автоматтандыру үшін дайын бағдарламалық қамтылым мен сервистік бағдарламалық өнімдерді пайдалану;

      2) мемлекеттік органның мемлекеттік функцияларын орындау ерекшеліктерін дайын бағдарламалық қамтылымда және сервистік бағдарламалық өнімдерде іске асырылған процестерге ендіру процесінде бағдарламалық қамтылымды теңшеу және пысықтау қажеттігінсіз бейімдеу;

      3) сервистік бағдарламалық өнімдерді пайдаланған кезде мемлекеттік органдардың ендіруге, пайдаланушыларды оқытуға, бағдарламалық қамтылымды және ақпараттық-коммуникациялық инфрақұрылым компоненттерін сатып алуға ендіруге қосымша шығындарының болмауы.

      Ескерту. 2-тарау 8-2-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      9. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      9-1. Шешімдерді компонентпен құру мынадай талаптарды орындауға негізделеді:

      1) шешімдерді микросервистік архитектура негізінде стандартты компоненттерді қолдана отырып құру;

      2) қойылған міндеттерді шешуге және талаптарға сәйкестікті қамтамасыз етуге мүмкіндік беретін компоненттердің ең аз қажетті жиынтығын пайдалану;

      3) байланысы жоқ өзіндік мемлекеттік функцияларды және (немесе) қамтамасыз етуші үлгілік мемлекеттік функцияларды қатарлас автоматтандыратын артық компоненттерді жоққа шығару;

      4) компоненттер құрамының, құрылымының және функционалдығының Қазақстан Республикасы заңнамасының өзгерістеріне, әлеуметтік-экономикалық даму басымдықтарына, сондай-ақ мемлекеттік органдардың құрамына, құрылымына және өкілеттіктеріне бейімделуін, таратыла қолданылуын және икемділігін қамтамасыз ету;

      5) компоненттердің "электрондық үкімет" ақпараттандыру объектісінің мақсаттарына, міндеттеріне және мақсатына толық сәйкес келуі;

      6) функционалдық тәуелсіздікті және компоненттердің міндеттері мен функционалдық мүмкіндіктерінің қайталануының болмауын қамтамасыз ету;

      7) компоненттерді ашық стандарттар базасында және оны көп мәрте пайдалануды қамтамасыз ету үшін бөгде шешімдерге компонент ұсынатын қолданбалы бағдарламалаудың стандартты интерфейстері жиынтығын (application programming interface, API) пайдалана отырып қалыптастыру;

      8) архитектураның бірнеше деңгейін, соның ішінде ұсыну, бизнес-логика және деректерді сақтау деңгейлерін шешім компоненттерінің бір мезгілде қамтуын жоққа шығару арқылы архитектураны көп деңгейлі құру;

      9) пысықтау және көп мәрте пайдалану үшін компоненттердің қолжетімділігін қамтамасыз ету.

      Ескерту. 2-тарау 9-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      10. "Электрондық үкіметтің" архитектурасын дамыту Заңның 7-бабының 10) тармақшасына сәйкес уәкілетті орган бекітетін "электрондық үкіметтің" архитектурасын дамыту жөніндегі талаптарға сәйкес жүзеге асырылады.

      10-1. Нәтижелілік мынадай талаптарды орындауға негізделеді:

      1) шығындарды қысқарту, ақталуын қамтамасыз ету және бюджетке түсетін қаражат түсімдерінің көлемін арттыру жолымен барынша сандық экономикалық әсерді қамтамасыз ету;

      2) жеке және заңды тұлғалардың, мемлекеттік басқару саласының (аясының) және (немесе) тұтас мемлекеттің қажеттіктерін қанағаттандыруға бағытталуы;

      3) "электрондық үкімет" ақпараттандыру объектілерінің жұмыс істеу нәтижелері көрсеткіштерінің мәндері мен өлшем бірліктерінің және мемлекеттік басқару саласының (аясының) нысаналы индикаторларының үйлесімін қамтамасыз ету;

      4) өзіндік мемлекеттік функцияларды орындау процестерін автоматтандыру басымдығын қамтамасыз ету;

      5) компоненттердің санын кейіннен кеңейте отырып және (немесе) олардың функционалдық деңгейін арттыра отырып, функционалдық мүмкіндіктердің базалық жиынтығы бар шешім компоненттерінің бір бөлігін енгізу арқылы шешімдерді біртіндеп итеративті құру және дамыту.

      Ескерту. 2-тарау 10-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      11. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      11-1. Техникалық әралуандықты оңтайландыру мынадай талаптардың орындалуына негізделеді:

      1) мемлекеттік органның қолданыстағы ақпараттық-коммуникациялық инфрақұрылымы компоненттерінің иеліктен шығарылуы, бағдарламалық қамтылымның атаулары мен нұсқаларынан, сондай-ақ шектеулерден тәуелсіздігі;

      2) қолданыстағы бағдарламалық қамтылымның әралуандығын оңтайландыруды және мемлекеттік органның қолданыстағы ақпараттық-коммуникациялық инфрақұрылымын оңайлатуды қамтамасыз ету;

      3) пайдалану шарттарының өзгеруі және автоматтандыру объектілерінің санын кеңейту нәтижесінде одан әрі даму үшін шектеулерді алып тастау;

      4) бағдарламалық қамтылымның өзекті нұсқаларын пайдалануды қамтамасыз ету;

      5) шешім компоненттерінің шектеусіз жұмыс істеу қабілеттілігі және проприетарлық лицензиялық бағдарламалық қамтылымға қатысты иеліктің оңтайлы жиынтық құны қамтамасыз етілген жағдайларда еркін бағдарламалық қамтылым пайдаланылатын шешімдер құруды және дамытуды жүзеге асыру.

      Ескерту. 2-тарау 11-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      12. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      13. МО-ны және ЖАО-ны ақпараттандыру саласындағы тауарлармен, жұмыстармен және көрсетілетін қызметтермен қамтамасыз ету Қазақстан Республикасының арнаулы мемлекеттік органдарын қоспағанда, бюджеттік бағдарламалардың әкімшілері ұсынған ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді мемлекеттік сатып алуға арналған шығыстардың есеп-қисаптарын ақпараттандыру саласындағы уәкілетті органның қорытындысын ескере отырып сатып алу арқылы жүзеге асырылады.

      Ескерту. 13-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      13-1. МО және ұйымдар "Электрондық үкімет" ақпараттандыру объектілері туралы мәліметтерді есепке алу және "электрондық үкімет" ақпараттандыру объектілері техникалық құжаттамасының электрондық көшірмелерін орналастыру қағидаларына сәйкес "электрондық үкімет" архитектуралық порталында ақпараттандыру объектілері туралы мәліметтерді және олардың техникалық құжаттамасының электрондық көшірмелерін орналастырады.

      Орналастыру талап етілетін ақпараттандыру объектісінің техникалық құжаттамасының тізбесі "Электрондық үкімет" ақпараттандыру объектілері туралы мәліметтерді есепке алу және "электрондық үкімет" ақпараттандыру объектілерінің техникалық құжаттамасының электрондық көшірмелерін орналастыру қағидаларында айқындалады.

      Ескерту. 13-1-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      14. МО-да немесе ЖАО-да ақпараттандыру саласындағы міндеттерді жүзеге асыруды:

      1) АКТ қолданудың мониторингін және талдауды;

      2) АКТ-активтерінің пайдаланылуын есепке алу мен талдау жөніндегі іс-шараларға қатысуды;

      3) МО-ның стратегиялық жоспарына ақпараттандыру мәселелері жөнінде ұсыныстар әзірлеуді;

      4) "электрондық үкіметтің" ақпараттандыру объектілерін құру, сүйемелдеу және дамыту бойынша жұмыстарды үйлестіруді;

      5) өнім берушілердің ақпараттандыру саласындағы көрсетілетін қызметтердің шарттарда көзделген сапа деңгейін қамтамасыз етуін бақылауды;

      6) "электрондық үкіметтің" архитектуралық порталында "электрондық үкіметтің" ақпараттандыру объектілері туралы мәліметтерді және "электрондық үкіметтің" ақпараттандыру объектілерінің техникалық құжаттамаларының электрондық көшірмелерін есепке алуды және өзектілендіруді;";

      7) алып тасталды - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      8) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен;

      9) АҚ жөніндегі талаптарды орындауды жүзеге асыратын ақпараттық технологиялар бөлімшесі қамтамасыз етеді.

      Ескерту. 14-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi); 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      14-1. Меншік иелері және (немесе) иеленушілер "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.

      Ескерту. 2-тарау 14-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      15. МО-дағы және ЖАО-дағы жұмыс кеңістігі Қазақстан Республикасы Денсаулық сақтау министрінің 2022 жылғы 16 маусымдағы № ҚР ДСМ-52 бұйрығымен бекітілген "Әкімшілік және тұрғын ғимараттарға қойылатын санитариялық-эпидемиологиялық талаптар" санитариялық қағидаларына сәйкес ұйымдастырылады (Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 20 маусымда № 28525 болып тіркелген).

      Ескерту. 15-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      16. МО және ЖАО қызметшісінің жұмыс орны оның функционалдық міндеттеріне байланысты жабдықталады және мыналарды қамтиды:

      1) МО немесе ЖАО ішкі шеңберінің ЛЖ-сы қосылған жұмыс станциясы немесе үйлестірілген жұмыс орны не терминалды жүйе. Қажет болған кезде жұмыс орнын қосымша монитормен жабдықтауға жол беріледі;

      2) қажет болған кезде мультимедиялық ЭАР немесе бейне-конференциялық байланыс жүйесімен жұмыс істеуге арналған мультимедиялық жабдық (құлаққаптар, микрофон мен веб-камера) жиынтығы;

      3) телефон байланысы немесе IP-телефония аппараты.

      17. МО-ның және ЖАО-ның біріздендірілген жұмыс орнына немесе терминалды жүйесіне, сондай-ақ ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттеріне қойылатын талаптарды уәкілетті орган бекітеді.

      Ескерту. 17-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      17-1. МО-ның және ЖАО-ның жұмыс орнының немесе терминалды жүйесінің уәкілетті орган бекіткен МО-ның және ЖАО-ның үйлестірілген жұмыс орнына немесе терминалды жүйесіне қойылатын талаптарға сәйкес болуы қамтамасыз етіледі.

      Талаптар қажеттілігіне қарай жаңартылады және өзектілендіріледі.

      Ескерту. Талаптар 17-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      18. Жұмыс станцияларының сатып алынатын үлгілерін таңдау кезінде мынадай ережелерді басшылыққа алу қажет:

      1) жұмыс станцияларының аппараттық сипаттамалары пайдаланатын БҚ әзірлеуші (өндіруші) ұсынатын жүйелік талаптарға сәйкес не олардан артық;

      2) көрсетілетін қызметтердің жалпы деңгейін қамтамасыз ету үшін жұмыс станцияларының конфигурациялары біріздендіріледі;

      3) жұмыс станциялары үшін БҚ жаңартуларын орталықтандырылып автоматтандырылған тарату ұйымдастырылады;

      4) әкімшілендірудің сапасы мен жылдамдығын арттыру үшін жұмыс станцияларының әртүрлі аппараттық-бағдарламалық конфигурацияларының саны үш түрімен шектеледі:

      қолданбалы БҚ-мен жұмыс істеуге арналған жұмыс станциясы;

      графикалық пакеттермен, үлгілеудің БҚ пакеттерімен және өзгелермен жұмыс істеуге арналған қуаты жоғары жұмыс станциясы. Графикасы дамыған, процессордың өнімділігіне, жедел жады және кіші бейнежүйелерінің көлеміне қойылатын талаптары жоғары қосымшалар үшін қолданылады;

      мобильдік пайдаланушылардың жұмысына арналған ноутбук.

      19. Техникалық талаптардың ерекшелігі үшін жұмыс станцияларының мынадай басты параметрлері бөлінеді:

      1) мыналарды қамтитын өнімділік:

      процессордың тез әрекет ету параметрлері;

      жедел жадының қажетті көлемі;

      деректер таратудың ішкі шиналарының жылдамдығы;

      графикалық кіші жүйенің тез әрекет етуі;

      енгізу/шығару құрылғыларының тез әрекет етуі;

      монитор матрицасының параметрлері;

      2) тұрақты бас тартылған аппараттық құралдар мен БҚ пайдалану есебінен қамтамасыз етілетін және үздіксіз жұмыс істеуінің орташа уақытын ескере отырып анықталатын сенімділік;

      3) мыналарды:

      процессорлардың саны мен өнімділігін;

      жедел және сыртқы жады көлемін;

      кіріктірілген жинақтағыштардың сыйымдылығын арттыру мүмкіндігі есебінен дербес компьютердің архитектурасымен және құрылымымен қамтамасыз етілетін ауқымдау.

      20. АҚ-ны қамтамасыз ету үшін:

      1) АҚ ТҚ-да:

      МО немесе ЖАО қызметшілерінің жұмыс станцияларын орнату тәсілдері;

      электрмен жабдықтау жүйесіндегі істен шығулардан және коммуналдық қызметтер жұмысындағы кідірулерден туындайтын басқа да бұзылулардан жұмыс станцияларын қорғау тәсілдері;

      үздіксіз қолжетімділігін және тұтастығын қамтамасыз ету үшін жұмыс станцияларына техникалық қызмет көрсету рәсімдері мен мерзімділігі;

      түрлі сыртқы тәуекелдерді ескере отырып, МО-дан немесе ЖАО-дан тыс орналасқан мобильдік пайдаланушылардың жұмыс станцияларын қорғау тәсілдері;

      жұмыс станцияларын екінші рет пайдаланған немесе ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жою тәсілдері;

      жұмыс станцияларын жұмыс орнынан тыс шығару қағидалары айқындалады;

      2) тұрақты негізде конфигурацияларын, сондай-ақ бірегей сәйкестендіруші деректері бар электрондық ақпарат тасығыштарды тексере отырып, жұмыс станцияларын есепке алу жүргізіледі;

      3) жұмыс станцияларында ішкі шеңбердің ЛЖ-сында сырттан қашықтықтан басқарудың бағдарламалық немесе аппараттық құралдарын орнатуға және қолдануға жол берілмейді. Ішкі шеңбердің ЛЖ-сында қашықтықтан ішкі басқаруға МО немесе ЖАО құқықтық актісінде тікелей көзделген жағдайларда жол беріледі;

      4) АҚ бөлімшелері қызметшілерінің жұмыс станцияларын қоспағанда, МО және ЖАО қызметшілерінің жұмыс станциялары мен мобильдік компьютерлеріндегі қолданылмайтын енгізу-шығару порттары ажыратылады немесе бұғатталады.

      Ескерту. 20-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      21. МО және ЖАО қызметшілерінің жұмыс станцияларындағы сыртқы электрондық тасығыштарды қолдану арқылы ақпаратты енгізу-шығару операциялары мәселесі МО немесе ЖАО қабылдаған АҚ саясатына сәйкес реттеледі.

      22. МО және ЖАО қызметшісінің жұмыс орнындағы жабдықты орналастыруды оңтайландыру мақсатында бірнеше жұмыс станциясы үшін желілік интерфейстерді қолданусыз монитордың, қол манипуляторы (тінтуір) мен клавиатураның бір бірлігін пайдалануды қамтамасыз ететін арнайы жабдықты пайдалануға жол беріледі.

      23. ЭҮ АКП сервистерін пайдалану үшін МО немесе ЖАО ішкі шеңберінің ЛЖ-сына қосылған жұмыс станциясы ЭҮ АКП инфрақұрылымына желілік қосылумен қамтамасыз етіледі.

      24. МО мен ЖАО-ның қызметтік ақпаратын өңдеу және сақтау МО немесе ЖАО ішкі шеңбері мен сыртқы шеңберінің ЖЖ-сына қосылған жұмыс станцияларында жүзеге асырылады.

      МО мен ЖАО-ның қолжетімділік шектелген қызметтік ақпараты МО немесе ЖАО ішкі шеңберінің ЖЖ-сына қосылған және Интернетке қосылмаған жұмыс станцияларында өңделеді.

      Ескерту. 24-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      25. МО және ЖАО қызметшілеріне Интернетке қолжетімділік МО және ЖАО сыртқы шеңберінің ЖЖ-не қосылған, Қазақстан Республикасының мемлекеттік құпияларын қорғау жөніндегі нұсқаулыққа сәйкес айқындалатын режимдік үй-жайлардан тыс орналасқан жұмыс станцияларынан беріледі.

      Ескерту. 25-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      25-1. Сыртқы шеңбердің локальдық желілерінен интернетке қолжетімділікті ұйымдастырған кезде міндетті түрде вирустарға қарсы құралдардың болуы, интернет желісіне қосылған жұмыс станцияларындағы операциялық жүйелердің жаңартылуы қамтамасыз етіледі.

      Ескерту. Талаптар 25-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      26. Телефон байланысының сервисі:

      1) ортақ пайдаланудағы цифрлық телефон желілерінің базасымен қатар IP-телефония технологияларын пайдаланумен де іске асырылады;

      2) пайдаланушыны:

      абоненттерді ішкі және сыртқы шеңбердің қолданыстағы локальдық есептеу желісі мен ведомстволық деректерді беру желісі арқылы қосуды қолдану;

      ортақ пайдаланудағы телефон байланысы операторының байланыс қызметтерін Е1 ағыны бойынша пайдалану;

      ұялы байланыс операторларын пайдалану;

      қалааралық және халықаралық қоңырау шалу қызметін пайдалану арналары арқылы телефон желісі абоненттерімен қосуды қамтамасыз етеді.

      27. Конференциялар, тұсаукесерлер, мәжілістер, телекөпірлер өткізу үшін МО және ЖАО конференц-залы:

      1) қатысушы орнында микрофон, дауыс күшейткіш және сұрау салу мен қатысушының сөз сөйлеуінің жарық индикаторын орналастыруды қамтитын дауыс күшейткіш конференц-жүйесімен;

      2) ақпаратты жүктеу-көшіру құрылғысымен жарақталады.

      Басқа қалалардағы немесе елдердегі географиялық бөлінген қатысушылармен "телекөпір" ұйымдастыру үшін конференц-жүйе қажеттілігіне байланысты ЭҮ АКИ операторының аудио және бейнеконференцбайланыс жүйесімен толықтырылады.

      28. Басып шығару сервисі:

      1) МО ішкі шеңберінің локальдық желісіне желілік интерфейсті немесе басып шығару серверіне тікелей қосылуды пайдалана қосылған басып шығару, көшіру және сканерлеу жабдықтары арқылы іске асырылады;

      2) мыналарды:

      пайдаланушылар мен құрылғыларды орталықтан басқаруды;

      шығындарды бөлімшелер мен пайдаланушылар арасында бөлу мүмкіндігімен пайдаланушылардың сәйкестендіру нөмірлері бойынша басып шығарылатын құжаттарды, сондай-ақ электрондық пошта арқылы жіберілген көшірмелерді, факстарды және сканерлеулерді есепке алуды;

      басып шығару, көшіру және сканерлеу белсенділігін графикалық бейнелейтін есептер жүйесін;

      пайдаланушыны басып шығару сервисін пайдалануды бастағанға дейін сәйкестендіруді;

      АҚ ТҚ-да регламенттелген әдістермен МО қызметшісін басып шығару құрылғысында авторлауды;

      басып шығарылған құжаттарды қолжетімді басу құрылғысынан алу мүмкіндігімен басып шығарудың бірыңғай кезегі арқылы басуды жүзеге асыратын басу кезегін қалыптастыруды іске асыратын бағдарламалық қамтылыммен қамтамасыз етіледі.

2-параграф. Ақпараттық қауіпсіздікті ұйымдастыруға қойылатын талаптар

      29. МО-да, ЖАО-да немесе ұйымда АҚ-ны ұйымдастыру, қамтамасыз ету және басқару кезінде ҚР СТ ISO/IEC 27002-2023 "Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздікті басқару құралдары" Қазақстан Республикасы стандартының ережелерін басшылыққа алу қажет.

      Ескерту. 29-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      29-1. Елдің қорғанысы мен мемлекет қауіпсіздігі үшін ақпараттық қауіпсіздікті қамтамасыз ету талаптарын іске асыру мақсатында Заңға және Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес БҚ мен электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінен тауар және ақпараттық-коммуникациялық көрсетілетін қызмет түрінде сатып алу жүзеге асырылады.

      Электрондық өнеркәсіп саласындағы уәкілетті орган Заңның 7-6-бабының 7-тармағына сәйкес бекіткен Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін қалыптастыру және жүргізу қағидаларына, сондай-ақ бағдарламалық қамтылымды және электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізу жөніндегі өлшемшарттарға сәйкес сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін электрондық өнеркәсіп саласындағы уәкілетті орган жүргізеді.

      Бұл ретте сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінде қажетті өнім болмаған жағдайда оны Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес сатып алуға жол беріледі.

      Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізілген бағдарламалық қамтылымның меншік иелері және иеленушілері "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.

      Ескерту. Талаптар 29-1-тармақпен толықтырылды – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      30. АҚ-ны қамтамасыз ету саласындағы жауапкершілік пен функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшауланған құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға айқындалады.

      АҚ бөлімшесі немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға АҚ-ны қамтамасыз ету жөніндегі жұмыстарды үйлестіруді және АҚ бойынша ТҚ-да айқындалған АҚ талаптарының орындалуын бақылауды жүзеге асырады.

      АҚ-ны қамтамасыз етуге жауапты қызметкерлер үш жылда бір реттен сиретпей АҚ-ны қамтамасыз ету саласындағы мамандандырылған курстардан өтіп, оларға сертификат беріледі.

      Ескерту. 30-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      31. АҚ ТҚ өз қызметінде МО, ЖАО немесе ұйым басшылыққа алатын құжатталған қағидалардың, рәсімдердің, практикалық тәсілдердің немесе басшылық қағидаттарының төрт деңгейлі жүйесі түрінде құрылады.

      АҚ ТҚ қазақ және орыс тілдерінде әзірленеді, МО-ның, ЖАО-ның немесе ұйымның құқықтық актісімен бекітіледі және МО, ЖАО барлық қызметшілерінің немесе ұйым қызметкерлерінің назарына жеткізіледі.

      АҚ ТҚ ондағы ақпаратты талдау және өзектілендіру мақсатында кемінде екі жылда бір рет қайта қаралады.

      Ескерту. 31-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      32. МО-ның, ЖАО-ның немесе ұйымның АҚ саясаты бірінші деңгейдегі құжат болып табылады және МО немесе ұйым күнделікті қызметінде басшылыққа алатын АҚ-ны қамтамасыз ету саласындағы мақсаттарды, міндеттерді, басшылық қағидаттары мен практикалық тәсілдерді айқындайды.

      32-1. АҚ саясатының талаптарын нақтылайтын қаржы ұйымының ішкі құжаттарының тізбесі қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның қаржы ұйымдарының ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметін реттейтін нормативтік құқықтық актілеріне сәйкес айқындалады.

      Ескерту. Талаптар 32-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      33. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының талаптарын егжей-тегжейлі көрсететін құжаттар, оның ішінде:

      1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

      2) ақпаратты өңдеу құралдарымен және оларды түгендеумен байланысты активтерді сәйкестендіру, сыныптау, таңбалау, паспорттау қағидалары;

      3) АҚ ішкі аудитін жүргізу қағидалары;

      4) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;

      5) электрондық ақпараттық ресурстарға қол жеткізу құқықтарын аутентификациялау және олардың аражігін ажырату рәсімін ұйымдастыру қағидалары;

      6) вирусқа қарсы бақылауды ұйымдастыру, мобильді құрылғыларды, ақпарат жеткізгіштерді, Интернетті және электрондық поштаны пайдалану қағидалары;

      7) ақпаратты өңдеу құралдарымен байланысты активтердің физикалық қорғалуын, жұмыс істеуі мен үздіксіз жұмысын қамтамасыз етудің қауіпсіз ортасын ұйымдастыру қағидалары кіреді.

      Ескерту. 33-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      34. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің сипаттамасын, оның ішінде:

      1) АҚ қауіп-қатерлер (тәуекелдер) каталогын;

      2) АҚ қауіп-қатерлерін (тәуекелдерін) өңдеу жоспарын;

      3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету және жұмысқа қабілеттілігін қалпына келтіру жөніндегі іс-шаралар жоспарын;

      4) ақпараттандыру объектісін сүйемелдеу, ақпаратты резервтік көшіру және қалпына келтіру жөніндегі әкімшінің нұсқауын;

      5) пайдаланушылардың АҚ оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда ден қою бойынша іс-қимыл тәртібі туралы нұсқаулықты қамтиды.

      Ескерту. 34-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды, оның ішінде:

      1) АҚ оқыс оқиғаларын тіркеу және штаттан тыс жағдайларды есепке алу журналын;

      2) серверлік үй-жайларға бару журналын;

      3) желілік ресурстардың осалдығына бағалау жүргізу туралы есепті;

      4) кәбілдік қосылуларды есепке алу журналын;

      5) резервтік көшірмелерді есепке алу (резервтік көшіру, қалпына келтіру), резервтік көшірмелерді тестілеу журналын қамтиды.

      Ескерту. 35-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      36. Активтерді қорғауды қамтамасыз ету үшін:

      1) активтерді түгендеу;

      2) активтерді МО-да, ЖАО-да қабылданған сыныптау жүйесіне сәйкес сыныптау және таңбалау;

      3) активтерді лауазымды тұлғаларға бекіту мен активтердің АҚ-сын басқару жөніндегі іс-шараларды іске асыру үшін олардың жауапкершілік көлемін белгілеу;

      4) АҚ ТҚ-да:

      активтерді қолдану мен қайтару;

      активтерді сәйкестендіру, сыныптау мен таңбалау тәртібін реттеу жүргізіледі.

      37. МО-да немесе ЖАО-да АКТ саласындағы тәуекелдерді басқару мақсатында:

      1) ҚР СТ 31010-2020 "Тәуекел менеджменті. Тәуекелді бағалау әдістері" Қазақстан Республикасы стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу;

      2) сәйкестендірілген және сыныпталған активтердің тізбесіне қатысты тәуекелдерді сәйкестендіру жүзеге асырылады, ол мыналарды қамтиды:

      АҚ қатерлерін және олардың көздерін айқындау;

      қатерлердің іске асырылуына әкеп соғуы мүмкін осалдықтарды айқындау;

      ақпараттың таралу арналарын анықтау;

      бұзушы моделін қалыптастыру;

      3) сәйкестендірілген тәуекелдерді қабылдау өлшемшарттарын таңдау;

      4) ҚР СТ ISO/IEC 27005-2022 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын АҚ қауіп-қатерлері (тәуекелдері) каталогын қалыптастыру;

      5) АҚ қатерлерін (тәуекелдерін) бейтараптандыру немесе төмендету жөніндегі іс-шараларды қамтитын оларды өңдеу жоспарын әзірлеу және бекіту жүзеге асырылады.

      Ескерту. 37-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      38. МО-да, ЖАО-да немесе ұйымда АҚ-ның бұзылу оқиғаларын бақылау мақсатында:

      1) АҚ-ны бұзуға байланысты оқиғалар мониторингі мен мониторинг нәтижелерін талдау жүргізіледі;

      2) АҚ-ның жай-күйіне байланысты оқиғалар тіркеліп, оқиғалар журналдарын, соның ішінде:

      операциялық жүйелердің оқиғалар журналдарын;

      дерекқорларды басқару жүйелерінің оқиғалар журналдарын;

      вирусқа қарсы қорғау оқиғаларының журналдарын;

      қолданбалы БҚ оқиғалар журналдарын;

      телекоммуникациялық жабдықтың оқиғалар журналдарын;

      шабуылдарды анықтау және алдын алу жүйелерінің оқиғалар журналдарын;

      контентті басқару жүйесі оқиғаларының журналын талдау арқылы бұзушылықтар анықталады;

      3) оқиғаларды тіркеу журналдарындағы уақытты уақыт көзінің инфрақұрылымымен үйлесімді ету қамтамасыз етіледі;

      4) оқиғаларды тіркеу журналдары АҚ ТҚ-да көрсетілген, бірақ үш жылдан кем емес мерзім бойы сақталады және кем дегенде екі ай жедел қолжетімді болады;

      5) Заңның 7-1-бабының 7) тармағына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган ұлттық қауіпсіздік органдарымен келісу бойынша бекітетін "электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингін жүргізу қағидаларында айқындалатын форматтар мен жазба түрлеріне сәйкес оқиғаларды тіркеу журналдары жүргізіледі;

      5-1) мемлекеттік техникалық қызметтің сұратуы бойынша Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығының ақпараттық қауіпсіздікті қамтамасыз ету мониторингі жүйесінің техникалық құралдарына "электрондық үкіметтің" ақпараттандыру объектілерінің АҚ оқиғаларын журналдау жүйелерін қосу қамтамасыз етіледі;

      6) оқиғаларды тіркеу журналдарын араласудан және авторланбаған қолжетімділіктен қорғау қамтамасыз етіледі. Жүйе әкімшілеріне журналдарды өзгертуге, жоюға және ажыратуға өкілеттік беруге жол берілмейді. Құпия АЖ үшін журналдардың резервтік қоймасын құру және оны жүргізу талап етіледі;

      7) АҚ инциденттері туралы хабардар етудің және АҚ-ның инциденттеріне әрекет етудің формальді рәсімін енгізу қамтамасыз етіледі.

      Ескерту. 38-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      38-1. МО және ЖАО ақпараттық қауіпсіздікті қамтамасыз ету мониторингі және ақпараттық қауіпсіздік оқиғаларының мониторингі жөніндегі жұмыстарды жүргізу мақсатында мемлекеттік техникалық қызметтің сұрау салуы бойынша Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығының жұмыскерлеріне жеке жұмыс орындарын ұсына отырып, "электрондық үкіметтің" ақпараттандыру объектілеріне физикалық қолжетімділікті тұрақты негізде қамтамасыз етеді.

      Ескерту. 2-тарау 38-1-тармақпен толықтырылды - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      39. МО-ның, ЖАО-ның немесе ұйымның өте маңызды процестерін ішкі және сыртқы қатерлерден қорғау мақсатында:

      1) ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары әзірленеді, тестілеуден өтеді және іске асырылады;

      2) пайдаланушылардың АҚ инциденттеріне және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің назарына жеткізіледі.

      Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары үнемі өзектілендіруге жатады.

      40. АҚ-ны қамтамасыз ету жөніндегі функционалдық міндеттер және МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің АҚ ТҚ талаптарын орындау жөніндегі міндеттемелері лауазымдық нұсқаулықтарға енгізіледі.

      Еңбек шартының қолданылуы тоқтатылғаннан кейін күшінде қалған АҚ-ны қамтамасыз ету саласындағы міндеттемелер ұйым жұмыскерімен жасалған еңбек шартында бекітіледі.

      Ескерту. 40-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      41. ЭАР, АЖ, АКИ ақпараттық қауіпсіздігін қамтамасыз етуге бөгде ұйымдарды тартқан жағдайда олардың иесі немесе иеленушісі аталған объектілермен жұмыс істеу, оларға қол жеткізу немесе пайдалану шарттары, сондай-ақ оларды бұзғаны үшін жауапкершілігі белгіленетін келісімдер жасайды.

      42. АҚ-ны қамтамасыз ету саласында міндеттемелері бар МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін жұмыстан босатқан кездегі рәсімдердің мазмұны АҚ ТҚ-да белгіленеді.

      43. Ұйым жұмыскерінің еңбек шартының талаптарына өзгерістер енгізу, МО, ЖАО қызметшісін ротациялау немесе мемлекеттік қызмет бойынша ілгерілету, оларды жұмыстан шығару кезінде физикалық және логикалық қол жеткізуді, қол жеткізу идентификаторларын, жазылымдарды қамтитын, оны МО-ның, ЖАО-ның қазіргі қызметшісі немесе ұйымның жұмыскері ретінде сәйкестендіретін ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары жойылады.

      Ескерту. 43-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      44. Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізеді.

      45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР СТ ISO/IEC 15408-2017 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан Республикасы стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.

      Ескерту. 45-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      46. Ақпараттандыру объектілерін пайдалану кезінде АҚ қамтамасыз ету мақсатында:

      1) аутентификация тәсілдеріне;

      2) қолданылатын АКҚҚ-ға;

      3) қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету тәсілдеріне;

      4) АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингіне;

      5) АҚ қамтамасыз ету құралдары мен жүйелерін қолдануға;

      6) куәландырушы орталықтардың тіркеу куәліктеріне қойылатын талаптар белгіленеді.

      Ескерту. 46-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      46-1. "Электрондық үкімет" ақпараттандыру объектілері қол қою үшін "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасы Заңының 5-бабы 3-тармағының 2) тармақшасына сәйкес уәкілетті орган бекітетін Куәландырушы орталықтарды аккредиттеу туралы куәлікті беру және кері қайтарып алу қағидаларына сәйкес аккредиттелген куәландырушы орталықтардың тіркеу куәліктерін пайдаланады.

      Ескерту. 2-тарау 46-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      47. Сыныптауышқа сәйкес бірінші және екінші сыныптардағы ақпараттандыру объектілеріне қол жеткізу кезінде көп факторлы, оның ішінде цифрлық сертификаттар пайдаланылатын аутентификация қолданылады.

      Ескерту. 47-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      48. Құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР қызметтік ақпаратын қорғау мақсатында ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының стандартына сәйкес АКҚҚ-ға қойылатын талаптарға сәйкес келетін мынадай параметрлері бар:

      бірінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – үшінші қауіпсіздік деңгейінің;

      екінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – екінші қауіпсіздік деңгейінің;

      үшінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – бірінші қауіпсіздік деңгейінің АКҚҚ (бағдарламалық және аппараттық) қолданылады.

      49. Қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету үшін ЭҮ ақпараттандыру объектілерінің иелері:

      1) сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілеріне арналған меншікті немесе жалға алынған резервті серверлік үй-жайдың болуын;

      2) аппараттық-бағдарламалық деректерді өңдеу құралдарын, деректерді сақтау жүйелерін, деректерді сақтау желілерінің компоненттері мен деректерді беру арналарын, соның ішінде сыныптауышқа сәйкес:

      бірінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда жүктемемен (жедел);

      екінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда жүктемесіз (іске қосылмаған);

      үшінші сыныптағы ЭҮ ақпараттандыру объектілерін – негізгі серверлік үй-жайға жақын орналасқан қоймада сақтаумен резервтеуді қамтамасыз етеді.

      49-1. "Электрондық үкімет" ақпараттандыру объектілерін интеграциялау Заңның 7-бабының 13) тармақшасына сәйкес уәкілетті орган бекіткен "Электрондық үкімет" ақпараттандыру объектілерін интеграциялау қағидаларына сәйкес және қорғау бейінімен айқындалатын әрі мемлекеттік және мемлекеттік емес ақпараттық жүйелердің ақпараттық қауіпсіздігі жөніндегі бірлескен жұмыстар шартымен ресімделетін ақпараттық қауіпсіздік талаптары сақталған кезде жүзеге асырылады және:

      1) бірыңғай интеграциялық ортаны – ақпараттандыру объектілерінің ведомствоаралық және ведомстволық ақпараттық өзара іс-қимылының технологиялық мүмкіндіктерін қамтамасыз етуге;

      2) бір реттік интеграцияны – "электрондық үкімет" ақпараттандыру объектілерінің өзара іс-қимыл жүйесіне бір мәрте қосылуын және ақпаратты беру мен алу кезінде қаржы және уақыт шығасыларын азайту үшін кейіннен көп мәрте пайдалануды қамтамасыз етуге;

      3) бірыңғай ақпараттық кеңістікті – деректерді берудің стандартты форматтарын қолдану негізінде берген кезде деректердің үйлесімділігі мен салыстырылуын қамтамасыз етуге негізделеді.

      Ескерту. 2-тарау 49-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      50. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілері оларды өндірістік пайдалануға енгізгеннен кейін бір жылдан кешіктірмей АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингі жүйесіне қосылады.

      50-1. Мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтер көрсетуге арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері немесе иеленушілері мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланғанға дейін ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады.

      Мемлекеттік органдарды, жергілікті өзін-өзі басқару органдарын, мемлекеттік заңды тұлғаларды, квазимемлекеттік сектор субъектілерін қоспағанда, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері немесе иеленушілері ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің тізбесіне енгізілген күннен бастап бір жыл ішінде ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ескерту. Талаптар 50-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      50-2. Бірыңғай интеграциялық орта мынадай талаптардың орындалуына негізделеді:

      1) сервистік-бағытталған архитектураға сәйкес бірыңғай интеграциялық ортаға интеграциялауды жүзеге асыру;

      2) бірнеше мемлекеттің ақпараттандыру объектілерінің мемлекетаралық ақпараттық өзара іс-қимылын Қазақстан Республикасының ұлттық шлюзі арқылы жүзеге асыру;

      3) деректерді иеленушілердің бастамасымен немесе олардың атынан мемлекеттік функцияларды іске асырудың және мемлекеттік қызметтер көрсетудің тиісті процестерімен ұштастыру арқылы деректерді жасауды, өзгертуді және жоюды жүзеге асыру;

      4) өзара іс-қимыл жасаушы тараптардың бір мәнді сәйкестендірілуін және өзара іс-қимыл жасау кезіндегі олардың құқықтарының көлемін қамтамасыз етуде бірыңғай тәсілдер мен стандарттарды қолдану;

      5) "электрондық үкімет" ақпараттандыру объектілері арасындағы синхронды өзара іс-қимылды басым түрде жүзеге асыру;

      6) ақпараттық өзара іс-қимыл жасау және мемлекеттік қызметтер көрсету процесінде электрондық құжаттарды сақтау қоймасынан және "электрондық үкімет" шлюзінің нормативтік-анықтамалық ақпаратының бірыңғай жүйесінен алынған мәліметтерді пайдалануды қамтамасыз ету;

      7) ақпараттық өзара іс-қимыл шеңберінде жүзеге асырылатын барлық іс-қимылдар мен операциялардың күнін, уақытын, мазмұнын және оларға қатысушыларды, сондай-ақ ақпараттық өзара іс-қимыл тарихын қалпына келтіруге мүмкіндік беретін мәліметтерді тіркеуді қамтамасыз ету;

      8) ұйымдарда сақталатын деректерге қол жеткізу үшін техникалық мүмкіндікті қамтамасыз ету;

      9) сұратуға және берілетін деректерге ЭЦҚ-мен қол қою арқылы ақпараттық өзара іс-қимылдың заңдылығы мен тұтастығын қамтамасыз ету.

      Ескерту. 2-тарау 50-2-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      51. МО, ЖАО немесе ұйым:

      пайдаланушылар мен персоналдың іс-қимылы;

      ақпаратты өңдеу құралдарын қолдану мониторингін жүзеге асырады.

      Ескерту. 51-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      51-1. Бір реттік интеграция мынадай талаптардың орындалуына негізделеді:

      1) "электрондық үкімет" шлюзінде жарияланған ақпараттық өзара іс-қимылдың әмбебап сервистерінің жинағы негізінде ақпараттандыру объектілерінің функционалдық мүмкіндіктері мен ЭАР (деректер) интеграциясын жүзеге асыру және оларға қолжетімділікті ұсыну;

      2) ақпараттық өзара іс-қимыл сервистерін "электрондық үкімет" шлюзінің сервистері тізіліміне енгізу жолымен олардың көп мәрте пайдаланылуын қамтамасыз ету;

      3) Қазақстан Республикасында пайдаланылатын деректерді берудің стандартты технологиялары, форматтары мен хаттамалары негізінде ақпараттық өзара іс-қимыл сервистерін құруды қамтамасыз ету;

      4) ақпаратты алушылардың қол жеткізу құқықтарын басқара отырып, деректерді бірыңғай виртуалды деректер көзі арқылы тарату;

      5) "электрондық үкімет" шлюзі сервистерінің тіркелімінде осындай не ұқсас сервис болмаған жағдайларда ақпараттық өзара іс-қимылдың жаңа сервисін әзірлеуді жүзеге асыру;

      6) ақпараттық өзара іс-қимыл сервистері негізінде композиттік сервистерді қалыптастыру үшін техникалық мүмкіндікті қамтамасыз ету;

      7) "электрондық үкімет" шлюзіне қосылған "электрондық үкімет" ақпараттандыру объектілерінің жүргізілетін техникалық, әкімшілік, ұйымдастырушылық және өзге де өзгерістеріне қарамастан, "электрондық үкімет" шлюзінің жұмыс қабілеттілігін қамтамасыз ету;

      8) ақпараттық өзара іс-қимыл сервисі интерфейстерінің өзгермейтіндігін қамтамасыз ету жолымен байланысқан барлық ақпарат тұтынушыларды жетілдіру қажеттігінсіз ақпарат берушінің "электрондық үкімет" ақпараттандыру объектісін тәуелсіз дамыту мүмкіндігін қамтамасыз ету.

      Ескерту. 2-тарау 51-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      52. МО-да, ЖАО-да немесе ұйымда пайдаланушылар мен персонал іс-қимылының мониторингін жүзеге асыру шеңберінде:

      1) пайдаланушылардың аномальді белсенділігі мен қасақана іс-қимылдары айқындалған кезде, мұндай іс-әрекеттер:

      сыныптауышқа сәйкес бірінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі, бұғатталады және әкімшісі жедел хабардар етіледі;

      сыныптауышқа сәйкес екінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі және бұғатталады;

      сыныптауышқа сәйкес үшінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі;

      2) қызмет көрсетуші персоналдың іс-қимылдарын АҚ бөлімшесі тіркейді және бақылайды.

      Ескерту. 52-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      52-1. Бірыңғай ақпараттық кеңістіктік деректерді басқару жөніндегі талаптардың сақталуына негізделеді, оның ішінде мынадай:

      1) берілетін деректер мен ақпараттық өзара іс-қимыл сервистері интерфейстерінің синтаксистік, семантикалық және кеңістіктік сәйкестігі арқылы ақпараттық өзара іс-қимыл процесінде деректердің үйлесімділігін қамтамасыз ету;

      2) эталондық ақпарат көздерін пайдалану арқылы деректердің белгілі бір түрін таратуды және бірнеше көздерден алынған деректер пайдаланылған жағдайда олардың салыстырылуын қамтамасыз ету;

      3) таратылатын деректерді бір мәнді және бірегей сәйкестендіру;

      4) ашық деректер порталы арқылы құрылымдалған, машинамен оқылатын және байланысқан форматта жалпыға қолжетімді деректерді тарату;

      5) деректердің анықтығы мен өзектілігін растау, анық емес деректерді анықтау, сондай-ақ анық емес деректердің анықталу жағдайлары және оны өзектілендіру процесінде жүргізілген өзгерістер туралы ақпараттық өзара іс-қимылдың мүдделі қатысушыларын хабардар ету мүмкіндігін қамтамасыз ету;

      6) "электрондық үкімет" шлюзін пайдалана отырып, "электрондық үкімет" ақпараттандыру объектілерінің өзара іс-қимылы кезінде деректерді ақпарат тұтынушының деректер форматынан ақпаратты берушінің деректер форматына түрлендірудің бірыңғай схемасын пайдалану талаптары ескеріледі.

      Ескерту. 2-тарау 52-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53. АҚ оқиғалары мониторингін және оқиғалар журналын талдау нәтижелері бойынша құпиялылығы, қолжетімділігі мен тұтастығы үшін өте қатерлі болып сәйкестендірілген АҚ оқиғалары:

      1) АҚ инциденттері ретінде анықталады;

      2) АҚ қатерлері (тәуекелдері) каталогында есепке алынады;

      3) мемлекеттік техникалық қызметтің компьютерлік инциденттерге әрекет ету қызметінде тіркеледі.

      53-1. АЖ-да электрондық құжаттарға қол қою функциясы болған жағдайда АЖ пайдаланушының электрондық құжаттың төлнұсқалығын осы АЖ-ны пайдаланбай-ақ, өзіне қолжетімді өзге де тәсілдермен тексеру мүмкіндігін алуы мақсатында АЖ пайдаланушыға пайдаланушы ЭЦҚ-сымен қол қойылған электрондық құжатты да, осындай электрондық құжаттар куәландырылған барлық ЭЦҚ-мен бірге өзіне қолжетімді өзге де электрондық құжаттарды да АЖ-дан көшіру мүмкіндігі беріледі.

      Ескерту. 2-тарау 53-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-2. АЖ-да электрондық құжаттарға қол қою функциясы болған жағдайда АЖ пайдаланушыға бұрын қол қойылған электрондық құжатты осындай электрондық құжат куәландырылған барлық ЭЦҚ-мен бірге, оның ішінде егер осындай электрондық құжатқа осы АЖ пайдаланылмай қол қойылған болса, АЖ-ға жүктеу мүмкіндігі беріледі.

      Ескерту. 2-тарау 53-2-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-3. АЖ-да электрондық құжаттармен жұмыс істеу функциясы болған жағдайда АЖ "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасы Заңының 5-бабы 1-тармағының 10) тармақшасына сәйкес уәкілетті орган бекітетін Электрондық цифрлық қолтаңбаның төлнұсқалығын тексеру қағидаларына сәйкес құжатқа қол қойған тұлғаның өкілеттіктерін тексеруді жүзеге асырады.

      Ескерту. 2-тарау 53-3-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-4. АЖ-да электрондық құжаттармен жұмыс істеу функциясы болған жағдайда электрондық құжаттар АЖ-да электрондық құжаттарды олар куәландырылған барлық ЭЦҚ-мен, уақыт белгілерімен және қол қою сәтінде кері қайтарып алуға (жоюға) болатындығы тұрғысынан тіркеу куәліктерін тексерудің мәртебесі туралы ақпаратпен бірге өзгеріссіз түрде электрондық құжатты сақтаудың бүкіл мерзімі ішінде сақталуы тиіс.

      Ескерту. 2-тарау 53-4-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-5. АЖ-да электрондық құжаттармен жұмыс істеу функциясы болған жағдайда АЖ осы АЖ жұмыс істейтін куәландырушы орталықтар қолдайтын ЭЦҚ кілттерін сақтау қоймаларының барлық типтерімен жұмысты қолдауы тиіс.

      Ескерту. 2-тарау 53-5-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      54. Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде:

      зиянды кодты анықтау мен алдын алу;

      АҚ инциденттері мен оқиғаларын мониторингтеу және басқару;

      басып кіруді анықтау және алдын алу;

      ақпараттық инфрақұрылымды мониторингтеу және басқару құралдары мен жүйелері пайдаланылады.

      Ескерту. 54-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      54-1. МО, ЖАО ақпараттандыру объектілерін және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерін қорғау үшін деректердің тарап кетуін болғызбау жүйелері (DLP) қолданылады.

      Бұл ретте:

      іс-қимылға жүргізілетін бақылау туралы пайдаланушыны визуалды түрде хабардар ету;

      жергілікті желі шегінде деректердің тарап кетуін болғызбау жүйесінің басқару орталығы мен серверлерін орналастыру қамтамасыз етіледі.

      Ескерту. Талаптар 54-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      55. Қазақстан Республикасының негізгі куәландырушы орталығының тіркеу куәліктері ҚР СТ ИСО/МЭК 14888-1-2017 "Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 1-бөлім. Жалпы ережелер", ҚР СТ ИСО/МЭК 14888-3-2017 "Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 3-бөлім. Сертификатқа негізделген механизмдер", МемСТ Р ИСО/МЭК 9594-8-98 "Ақпараттық технология. Ашық желілердің өзара байланысы. Анықтамалық. 8-бөлім. Аутентификация негіздері" Қазақстан Республикасының стандарттарына сәйкес аутентификациялау мақсаттарында әлемдік БҚ өндірушілердің бағдарламалық өнімдерінің сенім білдірілген тізімдерінде танылуға жатады.

      Ескерту. 55-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      56. Қазақстан Республикасының негізгі куәландырушы орталығын қоспағанда, Қазақстан Республикасының куәландырушы орталықтары куәландырушы орталықтарды аккредиттеу қағидаларына сәйкес куәландырушы орталықты аккредиттеу жолымен әлемдік БҚ өндірушілер бағдарламалық өнімдерінің сенімді тізімдерінде танылады.

      Қазақстан Республикасының куәландырушы орталықтары шет елдердің аумағында Қазақстан Республикасы азаматтарының ЭЦҚ тексеруді қамтамасыз ету үшін өз тіркеу куәлігін Қазақстан Республикасының сенім білдірілген үшінші тарапында орналастырады.

      56-1. Заңмен қорғалатын құпияны қамтитын деректерді өңдейтін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иесі ақпараттық қауіпсіздікке жылына кемінде бір рет аудит жүргізеді. Екінші деңгейдегі банктердің ақпараттық қауіпсіздігінің аудиті Қазақстан Республикасының банк заңнамасының талаптарына сәйкес жүргізіледі.

      Ескерту. Талаптар 56-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

3-тарау. Ақпараттандыру объектілеріне қойылатын талаптар
1-параграф. Электрондық ақпараттық ресурстарға және Интернет ресурстарға қойылатын талаптар

      57. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      58. ИР құруға немесе дамытуға қойылатын талаптар ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      59. ИР иесі және (немесе) иеленушісі пайдаланушының кескін тілін таңдау мүмкіндігімен қазақ, орыс және қажет болған жағдайда басқа тілдерде көпшілікке қолжетімді ИР құруды қамтамасыз етеді.

      60. ИР-ды құру немесе дамыту ҚР СТ 2190-2012 "Ақпараттық технологиялар. Мемлекеттік органдар мен ұйымдардың интернет-ресурстары. Талаптар", ҚР СТ 2191-2023 "Ақпараттық технологиялар. Мүгедектігі бар адамдар үшін веб-контенттің қолжетімділігі", ҚР СТ 2192-2012 "Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. Жалпы сипаттамасы", ҚР СТ 2193-2012 "Ақпараттық технологиялар. Мобильдік веб-қосымшаларды әзірлеуге ұсынылатын тәжірибесі", ҚР СТ 2199-2012 "Ақпараттық технологиялар. Мемлекеттік органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар" Қазақстан Республикасы стандарттарының талаптарын ескере отырып жүзеге асырылады.

      Ескерту. 60-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      61. МО немесе ЖАО ИР-нда ЭАР дайындау, орналастыру, өзектілендіру уәкілетті орган бекіткен МО ИР ақпараттық толықтыру қағидалары мен олардың мазмұнына қойылатын талаптарға сәйкес жүзеге асырылады.

      62. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық бөлімшелерінің, жергілікті атқарушы органның ИР gov.kz. және мем.қаз домендік аймақтарында тіркеледі және МО ИРБП-да орналастырылады.

      МО ИРБП ЭҮ АКП-да орналастырылады.

      62-1. .KZ және (немесе) .ҚАЗ домендік атымен тіркелген интернет-ресурс Қазақстан Республикасының аумағында орналасқан аппараттық-бағдарламалық кешенде орналастырылады.

      Ескерту. Талаптар 62-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      62-2. Интернет-ресурстармен деректерді беру кезінде Интернеттің қазақстандық сегментінің кеңістігінде .KZ және (немесе) .ҚАЗ домендік аттарын пайдалану қауіпсіздік сертификаттарын қолдану арқылы жүзеге асырылады.

      Ескерту. Талаптар 62-2-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      63. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық бөлімшелерінің, жергілікті атқарушы органның ИР басқаруды, ЭАР орналастыру мен өзектілендіруді оператор ИР иесінің және (немесе) иеленушінің өтінімі негізінде ЭҮ АКИ локальдық желісінің сыртқы шеңберінен жүзеге асырады.

      63-1. МО және ЖАО ИР-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.

      Ескерту. Талаптар 63-1-тармақпен толықтырылды - ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      63-2. МО-ның, ЖАО-ның және ұйымдардың ақпараттандыру объектілерінде дербес деректерді қамтитын және мемлекеттік функцияларды автоматтандыру мен олардан туындайтын мемлекеттік қызметтерді көрсету кезінде пайдаланылатын, меншік иелері немесе иеленушілері өзге ақпараттандыру субъектілері болып табылатын ЭАР-ны оларды жинау және өңдеу мақсаттарына қол жеткізу күні басталғаннан кейін сақтауға жол берілмейді.

      Ескерту. 3-тарау 63-2-тармақпен толықтырылды - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      64. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      65. МО немесе ЖАО ЭАР пайдаланылмаған кезде оны "Ұлттық архив қоры және архивтеу туралы" Қазақстан Республикасы Заңында (бұдан әрі – Архив туралы заң) белгіленген тәртіппен архивке беруді қамтамасыз етеді.

      Ескерту. 65-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      66. ИР-дің АҚ-сын қамтамасыз ету үшін:

      1) домендік атаудың төлнұсқалылығын және АКҚҚ пайдаланылатын байланыс сеансы мазмұнының криптографиялық шифрлануын тексеруге арналған тіркеу куәліктері;

      2) мыналарды:

      ЭАР-ды орналастыру, өзгерту және жою операцияларын санкциялауды;

      ЭАР-ды орналастыру, өзгерту және жою кезінде авторлықты тіркеуді;

      жүктелетін ЭАР-ды зиянды кодтың бар болуы тұрғысынан тексеруді;

      орындалатын код пен скрипттер қауіпсіздігінің аудитін;

      орналастырылған ЭАР тұтастығын бақылауды;

      ЭАР-ды өзгерту журналын жүргізуді;

      пайдаланушылар мен бағдарламалық роботтардың аномальді белсенділігін бақылауды орындайтын құрамын (контентті) басқару жүйесі қолданылады.

2- параграф. Әзірленетін немесе сатып алынатын қолданбалы бағдарламалық қамтылымға қойылатын талаптар

      67. Қолданбалы БҚ-ны әзірлеуге немесе сатып алуға бастамашылық ету кезеңінде Заңның 7-бабының 11) тармақшасына сәйкес уәкілетті орган бекіткен ақпараттандыру объектілерін сыныптау қағидаларына және ақпараттандыру объектілерінің сыныптауышына сәйкес БҚ сыныбы айқындалады және жобалау құжаттамасында тіркеледі.

      68. Жасалатын немесе дамытылатын қолданбалы АЖ-ның БҚ-на қойылатын талаптар ҚР СТ 34.015-2002 "Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені. Автоматтандырылған жүйелерді құруға арналған техникалық тапсырма" Қазақстан Республикасы стандартының талаптарына сәйкес жасалатын техникалық тапсырмаларда осы БТ мен Заңның 7-бабының 20) тармақшасына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекітетін "электрондық үкіметтің" ақпараттандыру объектілерін құруға және дамытуға арналған техникалық тапсырмаларды жасау және қарау қағидаларында айқындалады.

      Ескерту. 68-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      69. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      69-1. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      70. Сатып алынатын қолданбалы БҚ-ға қойылатын талаптар осы БТ-ның талаптарын ескере отырып, ақпараттандыру саласында тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алудың техникалық ерекшеліктерінде айқындалады.

      71. Қолданбалы дайын БҚ сатып алу СБӨ басымдылығын ескере отырып, оның сипаттамалары коммерциялық БҚ сипаттамаларымен бірдей болған жағдайда жүзеге асырылады.

      72. БҚ әзірлеуге немесе сатып алуға қойылатын талаптарды қалыптастырған кезде ЭАР сыныбы және ЭАР каталогының мәліметтері ескеріледі.

      73. Әзірленетін немесе сатып алынатын дайын қолданбалы БҚ:

      1) пайдаланушы интерфейсін пайдаланушының тіл интерфейсін таңдау мүмкіндігімен, деректерді қазақ, орыс және қажет болған жағдайда басқа тілдерде енгізуді, өңдеу мен шығаруды қамтамасыз етеді;

      2) мынадай талаптарды ескереді:

      сенімділік;

      сүйемелденуі;

      пайдалану қолайлылығы;

      тиімділік;

      әмбебаптылық;

      функционалдық;

      кросс-платформалық;

      3) виртуалдау технологиясын көп функционалды қолдауды қамтамасыз етеді;

      4) кластерлеуді қолдайды;

      5) қазақ және орыс тілдерінде пайдалану жөніндегі техникалық құжаттамамен қамтамасыз етіледі.

      74. БҚ жасау және дамыту немесе сатып алу техникалық қолдаумен және сүйемелдеумен қамтамасыз етіледі.

      БҚ жоспарлау, жүзеге асыру және техникалық қолдау мен сүйемелдеуді құжаттандыру әзірлеушінің, өнім берушінің ерекшеліктеріне немесе АҚ ТҚ талаптарына сәйкес жүргізіледі.

      Ескерту. 74-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      75. Қолданбалы БҚ жасау және дамыту процесі:

      1) мыналарды:

      алгоритмдердің, бастапқы мәтіндер мен бағдарламалық құралдардың ақпараттық базасын құруды;

      бағдарламалық модульдерді сынақтан өткізуді және тестілеуді;

      ақпараттық, технологиялық және бағдарламалық үйлесімділікті қамтамасыз ететін АҚ алгоритмдерін, бағдарламалары мен құралдарын типтеуді;

      лицензияланған аспаптық әзірлеу құралдарын пайдалануды көздейді;

      2) қолданбалы БҚ қабылдаудың мыналарды көздейтін рәсімдерін қамтиды:

      әзірлеушінің қолданбалы БҚ құру үшін қажетті бағдарламалардың бастапқы мәтіндері мен басқа объектілерді иесіне және (немесе) иеленушіге беру;

      қолданбалы БҚ-ның толығымен жұмысқа қабілетті нұсқасын жасай отырып, берілген бастапқы мәтіндерді бақылауды орнату;

      БҚ-ның осы нұсқасы бойынша бақылау үлгісін орындау.

      Ескерту. 75-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      76. БҚ-ның авторланған өзгерістерін және оған қол жеткізу құқықтарын бақылау МО, ЖАО немесе ұйым ақпараттық технологиялар бөлімшесі жұмыскерлерінің қатысуымен жүзеге асырылады.

      Ескерту. 76-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      77. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      78. АҚ-ны қамтамасыз ету мақсатында:

      1) БҚ-ны әзірлеу кезеңінде ҚР МЕМ СТ Р 50739-2006 "Есептеу техникасы құралдары. Ақпаратты рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" Қазақстан Республикасы стандартының ұсынымдары ескеріледі;

      2) әзірленетін немесе сатып алынатын қолданбалы БҚ-ға қойылатын талаптар:

      пайдаланушыларды сәйкестендіру және аутентификациялау құралдарын, қажет болған жағдайда цифрлық сертификаттарды;

      қол жеткізуді басқару;

      тұтастықты бақылау;

      пайдаланушылардың АҚ-ға әсер ететін іс-әрекеттерін журналдау;

      онлайн транзакцияларды қорғау;

      сақтау, өңдеу кезінде құпия АЖ-дың АКҚҚ пайдалана отырып, ақпаратты криптографиялық қорғау;

      БҚ аса маңызды оқиғаларын журналдау құралдарын қолдануды көздейді.

      3) пайдалану кезінде АҚ ТҚ-да мыналар айқындалады және қолданылады:

      серверлерде және жұмыс станцияларында БҚ-ны орнату, жаңарту және жою қағидалары;

      жүйелік БҚ өзгертілген жағдайда қолданбалы БҚ өзгерістері мен оны талдауды басқару рәсімдері;

      4) лицензияланатын БҚ тек қана лицензия болған жағдайда ғана қолданылады және сатып алынады.

      Ескерту. 78-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      79. БҚ пайдалану заңдылығын бақылау бойынша іс-шаралар АҚ ТҚ-да айқындалады, жылына бір реттен жиі емес жүргізіледі және мыналарды:

      нақты пайдаланылатын БҚ айқындауды;

      БҚ пайдалануға құқықтарды айқындауды;

      нақты пайдаланылатын БҚ мен қолда бар лицензияларды салыстыруды қамтиды.

      80. Қолданбалы БҚ "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасы Заңының 5-бабы 1-тармағының 10) тармақшасына сәйкес уәкілетті орган бекіткен электрондық цифрлық қолтаңбаның төлнұсқалығын тексеру қағидаларына сәйкес ЭЦҚ ашық кілтінің және электрондық құжатқа қол қойған адамның тіркеу куәлігінің тиесілілігі мен жарамдылығын растауды тексеруді орындайды.

      Ескерту. 80-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

3-параграф. Ақпараттық-коммуникациялық инфрақұрылымға қойылатын талаптар

      81. АКИ-ға қойылатын талаптар Заңның 1-бабының 25) тармақшасына сәйкес оның құрамына кіретін объектілер ескеріле отырып қалыптастырылады.

      82. БТ АКИ-дің мынадай объектілеріне қойылатын талаптарды белгілейді:

      1) ақпараттық жүйе;

      2) технологиялық платформа;

      3) аппараттық-бағдарламалық кешен;

      4) телекоммуникация желілері;

      5) ақпараттық қауіпсіздік және техникалық құралдардың үздіксіз жұмыс істеу жүйелері;

      6) серверлік үй-жай (деректерді өңдеу орталығы).

      Ескерту. 82-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

4-параграф. Ақпараттық жүйеге қойылатын талаптар

      83. "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерінде ЭАР-ны өңдеу, сақтау және резервтік көшіру құралдарына қойылатын міндетті талаптар Заңның 42-бабында айқындалады.

      Ескерту. 83-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      84. Тәжірибелік пайдалануды бастау алдында әзірлеуші:

      1) АЖ-ның барлық функционалдық компоненттері үшін тестілер жинағын, тестілеу сценарийлерін және тестілеуді жүргізу үшін сынақ әдістемелерін әзірлейді;

      2) АЖ стендтік сынақтан өткізуді жүзеге асырады;

      3) сыныптауышқа сәйкес:

      МО немесе ЖАО бірінші сыныптағы АЖ персоналы үшін міндетті түрде оқытуды;

      МО немесе ЖАО екінші сыныптағы АЖ персоналы үшін бейне,-мультимедиа оқыту материалдарын жасауды;

      МО немесе ЖАО үшінші сыныптағы АЖ персоналы үшін анықтама жүйесін және (немесе) пайдалану жөнінде нұсқаулық жасауды жүзеге асырады.

      85. МО немесе ЖАО АЖ тәжірибелік пайдалану мыналарды қамтиды:

      тәжірибелік пайдалануды жүргізу рәсімдерін құжаттау;

      анықталған ақаулар мен кемшіліктерді кейіннен түзете отырып, оларды оңтайландыру және жою;

      АЖ тәжірибелік пайдалануды аяқтау актісін ресімдеу;

      тәжірибелік пайдалануды жүргізу мерзімі бір жылдан аспауға тиіс.

      Ескерту. 85-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      85-1. "Электрондық үкімет" ақпараттандыру объектісін ендіру Қазақстан Республикасының аумағында қолданылатын стандарттарға сәйкес іске асырылады.

      Ескерту. Талаптар 85-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      86. АЖ-ны МО-да, ЖАО-да немесе ұйымда өнеркәсіптік пайдалануға енгізу алдында құрылған АЖ немесе АЖ-ның жаңа нұсқалары мен жаңартуларын қабылдау өлшемшарттары айқындалады, келісіледі, құжат жүзінде ресімделеді.

      Ескерту. 86-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      87. МО-ның, ЖАО-ның және ұйымдардың АЖ-ны өнеркәсіптік пайдалануға беру тәжірибелік пайдалану оң аяқталған, ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған, ақпараттандыру және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органдардың, мүдделі МО-ның, ЖАО-ның және ұйымдардың өкілдері қатысатын қабылдау комиссиясы АЖ-ны өнеркәсіптік пайдалануға беру туралы актіге қол қойған жағдайда техникалық құжаттама талаптарына сәйкес жүзеге асырылады.

      Ескерту. 87-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      87-1. Ақпараттық қауіпсіздік талаптарына сәйкестік тұрғысынан сынақтар Заңның 49-бабына сәйкес жүргізіледі.

      Ескерту. Талаптар 87-1-тармақпен толықтырылды - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      88. "Электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға беруді оның меншік иесі немесе иеленушісі "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып қана жүзеге асырады.

      Ескерту. 88-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      89. МО немесе ЖАО АЖ өнеркәсіптік пайдалану кезінде:

      1) іркіліс болған немесе зақым келген жағдайда ЭАР-дың сақталуы, қорғалуы, қалпына келтірілуі;

      2) резервтік көшіру және ЭАР-дың уақтылы өзектілендірілуін бақылау;

      3) МО немесе ЖАО АЖ-ға өтініштер туралы мәліметтердің автоматтандырылған есепке алынуы, сақталуы және мезгіл-мезгіл архивтелуі;

      4) БҚ, серверлік және телекоммуникациялық жабдықтың конфигурациялық баптауларындағы өзгерістерді тіркеу;

      5) өнімділіктің функционалдық сипаттамаларын бақылау және реттеу;

      6) АЖ-ны сүйемелдеу;

      7) АЖ-ның пайдаланылатын лицензиялық БҚ техникалық қолдау;

      8) кепілді мерзім кезеңінде анықталған АЖ қателері мен кемшіліктерін жоюды қамтитын әзірлеушінің АЖ-ға кепілдікті қызмет көрсетуі (кепілдікті қызмет көрсету АЖ өнеркәсіптік пайдалануға енгізілген күннен бастап кемінде бір жыл мерзімге қамтамасыз етіледі);

      9) пайдаланушыларды АЖ-ға қосу, сондай-ақ АЖ-ның өзара іс-қимылының домендік атауларды пайдалана отырып жүзеге асырылуы;

      10) жүйелік-техникалық қызмет көрсету;

      11) мемлекеттік функцияларды жүзеге асыру және мемлекеттік қызметтер көрсету кезінде қағаз жеткізгіштегі құжаттардың пайдаланылуын, сондай-ақ оларды ұсыну жөніндегі талаптарды қысқарту (болғызбау) қамтамасыз етіледі.

      Ескерту. 89-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      90. МО-ның және ЖАО-ның АЖ-сын, оның ішінде МО-ның немесе ЖАО-ның тәжірибелік пайдалануға енгізілген АЖ-сымен интеграциялау Заңның 43-бабында айқындалған талаптарға сәйкес жүзеге асырылады.

      Мемлекеттік емес АЖ-ны МО-ның немесе ЖАО-ның АЖ-сымен интеграциялау Заңның 44-бабында айқындалған талаптарға сәйкес жүзеге асыралады.

      90-1. Ақпараттандыру объектілерінің немесе ақпарат объектілері компоненттерінің интеграциялық өзара іс-қимыл функцияларын шлюз, интеграциялау шинасы, интеграциялау компоненті немесе интеграциялау модулі арқылы іске асырған кезде:

      1) сұрау салулардың көздерін (қосылу нүктелерін) тіркеу және заңдылығын тексеру;

      2) мыналар:

      паролі немесе ЭЦҚ;

      қосылу нүктесі;

      қосылу бұғаттауының болуы;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген түрлері;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген жиілігі;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілерінің болуы;

      сигнатуралар бойынша зиянды кодтың болуы бойынша сұрау салулардың заңдылығын тексеру;

      3) мынадай:

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақыт ішінде қосылу болмаған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақытта сұрау салулардың рұқсат етілген жиілігінен асырған;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілері болған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған аутентификация қателерінің санынан асырған;

      пайдаланушылардың аномальды белсенділігі айқындалған;

      деректер массивтерін көшіру әрекеттері анықталған кезде хабарлама алмасу хаттамаларында бұзушылықтар анықталған кезде қосылуды бұғаттау;

      4) интеграциялық өзара іс-қимыл регламентінде айқындалған іс-қимыл жасау уақыты бойынша қосылу парольдерін үнемі ауыстыру;

      5) АҚ инциденттері айқындалған кезде қосылу логинін ауыстыру;

      6) ішкі шеңбердің ЛЖ адрестеуін жасыру;

      7) мыналар:

      ақпараттық хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      файлдарды беру/қабылдау оқиғаларын тіркеу;

      қызметтік хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      оқиғалар журналдарының мониторингі үшін инциденттерді және АҚ оқиғаларын басқару жүйесін қолдану;

      оқиғалар журналдарын АҚ оқиғаларының орын алуы тұрғысынан талдау рәсімдерін автоматтандыру;

      оқиғалар журналдарын әкімшілерге қарау үшін ғана қолжетімді мамандандырылған логтар серверінде сақтау;

      оқиғалар журналдарын (қажет болған кезде):

      а) ағымдағы тәулік;

      б) қосылу (байланыс арнасы);

      в) мемлекеттік орган (заңды тұлға);

      г) интеграцияланатын ақпараттандыру объектілері бойынша бөлек жүргізу қамтылған оқиғалар журналын жүргізу;

      8) интеграцияланатын ақпараттандыру объектілеріне уақытты синхрондау сервисін ұсыну;

      9) деректерді беру жүйелері арқылы жүзеге асырылатын қосылуларды бағдарламалық-аппараттық криптографиялық қорғау;

      10) қосылулар парольдерін шифрланған түрде сақтау және беру;

      11) интеграцияланатын ақпараттандыру объектілерінің жауапты адамдарын АҚ инциденттері туралы хабарландыруды автоматтандыру қамтамасыз етіледі.

      Ескерту. Талаптар 90-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      91. Бөгде ұйымдарды тарта отырып, өнеркәсіптік пайдалану кезеңінде АЖ-ға кепілдікті қызмет көрсету:

      кепілдікті қызмет көрсетуге арналған келісімдерде АҚ мәселелерін регламенттеуді;

      кепілдікті қызмет көрсету процесінде АКТ тәуекелдерін басқаруды талап етеді.

      92. МО-ның және ЖАО-ның АЖ-сын бағдарламалық-аппараттық қамтамасыз етуді басқару АЖ иеленушісі ішкі шеңберінің ЛЖ жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын және МО-ның немесе ЖАО-ның АЖ-сымен интеграцияланатын мемлекеттік емес АЖ-ны бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасы ратификациялаған халықаралық шарттардың шеңберінде ұлттық шлюзді пайдалана отырып жүзеге асырылатын мемлекетаралық ақпарат алмасуға байланысты жағдайларды қоспағанда, Қазақстан Республикасының аумағында орналастырылады.

      Ескерту. 92-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-1. МО мен ЖАО-ның АҚ жұмысын ұйымдастыру үшін Қазақстан Республикасының аумағында физикалық түрде орналасқан бұлтты сервистерді (виртуалдау технологиясын пайдалана отырып ресурстарды ұсынатын аппараттық-бағдарламалық кешендер, АЖ), басқару орталықтарын және серверлерді қолдануға жол беріледі.

      Ескерту. Талаптар 92-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-2. Қазақстан Республикасы азаматтарының дербес деректері қамтылған ақпараттық-коммуникациялық инфрақұрылымдардың аса маңызды объектілерінің АҚ бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасының аумағында орналастырылады.

      Ескерту. Талаптар 92-2-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-3. Мемлекеттік органдардың ақпараттық жүйелерінің меншік иелері мен иеленушілері ақпараттық қауіпсіздіктің жеке жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардың ақпараттық қауіпсіздігінің жедел орталығының қызметтерін сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ескерту. Талаптар 92-3-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-4. МО және ЖАО АЖ-ның меншік иелері, иеленушілері және пайдаланушылары ЭАР-ды толықтырып отыруды жүзеге асырады, оның анықтығы мен өзектілігін қамтамасыз етеді.

      Ескерту. Талаптар 92-4-тармақпен толықтырылды - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      93. МО-ның немесе ЖАО-ның АЖ меншік иесі немесе иесі АЖ-ны бұдан әрі пайдаланудың қажеттілігі болмаған жағдайда оны пайдалануды тоқтату туралы шешім қабылдайды.

      МО-ның немесе ЖАО-ның АЖ-сын пайдалануды тоқтату туралы сервистік интеграторды, "электрондық үкіметтің" архитектуралық порталында жариялау арқылы АЖ-лары МО-ның немесе ЖАО-ның пайдалануынан алынатын АЖ-сымен интеграцияланған ақпараттандыру субъектілерін және осы АЖ-ны пайдаланушы болып табылатын ГО-ны немесе ЖАО-ны хабардар ету қажет.

      94. МО немесе ЖАО МО-ның немесе ЖАО-ның АЖ-сын пайдаланудан алу жоспарын құрады және оны МО-ның немесе ЖАО-ның АЖ-сының пайдаланушысы болып табылатын МО-мен немесе ЖАО-мен келіседі.

      95. "Электрондық үкіметтің" ақпараттандыру объектісі пайдаланудан алынғаннан кейін электрондық ақпараттық ресурстар, техникалық құжаттама және бастапқы бағдарламалық кодтар Қазақстан Республикасының заңнамасына сәйкес архивке берілуге тиіс.

      Ескерту. 95-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      96. МО-ның немесе ЖАО-ның АЖ-сын пайдаланудан алуға өтінім келіп түскен кезде сервистік интегратор МО-ның немесе ЖАО-ның АЖ-сын тіркеу туралы электрондық куәлікті жояды және "электрондық үкіметтің" архитектуралық порталына тиісті мәліметтер орналастырады.

      97. МО-ның немесе ЖАО-ның пайдаланудан алынған АЖ-сын есептен шығару және (немесе) кәдеге жарату Қазақстан Республикасының бухгалтерлік есеп және қаржылық есептілік туралы заңнамасына сәйкес жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын пайдалану тоқтатылған, бірақ МО-ның немесе ЖАО-ның АЖ-сы белгіленген тәртіппен есептен шығарылмаған жағдайда, МО-ның немесе ЖАО-ның АЖ-сы консервациялауда деп саналады.

      МО-ның немесе ЖАО-ның АЖ-сы есептен шығарылғаннан кейін пайдаланылмайды.

      98. АҚ-ны қамтамасыз ету үшін:

      1) стендтік, қабылдау-тапсыру сынақтары мен тестілік пайдалану кезеңдерінде:

      бағдарламалардың нақты сыныптарына арналып әзірленген тестілер кешені негізінде АЖ-ның БҚ-сын тестілеу;

      белсенді ақаулардың әсеріне ұқсата отырып, бағдарламаларға экстремалды жүктемелер кезінде (стрес-тестілеу) табиғи сынақтар жүргізу;

      ықтимал ақауларды айқындау мақсатында АЖ-ның БҚ-сын тестілеу;

      жобалаудағы абайсызда жасалған бағдарламалық қателерді айқындау, өнімділіктің ықтимал проблемаларын айқындау үшін АЖ-ның БҚ-сына стендтік сынақтар жүргізу;

      бағдарламалық және аппараттық қамтылымның осалдықтарын айқындау және жою;

      қорғау құралдарын заңсыз әсерлерден пысықтау жүзеге асырылады;

      2) АЖ-ны тәжірибелік пайдалануға енгізу алдында:

      жұмыс істеп тұрған АЖ-ларға және ЭҮ АКИ компоненттеріне жаңа

      АЖ-ның, әсіресе ең жоғары жүктемелер уақытындағы жағымсыз әсерін бақылауды;

      ЭҮ АКИ АҚ-сының жай-күйіне жаңа АЖ-ның әсерін талдауды;

      персоналды жаңа АЖ-ны пайдалануға дайындауды ұйымдастыруды көздеу талап етіледі;

      3) АЖ-ны тәжірибелік немесе өнеркәсіптік пайдалану орталары мен әзірлеу, тестілеу немесе стендтік сынақтан өткізу орталарының аражігін ажырату жүзеге асырылады. Бұл ретте мынадай талаптар іске асырылады:

      АЖ-ны әзірлеу фазасынан тестілеу фазасына ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      АЖ-ны тестілеу фазасынан тәжірибелік пайдалану фазасына ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      АЖ-ны тәжірибелік пайдалану фазасынан өнеркәсіптік пайдалану кезеңіне ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      аспаптық әзірлеу құралдары мен АЖ-ның сынақтан өткізу үстіндегі БҚ-сы әртүрлі домендерде орналастырылады;

      комиляторлар, редакторлар және басқа аспаптық әзірлеу құралдары пайдалану ортасына орналастырылмайды немесе пайдалану ортасынан пайдалану үшін қолжетімсіз болады;

      АЖ-ны сынақтан өткізу ортасы аппараттық-бағдарламалық қамтылым мен архитектурасы бөлігінде пайдалану ортасына сәйкес келеді;

      сынақтан өткізу үстіндегі АЖ-лар үшін өнеркәсіптік пайдаланудағы жүйелерді пайдаланушылардың нақты есеп жазбаларын қолдануға жол берілмейді;

      өнеркәсіптік пайдаланудағы АЖ-лардағы деректер сынақтан өткізу ортасына көшіруге жатпайды;

      4) АЖ-ны пайдаланудан шығарған кезде:

      АЖ-дағы ақпаратты архивтеу;

      ақпаратты машиналық тасығыштардан деректерді және қалған ақпаратты жою (өшіру) және (немесе) ақпаратты машиналық тасығыштарды жою қамтамасыз етіледі. Ақпаратты сақтау және өңдеу жүзеге асырылған ақпаратты машиналық тасығыштарды пайдаланудан шығарған кезде аталған машиналық тасығыштарды тиісті акті ресімдей отырып, физикалық жою жүзеге асырылады.

      98-1. АКИ-дің аса маңызды объектілерінің ақпараттық жүйесіне де ҚР СТ IEC/PAS 62443-3-2017 "Коммуникациялық өнеркәсіптік желілер". Желі мен жүйенің қорғалуы (киберқауіпсіздігі). 3-бөлім. Өнеркәсіптік өлшеу мен басқару процесінің қорғалуы (киберқауіпсіздігі)" Қазақстан Республикасы стандартының талаптары қолданылады.

      Ескерту. Талаптар 98-1-тармақпен толықтырылды – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

5-параграф. Технологиялық платформаға қойылатын талаптар

      99. Технологиялық платформаны таңдау виртуалдандыру технологиясын қолдауға мүмкіндік беретін жабдықтың басымдылығын ескере отырып жүзеге асырылады.

      Ескерту. 99-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      100. Виртуалдау технологиясын іске асыратын жабдықты таңдау кезінде мынадай функционалдықты қамтамасыз ету қажеттілігі ескеріледі:

      1) декомпозиция:

      есептеуіш ресурстар виртуалды машиналар арасында бөлінеді;

      көптеген қосымшалар мен операциялық жүйелер бір физикалық есептеуіш жүйеде орналастырылады;

      2) оқшаулау:

      виртуалды машиналар бір-бірінен толығымен оқшауланған, ал біреуінің авариялық істен шығуы қалғанына әсер етпейді;

      ортақ желілік қосылуларды пайдалану жағдайларын қоспағанда, виртуалды машиналар мен қосымшалардың арасында деректер берілмейді;

      3) үйлесімділік:

      қосымшалар мен ОЖ-ға виртуалдау технологиясын іске асыратын жабдықтың есептеу ресурстары ұсынылады.

      101. ЭҮ АКП МО-ның серверлік орталығында орналасқан жабдықтарда орналастырылады.

      Ескерту. 101-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      101-1. ЭҮ АКП-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.

      Ескерту. Талаптар 101-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      102. Виртуалдау технологиясын пайдалану кезінде АҚ-ны қамтамасыз ету үшін:

      1) мыналарды:

      көрсетілетін АК-қызметтерінің клиенттерін және ерекшеленген пайдаланушыларды аутентификациялауды;

      пайдаланушыларды бір технологиялық платформа шегінде федеративтік сәйкестендіруді;

      пайдаланушыны сәйкестендіргішті жойғаннан кейін аутентификация туралы ақпаратты сақтауды;

      пайдаланушы өкілеттерінің бейіндерін тағайындау рәсімдерін бақылау құралдарын қолдануды талап ететін сәйкестендіруді басқару;

      2) мыналарды:

      АЖ-ның әкімшісі мен виртуалдау ортасы әкімшісінің өкілеттіктерінің аражігін ажыратуды;

      АК-қызметтерін пайдаланушының деректеріне виртуалдау ортасы әкімшісінің қол жеткізу құқығын шектеуді. Қолжетімділік құқығы АҚ ТҚ және қызмет көрсету туралы сервистік келісімде айқындалған нақты рәсімдермен шектеледі және тұрақты өзектілендірілуі тиіс;

      артықшылық берілген және қатерлі операцияларға арналған көп факторлық аутентификацияны қолдануды;

      рөлдерді барлық өкілеттіктермен пайдалануды шектеуді. АЖ әкімшісінің бейінін теңшеулер виртуалдау ортасының компоненттеріне қолжетімділікті алуға жол бермейді;

      ең төменгі артықшылықтарды айқындауды және қолжетімділікті рөлдік басқару үлгісін іске асыруды;

      қорғалған шлюз немесе жіберушілердің рұқсат етілген желілік мекенжайларының тізімі арқылы қашықтықтан қол жеткізуді талап ететін қолжетімділікті басқару;

      3) мыналарды:

      АКҚҚ шифрлау кілттері туралы деректерге қолжетімділікті шектеуді бақылауды;

      негізгі каталогты және кілттерге жазба енгізуді ұйымдастыруды бақылауды;

      жария етілген кілттерді бұғаттауды және оларды сенімді жоюды талап ететін шифрлау кілттерін басқару;

      4) мыналарды:

      АҚ ТҚ-да айқындалатын рәсімдердің міндеттілігі мен тұрақтылығын;

      барлық операциялық жүйелерге, клиенттік виртуалды машиналарға, желілік компоненттердің инфрақұрылымына арналған аудит рәсімдерін жүргізуді;

      оқиғаларды тіркеу журналын жүргізуді және әкімшіге қолжетімсіз сақтау жүйесінде сақтауды;

      оқиғаларды тіркеу журналын жүргізу жүйесі жұмысының дұрыстығын тексеруді;

      оқиғаларды тіркеу журналдарын АҚ ТҚ-да сақтау ұзақтығын айқындауды талап ететін АҚ оқиғалары аудитін жүргізу;

      5) мыналарды:

      әкімшілердің іс-қимылын журналға енгізуді;

      АҚ инциденттері мен оқиғалар мониторингі жүйесін қолдануды;

      қатерлі оқиғаны немесе АҚ инцидентін автоматты тану негізінде хабарландыруды талап ететін АҚ оқиғаларын тіркеу;

      6) мыналарды:

      жарты жылда бір рет өзектілендіріп, АҚ оқыс оқиғаларын табудың, анықтаудың, бағалаудың және оларға ден қою тәртібінің формалды процесін айқындауды;

      АҚ оқыс оқиғаларын табу, анықтау, бағалау және оларға ден қою нәтижелері бойынша АҚ ТҚ-да айқындалған кезеңділікпен есептер жасауды;

      АҚ оқыс оқиғалары туралы МО-ның, ЖАО-ның немесе ұйымның жауапты тұлғаларын хабардар етуді;

      Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығына АҚ оқыс оқиғалары туралы ақпарат беруді талап ететін АҚ оқыс оқиғаларын басқару;

      7) мыналарды:

      пайдаланылмайтын жеке құрылғыларды (алмалы-салмалы жинақтағыштарды, желілік интерфейстерді) физикалық ажыратуды немесе бұғаттауды;

      пайдаланылмайтын виртуалды құрылғылар мен сервистерді ажыратуды;

      мүмкіндігі шектеулі операциялық жүйелер арасындағы өзара іс-қимыл жасау мониторингін;

      виртуалды құрылғыларды физикалық құрылғылармен салыстыруды бақылауды;

      сертификатталған гипервизорларды пайдалануды жүзеге асыратын виртуалды ортасы инфрақұрылымының аппараттық және бағдарламалық компоненттерін қорғау шараларын қолдану;

      8) әзірлеу және тестілеу орталарынан пайдалану орталарын бөлу;

      9) АҚ ТҚ-да ақпараттандыру объектілеріне арналған өзгерістерді басқару рәсімдерін айқындау;

      10) АҚ ТҚ-да жабдықты және БҚ-ны кідірулері мен істен шығулардан кейін қалпына келтіру рәсімдерін белгілеу;

      11) мыналарды:

      виртуалдау машиналары бейіндерінің сақталуын, операциялық жүйенің, қосымшалардың, желілік конфигурацияның тұтастығын, МО-ның немесе ұйымның БҚ-сын және деректерін зиянды сигнатуралардың болуы тұрғысынан бақылауды қамтамасыз етуді;

      сыртқы пайдаланушылардың аппараттық бөлікке қол жеткізуін болғызбау мақсатында аппараттық платформаны виртуалды машинаның операциялық жүйесінен бөліп алуды;

      виртуалдау ортасы инфрақұрылымының түрлі функционалдық салалары арасындағы логикалық оқшаулауды талап ететін желілік және жүйелік әкімшілендіру рәсімдерін орындау іске асырылады.

      Ескерту. 102-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

6-параграф. Аппараттық-бағдарламалық кешенге қойылатын талаптар

      103. АБК-ның серверлік жабдығының конфигурациясына қойылатын талаптар АЖ-ны құруға немесе дамытуға арналған техникалық тапсырмада және (немесе) ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      104. АБК-ның серверлік жабдығының үлгілік конфигурациясын таңдау:

      1) көп процессорлық архитектурасы бар;

      2) ресурстарды масштабтауға және өнімділігін арттыруға мүмкіндік беретін;

      3) виртуалдау технологиясын қолдайтын;

      4) ресурстарды басқару, өзгерту және қайта бөлу құралдарын қамтитын;

      5) қолданыстағы ақпараттық-коммуникациялық инфрақұрылыммен үйлесімді серверлерінің басымдылығын қамтамасыз етуді ескере отырып жүзеге асырылады.

      105. Сервердің жоғары қолжетімдігін қамтамасыз ету үшін:

      1) резервтік желдеткіштерді, қуаттау блоктарын, енгізу-шығару дискілері мен адаптерлерін жедел ауыстырудың;

      2) жады парақшаларын динамикалық тазалаудың және қайта бөлудің;

      3) процессорларды динамикалық қайта бөлудің;

      4) қатерлі оқиғалар туралы хабарлаудың;

      5) қатерлі компоненттердің жай-күйін үздіксіз бақылауды қолдау мен бақылаудағы көрсеткіштерді өлшеудің кіріктірілген жүйелері қолданылады.

      106. Сатып алынатын серверлік жабдық өндірушінің техникалық қолдауымен қамтамасыз етіледі. Өндірістен алынатын серверлік жабдық сатып алынбайды.

      107. АҚ-ның НТҚ-да айқындалған АҚ-ны тұрақты негізде қамтамасыз ету мақсатында серверлік жабдықтың конфигурациясын тексере отырып, оны түгендеу жүзеге асырылады.

      108. Қазақстан Республикасының заңнамасында белгіленген тәртіппен АҚ бойынша бірлескен жұмыстар шартын ресімдеп, қызмет көрсету қауіпсіздігі мен сапасын қамтамасыз ету үшін МО және ЖАО ақпараттандыру объектілерінің АБК серверлік жабдығы:

      бірінші класс – МО серверлік орталығында ғана орналастырылады;

      екінші класс – осы БТ-да белгіленген серверлік үй-жайларға қойылатын талаптарға сәйкес жабдықталған МО-ның серверлік орталығында, МО, ЖАО немесе жұмылдырылатын заңды тұлғаның серверлік орталығында орналастырылады.

      Ескерту. 108-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      108-1. МО мен ЖАО-ның ақпараттандыру объектілерінің АБК қолжетімділігін және істен шықпай жұмыс істеуін қамтамасыз ету үшін деректерді өңдеудің аппараттық-бағдарламалық құралдарын, деректерді сақтау жүйелерін, деректерді сақтау желілерінің компоненттерін резервтеу екінші және үшінші кластардағы ақпараттандыру объектілері үшін МО-ның, ЖАО-ның немесе жұмылдырылатын заңды тұлғаның осы БТ-да белгіленген серверлік үй-жайларға қойылатын талаптарға сәйкес жабдықталған резервтік серверлік үй-жайында Қазақстан Республикасының заңнамасында белгіленген тәртіппен АҚ бойынша бірлескен жұмыстар шартын ресімдей отырып жүзеге асырылады.

      Ескерту. Талаптар 108-1-тармақпен толықтырылды - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      109. Деректерді сақтау жүйелеріне қойылатын талаптар АЖ-ны құруға немесе дамытуға арналған техникалық тапсырмада және (немесе) ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      110. Деректерді сақтау жүйесі:

      деректерді репликациялауға арналған бірыңғай құралдарды;

      деректерді сақтау көлемі бойынша масштабталуды қолдауды қамтамасыз етеді.

      111. Жоғары қолжетімдікті талап ететін жүктемесі жоғары АЖ-лар үшін:

      1) деректерді сақтау желілері;

      2) виртуалдау және (немесе) деректерді сатылап сақтау жүйесін қолдайтын деректерді сақтау жүйелері пайдаланылады.

      112. Деректерді сақтау жүйесінің жоғары қолжетімділігін қамтамасыз ету үшін мынадай кіріктірілген жүйелер енгізіледі:

      1) резервтік желдеткіштер мен қуат беру блоктарын жедел ауыстыру;

      2) енгізу-шығару дискілері мен адаптерлерін жедел ауыстыру;

      3) қатерлі оқиғалар туралы хабарлау;

      4) белсенді контроллерлер (екеуден кем емес);

      5) деректерді сақтау желісінің интерфейстері (бір контроллерге екі порттан кем емес);

      6) қатерлі компоненттердің жай-күйін үздіксіз бақылауды қолдау және бақылаудағы көрсеткіштерді өлшеу.

      113. Деректерді сақтау жүйесі резервтік көшіру жүйесімен қамтамасыз етіледі.

      114. АҚ-ны, деректерді сенімді сақтауды және қалпына келтіру мүмкіндігін қамтамасыз ету үшін:

      1) осы БТ-ның 48-тармағына сәйкес АКҚҚ-ны пайдалана отырып, сақтаудағы таратылуы шектелген қызметтік ақпаратты, құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР ақпаратын криптографиялық қорғау қолданылады;

      2) қауіпсіздік деңгейі бойынша пайдаланылатын АКҚҚ-ның ақпаратты криптографиялық қорғау құралдарын пайдалану қағидаларында криптографиялық кілттерге арналып белгіленген қауіпсіздік деңгейінен төмен емес қорғалған шифрлау кілттерін сақтауға бөлінген сервер пайдаланылады;

      3) АҚ-ның НТҚ-сында айқындалған резервтік көшіру регламентіне сәйкес резервтік көшірмені жазу және сынақтан өткізу қамтамасыз етіледі.

      115. Құпия АЖ-да, құпия ЭАР-да және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР-да пайдаланылатын ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жоюдың бағдарламалық және аппараттық қамтылымы қолданылады.

      116. Серверлік жабдықтың және жұмыс станцияларының жүйелік БҚ-сын таңдаған кезде:

      1) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2) операциялық жүйелер типіне (клиенттік немесе серверлік) сәйкес келуі;

      3) пайдаланылатын қолданбалы БҚ-мен үйлесімділігі;

      4) телекоммуникация желілерінде жұмыс істейтін желілік сервистерді қолдауы;

      5) көпміндеттілікті қолдауы;

      6) операциялық жүйелерді өндіруші шығаратын маңызды жаңартуларды және қауіпсіздік жаңартуларын алу мен орнатудың штаттық құралдарының болуы;

      7) диагностикалау, аудит және оқиғалар журналын жүргізу құралдарының болуы;

      8) виртуалдау технологияларын қолдауы ескеріледі.

      Ескерту. 116-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      116-1. МО және ЖАО қызметшілері жұмыс станциясынан бірыңғай интерфейсті және "электрондық үкімет" барлық жүйелері мен сервистеріне (компоненттеріне, бағдарламалық өнімдеріне) қолжетімділікті қамтамасыз етуге арналған "Қызметшінің цифрлық жұмыс орнына" қол жеткізе алады.

      Ескерту. 2-тарау 116-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      117. Жүйелік БҚ-ны сатып алу мынадай басымдық ескеріле отырып жүзеге асырылады:

      1) сатып алу құнын, сондай-ақ пайдалану кезеңінде лицензиялаудың жиынтық құнын төмендетуді қамтамасыз ететін лицензиялау моделі;

      2) техникалық қолдаумен және сүйемелдеумен қамтамасыз етілген БҚ.

      118. АҚ-ны қамтамасыз ету мақсатында жүйелік БҚ:

      1) мыналарды:

      пайдаланушыларды сәйкестендіруді, аутентификациялауды және парольдерін басқаруды;

      сәтті және сәтсіз қол жеткізулерді тіркеуді;

      жүйелік артықшылықтардың пайдаланылуын тіркеуді;

      қосылу уақытын шектеуді, қажет болған кезде уақыт лимитін асыру бойынша сеансты бұғаттауды пайдалана отырып, қолжетімділікті бақылауды;

      2) операциялық жүйені бақылау құралын айналып өту қабілеті бар жүйелік утилиталарды пайдаланушылардың пайдалануына жол бермеу және әкімшілер үшін шектеу мүмкіндігін қамтамасыз етеді.

      119. ЕБҚ авторлық құқық туралы заңнама талаптарын сақтай отырып, өтеусіз, МО-да пайдалануға кедергі жасайтын лицензиялық шектеулерсіз таратылады.

      120. ЕБҚ ашық бастапқы кодымен ұсынылады.

      121. МО-да пайдаланатын ЕБҚ ақпараттық өзара іс-қимылды ЭҮШ арқылы жасау форматтарын қолдауды ескере отырып пысықталады.

      122. ЕБҚ-ны пайдаланған кезде АҚ-ны қамтамасыз ету үшін:

      ЕБҚ-ны әзірлеушілер қоғамдастығы қолдайтын немесе бағдарламалық коды сараптаудан және сертификаттаудан өткен ЕБҚ-ны пайдалануға жол беріледі;

      ЕБҚ-ның пайдаланылған нұсқалары сақталады.

7-параграф. Телекоммуникация желілеріне қойылатын талаптар

      123. Ведомстволық (корпоративтік) телекоммуникация желілері бір меншік иесіне тиесілі бөлінген меншікті немесе жалға алынған байланыс арналары арқылы локальдық желілерді біріктіре отырып ұйымдастырылады.

      Локальдық желілерді біріктіруге арналған бөлінген байланыс арналары арналық және желілік деңгейлердегі хаттамаларды пайдалана отырып ұйымдастырылады.

      124. Ведомстволық (корпоративтік) желіні бірнеше локальдық желіні біріктіру арқылы ұйымдастырған кезде желінің радиалдық немесе тораптық-радиалдық топологиясы қолданылады. Бөлінген арналар тораптық нүктелерде бір шектес шлюзге қосылады. Локальдық желілерді каскадты (жүйелі) қосуға жол берілмейді.

      125. Ведомстволық (корпоративтік) телекоммуникация желісін жобалау кезінде оның құжат жүзіндегі схемасы құрылады, ал пайдалану кезінде өзектілендірілген күйде ұсталады.

      126. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      127. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      128. Бөлінген байланыс арнасының АҚ қамтамасыз ету мақсатында:

      1) ақпаратты қорғаудың, оның ішінде АКҚҚ-ны пайдалана отырып криптографиялық шифрлаудың бағдарламалық-техникалық құралдары қолданылады;

      2) маршруттау қағидалары мен қауіпсіздік саясаттары жазылған шектес шлюз арқылы жергілікті желіге қосылады. Шектес шлюз мынадай ең төменгі функциялар жинағын қамтамасыз етеді:

      желі тораптарын орталықтандырылған авторлау;

      әкімшілердің артықшылық деңгейлерінің конфигурациялау;

      әкімшілердің іс-қимылдарын хаттамалау;

      желілік мекенжайларды статикалық тарату;

      желілік шабуылдардан қорғау;

      физикалық және логикалық порттардың жай-күйін бақылау;

      әр интерфейсте кіріс және шығыс пакеттерін електен өткізу;

      берілетін трафикті АКҚҚ пайдалана отырып криптографиялық қорғау;

      3) ведомстволық (корпоративтік) телекоммуникациялар желісін және АС жергілікті желілерін өзара қосқан кезде:

      ақпарат ағындарын бөлу және оқшаулау құралдары;

      АҚ-ны және қауіпсіз басқаруды қамтамасыз ететін компоненттері бар жабдық;

      бөлінген және қол жеткізу жабдығымен интеграцияланған МО БКО периметрін қорғау мақсатында әрбір қосылу нүктесінде орнатылған желіаралық экрандар пайдаланылады;

      4) ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосқан кезде МО, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері оператордың немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының көрсетілетін қызметтерін пайдаланады.

      Ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосу ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен Интернетке қол жеткізудің бірыңғай шлюзінің жұмыс істеу қағидаларына сәйкес жүзеге асырылады;

      5) МО-ның, ЖАО-ның қызметшілері және мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің жұмыскерлері, сондай-ақ АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері өздерінің қызметтік міндеттерін атқару кезінде жедел ақпарат алмасуды электрондық нысанда жүзеге асыру үшін:

      ведомстволық электрондық поштаны, лездік хабарлар қызметін және өзге де сервистерді;

      егер уәкілетті орган өзгеше белгілемесе, басқару орталықтары мен серверлері іс жүзінде Қазақстан Республикасының аумағында орналасқан электрондық поштаны, лездік хабарлар қызметін және өзге де сервистерді;

      шетелдік жеке және заңды тұлғалармен коммуникация жасау мақсатында бейнеконференцбайланыстың қолжетімді бұлтты онлайн-сервистерін пайдаланады;

      6) МО мен ЖАО ведомстволық электрондық поштасының сыртқы электрондық пошта жүйелерімен өзара іс-қимылы электрондық поштаның бірыңғай шлюзі арқылы ғана жүзеге асырылады;

      7) МО-ның, ЖАО-ның қызметшілері және мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің жұмыскерлері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері сыртқы шеңбердің ЖЖ-нен ИР-ға ЕБҚ болып табылатын және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен ИҚБШ-ның жұмыс істеу қағидаларының талаптарына сәйкес келетін веб-шолғышты пайдалана отырып, ИҚБШ арқылы ғана қол жеткізуді жүзеге асырады;

      8) МО-ның, ЖАО-ның қызметшілері мен мемлекеттік заңды тұлғалардың жұмыскерлерінің интернет-ресурстарға қол жеткізуі дистрибутивінде Қазақстан Республикасының ұлттық куәландырушы орталығының және Қазақстан Республикасының негізгі куәландырушы орталығының алдын ала орнатылған тіркеу куәліктері бар интернет-браузер арқылы жүзеге асырады.

      Ескерту. 128-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      129. АС-ты МО БКО-ға қосу уәкілетті орган айқындайтын МО БКО-ға қосу және МО БКО арқылы интранет-ресурсқа қол жеткізуді ұсыну қағидаларына сәйкес жүзеге асырылады.

      АС өтінімдері бойынша оператор:

      АС өтінімдері бойынша МО БКО-ға қосылған АС жергілікті желілерінің IP-мекенжайларын бөлуді, тіркеуді және қайта тіркеуді;

      АС өтінімдері бойынша Интернеттің gov.kz және мем.қаз домендік аймақтарында домендік атауларды тіркеуді;

      АС өтінімдері бойынша МО БКО желісінде домендік атауларды тіркеуді;

      МО БКО желісінде DNS сервисін ұсынуды жүзеге асырады.

      Ескерту. 129-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      130. МО-да немесе ЖАО-да "электрондық үкіметтің" тек жалпыға қолжетімді ЭАР-ға және МО-ның немесе ЖАО-ның келушілерінің болуына рұқсат берілген "қонақтарға арналған орында" сымсыз қолжетімділікті ұйымдастыруға арналған құрылғыларды пайдалануға ғана жол беріледі.

      131. Осы БТ-ның 48-тармағына сәйкес ЭҮ АКИ операторы ұйымдастырған АКҚҚ пайдаланылатын МО БКО сымсыз байланыс арналарын қоспағанда, МО БКО-ға, АС-нің жергілікті желісіне, сондай-ақ МО БКО, АС-нің жергілікті желісінің құрамына кіретін техникалық құралдарға сымсыз желілер арқылы қашықтан қол жеткізуді, сымсыз қолжетімділікті ұйымдастыруға арналған құралдарды, модемдерді, радиомодемдерді, ұялы байланыс операторларының желілік модемдерін, ұялы байланыстың абоненттік құрылғыларын және басқа да сымсыз желілік құрылғыларды қосуға жол берілмейді.

      Ескерту. 131-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      131-1. МО немесе ЖАО қабылдаған АҚ саясатымен рұқсат етілмеген ұялы байланыстың абоненттік құрылғыларын, ұялы байланыс операторлары желілерінің модемдерін, сондай-ақ ақпараттың электрондық жеткізгіштерін қосуды бақылауды жүзеге асыру қажет.

      Ескерту. Талаптар 131-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      132. ЭҮ АКИ операторы АС өтінімдері бойынша:

      МО БКО-ға қосылған АС жергілікті желілерінің IP-мекенжайларын АС өтінімдері бойынша бөлуді, тіркеуді және қайта тіркеуді;

      АС өтінімдері бойынша Интернеттің домендік аймақтарында gov.kz және мем.қаз домендік аттарын тіркеуді;

      АС өтінімдері бойынша домендік аттарды МО БКО-да тіркеуді;

      МО БКО желісінде DNS сервисін ұсынуды жүзеге асырады.

      Ескерту. 132-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      133. МО және ЖАО жыл сайын:

      1) мемлекеттік техникалық қызметтен ИҚБШ жабдығында пайдаланылатын интернет-ресурстар санаттарының тізбесін сұратады;

      2) жоғарыда аталған тізбеден МО және ЖАО қызметшілерінің оларға қолжетімділігі ИҚБШ құралдарымен рұқсат етілетін интернет-ресурстардың санаттарын іріктейді және олардың тізімін жасайды;

      3) жоғарыда аталған тізімді және Интернетке қол жеткізуге рұқсат алатын МО мен олардың аумақтық бөлімшелерінің, ЖАО-ның ақпараттық-коммуникациялық желілерінің желілік мекенжайларының тізімдерін мемлекеттік техникалық қызметке ИҚБШ жабдығында қолдану үшін;

      4) VPN-арналарды ұйымдастыруға өндірістік қажеттілік болған жағдайда мемлекеттік техникалық қызметке ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісілген, талап етілетін VPN-арналар бойынша техникалық ақпаратты (дереккөздің және тағайындаудың IP-мекенжайлары, порттар, хаттама) жібереді.

      Ескерту. 133-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      133-1. МО немесе ЖАО ЖЖ-ның сыртқы шеңберінде орналасқан ақпараттандыру объектілерінде МО немесе ЖАО ЖЖ-ның сыртқы шеңберінен тыс қашықтан басқару үшін бағдарламалық немесе техникалық құралдарды орнатуға және қолдануға жол берілмейді.

      Ескерту. Талаптар 133-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      134. Алып тасталды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      134-1. Мемлекеттік техникалық қызмет ИҚБШ жабдықтарында мынадай ИР және БҚ санаттарын (әдепкі қалпы бойынша) бұғаттау саясатын қолданады:

      VPN;

      қашықтан қол жеткізу;

      p2p;

      ойын ресурстары;

      әдепкі қалпы бойынша ИР және БҚ санаттарының тізіміне кірмейтін белгісіз қосымшалар;

      зиянды ИР және БҚ.

      Ескерту. Талаптар 134-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      134-2. 134-1-тармақта көрсетілген ИР және БЖ жекелеген санаттарын бұғатталудан босату мүмкіндігін мемлекеттік техникалық қызмет МО-дан, ЖАО-дан, мемлекеттік ұйымдардан, квазимемлекеттік сектор субъектілерінен, сондай-ақ АКИ аса маңызды объектілерінің иелерінен түскен ресми сұрау салу негізінде қарайды.

      Ескерту. Талаптар 134-2-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      135. Құрылатын немесе дамытылатын локальдық желіге қойылатын талаптар ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      Жергілікті желінің кабельдік жүйесін жобалау кезінде ҚР ҚН 3.02-17-2011 "Құрылымдалған кабельдік желілер. Жобалау нормалары" мемлекеттік нормативінің талаптарын сақтау қажет.

      136. Жобалау кезінде жергілікті желінің құжат жүзіндегі схемасы құрылып, оны пайдаланған кезде өзектілендірілген күйде ұсталады.

      137. Кабельдік жүйенің барлық элементтері ҚР ҚН 3.02-17-2011 "Құрылымдалған кабельдік желілер. Жобалау нормалары" мемлекеттік нормативінің 13.1.5-тармағының талаптарына сәйкес таңбалауға жатады.

      Барлық кабельдік қосылулар кабельдік қосылуларды есепке алу журналында тіркеледі.

      138. Локальдық желілердің белсенді жабдығы үздіксіз қоректендіру көздерінен электр қуатын берумен қамтамасыз етіледі.

      139. Жергілікті желілерде АҚ қамтамасыз ету үшін:

      1) жергілікті желінің кабельдік жүйесінің пайдаланылмайтын порттары белсенді жабдықтан физикалық тұрғыдан ажыратылады;

      2) мынадай қағидалар қамтылған АҚ ТҚ әзірленеді және бекітіледі:

      желілер мен көрсетілетін желі қызметтерін пайдалану;

      халықаралық (аумақтық) деректерді беру желілеріне қосылу;

      Интернетке және (немесе) телекоммуникация желілеріне, халықаралық (аумақтық) деректерді беру желілеріне шығатын байланыс желілеріне қосылу;

      желілік ресурстарға сымсыз қолжетімділікті пайдалану;

      3) таратылуы шектелген қызметтік ақпарат, жасырын АЖ, жасырын ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР ақпараты қорғалмаған сымды байланыс арналары мен тиісті АКҚҚ-мен жабдықталмаған радиоарналар арқылы берілмейді.

      Таратылуы шектелген қызметтік ақпаратты беру Қазақстан Республикасының Үкіметі белгілеген Мәліметтерді таратылуы шектелген қызметтік ақпаратқа жатқызу және онымен жұмыс істеу қағидаларына сәйкес таратылуы шектелген ақпаратты қорғау жөніндегі арнайы талаптар сақтала отырып жүргізіледі;

      4) мынадай құралдар пайдаланылады:

      пайдаланушыларды сәйкестендіру, аутентификациялау мен қолжетімділікті басқару;

      жабдықты сәйкестендіру;

      диагностикалық және конфигурациялық порттарды қорғау;

      жергілікті желіні физикалық сегменттеу;

      жергілікті желіні логикалық сегменттеу;

      желілік қосылуды басқару;

      желіаралық экрандау;

      жергілікті желінің ішкі мекенжайлық кеңістігін жасыру;

      деректердің, хабарлар мен конфигурациялардың тұтастығын бақылау;

      осы БТ-ның 26-тармағына сәйкес ақпаратты криптографиялық қорғау;

      деректерді беру арналарын және желілік жабдықты физикалық қорғау;

      АҚ оқиғаларын тіркеу;

      желілік трафикті мониторингтеу және талдау;

      желіні басқару;

      5) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, МО-ның, сондай-ақ ЖАО-ның жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;

      6) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, орталық атқарушы мемлекеттік орган мен оның аумақтық бөлімшелерінің жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;

      7) АКҚҚ-ны пайдалана отырып ұйымдастырылған байланыс арналарын қоспағанда, шетелде орналасқан немесе экрандалған ішкі желіні қолдана отырып ұйымдастырылған Қазақстан Республикасының мекемелері үшін осы БТ-ның 48-тармағына сәйкес АС ішкі шеңберінің ЖЖ және сыртқы шеңберінің ЖЖ өзара түйіндесуіне жол берілмейді;

      8) АС-ның ішкі шеңберінің ЖЖ Интернетке қосуға жол берілмейді;

      9) АС-ның сыртқы шеңберінің ЖЖ-ні Интернетке қосу ИҚБШ арқылы ғана жүзеге асырылады. Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін, жедел мақсаттарда арнаулы және құқық қорғау МО-ны қоспағанда, Интернетке өзге тәсілмен қосылуға жол берілмейді. ЭҮСШ-ның Интернетпен өзара іс-қимыл жасауы ИҚБШ арқылы жүзеге асырылады;

      10) экрандалған ішкі желі қолданылған жағдайларды қоспағанда, ақпараттық өзара іс-қимылды Интернет арқылы іске асыратын АС АЖ АС-ның сыртқы шеңберінің бөлінген ЖЖ сегментінде орналастырылады және АС-ның ішкі шеңберінің ЖЖ орналастырылған АС-ның АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы жүзеге асырылады;

      10-1) ішкі контурдың ЖЖ-да Интернетте орналастырылған ақпараттандыру объектілерін немесе ЭҮСШ арқылы қосылмаған МО-ның, ЖАО-ның немесе ұйымның сыртқы контурының ЖЖ-ны пайдаланған кезде мынадай талаптарға сәйкес келетін экрандалған ішкі желі пайдаланылады:

      ішкі желі Интернет және ішкі контурдың ЖЖ тарапынан басып кіруді табу және оған жол бермеу, сондай-ақ ішкі желілік мекенжайларды жасыру үшін сыртқы желілік мекенжайларды түрлендіру функциялары бар жеке желіаралық экрандармен шектелген;

      сыртқы контурдың ЖЖ-дан, Интернеттен және ішкі контурдың ЖЖ-дан барлық қосылулар тек экрандалған ішкі желіден тыс орналасқан компьютерде жүзеге асырылады, ол желілік трафикті бастапқыдан ерекшеленетін өзге маршрут бойынша қайта бағыттау мүмкіндігі жоқ қолданбалы деңгейді қоса алғанда, желілік хаттамалардың барлық деңгейлерінде өңдеуді жүзеге асырады;

      сұрау салулар мен жауаптарды, сондай-ақ жұмыс станцияларында прокси-сервер арқылы Интернеттің жалпыға қолжетімді ресурстарына қолжетімділікті еркін пайдалануға жол берілмейді;

      11) экрандалған ішкі желі қолданылатын жағдайларды қоспағанда, Интернетте орналастырылған АЖ-лардың АС-ның ішкі шеңберінің ЖЖ орналастырылған АС-ның АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы ғана жүзеге асырылады;

      12) жоғары деңгейдегі уақыт көзі инфрақұрылымының серверлері үйлестірілген әлемдік уақыттың UTC (kz) ұлттық шәкілін көрсететін уақыт пен жиілік эталонымен синхрондалады.

      Дәл уақыт инфрақұрылымының серверлері жоғары деңгейдегі дәл уақыт инфрақұрылымының серверімен синхрондалады.

      Дәл уақыт инфрақұрылымының серверлері клиенттерге уақытты синхрондауға мүмкіндік береді;

      13) пайдаланылмайтын ашық желілік порттар ажыратылады.

      Ескерту. 139-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (қолданысқа енгізілу тәртібін 2-т. қараңыз) қаулысымен; өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      140. БТ-ның 139-тармағының 10), 11) тармақшаларында көзделген талаптар 2016 жылғы 1 қаңтарға дейін өнеркәсіптік пайдалануға енгізілген және 2018 жылғы 1 қаңтарға дейін дамуға жатпайтын МО-ның немесе ЖАО-ның АЖ-ларына қолданылмайды.

      МО АЖ және ЖАО деректерінің мемлекеттік емес АЖ-мен ақпараттық өзара іс-қимыл тәртібі Заңның 7-бабының 13) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен "Электрондық үкіметтің" ақпараттандыру объектілерін интеграциялау қағидаларында айқындалады.

      Ескерту. 140-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

8-параграф. Техникалық құралдар мен ақпараттық қауіпсіздіктің үздіксіз жұмыс істеу жүйелеріне, сондай-ақ серверлік үй-жайларға (деректерді өңдеу орталықтарына) қойылатын талаптар

      Ескерту. 8-параграфтың тақырыбы жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      141. АБК-ның және деректерді сақтау жүйесінің серверлік жабдығы серверлік үй-жайда орналастырылады.

      142. Серверлік үй-жай өте алмайтын, терезе ойықтары жоқ бөлек үй-жайларда орналастырылады. Терезе ойықтары болған жағдайда, олар жабылады немесе жанбайтын материалдармен бекітіледі.

      Қабырға, төбе мен еден сырттары үшін шаң шығармайтын және жинамайтын материалдар пайдаланылады. Еден жабыны үшін антистатикалық қасиеті бар материалдар пайдаланылады. Серверлік үй-жай ластайтын заттардың кіруінен қорғалады.

      Серверлік үй-жайдың қабырғалары, есіктері, төбесі, едені және аралықтары үй-жайдың герметикалығын қамтамасыз етеді.

      143. Серверлік үй-жай есіктерінің ені 1,2 метрден және биіктігі 2,2 метрден кем болмайды, сыртқа қарай ашылады немесе екі жаққа жылжымалы болады. Есік жақтауының құрылысында табалдырық пен орталық тірегі болмайды.

      144. Серверлік үй-жай кабельдік жүйелер мен инженерлік коммуникацияларды орналастыруға арналған фальшеденмен және (немесе) фальштөбемен жабдықталады.

      145. Серверлік үй-жай арқылы кез келген транзиттік коммуникациялардың өтуіне жол берілмейді. Кәдімгі және өртке қарсы сумен жабдықтау, жылыту және кәріз трассалары серверлік үй-жайдан тыс жерге шығарылады және бір қабат шегінде серверлік үй-жайдың үстіне орналастырылмайды.

      Өрт сөндіру гидранттарын серверлік үй-жайдың үстіне орналастыру қажет болған жағдайда жабынды гидрооқшаулау құрылғысы бар құрғақ құбырлы өрт сөндіру жүйесі орнатылады және серверлік үй-жайдың үстінде субұрғыш ұйымдастырылады.

      Ескерту. 145-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      146. Ғимараттың қуатты және нашар қуатты кабельдік желілерін өткізуге арналған коммуникация арналары өзара қалыптандырылған бөлек немесе аралықтармен бөлінген кабельдік ұяшықтарда, қораптарда немесе құбырларда орындалады. Нашар қуатты және күштік шкафтар бөлек орнатылады және құлыппен жабылады.

      Кабельдерді жабулар, қабырғалар, аралықтар арқылы өткізу жанбайтын материалдармен герметикаланған жанбайтын құбырлар бөліктерінде жүзеге асырылады.

      147. Серверлік үй-жай сыртқы электрмагнитті сәулеленуден сенімді қорғалады.

      148. Жабдықты орналастыру кезінде:

      1) "Электр энергетикасы туралы" Қазақстан Республикасы Заңының (бұдан әрі – Электр энергетикасы туралы заң) 5-бабының 27) тармақшасына сәйкес энергетика саласындағы уәкілетті орган бекіткен Тұтынушылардың электр қондырғыларын техникалық пайдалану қағидаларын орындау қамтамасыз етіледі;

      2) жабдық пен коммуникациялардың салмағы ескеріліп, жабдықты жеткізушілердің және (немесе) өндірушінің орнатуға (монтаждауға), жабындар мен фальшеденге түсетін жүктемеге қойылатын талаптарын орындау қамтамасыз етіледі;

      3) жабдыққа қызмет көрсету үшін еркін қызметтік өту жолдарының болуы қамтамасыз етіледі;

      4) микроклиматты қамтамасыз ету жүйесінің ауа ағындарын ұйымдастыру ескеріледі;

      5) фальшедендер мен фальштөбелер жүйесін ұйымдастыру ескеріледі.

      Ескерту. 148-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      149. Серверлік үй-жайда орнатылған жабдықты техникалық сүйемелдеу кезінде:

      1) жабдыққа қызмет көрсету;

      2) аппараттық-бағдарламалық қамтылымның жұмысында пайда болатын проблемаларды жою;

      3) кідірулер мен істен шығу фактілері, сондай-ақ қалпына келтіру жұмыстарының нәтижелері;

      4) өте маңызды жабдыққа кепілдікті қызмет көрсету мерзімі аяқталған соң кепілдікті мерзімнен кейінгі қызмет көрсету құжатталады.

      Құжаттау нысаны мен тәсілі өздігінен айқындалады.

      150. Өте маңызды жабдыққа қызмет көрсетуді сертификатталған техникалық персонал орындайды.

      151. Серверлік үй-жайға тікелей жақын жерде жөндеу-қалпына келтіру жұмыстарын жүргізген кезде жедел ауыстыруды орындау үшін жинақтауыштар мен жабдық қоры қамтылған өте маңызды объектіге арналған қосалқы бөлшектер қоймасы жасалады.

      152. Пайдаланудағы жабдықтың жұмысына тек қана ақпараттық технологиялар бөлімшесі басшысының немесе оның міндетін атқарушы тұлғаның рұқсатымен ғана араласуға болады.

      153. Негізгі және резервтік серверлік үй-жайлар бір-бірінен алыс тұрған ғимараттарда қауіпсіз қашықтықта орналастырылады. Резервтік серверлік үй-жайларға қойылатын талаптар негізгі серверлік үй-жайларға қойылатын талаптарға ұқсас болады.

      154. АҚ-ны, істен шығуының болмаушылығын және сенімді жұмыс істеуін қамтамасыз ету мақсатында:

      1) серверлік үй-жайда қатерлердің, қауіптердің орын алу тәуекелдерін және рұқсатсыз қол жеткізу мүмкіндіктерін төмендетуді қамтамасыз ететін жабдықты орналастыру тәсілдері қолданылады;

      2) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      3) серверлік үй-жайда орнатылған АКИ объектілерін сүйемелдеуді жүзеге асыру үшін авторландырылған тұлғалардың тізімі өзектілендірілген күйде ұсталады;

      4) серверлік үй-жай:

      кіруді бақылау және басқару;

      микроклиматты қамтамасыз ету;

      күзет дабылы;

      бейнебақылау;

      өрт дабылы;

      өрт сөндіру;

      кепілді электрмен қоректендіру;

      жерге тұйықтау жүйелерімен жабдықталады;

      5) серверлік үй-жай инфрақұрылымының істен шығуының болмаушылығы 99,7 % кем болмайды.

      Ескерту. 154-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      155. Кіруді бақылау және басқару жүйесі серверлік үй-жайға рұқсатпен кіруді және одан рұқсатпен шығуды қамтамасыз етеді. Кіретін есіктің бөгеу құрылғылары мен құрылысы кіруді сәйкестендіргіштерді кіретін есіктің тамбуры арқылы кері бағытта тапсыру мүмкіндігіне жол бермеуге тиіс.

      Кіруді бақылау және басқару жүйесінің орталық басқару құрылғысы бөгде адамдардың кіруінен қорғалған жеке қызметтік үй-жайларда, күзет постының үй-жайында орнатылады. Жүйе жұмысының режимдеріне ықпал ететін кіруді бақылау және басқару жүйесінің бағдарламалық құралдарына күзет персоналы тарапынан қол жеткізуге жол берілмейді.

      Кіруді бақылау және басқару жүйесін электрмен жабдықтау кезекші жарықтандыру қалқанының бос тобынан жүзеге асырылады. Кіруді бақылау және басқару жүйесі резервтік электр қоректендірумен қамтамасыз етіледі.

      156. Микроклиматты қамтамасыз ету жүйесі ауаны баптау, желдету және микроклиматтың мониторингі жүйелерін қамтиды. Серверлік үй-жайдың микроклиматын қамтамасыз ету жүйесі ғимаратта орнатылған басқа микроклимат жүйелерімен біріктірілмейді.

      Серверлік үй-жайдағы температура 45 %-дан 55 %-ға дейінгі салыстырмалы ылғалдығы кезінде 20 0С-дан 25 0С дейінгі диапазонда ұсталады.

      Ауаны баптау жүйесінің қуаты барлық жабдықтар мен жүйелердің жылу шығару жинағынан артық болу керек. Ауаны баптау жүйесі резервтеумен қамтамасыз етіледі. Серверлік үй-жайдағы ауа баптағыштарды кепілді электрмен қоректендіру жүйесінен немесе үздіксіз электрмен қоректендіру жүйесінен электрмен қоректендіру жүзеге асырылады.

      Желдету жүйесі таза ауаның фильтр арқылы кіруін және қысқы уақытта кіретін ауаны жылытуды қамтамасыз етеді. Серверлік үй-жайдағы ауа қысымы көрші үй-жайлардан ластанған ауаның кіруін болдырмау үшін артық ауамен жасалады. Ауаны тарту және шығару желдету жүйесінің ауа өткізгіштеріне өрт сөндіру жүйесімен басқарылатын қорғау клапандары орнатылады.

      Ауаны баптау және желдету жүйелері өрт дабылының сигналы бойынша автоматты түрде ажыратылады.

      Микроклиматтың мониторингі жүйесі серверлік шкафтардағы және телекоммуникациялық тіреулердегі мынадай климаттық параметрлерді бақылайды:

      ауа температурасы;

      ауа ылғалдығы;

      ауаның тозаңдылығы;

      ауада түтіннің болуы;

      шкафтар есіктерінің ашылуы (жабылуы).

      Ескерту. 156-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      157. Серверлік үй-жайдың күзет дабылы жүйесі ғимараттың қауіпсіздік жүйелерінен бөлек орындалады. Хабарландыру сигналдары тәуліктік күзет үй-жайына жеке пульт түрінде шығарылады. Серверлік үй-жайдың барлық кіру мен шығулары, сондай-ақ серверлік үй-жайдың ішкі көлемі бақылануы және күзетілуі тиіс. Күзет дабылы жүйесінің жеке резервтік қоректендіру көзі болады.

      158. Бейнебақылау жүйесінің камераларын орналастыру барлық серверлік үй-жайға барлық кірулер мен шығулардың, жабдық жанындағы кеңістіктің және өтулердің бақылануын қамтамасыз етуді ескере отырып таңдалады. Камералардың көру бұрышы мен мүмкіндігі адамдарды тануды қамтамасыз етуге тиіс. Камералардағы бейнелер тәуліктік күзет үй-жайына жеке пультқа шығарылады.

      159. Серверлік үй-жайдың өрт дабылы жүйесі ғимараттың өрт дабылынан бөлек орындалады. Серверлік үй-жайда датчиктердің екі түрі орнатылады: температуралық және түтіндік.

      Датчиктер серверлік үй-жайдың жалпы кеңістігін және фальшеденмен және (немесе) фальштөбемен құрылған көлемдерді бақылайды. Өрт дабылы жүйесінің хабарландыру сигналдары тәуліктік күзет үй-жайындағы пультқа шығарылады.

      160. Серверлік үй-жайдың өрт сөндіру жүйесі ғимараттың өрт сөндіру жүйесіне тәуелсіз өртті газбен сөндірудің автоматты қондырғысымен жабдықталады. Өртті газбен сөндірудің автоматты қондырғысында от сөндіргіш ретінде арнайы уытсыз газ пайдаланылады. Ұнтақты және сұйықтық өрт сөндіргіштер пайдаланылмайды. Өртті газбен сөндіру қондырғысы нақты серверлік үй-жайда немесе оның жанында осы мақсатта арнайы жабдықталған шкафта орналастырылады. Өрт сөндіру жүйесі түтін шыққанда іске қосылатын, өртті ерте айқындау датчиктерінен, сондай-ақ үй-жайдан шығу есігінің жанында орналасқан қол датчиктерден іске қосылады. От сөндіргішті шығаруды кешіктіру уақыты 30 с аспайтын уақытты құрайды. Өрт сөндіру жүйесінің іске қосылуы туралы хабарландыру үй-жайдың ішінде және сыртында орнатылатын таблоға шығарылады. Өрт сөндіру жүйесі желдету жүйесінің қорғау клапандарын жабу және жабдықты қоректендіруді ажырату командаларын береді. Өрт сөндіру жүйесімен жабдықталған серверлік үй-жай отты сөндіретін газды жоюға арналған тартып шығару желдетуімен жабдықталады.

      161. Кепілді электрмен қоректендіру жүйесі сыртқы электрмен қоректендірудің түрлі көздерінен ~400/230В кернеуге 50 Гц жиілігімен және дербес генератордан электрмен қоректендірудің екі жолының болуын көздейді. Барлық электр энергиясы көздері негізгі кіру жолында электрмен қоректендіру тоқтатылған, уақытша тоқтатылған кезде электрмен қоректендіру автоматты резервтік кіру жолына ауыстыруды орындайтын резервті енгізу автоматына беріледі. Электрмен қоректендіру желілерінің параметрлері мен тарауларының бөлінуі сервер үй-жайының жабдығы және ішкі жүйелері тұтынатын қуаттың жоспарлы жинағына сүйене отырып айқындалады. Электрмен қоректендіру желілері бес сымды схема бойынша орындалады.

      Кепілді электрмен қоректендіру жүйесі сервер үй-жайының жабдығы мен жүйелерін үздіксіз қоректендіру көздері арқылы электрмен қамтамасыз етуді көздейді. Үздіксіз қоректендіру көздерінің қуаты мен конфигурациясы барлық қоректендірілетін жабдық пен алдағы уақытта дамуға арналған қорды ескере отырып есептеледі. Үздіксіз қоректендіру көздерінен дербес жұмыс істеу уақыты қажеттіліктерді, сондай-ақ резервтік желілерге ауысу үшін қажет уақытты және генераторды жұмыс режиміне қосу уақытын ескере отырып есептеледі.

      162. Серверлік үй-жайдың жұмыс бабында жерге тұйықтау жүйесі ғимараттың қорғаныш мақсатындағы жерге тұйықтауынан бөлек орындалады. Серверлік үй-жайдың барлық металл бөліктері мен конструкциялары ортақ жерге тұйықтау шинасымен жерге тұйықталады. Жабдығы бар әрбір шкаф (таған) ортақ жерге тұйықтау шинасымен жалғанатын жеке өткізгішпен жерге тұйықталады. Ақпаратты өңдеу жабдығының ашық ток өткізгіш бөліктері электр қондырғысының бас жерге тұйықтау қысқышына жалғануға тиіс.

      Асқын кернеуден қорғау құрылғыларын бас жерге тұйықтау шинасымен жалғайтын жерге тұйықтау өткізгіштері ең қысқа және тік (бұрыштары жоқ) болуға тиіс.

      Жерге тұйықтау жүйесін құру және пайдалану кезінде мыналарды:

      Электр энергетикасы туралы заңның 5-бабының 19) тармақшасына сәйкес энергетика саласындағы уәкілетті органның бұйрығымен бекітілген Электр қондырғыларын орнату қағидаларын;

      ҚР СТ МемСТ 50571.21-2009 "Ғимараттардың электр қондырғылары. 5-бөлім. Электр жабдығын таңдау және монтаждау". 548-бөлім. "Құрылғыларды және ақпаратты өңдеу жабдығы қамтылған электр қондырғыларындағы электр әлеуетін теңестіру жүйесін жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МемСТ Р 50571.22-2006 "Ғимараттардың электр қондырғылары. 7-бөлім. Арнайы электр қондырғыларына қойылатын талаптар". 707-бөлім. "Ақпаратты өңдеу жабдығын жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МемСТ 12.1.030-81 "Еңбек қауіпсіздігі стандарттарының жүйесі. Электр қауіпсіздігі. Қорғаныштық жерге тұйықтау, нөлге қою" Қазақстан Республикасының стандартын;

      МемСТ 464-79 "Сымды байланыстың стационарлық құрылғыларына, радиорелелік станцияларға, сымды хабар таратудың радиотрансляциялық тораптарына және телевизияны ұжымдық қабылдау жүйесінің антенналарына арналған жерге тұйықтау. Қарсылық нормалары" Қазақстан Республикасының стандартын басшылыққа алу қажет.

      Ескерту. 162-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      163. Телекоммуникациялық желілердің бөлу құрылғылары кростық үй-жайда орналастырылады. Кростық үй-жай ол қызмет көрсететін жұмыс аумағының ортасына жақын орналастырылады.

      Кростық үй-жайдың көлемі қызмет көрсетілетін жұмыс аумағы мен орнатылатын жабдықтың көлеміне қарай таңдалады.

      Кростық үй-жайлар мынадай талаптарға сәйкес болуы қажет:

      жабдыққа қызмет көрсету үшін бос қызметтік өтетін жолдың болуы;

      электромагниттік кедергілердің қуатты көздерінің (трансформаторлар, электр қалқандары, электр қозғалтқыштар және басқалары) болмауы;

      сумен жабдықтау жүйесінің бұрандалары мен құбырларының болмауы;

      өрт қауіпсіздігі жүйесінің болуы;

      жеңіл жанатын материалдардың (ағаш сөрелер, картон, кітаптар және басқалары) болмауы;

      жоба бойынша шкафты қосу үшін автоматтан бөлек жеке электр қуатталу желісінің болуы;

      сигнализациялық күзет жүйесінің, кіруді бақылау жүйесінің болуы;

      ауа баптау жүйесінің болуы.

      Ескерту. Талаптар 163-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

  Қазақстан Республикасы
  Үкiметiнiң
  2016 жылғы 20 желтоқсандағы
  № 832 қаулысына қосымша

Қазақстан Республикасы Үкiметiнiң күшi жойылған кейбiр шешiмдерiнiң тiзбесi

      1. "Қазақстан Республикасында ақпараттық қауіпсiздiкті қамтамасыз ету жөнiндегi кейбiр шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысының 1-тармағының 5) және 6) тармақшалары, 2-1 және 2-2-тармақтары.

      2. "Қазақстан Республикасында ақпараттық қауіпсiздiкті қамтамасыз ету жөнiндегi кейбiр шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысына толықтырулар енгізу туралы" Қазақстан Республикасы Үкіметінің 2013 жылғы 14 наурыздағы № 244 қаулысы.

      3. "Қазақстан Республикасында ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі кейбір шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысына өзгеріс енгізу туралы" Қазақстан Республикасы Үкіметінің 2014 жылғы 26 маусымдағы № 706 қаулысы.

Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832.

      В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – единые требования).

      2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению.

      3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Пункт 140 единых требований действует до 1 января 2018 года.

     
      Премьер-Министр
Республики Казахстан
Б. Сагинтаев

  Утверждены
постановлением Правительства
Республики Казахстан
от 20 декабря 2016 года № 832

Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности Глава 1. Общие положения

      1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан "Об информатизации" (далее – Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности.

      Сноска. Пункт 1- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

      3. Положения ЕТ не распространяются на:

      1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры "электронного правительства", локальных сетей и сетей телекоммуникаций, а также проведении закупок товаров, работ и услуг в сфере информатизации;

      2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или президентской, правительственной, засекреченной, шифрованной и кодированной связи;

      3) отношения, возникающие при осуществлении уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций работ по созданию или развитию информационных систем, интегрируемых с информационными системами Национального Банка Республики Казахстан, которые не интегрируются с объектами информационно-коммуникационной инфраструктуры "электронного правительства";

      4) организации в случаях, когда исполнение таких положений ведет к нарушению пункта 4 статьи 50 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан".

      Сноска. Пункт 3 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

      5. Задачами ЕТ являются:

      1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления;

      2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации "электронного правительства";

      3) установление требований по унификации компонентов объектов информационно-коммуникационной инфраструктуры;

      4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений;

      5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации;

      6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры.

      Сноска. Пункт 5 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. Для целей настоящих ЕТ в них используются следующие определения:

      1) средство криптографической защиты информации (далее – СКЗИ) – программное обеспечение или аппаратно-программный комплекс, реализующие алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;

      2) активы, связанные со средствами обработки информации (далее – актив), – материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеет ценность для организации в интересах достижения целей и непрерывности ее деятельности;

      3) маркировка актива, связанного со средствами обработки информации, – нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;

      4) техническая документация по информационной безопасности (далее – ТД ИБ) – документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации;

      5) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      6) мониторинг событий информационной безопасности (далее – мониторинг событий ИБ) – постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;

      7) система мониторинга обеспечения информационной безопасности – организационные и технические мероприятия, направленные на проведение мониторинга безопасного использования информационно-коммуникационных технологий;

      8) оперативный центр информационной безопасности – юридическое лицо или структурное подразделение юридического лица, осуществляющие деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;

      9) внутренний аудит информационной безопасности – объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах;

      10) программный робот – программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и (или) по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным на веб-страницах;

      11) система предотвращения утечки данных (DLP) – средство защиты информации, предназначенное для предотвращения утечек электронных информационных ресурсов ограниченного доступа;

      12) нагруженное (горячее) резервирование оборудования – использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса;

      13) не нагруженное (холодное) резервирование оборудования – использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса;

      14) межсетевой экран – аппаратно-программный или программный комплекс, функционирующий в информационно-коммуникационной инфраструктуре, осуществляющий контроль и фильтрацию сетевого трафика в соответствии с заданными правилами;

      15) рабочая станция – стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач;

      16) системное программное обеспечение – совокупность программного обеспечения для обеспечения работы вычислительного оборудования;

      17) интернет-браузер – прикладное программное обеспечение, предназначенное для визуального отображения содержания интернет-ресурсов и интерактивного взаимодействия с ним;

      18) кодированная связь – защищенная связь с использованием документов и техники кодирования;

      19) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

      20) кроссовое помещение – телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;

      21) прикладное программное обеспечение (далее – ППО) – комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;

      22) засекреченная связь – защищенная связь с использованием засекречивающей аппаратуры;

      23) масштабируемость – способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;

      24) серверный центр государственных органов (далее – серверный центр ГО) – серверное помещение (центр обработки данных), собственником и владельцем которого является оператор информационно-коммуникационной инфраструктуры "электронного правительства", предназначенное для размещения объектов информатизации "электронного правительства";

      25) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;

      26) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

      27) прокси-сервер – промежуточный сервер, участвующий в интернет-соединении между компьютерами/серверами, через который происходит обмен информацией в целях ее защиты от сетевых атак;

      28) серверное помещение (центр обработки данных) – помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;

      29) регистрационное свидетельство (далее – цифровой сертификат) – электронный документ, выдаваемый удостоверяющим центром для подтверждения соответствия электронной цифровой подписи требованиям, установленным Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи";

      30) локальная сеть внешнего контура (далее – ЛС внешнего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внешнему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с Интернетом, доступ к которому для субъектов информатизации предоставляется операторами связи только через единый шлюз доступа к Интернету;

      31) терминальная система – тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами – тонкими клиентами в клиент-серверной архитектуре;

      32) инфраструктура источника времени – иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;

      33) субъекты информатизации, определенные уполномоченным органом, – государственные органы, их подведомственные организации и органы местного самоуправления, а также иные субъекты информатизации, использующие единую транспортную среду государственных органов для взаимодействия локальных (за исключением локальных сетей, имеющих доступ к Интернету), ведомственных и корпоративных сетей;

      34) организация – государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры;

      35) правительственная связь – специальная защищенная связь для нужд государственного управления;

      36) федеративная идентификация – комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения;

      37) шифрованная связь – защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники;

      38) локальная сеть внутреннего контура (далее – ЛС внутреннего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внутреннему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с единой транспортной средой государственных органов;

      39) единый репозиторий "электронного правительства" – хранилище исходных кодов и скомпонованных из них исполняемых кодов объектов информатизации "электронного правительства";

      40) внешний шлюз "электронного правительства" (далее – ВШЭП) – подсистема шлюза "электронного правительства", предназначенная для обеспечения взаимодействия информационных систем, находящихся в ЕТС ГО, с информационными системами, находящимися вне ЕТС ГО.

      Сноска. Пункт 6 - в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6-1. Цифровизация ГО и МИО в рамках цифровой трансформации осуществляется путем создания и развития объектов информатизации "электронного правительства" либо путем приобретения объектов информатизации "электронного правительства" или информационно-коммуникационных услуг в соответствии с архитектурой "электронного правительства", в том числе с учетом:

      1) платформенности – формирование и постоянное развитие межведомственных централизованных технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и инструментов для решения общих технических задач в рамках различных отраслей (сфер) государственного управления;

      2) универсальности решений – определение и обеспечение использования готового программного обеспечения и сервисных программных продуктов для решения типовых прикладных задач и автоматизации типовых обеспечивающих государственных функций;

      3) компонентного построения решений – обеспечение разработки и внедрения отдельных стандартных компонентов объектов информатизации "электронного правительства" по формату микросервисов, которые планируются, разрабатываются и внедряются итеративно, поэтапно предоставляя части функционала всего решения и выгод от его использования;

      4) результативности – извлечение максимальной выгоды от использования объектов информатизации "электронного правительства", сокращение издержек и рисков путем оптимизации структурных компонентов и затрат;

      5) оптимизации технического разнообразия – обеспечение обоснованного применения свободного программного обеспечения и систематичного управления техническим разнообразием.

      Сноска. Глава 1 дополнена пунктом 6-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Для целей настоящих ЕТ в них используются следующие сокращения:

      1) АПК – аппаратно-программный комплекс;

      2) ИБ – информационная безопасность;

      3) ИС – информационная система;

      4) ИКИ – информационно-коммуникационная инфраструктура;

      5) ИКТ – информационно-коммуникационные технологии;

      6) ПО – программное обеспечение;

      7) МИО – местные исполнительные органы;

      8) СПО – свободное программное обеспечение;

      9) ЕШДИ – единый шлюз доступа к Интернету;

      10) ИР – интернет-ресурс;

      11) ГО – центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориальные подразделения ведомства центрального исполнительного органа;

      12) ЕТС ГО – единая транспортная среда государственных органов;

      13) ЕПИР ГО – единая платформа интернет-ресурсов государственных органов;

      14) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      15) ЭИР – электронные информационные ресурсы;

      16) ИКП ЭП – информационно–коммуникационная платформа "электронного правительства";

      17) ЭЦП – электронная цифровая подпись;

      18) СИ – субъекты информатизации, определенные уполномоченным органом.

      Сноска. Пункт 7 с изменениями, внесенными постановлениями Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      7-1. Платформенность основывается на выполнении следующих требований:

      1) осуществление создания и развития решений на базе технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и (или) использование функциональных возможностей технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства";

      2) исключение компонентов, дублирующих функциональные возможности технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства";

      3) обеспечение автоматизации процессов выполнения государственных функций и вытекающих из них услуг с использованием технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства".

      Сноска. Глава 1 дополнена пунктом 7-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью
Параграф 1. Требования к информатизации государственного органа

      8. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).
      8-1. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      8-2. Универсальность решений основывается на выполнении следующих требований:

      1) использование готового программного обеспечения и сервисных программных продуктов для автоматизации процессов выполнения типовых прикладных задач и типовых обеспечивающих государственных функций;

      2) адаптация особенностей выполнения государственных функций государственного органа к процессам, реализованным в готовом программном обеспечении и сервисных программных продуктах, без необходимости настройки и доработки программного обеспечения в процессе внедрения;

      3) отсутствие дополнительных затрат государственных органов на внедрение, обучение пользователей, приобретение программного обеспечения и компонентов информационно-коммуникационной инфраструктуры при использовании сервисных программных продуктов.

      Сноска. Глава 2 дополнена пунктом 8-2 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      9. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      9-1. Компонентное построение решений основывается на выполнении следующих требований:

      1) построение решений на базе микросервисной архитектуры с использованием стандартных компонентов;

      2) использование минимально необходимого набора компонентов, позволяющих решить поставленные задачи и обеспечить соответствие требованиям;

      3) исключение избыточных компонентов, параллельно автоматизирующих несвязанные специфичные государственные функции и (или) типовые обеспечивающие государственные функции;

      4) обеспечение адаптируемости, масштабируемости и гибкости состава, структуры и функциональности компонентов к изменениям законодательства Республики Казахстан, приоритетам социально-экономического развития, а также составу, структуре и полномочиям государственных органов;

      5) полное соответствие компонентов целям, задачам и назначению объекта информатизации "электронного правительства";

      6) обеспечение функциональной независимости и отсутствия дублирования задач и функциональных возможностей компонентов;

      7) формирование компонентов на базе открытых стандартов и с использованием набора стандартных интерфейсов прикладного программирования (application programming interface, API), предоставляемых компонентом сторонним решениям для обеспечения его многократного использования;

      8) многоуровневое построение архитектуры путем исключения охвата компонентами решения одновременно нескольких уровней архитектуры, в том числе уровней представления, бизнес-логики и хранения данных;

      9) обеспечение доступности компонентов для доработки и многократного использования.

      Сноска. Глава 2 дополнена пунктом 9-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      10. Развитие архитектуры "электронного правительства" осуществляется в соответствии с требованиями по развитию архитектуры "электронного правительства", утверждаемыми уполномоченным органом в соответствии с подпунктом 10) статьи 7 Закона.

      10-1. Результативность основывается на выполнении следующих требований:

      1) обеспечение максимального количественного экономического эффекта путем сокращения затрат, обеспечения окупаемости и повышения объемов поступлений средств в бюджет;

      2) направленность на удовлетворение потребностей физических и юридических лиц, отрасли (сферы) государственного управления и (или) государства в целом;

      3) обеспечение согласованности значений и единиц измерения показателей результатов функционирования объектов информатизации "электронного правительства" и целевых индикаторов отрасли (сферы) государственного управления;

      4) обеспечение приоритета автоматизации процессов выполнения специфичных государственных функций;

      5) последовательное итерационное создание и развитие решений путем внедрения части компонентов решения с базовым набором функциональных возможностей с последующим расширением количества компонентов и (или) повышением уровня их функциональности.

      Сноска. Глава 2 дополнена пунктом 10-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      11. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      11-1. Оптимизация технического разнообразия основывается на выполнении следующих требований:

      1) отчуждаемость и независимость от наименований и версий программного обеспечения, а также ограничений компонентов существующей информационно-коммуникационной инфраструктуры государственного органа;

      2) обеспечение оптимизации разнообразия существующего программного обеспечения и упрощения существующей информационно-коммуникационной инфраструктуры государственного органа;

      3) исключение ограничений для дальнейшего развития в результате изменения условий эксплуатации и расширения числа объектов автоматизации;

      4) обеспечение использования актуальных версий программного обеспечения;

      5) осуществление создания и развития решений с использованием свободного программного обеспечения в случаях обеспечения способности компонентов решения функционировать без ограничений и оптимальной совокупной стоимости владения по отношению к проприетарному лицензионному программному обеспечению.

      Сноска. Глава 2 дополнена пунктом 11-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      12. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      13. Обеспечение ГО и МИО товарами, работами и услугами в сфере информатизации осуществляется путем закупа с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчеты расходов на государственные закупки товаров, работ и услуг в сфере информатизации, за исключением специальных государственных органов Республики Казахстан.

      Сноска. Пункт 13 - в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      13-1. ГО и организации размещают на архитектурном портале "электронного правительства" сведения об объектах информатизации и электронные копии технической документации к ним в соответствии с правилами учета сведений об объектах информатизации "электронного правительства" и размещения электронных копий технической документации объектов информатизации "электронного правительства".

      Перечень технической документации к объекту информатизации, требуемой к размещению, определяется Правилами учета сведений об объектах информатизации "электронного правительства" и размещения электронных копий технической документации объектов информатизации "электронного правительства".

      Сноска. Глава 2 дополнена пунктом 13-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      14. Реализацию задач в сфере информатизации в ГО или МИО обеспечивает подразделение информационных технологий, осуществляющее:

      1) мониторинг и анализ применения ИКТ;

      2) участие в мероприятиях по учету и анализу использования ИКТ-активов;

      3) выработку предложений в стратегический план ГО по вопросам информатизации;

      4) координацию работ по созданию, сопровождению и развитию объектов информатизации "электронного правительства";

      5) контроль за обеспечением поставщиками предусмотренного договорами уровня качества оказываемых услуг в сфере информатизации;

      6) учет и актуализацию сведений об объектах информатизации "электронного правительства" и электронных копий технической документации объектов информатизации "электронного правительства" на архитектурном портале "электронного правительства";

      7) исключен постановлением Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      8) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      9) реализацию требований по ИБ.

      Сноска. Пункт 14 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 10.02.2023 № 112 (вводится в действие с 01.01.2023); от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      14-1. Собственники и (или) владельцы обеспечивают ввод в промышленную эксплуатацию объекта информатизации "электронного правительства" с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория "электронного правительства".

      Сноска. Глава 2 дополнена пунктом 14-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      15. Рабочее пространство в ГО и МИО организуется в соответствии с санитарными правилами "Санитарно-эпидемиологические требования к административным и жилым зданиям", утвержденными приказом Министра здравоохранения Республики Казахстан от 16 июня 2022 года № ҚР ДСМ-52 (зарегистрирован в Министерстве юстиции Республики Казахстан 20 июня 2022 года за № 28525).

      Сноска. Пункт 15 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      16. Рабочее место служащего ГО и МИО оснащается с учетом его функциональных обязанностей и включает:

      1) рабочую станцию или унифицированное рабочее место или терминальную систему с подключением к ЛС внутреннего контура ГО или МИО. Допускается оснащение рабочего места дополнительным монитором при необходимости;

      2) комплект мультимедийного оборудования (наушники, микрофон и веб-камера) для работы с мультимедийными ЭИР или системой видеоконференц-связи при необходимости;

      3) аппарат телефонной связи или IP-телефонии.

      17. Требования к унифицированному рабочему месту или терминальной системе ГО и МИО, а также компонентам объектов информационно-коммуникационной инфраструктуры утверждаются уполномоченным органом.

      Сноска. Пункт 17 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      17-1. Обеспечивается соответствие рабочего места или терминальной системы ГО и МИО требованиям к унифицированному рабочему месту или терминальной системе ГО и МИО, утвержденным уполномоченным органом.

      Требования обновляются и актуализируются по мере необходимости.

      Сноска. Единые требования дополнены пунктом 17-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      18. При выборе закупаемых моделей рабочих станций необходимо руководствоваться следующими положениями:

      1) аппаратные характеристики рабочих станций соответствуют либо превосходят системные требования, рекомендуемые разработчиком (производителем) используемого ПО;

      2) для обеспечения общего уровня услуг унифицируются конфигурации рабочих станций;

      3) для рабочих станций организуется централизованное автоматизированное распространение обновлений ПО;

      4) для повышения качества и скорости администрирования количество различных аппаратно-программных конфигураций рабочих станций ограничивается тремя типами:

      рабочая станция для работы с прикладным ПО;

      рабочая станция повышенной мощности для работы с графическими пакетами, пакетами ПО моделирования и прочими. Используется для приложений с развитой графикой, высокими требованиями к производительности процессора, объемам оперативной памяти и видеоподсистем;

      ноутбук для работы мобильных пользователей.

      19. Для спецификации технических требований выделяются следующие ключевые параметры рабочих станций:

      1) производительность, включающая в себя:

      параметры быстродействия процессора;

      необходимый объем оперативной памяти;

      скорости внутренних шин передачи данных;

      быстродействие графической подсистемы;

      быстродействие устройств ввода/вывода;

      параметры матрицы монитора;

      2) надежность, обеспечиваемая за счет использования отказоустойчивых аппаратных средств и ПО, и определяется исходя из среднего времени безотказной работы;

      3) масштабируемость, обеспечиваемая архитектурой и конструкцией персонального компьютера за счет возможности наращивания:

      числа и производительности процессоров;

      объемов оперативной и внешней памяти;

      емкости встроенных накопителей.

      20. Для обеспечения ИБ:

      1) в ТД ИБ определяются:

      способы размещения рабочих станций служащих ГО или МИО;

      способы защиты рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;

      процедуры и периодичность технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности;

      способы защиты рабочих станций мобильных пользователей, находящихся за пределами ГО или МИО, с учетом различных внешних рисков;

      способы гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации;

      правила выноса рабочих станций за пределы рабочего места;

      2) на регулярной основе проводится учет рабочих станций с проверкой конфигурации, а также электронных носителей информации с уникальными идентифицирующими данными;

      3) установка и применение на рабочих станциях программных или аппаратных средств удаленного управления извне ЛС внутреннего контура исключается. Удаленное управление внутри ЛС внутреннего контура допускается в случаях, прямо предусмотренных в правовом акте ГО или МИО;

      4) неиспользуемые порты ввода-вывода рабочих станций и мобильных компьютеров служащих ГО и МИО отключаются или блокируются, за исключением рабочих станций служащих подразделения ИБ.

      Сноска. Пункт 20 с изменением, внесенным постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      21. Вопрос операций ввода-вывода с применением внешних электронных носителей информации на рабочих станциях служащих ГО и МИО регулируется в соответствии с политикой ИБ, принятой в ГО или МИО.

      22. Для оптимизации размещения оборудования на рабочем месте служащего ГО и МИО допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов.

      23. Для использования сервисов ИКП ЭП рабочая станция, подключенная к ЛС внутреннего контура ГО или МИО, обеспечивается сетевым подключением к инфраструктуре ИКП ЭП.

      24. Обработка и хранение служебной информации ГО и МИО осуществляются на рабочих станциях, подключенных к локальной сети внутреннего контура и внешнего контура ГО или МИО.

      Служебная информация ГО и МИО с ограниченным доступом обрабатывается на рабочих станциях, подключенных к локальной сети внутреннего контура ГО или МИО и не имеющих подключения к Интернету.

      Сноска. Пункт 24 в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      25. Доступ к Интернету служащим ГО и МИО предоставляется с рабочих станций, подключенных к ЛС внешнего контура ГО и МИО, размещенных за пределами режимных помещений, определяемых в соответствии с Инструкцией по защите государственных секретов Республики Казахстан.

      Сноска. Пункт 25- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.

      Сноска. Глава 2 дополнена пунктом 25-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      26. Сервис телефонной связи:

      1) реализуется как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии;

      2) обеспечивает коммутацию пользователя с абонентами телефонных сетей по следующим каналам:

      использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных;

      использование услуг связи оператора телефонной связи общего пользования по потоку Е1;

      использование операторов сотовой связи;

      использование услуг междугородних и международных вызовов.

      27. Для проведения конференций, презентаций, совещаний, телемостов конференцзал ГО и МИО оснащается:

      1) конференцсистемой звукового усиления, включающей размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника;

      2) устройством ввода-вывода информации.

      Для организации "телемоста" с географически распределенными участниками, находящимися в других городах или странах, конференцсистема по необходимости дополняется системой аудио- и видеоконференцсвязи оператора ИКИ ЭП.

      28. Сервис печати:

      1) реализуется посредством печатающего, копирующего и сканирующего оборудования, подключенного к локальной сети внутреннего контура ГО с использованием сетевого интерфейса либо прямого подключения к серверу печати;

      2) обеспечивается программным обеспечением, реализующим:

      централизованное управление пользователями и устройствами;

      учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями;

      систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования;

      идентификацию пользователя до начала использования сервиса печати;

      авторизацию служащего ГО на устройстве печати способами, регламентированными в ТД ИБ;

      формирование очереди печати, осуществляющей печать посредством единой очереди печати с возможностью получения распечатанных документов на доступном устройстве печати.

Параграф 2. Требования к организации информационной безопасности

      29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ISO/IEC 27002-2023 "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".

      Сноска. Пункт 29 - в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      29-1. В целях реализации требований обеспечения информационной безопасности для обороны страны и безопасности государства осуществляется приобретение ПО и продукции электронной промышленности в виде товара и информационно-коммуникационной услуги из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с Законом и законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

      Реестр доверенного программного обеспечения и продукции электронной промышленности ведется уполномоченным органом в сфере электронной промышленности в соответствии с Правилами формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериями по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности, утвержденными уполномоченным органом в сфере электронной промышленности согласно пункту 7 статьи 7-6 Закона.

      При этом в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции допускается ее приобретение в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

      Собственники и владельцы программного обеспечения, включенного в реестр доверенного программного обеспечения и продукции электронной промышленности, обеспечивают ввод в промышленную эксплуатацию объекта информатизации "электронного правительства" с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория "электронного правительства".

      Сноска. Единые требования дополнены пунктом 29-1 в соответствии с постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.

      Подразделение ИБ или должностное лицо, ответственное за обеспечение ИБ, осуществляют координацию работ по обеспечению ИБ и контроль за исполнением требований ИБ, определенных в ТД по ИБ.

      Сотрудники, ответственные за обеспечение ИБ, проходят специализированные курсы в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата.

      Сноска. Пункт 30 - в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      31. ТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО, МИО или организация в своей деятельности.

      ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.

      ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.

      Сноска. Пункт 31 с изменением, внесенным постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      32. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.

      32-1. Перечень внутренних документов финансовой организации, детализирующий требования политики ИБ, определяется в соответствии с нормативными правовыми актами уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций, регулирующими деятельность финансовых организаций по обеспечению информационной безопасности.

      Сноска. Единые требования дополнены пунктом 32-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:

      1) методика оценки рисков информационной безопасности;

      2) правила идентификации, классификации, маркировки, паспортизации активов, связанных со средствами обработки информации и их инвентаризации;

      3) правила проведения внутреннего аудита ИБ;

      4) правила использования средств криптографической защиты информации;

      5) правила организации процедуры аутентификации и разграничения прав доступа к электронным информационным ресурсам;

      6) правила организации антивирусного контроля, использования мобильных устройств, носителей информации, Интернета и электронной почты;

      7) правила организации физической защиты, безопасной среды функционирования и обеспечения непрерывной работы активов, связанных со средствами обработки информации.

      Сноска. Пункт 33 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:

      1) каталог угроз (рисков) ИБ;

      2) план обработки угроз (рисков) ИБ;

      3) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

      4) руководство администратора по сопровождению объекта информатизации, резервному копированию и восстановлению информации;

      5) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

      Сноска. Пункт 34 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:

      1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;

      2) журнал посещения серверных помещений;

      3) отчет о проведении оценки уязвимости сетевых ресурсов;

      4) журнал учета кабельных соединений;

      5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий.

      Сноска. Пункт 35 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      36. Для обеспечения защиты активов проводятся:

      1) инвентаризация активов;

      2) классификация и маркировка активов в соответствии с системой классификации, принятой в ГО, МИО;

      3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов;

      4) регламентация в ТД ИБ порядка:

      использования и возврата активов;

      идентификации, классификации и маркировки активов.

      37. С целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:

      1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2020 "Менеджмент риска. Методы оценки риска" и разработка процедуры анализа рисков;

      2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая:

      выявление угроз ИБ и их источников;

      выявление уязвимостей, которые могут привести к реализации угроз;

      определение каналов утечки информации;

      формирование модели нарушителя;

      3) выбор критериев принятия идентифицированных рисков;

      4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 27005-2022 "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности";

      5) разработка и утверждение плана обработки угроз (рисков) ИБ, содержащего мероприятия по их нейтрализации или снижению.

      Сноска. Пункт 37 с изменениями, внесенными постановлениями Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      38. С целью контроля событий нарушений ИБ в ГО, МИО или организации:

      1) проводится мониторинг событий, связанных с нарушением ИБ, и анализ результатов мониторинга;

      2) регистрируются события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:

      журналов событий операционных систем;

      журналов событий систем управления базами данных;

      журналов событий антивирусной защиты;

      журналов событий прикладного ПО;

      журналов событий телекоммуникационного оборудования;

      журналов событий систем обнаружения и предотвращения атак;

      журналов событий системы управления контентом;

      3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени;

      4) журналы регистрации событий хранятся в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;

      5) ведутся журналы регистрации событий в соответствии с форматами и типами записей, определенными в правилах проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности по согласованию с органами национальной безопасности в соответствии с подпунктом 7) статьи 7-1 Закона;

      5-1) обеспечивается подключение систем журналирования событий ИБ объектов информатизации "электронного правительства" к техническим средствам системы мониторинга обеспечения информационной безопасности Национального координационного центра информационной безопасности по запросу государственной технической службы;

      6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;

      7) обеспечивается внедрение формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ.

      Сноска. Пункт 38 с изменениями, внесенными постановлениями Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      38-1. ГО и МИО обеспечивают на постоянной основе физический доступ работникам Национального координационного центра информационной безопасности к объектам информатизации "электронного правительства" с предоставлением отдельных рабочих мест по запросу государственной технической службы в целях проведения работ по мониторингу обеспечения информационной безопасности и мониторингу событий информационной безопасности.

      Сноска. Единые требования дополнены пунктом 38-1 в соответствии с постановлением Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      39. С целью защиты критически важных процессов ГО, МИО или организации от внутренних и внешних угроз:

      1) разрабатывается, тестируется и реализуется план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

      2) доводится до сведения служащих ГО, МИО или работников организации инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

      План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, подлежит регулярной актуализации.

      40. Функциональные обязанности по обеспечению ИБ и обязательства по исполнению требований ТД ИБ служащих ГО, МИО или работников организации вносятся в должностные инструкции.

      Обязательства в области обеспечения ИБ, имеющие силу после прекращения действий трудового договора, закрепляются в трудовом договоре с работником организации.

      Сноска. Пункт 40 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      41. В случае привлечения сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ, их собственник или владелец заключает соглашения, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение.

      42. В ТД ИБ определяется содержание процедур при увольнении служащих ГО, МИО или работников организации, имеющих обязательства в области обеспечения ИБ.

      43. При внесении изменений в условия трудового договора работника организации, ротации или продвижении по государственной службе служащего ГО, МИО, их увольнении права доступа к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются.

      Сноска. Пункт 43 - в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      44. Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ.

      45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее – классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 15408-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".

      Сноска. Пункт 45 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      46. В целях обеспечения ИБ при эксплуатации объектов информатизации устанавливаются требования к:

      1) способам аутентификации;

      2) применяемым СКЗИ;

      3) способам обеспечения доступности и отказоустойчивости;

      4) мониторингу обеспечения ИБ, защиты и безопасного функционирования;

      5) применению средств и систем обеспечения ИБ;

      6) регистрационным свидетельствам удостоверяющих центров.

      Сноска. Пункт 46 с изменением, внесенным постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      46-1. Для подписания объекты информатизации "электронного правительства" используют регистрационные свидетельства аккредитованных удостоверяющих центров в соответствии с Правилами выдачи и отзыва свидетельства об аккредитации удостоверяющих центров, утверждаемыми уполномоченным органом в соответствии с подпунктом 2) пункта 3 статьи 5 Закона Республики Казахстан "Об электронном документе и электронной цифровой подписи".

      Сноска. Глава 2 дополнена пунктом 46-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      47. При доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием цифровых сертификатов.

      Сноска. Пункт 47 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      48. C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования" для объектов информатизации:

      первого класса в соответствии с классификатором – третьего уровня безопасности;

      второго класса в соответствии с классификатором – второго уровня безопасности;

      третьего класса в соответствии с классификатором – первого уровня безопасности.

      49. Для обеспечения доступности и отказоустойчивости владельцами объектов информатизации ЭП обеспечиваются:

      1) наличие резервного собственного или арендованного серверного помещения для объектов информатизации ЭП первого и второго классов в соответствии с классификатором;

      2) резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных, в том числе для объектов информатизации ЭП:

      первого класса в соответствии с классификатором – нагруженное (горячее) в резервном серверном помещении;

      второго класса в соответствии с классификатором – не нагруженное (холодное) в резервном серверном помещении;

      третьего класса в соответствии с классификатором – хранение на складе в непосредственной близости от основного серверного помещения.

      49-1. Интеграция объектов информатизации "электронного правительства" осуществляется в соответствии с Правилами интеграции объектов информатизации "электронного правительства", утвержденными уполномоченным органом в соответствии с подпунктом 13) статьи 7 Закона, и при соблюдении требований информационной безопасности, определяемых профилем защиты и оформляемых договором совместных работ по информационной безопасности государственных и негосударственных информационных систем, и основывается на обеспечении:

      1) единой интеграционной среды – обеспечение технологической возможности межведомственного и ведомственного информационного взаимодействия объектов информатизации;

      2) единовременной интеграции – обеспечение однократного подключения объектов информатизации "электронного правительства" к системе взаимодействия и последующего многократного использования для минимизации финансовых и временных издержек при передаче и получении информации;

      3) единого информационного пространства – обеспечение совместимости и сопоставимости данных при передаче на основе применения стандартных форматов передачи данных.

      Сноска. Глава 2 дополнена пунктом 49-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      50. Объекты информатизации ЭП первого и второго классов в соответствии с классификатором подключаются к системе мониторинга обеспечения ИБ, защиты и безопасного функционирования не позднее одного года после их введения в промышленную эксплуатацию.

      50-1. Собственники или владельцы негосударственных информационных систем, предназначенных для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг, до интеграции с информационными системами государственных органов создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

      Владельцы критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан.

      Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение года со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

      Сноска. Единые требования дополнены пунктом 50-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      50-2. Единая интеграционная среда основывается на выполнении следующих требований:

      1) осуществление интеграции в единую интеграционную среду в соответствии с сервисно-ориентированной архитектурой;

      2) осуществление межгосударственного информационного взаимодействия объектов информатизации нескольких государств посредством национального шлюза Республики Казахстан;

      3) осуществление создания, изменения и удаления данных путем их сопряжения с соответствующими процессами реализации государственных функций и предоставления государственных услуг, инициированными владельцами данных или от их имени;

      4) применение единых подходов и стандартов в обеспечении однозначной идентификации взаимодействующих сторон и объема их прав при осуществлении взаимодействия;

      5) приоритетное осуществление синхронного взаимодействия между объектами информатизации "электронного правительства";

      6) обеспечение использования сведений из хранилища электронных документов и единой системы нормативно-справочной информации шлюза "электронного правительства" в процессе информационного взаимодействия и предоставления государственных услуг;

      7) обеспечение фиксации даты, времени, содержания и участников всех действий и операций, осуществляемых в рамках информационного взаимодействия, а также сведений, позволяющих восстановить историю информационного взаимодействия;

      8) обеспечение технической возможности для доступа к данным, хранящимся в организациях;

      9) обеспечение легитимности и целостности информационного взаимодействия путем подписания запроса и передаваемых данных ЭЦП.

      Сноска. Глава 2 дополнена пунктом 50-2 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      51. ГО, МИО или организация осуществляют мониторинг:

      действий пользователей и персонала;

      использования средств обработки информации.

      Сноска. Пункт 51 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      51-1. Единовременная интеграция основывается на выполнении следующих требований:

      1) осуществление интеграции и предоставления доступа к функциональным возможностям и ЭИР (данным) объектов информатизации на основе набора универсальных сервисов информационного взаимодействия, опубликованных на шлюзе "электронного правительства";

      2) обеспечение многократного использования сервисов информационного взаимодействия путем их включения в реестр сервисов шлюза "электронного правительства";

      3) обеспечение создания сервисов информационного взаимодействия на основании стандартных технологий, форматов и протоколов передачи данных, используемых в Республике Казахстан;

      4) распространение данных посредством единого виртуального источника данных с управлением правами доступа получателей информации;

      5) осуществление разработки нового сервиса информационного взаимодействия в случаях отсутствия аналогичного либо похожего сервиса в регистре сервисов шлюза "электронного правительства";

      6) обеспечение технической возможности для формирования композитных сервисов на основе сервисов информационного взаимодействия;

      7) обеспечение работоспособности шлюза "электронного правительства" в независимости от проводимых технических, административных, организационных и иных изменений объектов информатизации "электронного правительства", подключенных к шлюзу "электронного правительства";

      8) обеспечение возможности независимого развития объекта информатизации "электронного правительства" поставщика информации без необходимости доработки всех связанных потребителей информации путем обеспечения неизменности интерфейсов сервиса информационного взаимодействия.

      Сноска. Глава 2 дополнена пунктом 51-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      52. В ГО, МИО или организации в рамках осуществления мониторинга действий пользователей и персонала:

      1) при выявлении аномальной активности и злоумышленных действий пользователей эти действия:

      регистрируются, блокируются и оперативно оповещается администратор для объектов информатизации ЭП первого класса в соответствии с классификатором;

      регистрируются и блокируются для объектов информатизации ЭП второго класса в соответствии с классификатором;

      регистрируются для объектов информатизации ЭП третьего класса в соответствии с классификатором;

      2) регистрируются и контролируются подразделением ИБ действия обслуживающего персонала.

      Сноска. Пункт 52 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      52-1. Единое информационное пространство основывается на соблюдении требований по управлению данными, в том числе с учетом требований по:

      1) обеспечению совместимости данных в процессе информационного взаимодействия путем синтаксического, семантического и пространственного соответствия передаваемых данных и интерфейсов сервисов информационного взаимодействия;

      2) обеспечению распространения определенного вида данных путем использования эталонных источников информации и их сопоставления в случае использования данных из нескольких источников;

      3) однозначной и уникальной идентификации распространяемых данных;

      4) распространению общедоступных данных в структурированном, машиночитаемом и связанном формате посредством портала открытых данных;

      5) обеспечению возможности подтверждения достоверности и актуальности данных, выявления недостоверных данных, а также информирования заинтересованных участников информационного взаимодействия о случаях выявления недостоверных данных и изменениях, произведенных в процессе ее актуализации;

      6) использованию единой схемы преобразования данных из формата данных потребителя информации к формату данных поставщика информации при взаимодействии объектов информатизации "электронного правительства" с использованием шлюза "электронного правительства".

      Сноска. Глава 2 дополнена пунктом 52-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53. События ИБ, идентифицированные как критические для конфиденциальности, доступности и целостности, по результатам анализа мониторинга событий ИБ и анализа журнала событий:

      1) определяются как инциденты ИБ;

      2) учитываются в каталоге угроз (рисков) ИБ;

      3) регистрируются в службе реагирования на компьютерные инциденты государственной технической службы.

      53-1. При наличии в ИС функции подписания электронных документов пользователю ИС предоставляется возможность выгрузки из ИС электронного документа, как подписанного ЭЦП пользователя, так и иных доступных ему электронных документов вместе со всеми ЭЦП, которыми удостоверены такие электронные документы, с целью получения пользователем ИС возможности проверки подлинности электронного документа без использования данной ИС иными доступными ему способами.

      Сноска. Глава 2 дополнена пунктом 53-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-2. При наличии в ИС функции подписания электронных документов пользователю ИС предоставляется возможность загрузки в ИС ранее подписанного электронного документа вместе со всеми ЭЦП, которыми удостоверен такой электронный документ, в том числе, если такой электронный документ был подписан без использования данной ИС.

      Сноска. Глава 2 дополнена пунктом 53-2 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-3. При наличии в ИС функции работы с электронными документами ИС осуществляет проверку полномочий лица, подписавшего документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утверждаемыми уполномоченным органом согласно подпункту 10) пункта 1 статьи 5 Закона Республики Казахстан "Об электронном документе и электронной цифровой подписи".

      Сноска. Глава 2 дополнена пунктом 53-3 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-4. При наличии в ИС функции работы с электронными документами ИС должна хранить электронные документы в неизменном виде вместе со всеми ЭЦП, которыми они удостоверены, метками времени и информацией о статусе проверки регистрационных свидетельств на отозванность (аннулирование) на момент подписания в течение всего срока хранения электронного документа в ИС.

      Сноска. Глава 2 дополнена пунктом 53-4 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      53-5. При наличии в ИС функции работы с электронными документами ИС должна поддерживать работу со всеми типами хранилищ ключей ЭЦП, поддерживаемыми удостоверяющими центрами, с которыми работает данная ИС.

      Сноска. Глава 2 дополнена пунктом 53-5 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:

      обнаружения и предотвращения вредоносного кода;

      мониторинга и управления инцидентами и событиями ИБ;

      обнаружения и предотвращения вторжений;

      мониторинга и управления информационной инфраструктурой.

      Сноска. Пункт 54 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      54-1. Для защиты объектов информатизации ГО, МИО и критически важных объектов информационно-коммуникационной инфраструктуры применяются системы предотвращения утечки данных (DLP).

      При этом обеспечиваются:

      визуальное уведомление пользователя о проводимом контроле действий;

      размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.

      Сноска. Глава 2 дополнена пунктом 54-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      55. Регистрационные свидетельства Корневого удостоверяющего центра Республики Казахстан подлежат признанию в доверенных списках программных продуктов мировых производителей ПО для целей аутентификации в соответствии со стандартами Республики Казахстан СТ РК ИСО/МЭК 14888-1-2017 "Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения", СТ РК ИСО/МЭК 14888-3-2017 "Методы защиты информации цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате", ГОСТ Р ИСО/МЭК 9594-8-98 "Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации".

      Сноска. Пункт 55 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      56. Удостоверяющие центры Республики Казахстан, за исключением Корневого удостоверяющего центра Республики Казахстан, признаются в доверенных списках программных продуктов мировых производителей ПО путем аккредитации удостоверяющего центра в соответствии с правилами аккредитации удостоверяющих центров.

      Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств.

      56-1. Владелец критически важных объектов информационно-коммуникационной инфраструктуры, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раз в год. Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан.

      Сноска. Единые требования дополнены пунктом 56-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 3. Требования к объектам информатизации
Параграф 1. Требования к электронным информационным ресурсам и интернет-ресурсам

      57. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      58. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      59. Собственник и (или) владелец ИР обеспечивают создание общедоступных ИР на казахском, русском и, по необходимости, на других языках, с возможностью выбора пользователем языка интерфейса.

      60. Создание или развитие ИР осуществляются с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 "Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования", СТ РК 2191-2023 "Информационные технологии. Доступность веб-контента для лиц с инвалидностью", СТ РК 2192-2012 "Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания", СТ РК 2193-2012 "Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений", СТ РК 2199-2012 "Информационные технологии. Требования к безопасности веб-приложений в государственных органах".

      Сноска. Пункт 60 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      61. Подготовка, размещение, актуализация ЭИР на ИР ГО или МИО осуществляются в соответствии с правилами информационного наполнения и требованиями к содержанию ИР ГО, утвержденными уполномоченным органом.

      62. ИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз.

      ЕПИР ГО размещается на ИКП ЭП.

      62-1. Интернет-ресурс с зарегистрированным доменным именем .KZ и (или) .ҚАЗ размещается на аппаратно-программном комплексе, который расположен на территории Республики Казахстан.

      Сноска. Единые требования дополнены пунктом 62-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      62-2. Использование доменных имен .KZ и (или) .ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных интернет-ресурсами осуществляется с применением сертификатов безопасности.

      Сноска. Единые требования дополнены пунктом 62-2 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      63. Управление ИР, размещение и актуализация ЭИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа осуществляются из внешнего контура локальной сети ИКИ ЭП оператором на основании заявки собственника и (или) владельца ИР.

      63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.

      Сноска. Глава 3 дополнена пунктом 63-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      63-2. В объектах информатизации ГО, МИО и организаций не допускается хранение ЭИР, содержащих персональные данные и используемых при автоматизации государственных функций и оказании вытекающих из них государственных услуг, после наступления даты достижения целей их сбора и обработки, собственниками или владельцами которых являются иные субъекты информатизации.

      Сноска. Глава 3 дополнена пунктом 63-2 в соответствии с постановлением Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      64. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      65. ГО или МИО при неиспользовании ЭИР обеспечивает его передачу в архив в порядке, установленном Законом Республики Казахстан "О Национальном архивном фонде и архивах" (далее – Закон об архивах).

      Сноска. Пункт 65- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      66. Для обеспечения ИБ ИР применяются:

      1) регистрационные свидетельства для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ;

      2) система управления содержимым (контентом), выполняющая:

      санкционирование операций размещения, изменения и удаления ЭИР;

      регистрацию авторства при размещении, изменении и удалении ЭИР;

      проверку загружаемого ЭИР на наличие вредоносного кода;

      аудит безопасности исполняемого кода и скриптов;

      контроль целостности размещенного ЭИР;

      ведение журнала изменений ЭИР;

      мониторинг аномальной активности пользователей и программных роботов.

Параграф 2. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению

      67. На стадии инициирования создания или развития прикладного ПО определяется и фиксируется в проектной документации класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона.

      68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями стандарта Республики Казахстан СТ РК 34.015-2002 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации "электронного правительства", утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с подпунктом 20) статьи 7 Закона.

      Сноска. Пункт 68 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      69. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      69-1. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      70. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом требований настоящих ЕТ.

      71. Приобретение готового прикладного ПО осуществляется с учетом приоритета СПО при условии идентичности его характеристик с коммерческим ПО.

      72. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР.

      73. Разрабатываемое или приобретаемое готовое прикладное ПО:

      1) обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса;

      2) учитывает требования:

      надежности;

      сопровождаемости;

      удобства использования;

      эффективности;

      универсальности;

      функциональности;

      кроссплатформенности;

      3) обеспечивает полнофункциональную поддержку технологии виртуализации;

      4) поддерживает кластеризацию;

      5) обеспечивается технической документацией по эксплуатации на казахском и русском языках.

      74. Создание и развитие или приобретение ПО обеспечиваются технической поддержкой и сопровождением.

      Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями ТД ИБ.

      Сноска. Пункт 74 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      75. Процесс создания и развития прикладного ПО:

      1) предусматривает:

      создание информационной базы алгоритмов, исходных текстов и программных средств;

      испытание и тестирование программных модулей;

      типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость;

      использование лицензионных инструментальных средств разработки;

      2) включает процедуры приемки прикладного ПО, предусматривающие:

      передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу;

      контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО;

      выполнение контрольного примера на данной версии ПО.

      Сноска. Пункт 14 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      76. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников подразделения информационных технологий ГО, МИО или организаций.

      Сноска. Пункт 76 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      77. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      78. С целью обеспечения ИБ:

      1) на этапе разработки ПО учитываются рекомендации стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";

      2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:

      идентификации и аутентификации пользователей, при необходимости цифровых сертификатов;

      управления доступом;

      контроля целостности;

      журналирования действий пользователей, влияющих на ИБ;

      защиты онлайновых транзакций;

      криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;

      журналирования критичных событий ПО;

      3) в ТД ИБ определяются и применяются при эксплуатации:

      правила установки, обновления и удаления ПО на серверах и рабочих станциях;

      процедуры управления изменениями и анализа прикладного ПО, в случае изменения системного ПО;

      4) лицензируемое ПО используется и приобретается только при условии наличия лицензии.

      Сноска. Пункт 78 с изменением, внесенным постановлением Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      79. Мероприятия по контролю правомерности использования ПО определяются в ТД ИБ, проводятся не реже одного раза в год и включают в себя:

      определение фактически используемого ПО;

      определение прав на использование ПО;

      сравнение фактически используемого ПО и имеющихся лицензий.

      80. Прикладное ПО выполняет проверки подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утвержденными уполномоченным органом в соответствии с подпунктом 10) пункта 1 статьи 5 Закона Республики Казахстан "Об электронном документе и электронной цифровой подписи".

      Сноска. Пункт 80- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 3. Требования к информационно-коммуникационной инфраструктуре

      81. Требования к ИКИ формируются с учетом объектов, входящих в ее состав, согласно подпункту 25) статьи 1 Закона.

      82. ЕТ устанавливает требования к следующим объектам ИКИ:

      1) информационная система;

      2) технологическая платформа;

      3) аппаратно-программный комплекс;

      4) сети телекоммуникаций;

      5) системы бесперебойного функционирования технических средств и информационной безопасности;

      6) серверное помещение (центр обработки данных).

      Сноска. Пункт 82 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 4. Требования к информационной системе

      83. Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в объектах информационно-коммуникационной инфраструктуры "электронного правительства" определяются статьей 42 Закона.

      Сноска. Пункт 83 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      84. Перед началом опытной эксплуатации разработчиком:

      1) для всех функциональных компонентов ИС создается набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;

      2) осуществляются стендовые испытания ИС;

      3) осуществляется для персонала:

      ИС ГО или МИО первого класса в соответствии с классификатором обязательное обучение;

      ИС ГО или МИО второго класса в соответствии с классификатором создание видео,- мультимедиа обучающих материалов;

      ИС ГО или МИО третьего класса в соответствии с классификатором создание справочной системы и (или) инструкций по эксплуатации.

      85. Опытная эксплуатация ИС ГО или МИО включает:

      документирование процедур проведения опытной эксплуатации;

      оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;

      оформление акта о завершении опытной эксплуатации ИС;

      срок проведения опытной эксплуатации не должен превышать один год.

      Сноска. Пункт 85 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      85-1. Внедрение объекта информатизации "электронного правительства" осуществляется в соответствии с действующими на территории Республики Казахстан стандартами.

      Сноска. Единые требования дополнены пунктом 85-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      86. Перед вводом в промышленную эксплуатацию ИС в ГО, МИО или организации определяются, согласовываются, документально оформляются критерии приемки созданной ИС или новых версий и обновлений ИС.

      Сноска. Пункт 86 в редакции постановления Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      87. Ввод в промышленную эксплуатацию ИС ГО, МИО и организаций осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченных органов в сферах информатизации и обеспечения информационной безопасности, заинтересованных ГО, МИО и организаций.

      Сноска. Пункт 87 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      87-1. Испытания на соответствие требованиям информационной безопасности проводятся в соответствии со статьей 49 Закона.

      Сноска. Единые требования дополнены пунктом 87-1 в соответствии с постановлением Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      88. Ввод в промышленную эксплуатацию объекта информатизации "электронного правительства" осуществляется его собственником или владельцем только с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория "электронного правительства".

      Сноска. Пункт 88 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      89. При промышленной эксплуатации ИС ГО или МИО обеспечиваются:

      1) сохранность, защита, восстановление ЭИР в случае сбоя или повреждения;

      2) резервное копирование и контроль за своевременной актуализацией ЭИР;

      3) автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к ИС ГО или МИО;

      4) фиксация изменений в конфигурационных настройках ПО, серверного и телекоммуникационного оборудования;

      5) контроль и регулирование функциональных характеристик производительности;

      6) сопровождение ИС;

      7) техническая поддержка используемого лицензионного ПО ИС;

      8) гарантийное обслуживание разработчиком ИС, включающее устранение ошибок и недочетов ИС, выявленных в период гарантийного срока (Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию ИС);

      9) подключение пользователей к ИС, а также взаимодействие ИС осуществляется с использованием доменных имен;

      10) системно-техническое обслуживание;

      11) сокращение (исключение) использования документов на бумажном носителе, а также требований по их представлению при осуществлении государственных функций и оказании государственных услуг.

      Сноска. Пункт 89- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      90. Интеграция ИС ГО или МИО, в том числе с ИС ГО и МИО, находящейся в опытной эксплуатации, осуществляется в соответствии с требованиями, определенными статьей 43 Закона.

      Интеграция негосударственной ИС с ИС ГО или МИО осуществляется в соответствии с требованиями, определенными статьей 44 Закона.

      90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:

      1) регистрация и проверка источников (точек подключений) запросов на легитимность;

      2) проверка легитимности запросов по:

      паролю или ЭЦП;

      точке подключения;

      наличию блокировки соединения;

      разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;

      разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;

      наличию в запросах признаков нарушений информационной безопасности;

      наличию вредоносного кода по сигнатурам;

      3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:

      отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;

      превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;

      наличии в запросах признаков нарушений информационной безопасности;

      превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;

      выявлении аномальной активности пользователей;

      выявлении попыток выгрузки массивов данных;

      4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;

      5) замена логина соединения при выявлении инцидентов ИБ;

      6) сокрытие адресации ЛС внутреннего контура;

      7) журналирование событий, включающее:

      регистрацию событий передачи/приема информационных сообщений;

      регистрацию событий передачи/ получения файлов;

      регистрацию событий передачи/получения служебных сообщений;

      применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;

      автоматизацию процедур анализа журналов событий на наличие событий ИБ;

      хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;

      раздельное ведение журналов событий (при необходимости) по:

      а) текущим суткам;

      б) соединению (каналу связи);

      в) государственному органу (юридическому лицу);

      г) интегрируемым объектам информатизации;

      8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;

      9) программно-аппаратная криптографическая защита соединений, осуществляемых через сети передачи данных;

      10) хранение и передача паролей соединений в зашифрованном виде;

      11) автоматизация оповещения об инцидентах ИБ ответственных лиц интегрируемых объектов информатизации.

      Сноска. Глава 3 дополнена пунктом 90-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      91. Гарантийное обслуживание ИС на этапе промышленной эксплуатации с привлечением сторонних организаций требует:

      регламентации вопросов ИБ в соглашениях на гарантийное обслуживание;

      управления рисками ИКТ в процессе гарантийного обслуживания.

      92. Управление программно-аппаратным обеспечением ИС ГО и МИО осуществляется из ЛС внутреннего контура владельца ИС.

      Программно-аппаратное обеспечение ИС ГО или МИО и негосударственных ИС, интегрируемых с ИС ГО или МИО, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом, осуществляемым с использованием национального шлюза, в рамках международных договоров, ратифицированных Республикой Казахстан.

      Сноска. Пункт 92 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-1. Для организации работы ИС ГО и МИО допускается использование облачных сервисов (аппаратно-программные комплексы, ИС, предоставляющие ресурсы с использованием технологии виртуализации), центры управления и сервера которых физически размещены на территории Республики Казахстан.

      Сноска. Глава 3 дополнена пунктом 92-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-2. Программно-аппаратное обеспечение ИС критически важных объектов информационно-коммуникационной инфраструктуры, содержащее персональные данные граждан Республики Казахстана, размещается на территории Республики Казахстан.

      Сноска. Глава 3 дополнена пунктом 92-2 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-3. Собственники и владельцы информационных систем государственного органа создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

      Сноска. Единые требования дополнены пунктом 92-3 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      92-4. Собственники, владельцы и пользователи ИС ГО и МИО осуществляют наполнение, обеспечивают достоверность и актуальность ЭИР.

      Сноска. Единые требования дополнены пунктом 92-4 в соответствии с постановлением Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      93. Собственник или владелец ИС ГО или МИО принимает решение о прекращении эксплуатации ИС в случае отсутствия необходимости ее дальнейшего использования.

      О прекращении эксплуатации ИС ГО или МИО необходимо уведомить сервисного интегратора, с публикацией на архитектурном портале "электронного правительства" субъектов информатизации, чьи ИС интегрированы со снимаемой с эксплуатации ИС ГО или МИО, и ГО или МИО, являющихся пользователями данной ИС.

      94. ГО или МИО составляет план снятия ИС ГО или МИО с эксплуатации и согласовывает его с ГО или МИО, являющимися пользователями ИС ГО или МИО.

      95. После снятия с эксплуатации объекта информатизации "электронного правительства" электронные информационные ресурсы, техническая документация и исходные программные коды подлежат передаче в архив в соответствии с законодательством Республики Казахстан.

      Сноска. Пункт 95 - в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      96. При поступлении заявки на прекращение эксплуатации ИС ГО или МИО сервисный интегратор аннулирует электронное свидетельство о регистрации ИС ГО или МИО и размещает соответствующие сведения на архитектурном портале "электронного правительства".

      97. Списание и (или) утилизация снятой с эксплуатации ИС ГО или МИО осуществляются в соответствии с законодательством Республики Казахстан о бухгалтерском учете и финансовой отчетности.

      В случае, если эксплуатация ИС ГО или МИО прекращена, но ИС ГО или МИО не списана в установленном порядке, то ИС ГО или МИО считается находящейся в консервации.

      После списания ИС ГО или МИО не используется.

      98. Для обеспечения ИБ:

      1) на стадиях стендовых, приемо-сдаточных испытаний и тестовой эксплуатации осуществляются:

      тестирование ПО ИС на основе разработанных комплексов тестов, настроенных на конкретные классы программ;

      натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование);

      тестирование ПО ИС с целью выявления возможных дефектов;

      стендовые испытания ПО ИС для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности;

      выявление и устранение уязвимостей программного и аппаратного обеспечения;

      отработка средств защиты от несанкционированного воздействия;

      2) перед вводом ИС в опытную эксплуатацию требуется предусмотреть:

      контроль неблагоприятного влияния новой ИС на функционирующие ИС и компоненты ИКИ ЭП, особенно во время максимальных нагрузок;

      анализ влияния новой ИС на состояние ИБ ИКИ ЭП;

      организацию подготовки персонала к эксплуатации новой ИС;

      3) осуществляется разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования:

      перевод ИС из фазы разработки в фазу тестирования фиксируется и документально оформляется;

      перевод ИС из фазы тестирования в фазу опытной эксплуатации фиксируется и документально оформляется;

      перевод ИС из фазы опытной эксплуатации в этап промышленной эксплуатации фиксируется и документально оформляется;

      инструментальные средства разработки и испытываемое ПО ИС размещаются в разных доменах;

      компиляторы, редакторы и другие инструментальные средства разработки в среде эксплуатации не размещаются или недоступны для использования из среды эксплуатации;

      среда испытаний ИС соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры;

      для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации;

      не подлежат копированию данные из ИС, находящихся в промышленной эксплуатации, в испытательную среду;

      4) при выводе из эксплуатации ИС обеспечиваются:

      архивирование информации, содержащейся в ИС;

      уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей с оформлением соответствующего акта.

      98-1. На информационную систему критически важных объектов ИКИ также распространяются требования стандарта Республики Казахстан СТ РК IEC/PAS 62443-3-2017 "Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления.

      Сноска. Единые требования дополнены пунктом 98-1 в соответствии с постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 5. Требования к технологической платформе

      99. Выбор технологической платформы осуществляется с учетом приоритета оборудования с возможностью поддержки технологии виртуализации.

      Сноска. Пункт 99 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      100. При выборе оборудования, реализующего технологию виртуализации, учитывается необходимость обеспечения следующей функциональности:

      1) декомпозиции:

      вычислительные ресурсы распределяются между виртуальными машинами;

      множество приложений и операционных систем сосуществуют на одной физической вычислительной системе;

      2) изоляции:

      виртуальные машины полностью изолированы друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные;

      данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений;

      3) совместимости:

      приложениям и ОС предоставляются вычислительные ресурсы оборудования, реализующего технологию виртуализации.

      101. ИКП ЭП размещается на оборудовании, расположенном в серверном центре ГО.

      Сноска. Пункт 101 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      101-1. Промышленная эксплуатация ИКП ЭП допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.

      Сноска. Глава 3 дополнена пунктом 101-1 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      102. Для обеспечения ИБ при использовании технологии виртуализации реализуются:

      1) управление идентификацией, требующее:

      аутентификацию клиентов ИК-услуг и привилегированных пользователей;

      федеративной идентификации пользователей в пределах одной технологической платформы;

      сохранения информации об аутентификации после удаления идентификатора пользователя;

      применения средств контроля процедур назначения профилей полномочий пользователя;

      2) управление доступом, требующее:

      разделения полномочий администратора ИС и администратора среды виртуализации;

      ограничения прав доступа администратора среды виртуализации к данным пользователя ИК-услуги. Права доступа ограничиваются конкретными процедурами, определенными в ТД ИБ и сервисном соглашении об обслуживании, и подлежат регулярной актуализации;

      применения многофакторной аутентификации для привилегированных и критичных операций;

      ограничения использования ролей со всеми полномочиями. Настройки профиля администратора ИС исключают получение доступа к компонентам среды виртуализации;

      определения минимальных привилегий и реализацию модели ролевого управления доступом;

      удаленного доступа посредством защищенного шлюза или списка разрешенных сетевых адресов отправителей;

      3) управление ключами шифрования, требующее:

      контроля ограничения доступа к данным о ключах шифрования СКЗИ;

      контроля над организацией корневого каталога и подписки ключей;

      блокирования скомпрометированных ключей и их надежного уничтожения;

      4) проведение аудита событий ИБ, требующее:

      обязательности и регулярности процедур, определяемых в ТД ИБ;

      проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;

      ведения журнала регистрации событий и хранения в недоступной для администратора системе хранения;

      проверки правильности работы системы ведения журнала регистрации событий;

      определения длительности хранения журналов регистрации событий в ТД ИБ;

      5) регистрация событий ИБ, требующая:

      журналирования действий администраторов;

      применения системы мониторинга инцидентов и событий ИБ;

      оповещения на основе автоматического распознавания критического события или инцидента ИБ;

      6) управление инцидентами ИБ, требующее:

      определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты ИБ с актуализацией раз в полугодие;

      составления отчетов с периодичностью, определенной в ТД ИБ, по результатам обнаружения, выявления, оценки и реагирования на инциденты ИБ;

      уведомления ответственных лиц ГО, МИО или организации об инцидентах ИБ;

      передачи информации об инцидентах ИБ в Национальный координационный центр информационной безопасности;

      7) применение защитных мер аппаратных и программных компонентов инфраструктуры среды виртуализации, осуществляющих:

      физическое отключение или блокирование неиспользуемых физических устройств (съемных накопителей, сетевых интерфейсов);

      отключение неиспользуемых виртуальных устройств и сервисов;

      мониторинг взаимодействия между гостевыми операционными системами;

      контроль сопоставления виртуальных устройств физическим;

      применение сертифицированных гипервизоров;

      8) разделение сред эксплуатации от сред разработки и тестирования;

      9) определение в ТД ИБ процедур управления изменениями для объектов информатизации;

      10) определение в ТД ИБ процедур восстановления после сбоев и отказов оборудования и ПО;

      11) исполнение процедур сетевого и системного администрирования, требующее:

      обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур;

      отделения аппаратной платформы от операционной системы виртуальной машины c целью исключения доступа внешних пользователей к аппаратной части;

      логической изоляции между различными функциональными областями инфраструктуры среды виртуализации.

      Сноска. Пункт 102 с изменениями, внесенными постановлением Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 6. Требования к аппаратно-программному комплексу

      103. Требования к конфигурации серверного оборудования АПК определяются в техническом задании на создание или развитие ИС и (или) технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      104. Выбор типовой конфигурации серверного оборудования АПК осуществляется с учетом обеспечения приоритета серверов:

      1) с многопроцессорной архитектурой;

      2) позволяющих масштабировать ресурсы и увеличивать производительность;

      3) поддерживающих технологию виртуализации;

      4) включающих средства управления, изменения и перераспределения ресурсов;

      5) совместимых с используемой информационно-коммуникационной инфраструктурой.

      105. Для обеспечения высокой доступности сервера применяются встроенные системы:

      1) горячей замены резервных вентиляторов, блоков питания, дисков и адаптеров ввода-вывода;

      2) динамической очистки и перераспределения страниц памяти;

      3) динамического перераспределения процессоров;

      4) оповещения о критических событиях;

      5) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.

      106. Приобретаемое серверное оборудование обеспечивается технической поддержкой от производителя. Снимаемое с производства серверное оборудование не подлежит приобретению.

      107. С целью обеспечения ИБ на регулярной основе, определенной в НТД ИБ, осуществляется инвентаризация серверного оборудования с проверкой его конфигурации.

      108. Для обеспечения безопасности и качества обслуживания с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан, серверное оборудование АПК объектов информатизации ГО и МИО:

      первого класса – размещается только в серверном центре ГО;

      второго класса – размещается в серверном центре ГО, серверном помещении ГО и МИО или привлекаемого юридического лица, оборудованными в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.

      Сноска. Пункт 108 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      108-1. Для обеспечения доступности и отказоустойчивости АПК объектов информатизации ГО и МИО резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных осуществляется с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан для объектов информатизации первого и второго классов в резервном серверном помещении ГО, МИО или привлекаемого юридического лица, оборудованном в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.

      Сноска. Единые требования дополнены пунктом 108-1 в соответствии с постановлением Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      109. Требования к системам хранения данных определяются в техническом задании на создание или развитие ИС и (или) технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      110. Система хранения данных обеспечивает поддержку:

      единых средств для репликации данных;

      масштабируемости по объему хранения данных.

      111. Для высоконагруженных ИС, требующих высокой доступности, применяются:

      1) сети хранения данных;

      2) системы хранения данных, поддерживающие систему виртуализации и (или) ярусного хранения данных.

      112. Для обеспечения высокой доступности системы хранения данных включают встроенные системы:

      1) горячей замены резервных вентиляторов и блоков питания;

      2) горячей замены дисков и адаптеров ввода-вывода;

      3) оповещения о критических событиях;

      4) активных контроллеров (в количестве не менее двух);

      5) интерфейсов сети хранения данных (в количестве не менее двух портов на контроллер);

      6) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.

      113. Система хранения данных обеспечивается системой резервного копирования.

      114. Для обеспечения ИБ, надежного хранения и возможности восстановления данных:

      1) применяется криптографическая защита хранимой служебной информации ограниченного распространения, информации конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа с использованием СКЗИ, в соответствии с пунктом 48 настоящих ЕТ;

      2) используется выделенный сервер для защищенного хранения ключей шифрования по уровню безопасности не ниже уровня безопасности, используемых СКЗИ, установленного для криптографических ключей в правилах использования криптографических средств защиты информации;

      3) обеспечивается запись и испытание резервных копий в соответствии с регламентом резервного копирования, определенным в ТД ИБ.

      115. При выводе из эксплуатации носителей информации, используемых в конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяется программное и аппаратное обеспечение гарантированного уничтожения информации.

      116. При выборе системного ПО серверного оборудования и рабочих станций учитываются:

      1) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      2) соответствие типу операционных систем (клиентской или серверной);

      3) совместимость с используемым прикладным ПО;

      4) поддержка сетевых сервисов, функционирующих в сети телекоммуникаций;

      5) поддержка многозадачности;

      6) наличие штатных средств получения и установки критичных обновлений и обновлений безопасности выпускаемых производителем операционных систем;

      7) наличие средств диагностики, аудита и ведение журнала событий;

      8) поддержка технологий виртуализации.

      Сноска. Пункт 116 с изменениями, внесенными постановлениями Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      116-1. Служащие ГО и МИО получают доступ с рабочей станции к "Цифровому рабочему месту служащего", предназначенному для обеспечения единого интерфейса и доступа ко всем системам и сервисам (компонентам, программным продуктам) "электронного правительства".

      Сноска. Глава 3 дополнена пунктом 116-1 в соответствии с постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      117. Приобретение системного ПО осуществляется с учетом приоритета:

      1) модели лицензирования, обеспечивающей снижение стоимости закупки, а также совокупной стоимости лицензии за период эксплуатации;

      2) ПО, обеспеченного технической поддержкой и сопровождением.

      118. С целью обеспечения ИБ системное ПО обеспечивает возможность:

      1) контроля доступа с применением:

      идентификации, аутентификации и управления паролями пользователей;

      регистрации успешных и неудавшихся доступов;

      регистрации использования системных привилегий;

      ограничения времени соединения, при необходимости, и блокировки сеанса по превышению лимита времени;

      2) исключения для пользователей и ограничения для администраторов использования системных утилит, способных обходить средства контроля операционной системы.

      119. СПО распространяется безвозмездно, без лицензионных ограничений, препятствующих использованию в ГО с соблюдением требований законодательства об авторском праве.

      120. СПО предоставляется с открытым исходным кодом.

      121. Используемое в ГО СПО дорабатывается с учетом поддержки форматов информационного взаимодействия через ШЭП.

      122. Для обеспечения ИБ при применении СПО:

      к использованию допускается СПО, поддерживаемое сообществом разработчиков СПО или прошедшее экспертизу и сертификацию программного кода;

      сохраняются применявшиеся версии СПО.

Параграф 7. Требования к сетям телекоммуникаций

      123. Ведомственные (корпоративные) сети телекоммуникаций организуются путем объединения локальных сетей, принадлежащих одному собственнику, посредством выделенных собственных или арендованных каналов связи.

      Выделенные каналы связи, предназначенные для объединения локальных сетей, организовываются с использованием протоколов канального и сетевого уровней.

      124. При организации ведомственной (корпоративной) сети путем объединения нескольких локальных сетей применяется радиальная или радиально-узловая топология сети. В узловых точках выделенные каналы подключаются к одному пограничному шлюзу. Каскадное (последовательное) подключение локальных сетей не используется.

      125. При проектировании создается и при эксплуатации поддерживается в актуальном состоянии документированная схема ведомственной (корпоративной) сети телекоммуникаций.

      126. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      127. Исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      128. В целях обеспечения ИБ выделенного канала связи:

      1) применяются программно-технические средства защиты информации, в том числе криптографического шифрования, с использованием СКЗИ;

      2) подключаются к локальной сети посредством пограничного шлюза с прописанными правилами маршрутизации и политиками безопасности. Пограничный шлюз обеспечивает следующий минимальный набор функций:

      централизованную авторизацию узлов сети;

      конфигурацию уровней привилегий администраторов;

      протоколирование действий администраторов;

      статическую трансляцию сетевых адресов;

      защиту от сетевых атак;

      контроль состояния физических и логических портов;

      фильтрацию входящих и исходящих пакетов на каждом интерфейсе;

      криптографическую защиту передаваемого трафика с использованием СКЗИ;

      3) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей СИ между собой используются:

      средства разделения и изоляции информационных потоков;

      оборудование с компонентами, обеспечивающими ИБ и безопасное управление;

      выделенные и интегрированные с оборудованием доступа межсетевые экраны, установленные в каждой точке подключения, с целью защиты периметра ЕТС ГО;

      4) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ ГО государственные юридические лица, субъекты квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ, за исключением объектов среднего образования сельских населенных пунктов, использующих спутниковые (космические) каналы связи для доступа к Интернету, используют услуги оператора или другого оператора связи, имеющего зарезервированные каналы связи на оборудовании ЕШДИ.

      Подключение ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ осуществляется в соответствии с Правилами функционирования единого шлюза доступа к Интернету, утвержденными уполномоченным органом в сфере обеспечения информационной безопасности;

      5) служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ для осуществления оперативного информационного обмена в электронной форме при исполнении ими служебных обязанностей используют:

      ведомственную электронную почту, службу мгновенных сообщений и иные сервисы;

      электронную почту, службу мгновенных сообщений и иные сервисы, центры управления и серверы которых физически размещены на территории Республики Казахстан, если иное не установлено уполномоченным органом;

      доступные облачные онлайн-сервисы видеоконференцсвязи в целях коммуникаций с иностранными физическими и юридическими лицами;

      6) взаимодействие ведомственной электронной почты ГО и МИО с внешними электронными почтовыми системами осуществляется только через единый шлюз электронной почты;

      7) служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ, за исключением объектов среднего образования сельских населенных пунктов, использующих спутниковые (космические) каналы связи для доступа к Интернету, осуществляют доступ к ИР из ЛС внешнего контура только через ЕШДИ с использованием веб-обозревателя, являющегося СПО и соответствующего требованиям Правил функционирования ЕШДИ, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности;

      8) служащими ГО, МИО и работниками государственных юридических лиц доступ к интернет-ресурсам осуществляется посредством интернет-браузера, дистрибутив которого имеет предустановленные регистрационные свидетельства национального удостоверяющего центра Республики Казахстан и корневого удостоверяющего центра Республики Казахстан.

      Сноска. Пункт 128 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      129. Подключение СИ к ЕТС ГО осуществляется в соответствии с Правилами подключения к ЕТС ГО и предоставления доступа к интранет-ресурсу через ЕТС ГО, определяемыми уполномоченным органом.

      Оператор по заявкам СИ осуществляет:

      распределение, регистрацию и перерегистрацию IP-адресов локальных сетей СИ, подключенных к ЕТС ГО, по заявкам СИ;

      регистрацию доменных имен в доменных зонах Интернета gov.kz и мем.қаз по заявкам СИ;

      регистрацию доменных имен в сети ЕТС ГО по заявкам СИ;

      предоставление сервиса DNS в сети ЕТС ГО.

      Сноска. Пункт 129 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      130. В ГО или МИО допускается применение устройств для организации беспроводного доступа только к общедоступным ЭИР "электронного правительства" и местах, разрешенных для пребывания посетителей ГО или МИО в "гостевой зоне".

      131. Не допускается подключение к ЕТС ГО, локальной сети СИ, а также техническим средствам, входящим в состав ЕТС ГО, локальной сети СИ, устройств для организации удаленного доступа посредством беспроводных сетей, беспроводного доступа, модемов, радиомодемов, модемов сетей операторов сотовой связи, абонентских устройств сотовой связи и других беспроводных сетевых устройств, за исключением организованных оператором ИКИ ЭП беспроводных каналов связи ЕТС ГО, с использованием СКЗИ в соответствии с пунктом 48 настоящих ЕТ.

      Сноска. Пункт 131 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      131-1. Необходимо осуществлять контроль подключения абонентских устройств сотовой связи, модемов сетей операторов сотовой связи, а также электронных носителей информации, не разрешенных политикой ИБ, принятой в ГО или МИО.

      Сноска. Единые требования дополнены пунктом 131-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      132. Оператор ИКИ ЭП по заявкам СИ осуществляет:

      распределение, регистрацию и перерегистрацию IP-адресов локальных сетей СИ, подключенных к ЕТС ГО, по заявкам СИ;

      регистрацию доменных имен в доменных зонах Интернета gov.kz и мем.қаз по заявкам СИ;

      регистрацию доменных имен в сети ЕТС ГО по заявкам СИ;

      предоставление сервиса DNS в сети ЕТС ГО.

      Сноска. Пункт 132 - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      133. ГО и МИО ежегодно:

      1) запрашивают у государственной технической службы перечень используемых на оборудовании ЕШДИ категорий интернет-ресурсов;

      2) выбирают из вышеуказанного перечня категории интернет-ресурсов, доступ к которым разрешается для служащих ГО и МИО средствами ЕШДИ, и составляют их список;

      3) направляют в государственную техническую службу вышеуказанный список и списки сетевых адресов информационно-коммуникационных сетей ГО и их территориальных подразделений, МИО, получающих доступ к Интернету, для применения на оборудовании ЕШДИ;

      4) направляют в государственную техническую службу, в случае производственной необходимости организации VPN-каналов, техническую информацию по требуемым VPN-каналам (IP-адреса источника и назначения, порты, протокол), согласованную с уполномоченным органом в сфере обеспечения информационной безопасности.

      Сноска. Пункт 133 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      133-1. Не допускаются установка и применение на объектах информатизации, размещенных в ЛС внешнего контура ГО или МИО, программных или технических средств для удаленного управления ими извне ЛС внешнего контура ГО или МИО.

      Сноска. Единые требования дополнены пунктом 133-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      134. Исключен постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      134-1. Государственная техническая служба применяет на оборудовании ЕШДИ политику блокировки следующих категорий ИР и ПО (по умолчанию):

      VPN;

      удаленный доступ;

      p2p;

      игровые ресурсы;

      неизвестные приложения, не входящие по умолчанию в перечень категорий ИР и ПО;

      вредоносные ИР и ПО.

      Сноска. Единые требования дополнены пунктом 134-1 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      134-2. Возможность разблокировки отдельных категорий ИР и ПО, указанных в пункте 134-1, рассматривается государственной технической службой на основании официального запроса, поступившего от ГО, МИО, государственных организаций, субъектов квазигосударственного сектора, а также владельцев критически важных объектов ИКИ.

      Сноска. Единые требования дополнены пунктом 134-2 в соответствии с постановлением Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      135. Требования к создаваемой или развиваемой локальной сети определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

      При проектировании кабельной системы локальной сети необходимо соблюдать требования государственного норматива СН РК 3.02-17-2011 "Структурированные кабельные сети. Нормы проектирования".

      136. При проектировании создается документированная схема локальной сети, которая поддерживается в актуальном состоянии при эксплуатации.

      137. Все элементы кабельной системы подлежат маркировке в соответствии с требованиями пункта 13.1.5 Государственного норматива СН РК 3.02-17-2011 "Структурированные кабельные сети. Нормы проектирования".

      Все кабельные соединения регистрируются в журнале учета кабельных соединений.

      138. Активное оборудование локальных сетей обеспечивается электропитанием от источников бесперебойного питания.

      139. Для обеспечения ИБ локальных сетей:

      1) неиспользуемые порты кабельной системы локальной сети физически отключаются от активного оборудования;

      2) разрабатывается и утверждается ТД ИБ, включающая правила:

      использования сетей и сетевых услуг;

      подключения к международным (территориальным) сетям передачи данных;

      подключения к Интернету и (или) сетям телекоммуникаций, сетям связи, имеющим выход в международные (территориальные) сети передачи данных;

      использования беспроводного доступа к сетевым ресурсам;

      3) служебная информация ограниченного распространения, информация конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, не передается по незащищенным проводным каналам связи и радиоканалам, не оборудованным соответствующими СКЗИ.

      Передача служебной информации ограниченного распространения производится с соблюдением специальных требований по защите информации ограниченного распространения в соответствии с Правилами отнесения сведений к служебной информации ограниченного распространения и работы с ней, установленными Правительством Республики Казахстан;

      4) применяются средства:

      идентификации, аутентификации и управления доступом пользователей;

      идентификации оборудования;

      защиты диагностических и конфигурационных портов;

      физического сегментирования локальной сети;

      логического сегментирования локальной сети;

      управления сетевыми соединениями;

      межсетевого экранирования;

      сокрытия внутреннего адресного пространства локальной сети;

      контроля целостности данных, сообщений и конфигураций;

      криптографической защиты информации в соответствии с пунктом 26 настоящих ЕТ;

      физической защиты каналов передачи данных и сетевого оборудования;

      регистрации событий ИБ;

      мониторинга и анализа сетевого трафика;

      управления сетью;

      5) осуществляется взаимодействие локальных сетей ГО, а также МИО между собой только через ЕТС ГО, за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;

      6) осуществляется взаимодействие локальных сетей центрального исполнительного государственного органа и его территориальных подразделений между собой только через ЕТС ГО, за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;

      7) исключаются сопряжения ЛС внутреннего контура и ЛС внешнего контура СИ между собой, за исключением организованных каналов связи с использованием СКЗИ, в соответствии с пунктом 48 настоящих ЕТ для учреждений Республики Казахстан, находящихся за границей или организованных с применением экранированной подсети;

      8) исключается подключение ЛС внутреннего контура СИ к Интернету;

      9) осуществляется соединение ЛС внешнего контура СИ с Интернетом только через ЕШДИ. Подключение к Интернету иным способом не допускается, за исключением объектов среднего образования сельских населенных пунктов, использующих спутниковые (космические) каналы связи для доступа к Интернету, специальных и правоохранительных ГО в оперативных целях. Взаимодействие ВШЭП с Интернетом осуществляется через ЕШДИ;

      10) размещаются ИС СИ, реализующие информационное взаимодействие через Интернет, в выделенном сегменте ЛС внешнего контура СИ и осуществляется взаимодействие с ИС СИ, размещенными в локальной сети внутреннего контура СИ, через ВШЭП, за исключением случаев применения экранированной подсети;

      10-1) при использовании в ЛС внутреннего контура объектов информатизации, размещенных в Интернете, или ЛС внешнего контура ГО, МИО или организации, которые не подключены посредством ВШЭП, используется экранированная подсеть, соответствующая следующим требованиям:

      подсеть ограничена со стороны Интернета и ЛС внутреннего контура отдельными межсетевыми экранами с функциями обнаружения и предотвращения вторжений, а также преобразования внешних сетевых адресов для сокрытия внутренних сетевых адресов;

      все подключения из ЛС внешнего контура, Интернета и ЛС внутреннего контура осуществляются исключительно на компьютер, размещенный вне экранированной подсети, который выполняет обработку сетевого трафика на всех уровнях сетевых протоколов, включая прикладной уровень без возможности перенаправления сетевого трафика по иному маршруту, отличающемуся от изначального;

      не допускается сохранение запросов и ответов, а также свободное использование на рабочих станциях доступов к общедоступным ресурсам Интернета через прокси-сервер;

      11) осуществляется информационное взаимодействие ИС, размещенных в Интернете, с ИС СИ, размещенными в локальной сети внутреннего контура СИ, только через ВШЭП, за исключением случаев применения экранированной подсети;

      12) серверы инфраструктуры источника времени верхнего уровня синхронизируются с эталоном времени и частоты, воспроизводящим национальную шкалу всемирного координированного времени UTC(kz).

      Серверы инфраструктуры точного времени синхронизируются с сервером инфраструктуры точного времени верхнего уровня.

      Серверы инфраструктуры точного времени предоставляют доступ клиентам для синхронизации времени;

      13) отключаются открытые неиспользуемые сетевые порты.

      Сноска. Пункт 139 - в редакции постановления Правительства РК от 10.02.2023 № 112 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      140. Требования, предусмотренные в подпунктах 10), 11) пункта 139 ЕТ, не предъявляются к ИС ГО и МИО, введенным в промышленную эксплуатацию до 1 января 2016 года и не подлежащим развитию до 1 января 2018 года.

      Порядок информационного взаимодействия данных ИС ГО или МИО с негосударственными ИС определяется Правилами интеграции объектов информатизации "электронного правительства", утвержденными уполномоченным органом в сфере информатизации в соответствии с подпунктом 13) статьи 7 Закона.

      Сноска. Пункт 140 в редакции постановления Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 8. Требования к системам бесперебойного функционирования технических средств и информационной безопасности, а также серверным помещениям (центрам обработки данных)

      Сноска. Заголовок параграфа 8 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      141. Серверное оборудование АПК и системы хранения данных размещаются в серверном помещении.

      142. Серверное помещение располагается в отдельных, непроходных помещениях без оконных проемов. В случае наличия оконных проемов, они закрываются или заделываются негорючими материалами.

      Для поверхности стен, потолков и пола применяются материалы, не выделяющие и не накапливающие пыль. Для напольного покрытия применяются материалы с антистатическими свойствами. Серверное помещение защищается от проникновения загрязняющих веществ.

      Стены, двери, потолок, пол и перегородки серверного помещения обеспечивают герметичность помещения.

      143. Двери серверного помещения составляют не менее 1,2 метра в ширину и 2,2 метра в высоту, открываются наружу или раздвигаются. Конструкция рамы двери не предусматривает порога и центральной стойки.

      144. Серверное помещение оборудуется фальшполом и (или) фальшпотолком для размещения кабельных систем и инженерных коммуникаций.

      145. Через серверное помещение исключается прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением в пределах одного этажа.

      При необходимости размещения пожарных гидрантов над серверным помещением оборудуется сухотрубная система пожаротушения с устройством гидроизоляции перекрытия и организуется водоотвод над серверным помещением.

      Сноска. Пункт 145 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      146. Монтаж коммуникационных каналов для прокладки силовых и слаботочных кабельных сетей здания выполняется в отдельных или разделенных перегородками кабельных лотках, коробах или трубах, разнесенных между собой. Слаботочные и силовые шкафы устанавливаются раздельно и закрываются на замок.

      Прокладка кабелей через перекрытия, стены, перегородки осуществляется в отрезках несгораемых труб с герметизацией негорючими материалами.

      147. Серверное помещение надежно защищается от внешнего электромагнитного излучения.

      148. При размещении оборудования:

      1) обеспечивается исполнение Правил технической эксплуатации электроустановок потребителей, утвержденных уполномоченным органом в сфере энергетики в соответствии с подпунктом 27) статьи 5 Закона Республики Казахстан "Об электроэнергетике" (далее – Закон об электроэнергетике);

      2) обеспечивается исполнение требований поставщиков и (или) производителя оборудования к установке (монтажу), нагрузке на перекрытия и фальшпол, с учетом веса оборудования и коммуникаций;

      3) обеспечивается наличие свободных служебных проходов для обслуживания оборудования;

      4) учитывается организация воздушных потоков системы обеспечения микроклимата;

      5) учитывается организация системы фальшполов и фальшпотолков.

      Сноска. Пункт 148- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      149. При техническом сопровождении оборудования, установленного в серверном помещении, документируются:

      1) обслуживание оборудования;

      2) устранение проблем, возникающих при работе аппаратно-программного обеспечения;

      3) факты сбоев и отказов, а также результаты восстановительных работ;

      4) послегарантийное обслуживание критически важного оборудования по истечении гарантийного срока обслуживания.

      Форма и способ документирования определяются самостоятельно.

      150. Обслуживание критически важного оборудования выполняется сертифицированным техническим персоналом.

      151. В непосредственной близости от серверного помещения создается склад запасных частей для критически важного оборудования, содержащий запас комплектующих и оборудования для выполнения оперативной замены при проведении ремонтно-восстановительных работ.

      152. Вмешательство в работу находящегося в эксплуатации оборудования возможно только с разрешения руководителя подразделения информационных технологий либо лица, его замещающего.

      153. Основные и резервные серверные помещения располагаются на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям.

      154. С целью обеспечения ИБ, отказоустойчивости и надежности функционирования:

      1) в серверном помещении применяются способы расположения оборудования, обеспечивающие снижение рисков возникновения угроз, опасностей и возможностей несанкционированного доступа;

      2) исключен постановлением Правительства РК от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      3) поддерживается в актуальном состоянии список лиц, авторизованных для осуществления сопровождения объектов ИКИ, установленных в серверном помещении;

      4) серверное помещение оборудуется системами:

      контроля и управления доступом;

      обеспечения микроклимата;

      охранной сигнализации;

      видеонаблюдения;

      пожарной сигнализации;

      пожаротушения;

      гарантированного электропитания;

      заземления;

      5) отказоустойчивость инфраструктуры серверного помещения составляет не менее 99,7 %.

      Сноска. Пункт 154 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 10.02.2023 № 112 (вводится в действие с 01.01.2023).

      155. Система контроля и управления доступом обеспечивает санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери.

      Устройство центрального управления системы контроля и управления доступом устанавливается в защищенных от доступа посторонних лиц отдельных служебных помещениях, помещении поста охраны. Доступ к программным средствам системы контроля и управления доступом, влияющим на режимы работы системы, со стороны персонала охраны исключить.

      Электроснабжение системы контроля и управления доступом осуществляется от свободной группы щита дежурного освещения. Система контроля и управления доступом обеспечивается резервным электропитанием.

      156. Система обеспечения микроклимата включает системы кондиционирования, вентиляции и мониторинга микроклимата. Системы обеспечения микроклимата серверного помещения не объединяются с другими системами микроклимата, установленными в здании.

      Температура в серверном помещении поддерживается в диапазоне от 20 0С до 25 0С при относительной влажности от 45 % до 55 %.

      Мощность системы кондиционирования воздуха должна превышать суммарное тепловыделение всего оборудования и систем. Система кондиционирования воздуха обеспечивается резервированием. Электропитание кондиционеров серверного помещения осуществляется от системы гарантированного электропитания или системы бесперебойного электропитания.

      Система вентиляции обеспечивает приток свежего воздуха с фильтрацией и подогревом поступающего воздуха в зимний период. В серверном помещении давление создается избыточным для предотвращения поступления загрязненного воздуха из соседних помещений. На воздуховодах приточной и вытяжной вентиляций устанавливаются защитные клапаны, управляемые системой пожаротушения.

      Системы кондиционирования и вентиляции отключаются автоматически по сигналу пожарной сигнализации.

      Система мониторинга микроклимата контролирует климатические параметры в серверных шкафах и телекоммуникационных стойках:

      температуру воздуха;

      влажность воздуха;

      запыленность воздуха;

      задымленность воздуха;

      открытие (закрытие) дверей шкафов.

      Сноска. Пункт 156 с изменением, внесенным постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      157. Система охранной сигнализации серверного помещения выполняется отдельно от систем безопасности здания. Сигналы оповещения выводятся в помещение круглосуточной охраны в виде отдельного пульта. Контролю и охране подлежат все входы и выходы серверного помещения, а также внутренний объем серверного помещения. Система охранной сигнализации имеет собственный источник резервированного питания.

      158. Расположение камер системы видеонаблюдения выбирается с учетом обеспечения контроля всех входов и выходов в серверное помещение, пространства и проходов возле оборудования. Угол обзора и разрешение камер должны обеспечить распознавание лиц. Изображение с камер выводится на отдельный пульт в помещение круглосуточной охраны

      159. Система пожарной сигнализации серверного помещения выполняется отдельно от пожарной сигнализации здания. В серверном помещении устанавливаются два типа датчиков: температурные и дымовые.

      Датчиками контролируются общее пространство серверного помещения и объемы, образованные фальшполом и (или) фальшпотолком. Сигналы оповещения системы пожарной сигнализации выводятся на пульт в помещение круглосуточной охраны.

      160. Система пожаротушения серверного помещения оборудуется автоматической установкой газового пожаротушения, независимой от системы пожаротушения здания. В качестве огнегасителя в автоматической установке газового пожаротушения используется специальный нетоксичный газ. Порошковые и жидкостные огнегасители не используются. Установка газового пожаротушения размещается непосредственно в серверном помещении или вблизи него в специально оборудованном для этого шкафу. Запуск системы пожаротушения производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также ручных датчиков, расположенных у выхода из помещения. Время задержки выпуска огнегасителя составляет не более 30 с. Оповещение о срабатывании системы пожаротушения выводится на табло, размещаемые внутри и снаружи помещения. Система пожаротушения выдает команды на закрытие защитных клапанов системы вентиляции и отключение питания оборудования. Серверное помещение, оборудованное системой пожаротушения, оснащается вытяжной вентиляцией для удаления огнегасящего газа.

      161. Система гарантированного электропитания предусматривает наличие двух вводов электропитания от разных источников внешнего электропитания на напряжение ~400/230В, частотой 50 Гц и автономного генератора. Все источники электроэнергии подаются на автомат ввода резерва, осуществляющий автоматическое переключение на резервный ввод электропитания при прекращении, перерыве подачи электропитания на основном вводе. Параметры линий электропитания и сечение жил определяются исходя из планируемой суммарной потребляемой мощности оборудования и подсистем серверного помещения. Линии электропитания выполняются по пятипроводной схеме.

      Система гарантированного электропитания предусматривает электроснабжение оборудования и систем серверного помещения через источники бесперебойного питания. Мощность и конфигурация источников бесперебойного питания рассчитываются с учетом всего запитываемого оборудования и запаса для перспективного развития. Время автономной работы от источников бесперебойного питания рассчитывается с учетом потребностей, а также необходимого времени для перехода на резервные линии и времени запуска генератора в рабочий режим.

      162. Система рабочего заземления серверного помещения выполняется отдельно от защитного заземления здания. Все металлические части и конструкции серверного помещения заземляются общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемым с общей шиной заземления. Открытые токопроводящие части оборудования обработки информации должны быть соединены с главным заземляющим зажимом электроустановки.

      Заземляющие проводники, соединяющие устройства защиты от перенапряжения с главной заземляющей шиной, должны быть самыми короткими и прямыми (без углов).

      При построении и эксплуатации системы заземления необходимо руководствоваться:

      Правилами устройства электроустановок, утвержденными приказом уполномоченного органа в сфере энергетики в соответствии с подпунктом 19) статьи 5 Закона об электроэнергетике;

      стандартом Республики Казахстан СТ РК ГОСТ Р 50571.21-2009 "Электроустановки зданий. Часть 5. Выбор и монтаж электрооборудования. Раздел 548. "Заземляющие устройства и системы уравнивания электрических потенциалов в электроустановках, содержащих оборудование обработки информации";

      стандартом Республики Казахстан СТ РК ГОСТ Р 50571.22-2006 "Электроустановки зданий. Часть 7. Требования к специальным электроустановкам". Раздел 707. "Заземление оборудования обработки информации";

      стандартом Республики Казахстан ГОСТ 12.1.030-81 "Система стандартов безопасности труда. Электробезопасность. Защитное заземление, зануление";

      стандартом Республики Казахстан ГОСТ 464-79 "Заземление для стационарных установок проводной связи, радиорелейных станций, радиотрансляционных узлов проводного вещания и антенн систем коллективного приема телевидения. Нормы сопротивления.

      Сноска. Пункт 162 – в редакции постановления Правительства РК от 13.05.2024 № 372 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      163. Распределительные устройства сетей телекоммуникаций размещаются в кроссовом помещении. Кроссовое помещение размещается ближе к центру обслуживаемой им рабочей области.

      Размер кроссового помещения выбирается исходя из размера обслуживаемой рабочей области и устанавливаемого оборудования.

      Помещение кроссового помещения должно соответствовать следующим требованиям:

      наличие свободных служебных проходов для обслуживания оборудования;

      отсутствие мощных источников электромагнитных помех (трансформаторов, электрических щитов, электродвигателей и прочее);

      отсутствие труб и вентилей системы водоснабжения;

      наличие систем пожарной безопасности;

      отсутствие легко возгораемых материалов (деревянные стеллажи, картон, книги и прочее);

      наличие отдельной линии электропитания от отдельного автомата для подключения шкафа по проекту;

      наличие систем охранной сигнализации, контроля доступа;

      наличие системы кондиционирования.

      Сноска. Глава 3 дополнена пунктом 163 в соответствии с постановлением Правительства РК от 18.06.2018 № 355 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

  Приложение
к постановлению Правительства
Республики Казахстан
от 20 декабря 2016 года № 832

Перечень
утративших силу некоторых решений Правительства
Республики Казахстан

      1. Подпункты 5) и 6) пункта 1, пункты 2-1 и 2-2 постановления Правительства Республики Казахстан от 14 сентября 2004 года № 965 "О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан".

      2. Постановление Правительства Республики Казахстан от 14 марта 2013 года № 244 "О внесении дополнений в постановление Правительства Республики Казахстан от 14 сентября 2004 года № 965 "О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан".

      3. Постановление Правительства Республики Казахстан от 26 июня 2014 года № 706 "О внесении дополнений в постановление Правительства Республики Казахстан от 14 сентября 2004 года № 965 "О некоторых мерах по обеспечению информационной безопасности в Республике Казахстан".