Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы

Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы.

      РҚАО-ның ескертпесі!
      Осы қаулының қолданысқа енгізілу тәртібін 3-тармақтан қараңыз.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – бірыңғай талаптар) бекітілсін.

      2. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасы Үкіметінің кейбір шешімдерінің күші жойылды деп танылсын.

      3. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Бірыңғай талаптардың 140-тармағы 2018 жылғы 1 қаңтарға дейін қолданылады.


      Қазақстан Республикасының
      Премьер-Министрі Б. Сағынтаев

  Қазақстан Республикасы
  Үкіметінің
  2016 жылғы 20 желтоқсандағы
  № 832 қаулысымен
  бекітілген

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар

      Ескерту. Бүкіл мәтін бойынша "локальдық желі", "локальдық желінің", "оқшау желі", "оқшау желісінің" деген сөздер тиісінше "жергілікті желі", "жергілікті желінің", "жергілікті желісінің" деген сөздермен ауыстырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      1. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – БТ) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 6-бабының 3) тармақшасына сәйкес әзірленді және ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы талаптарды айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына қатысты БТ ережелерін мемлекеттік органдар, жергілікті атқарушы органдар, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері міндетті түрде қолдануы тиіс.

      3. БТ ережелері:

      1) Қазақстан Республикасының Ұлттық Банкі мен оның құрылымына кіретін ұйымдар интернет-ресурстарды, "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерді, жергілікті желілерді және телекоммуникациялар желілерін құру немесе дамыту, пайдалану бойынша жұмыстарды жүзеге асырған кезде, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді сатып алуды жүргізген кезде туындайтын қатынастарға;

      2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалып орындалған ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе президенттік, үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілеріне;

      3) қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган Қазақстан Республикасы Ұлттық Банкінің "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерімен интеграцияланатын ақпараттық жүйелерді құру немесе дамыту жөніндегі жұмыстарды жүзеге асырған кезде туындайтын қатынастарға;

      4) осындай ережелерді орындау "Қазақстан Республикасындағы банктер және банк қызметі туралы" ҚР Заңының 50-бабының 4-тармағын бұзуға әкеп соғатын жағдайларда ұйымдарда қолданылмайды.

      Ескерту. 3-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      4. БТ мақсаты мемлекеттік органдар, жергілікті өзін-өзі басқару органдары, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласында міндетті түрде орындауға тиіс талаптарды белгілеу болып табылады.

      5. БТ міндеттері:

      1) мемлекеттік басқарудың ағымдағы және стратегиялық міндеттерін шешу үшін мемлекеттік органдарды ақпараттандыруды ұйымдастыру және басқару қағидаттарын айқындау;

      2) "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау;

      3) ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттерін біріздендіру жөніндегі талаптарды белгілеу;

      4) серверлік үй-жайлардың ақпараттық-коммуникациялық инфрақұрылымын құрылымдау мен ұйымдастыру жөніндегі талаптарды белгілеу;

      5) ақпараттандыру объектілерінің барлық өміршеңдік кезеңдерінде ақпараттық-коммуникациялық технологиялар мен ақпараттық қауіпсіздік саласындағы стандарттар ұсынымдарының міндетті қолданылуын белгілеу;

      6) мемлекеттік және мемлекеттік емес электрондық ақпараттық ресурстардың, бағдарламалық қамтылымның, ақпараттық жүйелердің және оларды қолдайтын ақпараттық-коммуникациялық инфрақұрылымның қорғалу деңгейін арттыру болып табылады.

      Ескерту. 5-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      6. Осы БТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады:

      1) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін генерациялауды, қалыптастыруды, таратуды немесе басқаруды іске асыратын бағдарламалық қамтылым немесе ақпараттық-бағдарламалық кешен;

      2) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі – актив) – ақпарат болып табылатын немесе ақпаратты қамтитын немесе ақпаратты өңдеу, сақтау, беру үшін қызмет ететін және мақсаттарға қол жеткізу мен қызметінің үздіксіздігі мүддесінде ұйым үшін құндылығы бар материалдық немесе материалдық емес объект;

      3) ақпаратты өңдеу құралдарымен байланысты активті таңбалау – активті кейіннен сәйкестендіру (тану), оның қасиеттері мен сипаттамаларын көрсету мақсатында оған шартты белгілерді, әріптерді, цифрларды, графикалық белгілерді немесе жазуларды түсіру;

      4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ ТҚ) – ақпараттандыру объектілерінің және (немесе) ұйымның АҚ-ны қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;

      5) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуына алғышарт жасайтын жағдайлар мен факторлар жиынтығы;

      6) ақпараттық қауіпсіздік оқиғаларының мониторингі (бұдан әрі – АҚ оқиғаларының мониторингі) – ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін ұдайы байқауда ұстау;

      7) ақпараттық қауіпсіздікті қамтамасыз ету мониторингінің жүйесі – ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану мониторингін жүргізуге бағытталған ұйымдастырушылық және техникалық іс-шаралар;

      8) ақпараттық қауіпсіздіктің жедел орталығы – электрондық ақпараттық ресурстарды, ақпараттық жүйелерді, телекоммуникация желілері мен ақпараттандырудың басқа да объектілерін қорғау жөніндегі қызметті жүзеге асыратын заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;

      9) ақпараттық қауіпсіздіктің ішкі аудиті – ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың объективті, құжатталған, өз мүдделерінде ұйымның өзі жүзеге асыратын процесі;

      10) бағдарламалық робот – іздеу жүйесінің немесе мониторинг жүйесінің веб-парақтарды автоматты түрде және (немесе) берілген кесте бойынша қарап шығуды орындайтын, веб-парақтарда табылған сілтемелермен өтіп, олардың мазмұнын оқитын және индекстейтін бағдарламалық қамтылымы;

      11) деректердің таралып кетуіне жол бермеу жүйесі (DLP) – қолжетімділігі шектеулі электрондық ақпараттық ресурстардың таралып кетуіне жол бермеуге арналған ақпаратты қорғау құралы;

      12) жабдықты жүктелген (қызу) резервтеу – ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігі мен істен шығуға төзімділігін икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану және оларды белсенді режимде ұстау;

      13) жабдықты жүктелмеген (суық) резервтеу – ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа дайындалған және белсенді емес режимде тұрған қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану;

      14) желіаралық экран – ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылау мен сүзгілеуді жүзеге асыратын ақпараттық-бағдарламалық немесе бағдарламалық кешен;

      15) жұмыс станциясы – қолданбалы міндеттерді шешуге арналған жергілікті желі құрамындағы стационарлық компьютер;

      16) жүйелік бағдарламалық қамтылым – есептеу жабдығының жұмысын қамтамасыз етуге арналған бағдарламалық қамтылым жиынтығы;

      17) интернет-браузер – интернет-ресурстардың мазмұнын көрнекі көрсетуге және онымен интерактивті өзара іс-қимыл жасауға арналған қолданбалы бағдарламалық қамтылым;

      18) кодталған байланыс – кодтау құжаттары мен техникасы пайдаланылатын қорғалған байланыс;

      19) көпфакторлы аутентификациялау – әртүрлі параметрлер комбинациясының, оның ішінде парольдерді немесе аутентификациялық белгілерді (цифрлық сертификаттарды, токендерді, смарт-карталарды, бірреттік парольдердің генераторларын және биометриялық сәйкестендіру құралдарын) генерациялаудың және енгізудің көмегімен пайдаланушының шынайылығын тексеру тәсілі;

      20) кросстық үй-жай – қосу, тарату пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;

      21) қолданбалы бағдарламалық қамтылым (бұдан әрі – ҚБҚ) – пәндік саланың белгілі бір сыныбындағы қолданбалы міндетін шешуге арналған бағдарламалық қамтылым кешені;

      22) құпияландырылған байланыс – құпияландыру аппаратурасы пайдаланылатын қорғалған байланыс;

      23) масштабталу – ақпараттандыру объектісінің өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай өзінің өнімділігін арттыру мүмкіндігін қамтамасыз ету қабілеті;

      24) мемлекеттік органдардың серверлік орталығы (бұдан әрі – МО серверлік орталығы) – меншік иесі және иеленушісі "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының операторы болып табылатын, "электрондық үкіметтің" ақпараттандыру объектілерін орналастыруға арналған серверлік үй-жай (деректерді өңдеу орталығы);

      25) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;

      26) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

      27) прокси-сервер – өзі арқылы ақпаратты желілік шабуылдардан қорғау мақсатында онымен алмасу жүретін компьютерлер/серверлер арасындағы интернет-байланысқа қатысатын аралық сервер;

      28) серверлік үй-жай (деректерді өңдеу орталығы) – серверлік, активті және пассивті желілік (телекоммуникациялық) жабдықты және құрылымдалған кәбілдік жүйелердің жабдығын орналастыруға арналған үй-жай;

      29) тіркеу куәлігі (бұдан әрі – цифрлық сертификат) – электрондық цифрлық қолтаңбаның "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының Заңында белгіленген талаптарға сәйкестігін растау үшін куәландырушы орталық беретін электрондық құжат;

      30) сыртқы шеңбердің жергілікті желісі (бұдан әрі – сыртқы шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, ақпараттандыру субъектілері үшін қолжетімділікті байланыс операторлары Интернетке қол жеткізудің бірыңғай шлюзі арқылы ғана ұсынатын, Интернетке қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің сыртқы шеңберіне жатқызылған жергілікті желісі;

      31) терминалдық жүйе – терминалдық ортада қосымшалармен не клиенттік-серверлік архитектурада талғампаз клиент-бағдарламалармен жұмыс істеуге арналған талғампаз немесе нөлдік клиент;

      32) уақыт көзінің инфрақұрылымы – серверлердің, жұмыс станцияларының және телекоммуникациялық жабдықтың ішкі сағаттарын синхрондау міндетін орындайтын, уақытты синхрондаудың желілік хаттамасын пайдаланатын иерархиялық байланысқан серверлік жабдық;

      33) уәкілетті орган айқындаған ақпараттандыру субъектілері – жергілікті (Интернетке қолжетімділігі бар жергілікті желілерді қоспағанда), ведомстволық және корпоративтік желілердің өзара іс-қимылын қамтамасыз ету үшін мемлекеттік органдардың бірыңғай көліктік ортасын пайдаланатын мемлекеттік органдар, олардың ведомстволық бағынысты ұйымдары мен жергілікті өзін-өзі басқару органдары, сондай-ақ өзге де ақпараттандыру субъектілері;

      34) ұйым – мемлекеттік заңды тұлға, квазимемлекеттік сектор субъектісі, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иесі және иеленушісі, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иесі және иеленушісі;

      35) үкіметтік байланыс – мемлекеттік басқару мұқтажына арналған арнайы қорғалған байланыс;

      36) федеративті сәйкестендіру – сенімді қатынастар орнатқан жүйелердегі және желілердегі электрондық ақпараттық ресурстарға қол жеткізу үшін пайдаланушының бірыңғай атын және аутентификациялық сәйкестендіргішті пайдалануға мүмкіндік беретін технологиялар кешені;

      37) шифрланған байланыс – қол шифрлары, шифрлау машиналары, желілік шифрлау аппаратурасы және есептеу техникасының арнаулы құралдары пайдаланылатын қорғалған байланыс;

      38) ішкі шеңбердің жергілікті желісі (бұдан әрі – ішкі шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, мемлекеттік органдардың бірыңғай көліктік ортасына қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің ішкі шеңберіне жатқызылған жергілікті желісі;

      39) "электрондық үкіметтің" бірыңғай репозиторийі – "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтары мен олардан құрастырылған орындалатын кодтарды сақтау орны;

      40) "электрондық үкіметтің" сыртқы шлюзі (бұдан әрі – ЭҮСШ) – МО БКО-да тұрған ақпараттық жүйелердің МО БКО-дан тыс тұрған ақпараттық жүйелермен өзара іс-қимылын қамтамасыз етуге арналған "электрондық үкімет" шлюзінің кіші жүйесі.

      Ескерту. 6-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      6-1. Цифрлық трансформациялау шеңберінде МО мен ЖАО-ны цифрландыру "электрондық үкімет" ақпараттандыру объектілерін құру және дамыту не "электрондық үкімет" архитектурасына сәйкес "электрондық үкімет" ақпараттандыру объектілерін немесе ақпараттық-коммуникациялық көрсетілетін қызметтерді сатып алу жолымен, оның ішінде мыналар ескеріле отырып жүзеге асырылады:

      1) платформалылық – "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының ведомствоаралық орталықтандырылған технологиялық платформаларын және мемлекеттік басқарудың әртүрлі салалары (аялары) шеңберінде ортақ техникалық міндеттерді шешу құралдарын қалыптастыру және тұрақты дамыту;

      2) шешімдердің әмбебаптығы – үлгілік қолданбалы міндеттерді шешу және қамтамасыз етуші үлгілік мемлекеттік функцияларды автоматтандыру үшін дайын бағдарламалық қамтылым мен сервистік бағдарламалық өнімдерді айқындау және олардың пайдаланылуын қамтамасыз ету;

      3) шешімдерді компонентпен құру – итеративті түрде жоспарланып, әзірленіп және енгізіліп, бүкіл шешім функционалының бір бөлігін және оны пайдаланудан түсетін пайданы кезең-кезеңімен ұсынатын микросервистер форматы бойынша "электрондық үкімет" ақпараттандыру объектілерінің жекелеген стандартты компоненттерін әзірлеуді және енгізуді қамтамасыз ету;

      4) нәтижелілік – "электрондық үкімет" ақпараттандыру объектілерін пайдаланудан барынша пайда алу, құрылымдық компоненттер мен шығындарды оңтайландыру жолымен шығасылар мен тәуекелдерді қысқарту;

      5) техникалық әралуандықты оңтайландыру – еркін бағдарламалық қамтылымның негізделген қолданылуын және техникалық әралуандықты жүйелі басқаруды қамтамасыз ету.

      Ескерту. 1-тарау 6-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      7. Осы БТ мақсаттары үшін мынадай қысқартулар пайдаланылады:

      1) АБК – аппараттық-бағдарламалық кешен;

      2) АҚ – ақпараттық қауіпсіздік;

      3) АЖ – ақпараттық жүйе;

      4) АКИ – ақпараттық-коммуникациялық инфрақұрылым;

      5) АКТ – ақпараттық-коммуникациялық технологиялар;

      6) БҚ – бағдарламалық қамтылым;

      7) ЖАО – жергілікті атқарушы органдар;

      8) ЕБҚ – еркін бағдарламалық қамтылым;

      9) ИҚБШ – Интернетке қолжетімділіктің бірыңғай шлюзі;

      10) ИР – интернет-ресурс;

      11) МО – орталық атқарушы орган, Қазақстан Республикасының Президентіне тікелей бағынатын және есеп беретін мемлекеттік орган, орталық атқарушы орган ведомствосының аумақтық бөлімшелері;

      12) МО БКО – мемлекеттік органдардың бірыңғай көліктік ортасы;

      13) МО ИРБТ – мемлекеттік органдардың интернет-ресурстарының бірыңғай тұғырнамасы;

      14) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен;

      15) ЭАР – электрондық ақпараттық ресурстар;

      16) ЭҮ АКП – "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;

      17) ЭЦҚ – электрондық цифрлық қолтаңба;

      18) АС – уәкілетті орган айқындайтын ақпараттандыру субъектілері.

      Ескерту. 7-тармаққа өзгерістер енгізілді - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулыларымен.

      7-1. Платформалылық мынадай талаптарды орындауға негізделеді:

      1) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформалары базасында шешімдер құруды және дамытуды жүзеге асыру және (немесе) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларының функционалдық мүмкіндіктерін пайдалану;

      2) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы технологиялық платформаларының функционалдық мүмкіндіктерін қайталайтын компоненттерді алып тастау;

      3) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларын пайдалана отырып, мемлекеттік функцияларды орындау процестерін және олардан туындайтын көрсетілетін қызметтерді автоматтандыруды қамтамасыз ету.

      Ескерту. 1-тарау 7-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

2-тарау. Ақпараттандыруды және ақпараттық қауіпсіздікті ұйымдастыру
мен басқаруға қойылатын талаптар
1-параграф. Мемлекеттік органды ақпараттандыруға қойылатын талаптар

      8. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.
      8-1. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      8-2. Шешімдердің әмбебаптығы мынадай талаптарды орындауға негізделеді:

      1) үлгілік қолданбалы міндеттерді және қамтамасыз етуші үлгілік мемлекеттік функцияларды орындау процестерін автоматтандыру үшін дайын бағдарламалық қамтылым мен сервистік бағдарламалық өнімдерді пайдалану;

      2) мемлекеттік органның мемлекеттік функцияларын орындау ерекшеліктерін дайын бағдарламалық қамтылымда және сервистік бағдарламалық өнімдерде іске асырылған процестерге ендіру процесінде бағдарламалық қамтылымды теңшеу және пысықтау қажеттігінсіз бейімдеу;

      3) сервистік бағдарламалық өнімдерді пайдаланған кезде мемлекеттік органдардың ендіруге, пайдаланушыларды оқытуға, бағдарламалық қамтылымды және ақпараттық-коммуникациялық инфрақұрылым компоненттерін сатып алуға ендіруге қосымша шығындарының болмауы.

      Ескерту. 2-тарау 8-2-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      9. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      9-1. Шешімдерді компонентпен құру мынадай талаптарды орындауға негізделеді:

      1) шешімдерді микросервистік архитектура негізінде стандартты компоненттерді қолдана отырып құру;

      2) қойылған міндеттерді шешуге және талаптарға сәйкестікті қамтамасыз етуге мүмкіндік беретін компоненттердің ең аз қажетті жиынтығын пайдалану;

      3) байланысы жоқ өзіндік мемлекеттік функцияларды және (немесе) қамтамасыз етуші үлгілік мемлекеттік функцияларды қатарлас автоматтандыратын артық компоненттерді жоққа шығару;

      4) компоненттер құрамының, құрылымының және функционалдығының Қазақстан Республикасы заңнамасының өзгерістеріне, әлеуметтік-экономикалық даму басымдықтарына, сондай-ақ мемлекеттік органдардың құрамына, құрылымына және өкілеттіктеріне бейімделуін, таратыла қолданылуын және икемділігін қамтамасыз ету;

      5) компоненттердің "электрондық үкімет" ақпараттандыру объектісінің мақсаттарына, міндеттеріне және мақсатына толық сәйкес келуі;

      6) функционалдық тәуелсіздікті және компоненттердің міндеттері мен функционалдық мүмкіндіктерінің қайталануының болмауын қамтамасыз ету;

      7) компоненттерді ашық стандарттар базасында және оны көп мәрте пайдалануды қамтамасыз ету үшін бөгде шешімдерге компонент ұсынатын қолданбалы бағдарламалаудың стандартты интерфейстері жиынтығын (application programming interface, API) пайдалана отырып қалыптастыру;

      8) архитектураның бірнеше деңгейін, соның ішінде ұсыну, бизнес-логика және деректерді сақтау деңгейлерін шешім компоненттерінің бір мезгілде қамтуын жоққа шығару арқылы архитектураны көп деңгейлі құру;

      9) пысықтау және көп мәрте пайдалану үшін компоненттердің қолжетімділігін қамтамасыз ету.

      Ескерту. 2-тарау 9-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      10. "Электрондық үкіметтің" архитектурасын дамыту Заңның 7-бабының 10) тармақшасына сәйкес уәкілетті орган бекітетін "электрондық үкіметтің" архитектурасын дамыту жөніндегі талаптарға сәйкес жүзеге асырылады.

      10-1. Нәтижелілік мынадай талаптарды орындауға негізделеді:

      1) шығындарды қысқарту, ақталуын қамтамасыз ету және бюджетке түсетін қаражат түсімдерінің көлемін арттыру жолымен барынша сандық экономикалық әсерді қамтамасыз ету;

      2) жеке және заңды тұлғалардың, мемлекеттік басқару саласының (аясының) және (немесе) тұтас мемлекеттің қажеттіктерін қанағаттандыруға бағытталуы;

      3) "электрондық үкімет" ақпараттандыру объектілерінің жұмыс істеу нәтижелері көрсеткіштерінің мәндері мен өлшем бірліктерінің және мемлекеттік басқару саласының (аясының) нысаналы индикаторларының үйлесімін қамтамасыз ету;

      4) өзіндік мемлекеттік функцияларды орындау процестерін автоматтандыру басымдығын қамтамасыз ету;

      5) компоненттердің санын кейіннен кеңейте отырып және (немесе) олардың функционалдық деңгейін арттыра отырып, функционалдық мүмкіндіктердің базалық жиынтығы бар шешім компоненттерінің бір бөлігін енгізу арқылы шешімдерді біртіндеп итеративті құру және дамыту.

      Ескерту. 2-тарау 10-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      11. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      11-1. Техникалық әралуандықты оңтайландыру мынадай талаптардың орындалуына негізделеді:

      1) мемлекеттік органның қолданыстағы ақпараттық-коммуникациялық инфрақұрылымы компоненттерінің иеліктен шығарылуы, бағдарламалық қамтылымның атаулары мен нұсқаларынан, сондай-ақ шектеулерден тәуелсіздігі;

      2) қолданыстағы бағдарламалық қамтылымның әралуандығын оңтайландыруды және мемлекеттік органның қолданыстағы ақпараттық-коммуникациялық инфрақұрылымын оңайлатуды қамтамасыз ету;

      3) пайдалану шарттарының өзгеруі және автоматтандыру объектілерінің санын кеңейту нәтижесінде одан әрі даму үшін шектеулерді алып тастау;

      4) бағдарламалық қамтылымның өзекті нұсқаларын пайдалануды қамтамасыз ету;

      5) шешім компоненттерінің шектеусіз жұмыс істеу қабілеттілігі және проприетарлық лицензиялық бағдарламалық қамтылымға қатысты иеліктің оңтайлы жиынтық құны қамтамасыз етілген жағдайларда еркін бағдарламалық қамтылым пайдаланылатын шешімдер құруды және дамытуды жүзеге асыру.

      Ескерту. 2-тарау 11-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      12. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      13. МО-ны және ЖАО-ны ақпараттандыру саласындағы тауарлармен, жұмыстармен және көрсетілетін қызметтермен қамтамасыз ету Қазақстан Республикасының арнаулы мемлекеттік органдарын қоспағанда, бюджеттік бағдарламалардың әкімшілері ұсынған ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді мемлекеттік сатып алуға арналған шығыстардың есеп-қисаптарын ақпараттандыру саласындағы уәкілетті органның қорытындысын ескере отырып сатып алу арқылы жүзеге асырылады.

      Ескерту. 13-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      13-1. МО және ұйымдар "Электрондық үкімет" ақпараттандыру объектілері туралы мәліметтерді есепке алу және "электрондық үкімет" ақпараттандыру объектілері техникалық құжаттамасының электрондық көшірмелерін орналастыру қағидаларына сәйкес "электрондық үкімет" архитектуралық порталында ақпараттандыру объектілері туралы мәліметтерді және олардың техникалық құжаттамасының электрондық көшірмелерін орналастырады.

      Орналастыру талап етілетін ақпараттандыру объектісінің техникалық құжаттамасының тізбесі "Электрондық үкімет" ақпараттандыру объектілері туралы мәліметтерді есепке алу және "электрондық үкімет" ақпараттандыру объектілерінің техникалық құжаттамасының электрондық көшірмелерін орналастыру қағидаларында айқындалады.

      Ескерту. 13-1-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      14. МО-да немесе ЖАО-да ақпараттандыру саласындағы міндеттерді жүзеге асыруды:

      1) АКТ қолданудың мониторингін және талдауды;

      2) АКТ-активтерінің пайдаланылуын есепке алу мен талдау жөніндегі іс-шараларға қатысуды;

      3) МО-ның стратегиялық жоспарына ақпараттандыру мәселелері жөнінде ұсыныстар әзірлеуді;

      4) "электрондық үкіметтің" ақпараттандыру объектілерін құру, сүйемелдеу және дамыту бойынша жұмыстарды үйлестіруді;

      5) өнім берушілердің ақпараттандыру саласындағы көрсетілетін қызметтердің шарттарда көзделген сапа деңгейін қамтамасыз етуін бақылауды;

      6) "электрондық үкіметтің" архитектуралық порталында "электрондық үкіметтің" ақпараттандыру объектілері туралы мәліметтерді және "электрондық үкіметтің" ақпараттандыру объектілерінің техникалық құжаттамаларының электрондық көшірмелерін есепке алуды және өзектілендіруді;";

      7) алып тасталды - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      8) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен;

      9) АҚ жөніндегі талаптарды орындауды жүзеге асыратын ақпараттық технологиялар бөлімшесі қамтамасыз етеді.

      Ескерту. 14-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi); 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      14-1. Меншік иелері және (немесе) иеленушілер "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.

      Ескерту. 2-тарау 14-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      15. МО-дағы және ЖАО-дағы жұмыс кеңістігі Қазақстан Республикасы Денсаулық сақтау министрінің 2022 жылғы 16 маусымдағы № ҚР ДСМ-52 бұйрығымен бекітілген "Әкімшілік және тұрғын ғимараттарға қойылатын санитариялық-эпидемиологиялық талаптар" санитариялық қағидаларына сәйкес ұйымдастырылады (Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 20 маусымда № 28525 болып тіркелген).

      Ескерту. 15-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      16. МО және ЖАО қызметшісінің жұмыс орны оның функционалдық міндеттеріне байланысты жабдықталады және мыналарды қамтиды:

      1) МО немесе ЖАО ішкі шеңберінің ЛЖ-сы қосылған жұмыс станциясы немесе үйлестірілген жұмыс орны не терминалды жүйе. Қажет болған кезде жұмыс орнын қосымша монитормен жабдықтауға жол беріледі;

      2) қажет болған кезде мультимедиялық ЭАР немесе бейне-конференциялық байланыс жүйесімен жұмыс істеуге арналған мультимедиялық жабдық (құлаққаптар, микрофон мен веб-камера) жиынтығы;

      3) телефон байланысы немесе IP-телефония аппараты.

      17. МО-ның және ЖАО-ның біріздендірілген жұмыс орнына немесе терминалды жүйесіне, сондай-ақ ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттеріне қойылатын талаптарды уәкілетті орган бекітеді.

      Ескерту. 17-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      17-1. МО-ның және ЖАО-ның жұмыс орнының немесе терминалды жүйесінің уәкілетті орган бекіткен МО-ның және ЖАО-ның үйлестірілген жұмыс орнына немесе терминалды жүйесіне қойылатын талаптарға сәйкес болуы қамтамасыз етіледі.

      Талаптар қажеттілігіне қарай жаңартылады және өзектілендіріледі.

      Ескерту. Талаптар 17-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      18. Жұмыс станцияларының сатып алынатын үлгілерін таңдау кезінде мынадай ережелерді басшылыққа алу қажет:

      1) жұмыс станцияларының аппараттық сипаттамалары пайдаланатын БҚ әзірлеуші (өндіруші) ұсынатын жүйелік талаптарға сәйкес не олардан артық;

      2) көрсетілетін қызметтердің жалпы деңгейін қамтамасыз ету үшін жұмыс станцияларының конфигурациялары біріздендіріледі;

      3) жұмыс станциялары үшін БҚ жаңартуларын орталықтандырылып автоматтандырылған тарату ұйымдастырылады;

      4) әкімшілендірудің сапасы мен жылдамдығын арттыру үшін жұмыс станцияларының әртүрлі аппараттық-бағдарламалық конфигурацияларының саны үш түрімен шектеледі:

      қолданбалы БҚ-мен жұмыс істеуге арналған жұмыс станциясы;

      графикалық пакеттермен, үлгілеудің БҚ пакеттерімен және өзгелермен жұмыс істеуге арналған қуаты жоғары жұмыс станциясы. Графикасы дамыған, процессордың өнімділігіне, жедел жады және кіші бейнежүйелерінің көлеміне қойылатын талаптары жоғары қосымшалар үшін қолданылады;

      мобильдік пайдаланушылардың жұмысына арналған ноутбук.

      19. Техникалық талаптардың ерекшелігі үшін жұмыс станцияларының мынадай басты параметрлері бөлінеді:

      1) мыналарды қамтитын өнімділік:

      процессордың тез әрекет ету параметрлері;

      жедел жадының қажетті көлемі;

      деректер таратудың ішкі шиналарының жылдамдығы;

      графикалық кіші жүйенің тез әрекет етуі;

      енгізу/шығару құрылғыларының тез әрекет етуі;

      монитор матрицасының параметрлері;

      2) тұрақты бас тартылған аппараттық құралдар мен БҚ пайдалану есебінен қамтамасыз етілетін және үздіксіз жұмыс істеуінің орташа уақытын ескере отырып анықталатын сенімділік;

      3) мыналарды:

      процессорлардың саны мен өнімділігін;

      жедел және сыртқы жады көлемін;

      кіріктірілген жинақтағыштардың сыйымдылығын арттыру мүмкіндігі есебінен дербес компьютердің архитектурасымен және құрылымымен қамтамасыз етілетін ауқымдау.

      20. АҚ-ны қамтамасыз ету үшін:

      1) АҚ ТҚ-да:

      МО немесе ЖАО қызметшілерінің жұмыс станцияларын орнату тәсілдері;

      электрмен жабдықтау жүйесіндегі істен шығулардан және коммуналдық қызметтер жұмысындағы кідірулерден туындайтын басқа да бұзылулардан жұмыс станцияларын қорғау тәсілдері;

      үздіксіз қолжетімділігін және тұтастығын қамтамасыз ету үшін жұмыс станцияларына техникалық қызмет көрсету рәсімдері мен мерзімділігі;

      түрлі сыртқы тәуекелдерді ескере отырып, МО-дан немесе ЖАО-дан тыс орналасқан мобильдік пайдаланушылардың жұмыс станцияларын қорғау тәсілдері;

      жұмыс станцияларын екінші рет пайдаланған немесе ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жою тәсілдері;

      жұмыс станцияларын жұмыс орнынан тыс шығару қағидалары айқындалады;

      2) тұрақты негізде конфигурацияларын, сондай-ақ бірегей сәйкестендіруші деректері бар электрондық ақпарат тасығыштарды тексере отырып, жұмыс станцияларын есепке алу жүргізіледі;

      3) жұмыс станцияларында ішкі шеңбердің ЛЖ-сында сырттан қашықтықтан басқарудың бағдарламалық немесе аппараттық құралдарын орнатуға және қолдануға жол берілмейді. Ішкі шеңбердің ЛЖ-сында қашықтықтан ішкі басқаруға МО немесе ЖАО құқықтық актісінде тікелей көзделген жағдайларда жол беріледі;

      4) АҚ бөлімшелері қызметшілерінің жұмыс станцияларын қоспағанда, МО және ЖАО қызметшілерінің жұмыс станциялары мен мобильдік компьютерлеріндегі қолданылмайтын енгізу-шығару порттары ажыратылады немесе бұғатталады.

      Ескерту. 20-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      21. МО және ЖАО қызметшілерінің жұмыс станцияларындағы сыртқы электрондық тасығыштарды қолдану арқылы ақпаратты енгізу-шығару операциялары мәселесі МО немесе ЖАО қабылдаған АҚ саясатына сәйкес реттеледі.

      22. МО және ЖАО қызметшісінің жұмыс орнындағы жабдықты орналастыруды оңтайландыру мақсатында бірнеше жұмыс станциясы үшін желілік интерфейстерді қолданусыз монитордың, қол манипуляторы (тінтуір) мен клавиатураның бір бірлігін пайдалануды қамтамасыз ететін арнайы жабдықты пайдалануға жол беріледі.

      23. ЭҮ АКП сервистерін пайдалану үшін МО немесе ЖАО ішкі шеңберінің ЛЖ-сына қосылған жұмыс станциясы ЭҮ АКП инфрақұрылымына желілік қосылумен қамтамасыз етіледі.

      24. МО мен ЖАО-ның қызметтік ақпаратын өңдеу және сақтау МО немесе ЖАО ішкі шеңбері мен сыртқы шеңберінің ЖЖ-сына қосылған жұмыс станцияларында жүзеге асырылады.

      МО мен ЖАО-ның қолжетімділік шектелген қызметтік ақпараты МО немесе ЖАО ішкі шеңберінің ЖЖ-сына қосылған және Интернетке қосылмаған жұмыс станцияларында өңделеді.

      Ескерту. 24-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      25. МО және ЖАО қызметшілеріне Интернетке қолжетімділік МО және ЖАО сыртқы шеңберінің ЖЖ-не қосылған, Қазақстан Республикасының мемлекеттік құпияларын қорғау жөніндегі нұсқаулыққа сәйкес айқындалатын режимдік үй-жайлардан тыс орналасқан жұмыс станцияларынан беріледі.

      Ескерту. 25-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      25-1. Сыртқы шеңбердің локальдық желілерінен интернетке қолжетімділікті ұйымдастырған кезде міндетті түрде вирустарға қарсы құралдардың болуы, интернет желісіне қосылған жұмыс станцияларындағы операциялық жүйелердің жаңартылуы қамтамасыз етіледі.

      Ескерту. Талаптар 25-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      26. Телефон байланысының сервисі:

      1) ортақ пайдаланудағы цифрлық телефон желілерінің базасымен қатар IP-телефония технологияларын пайдаланумен де іске асырылады;

      2) пайдаланушыны:

      абоненттерді ішкі және сыртқы шеңбердің қолданыстағы локальдық есептеу желісі мен ведомстволық деректерді беру желісі арқылы қосуды қолдану;

      ортақ пайдаланудағы телефон байланысы операторының байланыс қызметтерін Е1 ағыны бойынша пайдалану;

      ұялы байланыс операторларын пайдалану;

      қалааралық және халықаралық қоңырау шалу қызметін пайдалану арналары арқылы телефон желісі абоненттерімен қосуды қамтамасыз етеді.

      27. Конференциялар, тұсаукесерлер, мәжілістер, телекөпірлер өткізу үшін МО және ЖАО конференц-залы:

      1) қатысушы орнында микрофон, дауыс күшейткіш және сұрау салу мен қатысушының сөз сөйлеуінің жарық индикаторын орналастыруды қамтитын дауыс күшейткіш конференц-жүйесімен;

      2) ақпаратты жүктеу-көшіру құрылғысымен жарақталады.

      Басқа қалалардағы немесе елдердегі географиялық бөлінген қатысушылармен "телекөпір" ұйымдастыру үшін конференц-жүйе қажеттілігіне байланысты ЭҮ АКИ операторының аудио және бейнеконференцбайланыс жүйесімен толықтырылады.

      28. Басып шығару сервисі:

      1) МО ішкі шеңберінің локальдық желісіне желілік интерфейсті немесе басып шығару серверіне тікелей қосылуды пайдалана қосылған басып шығару, көшіру және сканерлеу жабдықтары арқылы іске асырылады;

      2) мыналарды:

      пайдаланушылар мен құрылғыларды орталықтан басқаруды;

      шығындарды бөлімшелер мен пайдаланушылар арасында бөлу мүмкіндігімен пайдаланушылардың сәйкестендіру нөмірлері бойынша басып шығарылатын құжаттарды, сондай-ақ электрондық пошта арқылы жіберілген көшірмелерді, факстарды және сканерлеулерді есепке алуды;

      басып шығару, көшіру және сканерлеу белсенділігін графикалық бейнелейтін есептер жүйесін;

      пайдаланушыны басып шығару сервисін пайдалануды бастағанға дейін сәйкестендіруді;

      АҚ ТҚ-да регламенттелген әдістермен МО қызметшісін басып шығару құрылғысында авторлауды;

      басып шығарылған құжаттарды қолжетімді басу құрылғысынан алу мүмкіндігімен басып шығарудың бірыңғай кезегі арқылы басуды жүзеге асыратын басу кезегін қалыптастыруды іске асыратын бағдарламалық қамтылыммен қамтамасыз етіледі.

2-параграф. Ақпараттық қауіпсіздікті ұйымдастыруға қойылатын талаптар

      29. МО-да, ЖАО-да немесе ұйымда АҚ-ны ұйымдастыру, қамтамасыз ету және басқару кезінде ҚР СТ ISO/IEC 27002-2023 "Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздікті басқару құралдары" Қазақстан Республикасы стандартының ережелерін басшылыққа алу қажет.

      Ескерту. 29-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      29-1. Елдің қорғанысы мен мемлекет қауіпсіздігі үшін ақпараттық қауіпсіздікті қамтамасыз ету талаптарын іске асыру мақсатында Заңға және Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес БҚ мен электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінен тауар және ақпараттық-коммуникациялық көрсетілетін қызмет түрінде сатып алу жүзеге асырылады.

      Электрондық өнеркәсіп саласындағы уәкілетті орган Заңның 7-6-бабының 7-тармағына сәйкес бекіткен Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін қалыптастыру және жүргізу қағидаларына, сондай-ақ бағдарламалық қамтылымды және электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізу жөніндегі өлшемшарттарға сәйкес сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін электрондық өнеркәсіп саласындағы уәкілетті орган жүргізеді.

      Бұл ретте сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінде қажетті өнім болмаған жағдайда оны Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес сатып алуға жол беріледі.

      Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізілген бағдарламалық қамтылымның меншік иелері және иеленушілері "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.

      Ескерту. Талаптар 29-1-тармақпен толықтырылды – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      30. АҚ-ны қамтамасыз ету саласындағы жауапкершілік пен функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшауланған құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға айқындалады.

      АҚ бөлімшесі немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға АҚ-ны қамтамасыз ету жөніндегі жұмыстарды үйлестіруді және АҚ бойынша ТҚ-да айқындалған АҚ талаптарының орындалуын бақылауды жүзеге асырады.

      АҚ-ны қамтамасыз етуге жауапты қызметкерлер үш жылда бір реттен сиретпей АҚ-ны қамтамасыз ету саласындағы мамандандырылған курстардан өтіп, оларға сертификат беріледі.

      Ескерту. 30-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      31. АҚ ТҚ өз қызметінде МО, ЖАО немесе ұйым басшылыққа алатын құжатталған қағидалардың, рәсімдердің, практикалық тәсілдердің немесе басшылық қағидаттарының төрт деңгейлі жүйесі түрінде құрылады.

      АҚ ТҚ қазақ және орыс тілдерінде әзірленеді, МО-ның, ЖАО-ның немесе ұйымның құқықтық актісімен бекітіледі және МО, ЖАО барлық қызметшілерінің немесе ұйым қызметкерлерінің назарына жеткізіледі.

      АҚ ТҚ ондағы ақпаратты талдау және өзектілендіру мақсатында кемінде екі жылда бір рет қайта қаралады.

      Ескерту. 31-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      32. МО-ның, ЖАО-ның немесе ұйымның АҚ саясаты бірінші деңгейдегі құжат болып табылады және МО немесе ұйым күнделікті қызметінде басшылыққа алатын АҚ-ны қамтамасыз ету саласындағы мақсаттарды, міндеттерді, басшылық қағидаттары мен практикалық тәсілдерді айқындайды.

      32-1. АҚ саясатының талаптарын нақтылайтын қаржы ұйымының ішкі құжаттарының тізбесі қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның қаржы ұйымдарының ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметін реттейтін нормативтік құқықтық актілеріне сәйкес айқындалады.

      Ескерту. Талаптар 32-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      33. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының талаптарын егжей-тегжейлі көрсететін құжаттар, оның ішінде:

      1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

      2) ақпаратты өңдеу құралдарымен және оларды түгендеумен байланысты активтерді сәйкестендіру, сыныптау, таңбалау, паспорттау қағидалары;

      3) АҚ ішкі аудитін жүргізу қағидалары;

      4) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;

      5) электрондық ақпараттық ресурстарға қол жеткізу құқықтарын аутентификациялау және олардың аражігін ажырату рәсімін ұйымдастыру қағидалары;

      6) вирусқа қарсы бақылауды ұйымдастыру, мобильді құрылғыларды, ақпарат жеткізгіштерді, Интернетті және электрондық поштаны пайдалану қағидалары;

      7) ақпаратты өңдеу құралдарымен байланысты активтердің физикалық қорғалуын, жұмыс істеуі мен үздіксіз жұмысын қамтамасыз етудің қауіпсіз ортасын ұйымдастыру қағидалары кіреді.

      Ескерту. 33-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      34. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің сипаттамасын, оның ішінде:

      1) АҚ қауіп-қатерлер (тәуекелдер) каталогын;

      2) АҚ қауіп-қатерлерін (тәуекелдерін) өңдеу жоспарын;

      3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету және жұмысқа қабілеттілігін қалпына келтіру жөніндегі іс-шаралар жоспарын;

      4) ақпараттандыру объектісін сүйемелдеу, ақпаратты резервтік көшіру және қалпына келтіру жөніндегі әкімшінің нұсқауын;

      5) пайдаланушылардың АҚ оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда ден қою бойынша іс-қимыл тәртібі туралы нұсқаулықты қамтиды.

      Ескерту. 34-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды, оның ішінде:

      1) АҚ оқыс оқиғаларын тіркеу және штаттан тыс жағдайларды есепке алу журналын;

      2) серверлік үй-жайларға бару журналын;

      3) желілік ресурстардың осалдығына бағалау жүргізу туралы есепті;

      4) кәбілдік қосылуларды есепке алу журналын;

      5) резервтік көшірмелерді есепке алу (резервтік көшіру, қалпына келтіру), резервтік көшірмелерді тестілеу журналын қамтиды.

      Ескерту. 35-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      36. Активтерді қорғауды қамтамасыз ету үшін:

      1) активтерді түгендеу;

      2) активтерді МО-да, ЖАО-да қабылданған сыныптау жүйесіне сәйкес сыныптау және таңбалау;

      3) активтерді лауазымды тұлғаларға бекіту мен активтердің АҚ-сын басқару жөніндегі іс-шараларды іске асыру үшін олардың жауапкершілік көлемін белгілеу;

      4) АҚ ТҚ-да:

      активтерді қолдану мен қайтару;

      активтерді сәйкестендіру, сыныптау мен таңбалау тәртібін реттеу жүргізіледі.

      37. МО-да немесе ЖАО-да АКТ саласындағы тәуекелдерді басқару мақсатында:

      1) ҚР СТ 31010-2020 "Тәуекел менеджменті. Тәуекелді бағалау әдістері" Қазақстан Республикасы стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу;

      2) сәйкестендірілген және сыныпталған активтердің тізбесіне қатысты тәуекелдерді сәйкестендіру жүзеге асырылады, ол мыналарды қамтиды:

      АҚ қатерлерін және олардың көздерін айқындау;

      қатерлердің іске асырылуына әкеп соғуы мүмкін осалдықтарды айқындау;

      ақпараттың таралу арналарын анықтау;

      бұзушы моделін қалыптастыру;

      3) сәйкестендірілген тәуекелдерді қабылдау өлшемшарттарын таңдау;

      4) ҚР СТ ISO/IEC 27005-2022 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын АҚ қауіп-қатерлері (тәуекелдері) каталогын қалыптастыру;

      5) АҚ қатерлерін (тәуекелдерін) бейтараптандыру немесе төмендету жөніндегі іс-шараларды қамтитын оларды өңдеу жоспарын әзірлеу және бекіту жүзеге асырылады.

      Ескерту. 37-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      38. МО-да, ЖАО-да немесе ұйымда АҚ-ның бұзылу оқиғаларын бақылау мақсатында:

      1) АҚ-ны бұзуға байланысты оқиғалар мониторингі мен мониторинг нәтижелерін талдау жүргізіледі;

      2) АҚ-ның жай-күйіне байланысты оқиғалар тіркеліп, оқиғалар журналдарын, соның ішінде:

      операциялық жүйелердің оқиғалар журналдарын;

      дерекқорларды басқару жүйелерінің оқиғалар журналдарын;

      вирусқа қарсы қорғау оқиғаларының журналдарын;

      қолданбалы БҚ оқиғалар журналдарын;

      телекоммуникациялық жабдықтың оқиғалар журналдарын;

      шабуылдарды анықтау және алдын алу жүйелерінің оқиғалар журналдарын;

      контентті басқару жүйесі оқиғаларының журналын талдау арқылы бұзушылықтар анықталады;

      3) оқиғаларды тіркеу журналдарындағы уақытты уақыт көзінің инфрақұрылымымен үйлесімді ету қамтамасыз етіледі;

      4) оқиғаларды тіркеу журналдары АҚ ТҚ-да көрсетілген, бірақ үш жылдан кем емес мерзім бойы сақталады және кем дегенде екі ай жедел қолжетімді болады;

      5) Заңның 7-1-бабының 7) тармағына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган ұлттық қауіпсіздік органдарымен келісу бойынша бекітетін "электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингін жүргізу қағидаларында айқындалатын форматтар мен жазба түрлеріне сәйкес оқиғаларды тіркеу журналдары жүргізіледі;

      5-1) мемлекеттік техникалық қызметтің сұратуы бойынша Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығының ақпараттық қауіпсіздікті қамтамасыз ету мониторингі жүйесінің техникалық құралдарына "электрондық үкіметтің" ақпараттандыру объектілерінің АҚ оқиғаларын журналдау жүйелерін қосу қамтамасыз етіледі;

      6) оқиғаларды тіркеу журналдарын араласудан және авторланбаған қолжетімділіктен қорғау қамтамасыз етіледі. Жүйе әкімшілеріне журналдарды өзгертуге, жоюға және ажыратуға өкілеттік беруге жол берілмейді. Құпия АЖ үшін журналдардың резервтік қоймасын құру және оны жүргізу талап етіледі;

      7) АҚ инциденттері туралы хабардар етудің және АҚ-ның инциденттеріне әрекет етудің формальді рәсімін енгізу қамтамасыз етіледі.

      Ескерту. 38-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      38-1. МО және ЖАО ақпараттық қауіпсіздікті қамтамасыз ету мониторингі және ақпараттық қауіпсіздік оқиғаларының мониторингі жөніндегі жұмыстарды жүргізу мақсатында мемлекеттік техникалық қызметтің сұрау салуы бойынша Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығының жұмыскерлеріне жеке жұмыс орындарын ұсына отырып, "электрондық үкіметтің" ақпараттандыру объектілеріне физикалық қолжетімділікті тұрақты негізде қамтамасыз етеді.

      Ескерту. 2-тарау 38-1-тармақпен толықтырылды - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      39. МО-ның, ЖАО-ның немесе ұйымның өте маңызды процестерін ішкі және сыртқы қатерлерден қорғау мақсатында:

      1) ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары әзірленеді, тестілеуден өтеді және іске асырылады;

      2) пайдаланушылардың АҚ инциденттеріне және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің назарына жеткізіледі.

      Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары үнемі өзектілендіруге жатады.

      40. АҚ-ны қамтамасыз ету жөніндегі функционалдық міндеттер және МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің АҚ ТҚ талаптарын орындау жөніндегі міндеттемелері лауазымдық нұсқаулықтарға енгізіледі.

      Еңбек шартының қолданылуы тоқтатылғаннан кейін күшінде қалған АҚ-ны қамтамасыз ету саласындағы міндеттемелер ұйым жұмыскерімен жасалған еңбек шартында бекітіледі.

      Ескерту. 40-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      41. ЭАР, АЖ, АКИ ақпараттық қауіпсіздігін қамтамасыз етуге бөгде ұйымдарды тартқан жағдайда олардың иесі немесе иеленушісі аталған объектілермен жұмыс істеу, оларға қол жеткізу немесе пайдалану шарттары, сондай-ақ оларды бұзғаны үшін жауапкершілігі белгіленетін келісімдер жасайды.

      42. АҚ-ны қамтамасыз ету саласында міндеттемелері бар МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін жұмыстан босатқан кездегі рәсімдердің мазмұны АҚ ТҚ-да белгіленеді.

      43. Ұйым жұмыскерінің еңбек шартының талаптарына өзгерістер енгізу, МО, ЖАО қызметшісін ротациялау немесе мемлекеттік қызмет бойынша ілгерілету, оларды жұмыстан шығару кезінде физикалық және логикалық қол жеткізуді, қол жеткізу идентификаторларын, жазылымдарды қамтитын, оны МО-ның, ЖАО-ның қазіргі қызметшісі немесе ұйымның жұмыскері ретінде сәйкестендіретін ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары жойылады.

      Ескерту. 43-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      44. Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізеді.

      45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР СТ ISO/IEC 15408-2017 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан Республикасы стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.

      Ескерту. 45-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      46. Ақпараттандыру объектілерін пайдалану кезінде АҚ қамтамасыз ету мақсатында:

      1) аутентификация тәсілдеріне;

      2) қолданылатын АКҚҚ-ға;

      3) қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету тәсілдеріне;

      4) АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингіне;

      5) АҚ қамтамасыз ету құралдары мен жүйелерін қолдануға;

      6) куәландырушы орталықтардың тіркеу куәліктеріне қойылатын талаптар белгіленеді.

      Ескерту. 46-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      46-1. "Электрондық үкімет" ақпараттандыру объектілері қол қою үшін "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасы Заңының 5-бабы 3-тармағының 2) тармақшасына сәйкес уәкілетті орган бекітетін Куәландырушы орталықтарды аккредиттеу туралы куәлікті беру және кері қайтарып алу қағидаларына сәйкес аккредиттелген куәландырушы орталықтардың тіркеу куәліктерін пайдаланады.

      Ескерту. 2-тарау 46-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      47. Сыныптауышқа сәйкес бірінші және екінші сыныптардағы ақпараттандыру объектілеріне қол жеткізу кезінде көп факторлы, оның ішінде цифрлық сертификаттар пайдаланылатын аутентификация қолданылады.

      Ескерту. 47-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      48. Құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР қызметтік ақпаратын қорғау мақсатында ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының стандартына сәйкес АКҚҚ-ға қойылатын талаптарға сәйкес келетін мынадай параметрлері бар:

      бірінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – үшінші қауіпсіздік деңгейінің;

      екінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – екінші қауіпсіздік деңгейінің;

      үшінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – бірінші қауіпсіздік деңгейінің АКҚҚ (бағдарламалық және аппараттық) қолданылады.

      49. Қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету үшін ЭҮ ақпараттандыру объектілерінің иелері:

      1) сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілеріне арналған меншікті немесе жалға алынған резервті серверлік үй-жайдың болуын;

      2) аппараттық-бағдарламалық деректерді өңдеу құралдарын, деректерді сақтау жүйелерін, деректерді сақтау желілерінің компоненттері мен деректерді беру арналарын, соның ішінде сыныптауышқа сәйкес:

      бірінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда жүктемемен (жедел);

      екінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда жүктемесіз (іске қосылмаған);

      үшінші сыныптағы ЭҮ ақпараттандыру объектілерін – негізгі серверлік үй-жайға жақын орналасқан қоймада сақтаумен резервтеуді қамтамасыз етеді.

      49-1. "Электрондық үкімет" ақпараттандыру объектілерін интеграциялау Заңның 7-бабының 13) тармақшасына сәйкес уәкілетті орган бекіткен "Электрондық үкімет" ақпараттандыру объектілерін интеграциялау қағидаларына сәйкес және қорғау бейінімен айқындалатын әрі мемлекеттік және мемлекеттік емес ақпараттық жүйелердің ақпараттық қауіпсіздігі жөніндегі бірлескен жұмыстар шартымен ресімделетін ақпараттық қауіпсіздік талаптары сақталған кезде жүзеге асырылады және:

      1) бірыңғай интеграциялық ортаны – ақпараттандыру объектілерінің ведомствоаралық және ведомстволық ақпараттық өзара іс-қимылының технологиялық мүмкіндіктерін қамтамасыз етуге;

      2) бір реттік интеграцияны – "электрондық үкімет" ақпараттандыру объектілерінің өзара іс-қимыл жүйесіне бір мәрте қосылуын және ақпаратты беру мен алу кезінде қаржы және уақыт шығасыларын азайту үшін кейіннен көп мәрте пайдалануды қамтамасыз етуге;

      3) бірыңғай ақпараттық кеңістікті – деректерді берудің стандартты форматтарын қолдану негізінде берген кезде деректердің үйлесімділігі мен салыстырылуын қамтамасыз етуге негізделеді.

      Ескерту. 2-тарау 49-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      50. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілері оларды өндірістік пайдалануға енгізгеннен кейін бір жылдан кешіктірмей АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингі жүйесіне қосылады.

      50-1. Мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтер көрсетуге арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері немесе иеленушілері мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланғанға дейін ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады.

      Мемлекеттік органдарды, жергілікті өзін-өзі басқару органдарын, мемлекеттік заңды тұлғаларды, квазимемлекеттік сектор субъектілерін қоспағанда, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері немесе иеленушілері ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің тізбесіне енгізілген күннен бастап бір жыл ішінде ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ескерту. Талаптар 50-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      50-2. Бірыңғай интеграциялық орта мынадай талаптардың орындалуына негізделеді:

      1) сервистік-бағытталған архитектураға сәйкес бірыңғай интеграциялық ортаға интеграциялауды жүзеге асыру;

      2) бірнеше мемлекеттің ақпараттандыру объектілерінің мемлекетаралық ақпараттық өзара іс-қимылын Қазақстан Республикасының ұлттық шлюзі арқылы жүзеге асыру;

      3) деректерді иеленушілердің бастамасымен немесе олардың атынан мемлекеттік функцияларды іске асырудың және мемлекеттік қызметтер көрсетудің тиісті процестерімен ұштастыру арқылы деректерді жасауды, өзгертуді және жоюды жүзеге асыру;

      4) өзара іс-қимыл жасаушы тараптардың бір мәнді сәйкестендірілуін және өзара іс-қимыл жасау кезіндегі олардың құқықтарының көлемін қамтамасыз етуде бірыңғай тәсілдер мен стандарттарды қолдану;

      5) "электрондық үкімет" ақпараттандыру объектілері арасындағы синхронды өзара іс-қимылды басым түрде жүзеге асыру;

      6) ақпараттық өзара іс-қимыл жасау және мемлекеттік қызметтер көрсету процесінде электрондық құжаттарды сақтау қоймасынан және "электрондық үкімет" шлюзінің нормативтік-анықтамалық ақпаратының бірыңғай жүйесінен алынған мәліметтерді пайдалануды қамтамасыз ету;

      7) ақпараттық өзара іс-қимыл шеңберінде жүзеге асырылатын барлық іс-қимылдар мен операциялардың күнін, уақытын, мазмұнын және оларға қатысушыларды, сондай-ақ ақпараттық өзара іс-қимыл тарихын қалпына келтіруге мүмкіндік беретін мәліметтерді тіркеуді қамтамасыз ету;

      8) ұйымдарда сақталатын деректерге қол жеткізу үшін техникалық мүмкіндікті қамтамасыз ету;

      9) сұратуға және берілетін деректерге ЭЦҚ-мен қол қою арқылы ақпараттық өзара іс-қимылдың заңдылығы мен тұтастығын қамтамасыз ету.

      Ескерту. 2-тарау 50-2-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      51. МО, ЖАО немесе ұйым:

      пайдаланушылар мен персоналдың іс-қимылы;

      ақпаратты өңдеу құралдарын қолдану мониторингін жүзеге асырады.

      Ескерту. 51-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      51-1. Бір реттік интеграция мынадай талаптардың орындалуына негізделеді:

      1) "электрондық үкімет" шлюзінде жарияланған ақпараттық өзара іс-қимылдың әмбебап сервистерінің жинағы негізінде ақпараттандыру объектілерінің функционалдық мүмкіндіктері мен ЭАР (деректер) интеграциясын жүзеге асыру және оларға қолжетімділікті ұсыну;

      2) ақпараттық өзара іс-қимыл сервистерін "электрондық үкімет" шлюзінің сервистері тізіліміне енгізу жолымен олардың көп мәрте пайдаланылуын қамтамасыз ету;

      3) Қазақстан Республикасында пайдаланылатын деректерді берудің стандартты технологиялары, форматтары мен хаттамалары негізінде ақпараттық өзара іс-қимыл сервистерін құруды қамтамасыз ету;

      4) ақпаратты алушылардың қол жеткізу құқықтарын басқара отырып, деректерді бірыңғай виртуалды деректер көзі арқылы тарату;

      5) "электрондық үкімет" шлюзі сервистерінің тіркелімінде осындай не ұқсас сервис болмаған жағдайларда ақпараттық өзара іс-қимылдың жаңа сервисін әзірлеуді жүзеге асыру;

      6) ақпараттық өзара іс-қимыл сервистері негізінде композиттік сервистерді қалыптастыру үшін техникалық мүмкіндікті қамтамасыз ету;

      7) "электрондық үкімет" шлюзіне қосылған "электрондық үкімет" ақпараттандыру объектілерінің жүргізілетін техникалық, әкімшілік, ұйымдастырушылық және өзге де өзгерістеріне қарамастан, "электрондық үкімет" шлюзінің жұмыс қабілеттілігін қамтамасыз ету;

      8) ақпараттық өзара іс-қимыл сервисі интерфейстерінің өзгермейтіндігін қамтамасыз ету жолымен байланысқан барлық ақпарат тұтынушыларды жетілдіру қажеттігінсіз ақпарат берушінің "электрондық үкімет" ақпараттандыру объектісін тәуелсіз дамыту мүмкіндігін қамтамасыз ету.

      Ескерту. 2-тарау 51-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      52. МО-да, ЖАО-да немесе ұйымда пайдаланушылар мен персонал іс-қимылының мониторингін жүзеге асыру шеңберінде:

      1) пайдаланушылардың аномальді белсенділігі мен қасақана іс-қимылдары айқындалған кезде, мұндай іс-әрекеттер:

      сыныптауышқа сәйкес бірінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі, бұғатталады және әкімшісі жедел хабардар етіледі;

      сыныптауышқа сәйкес екінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі және бұғатталады;

      сыныптауышқа сәйкес үшінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі;

      2) қызмет көрсетуші персоналдың іс-қимылдарын АҚ бөлімшесі тіркейді және бақылайды.

      Ескерту. 52-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      52-1. Бірыңғай ақпараттық кеңістіктік деректерді басқару жөніндегі талаптардың сақталуына негізделеді, оның ішінде мынадай:

      1) берілетін деректер мен ақпараттық өзара іс-қимыл сервистері интерфейстерінің синтаксистік, семантикалық және кеңістіктік сәйкестігі арқылы ақпараттық өзара іс-қимыл процесінде деректердің үйлесімділігін қамтамасыз ету;

      2) эталондық ақпарат көздерін пайдалану арқылы деректердің белгілі бір түрін таратуды және бірнеше көздерден алынған деректер пайдаланылған жағдайда олардың салыстырылуын қамтамасыз ету;

      3) таратылатын деректерді бір мәнді және бірегей сәйкестендіру;

      4) ашық деректер порталы арқылы құрылымдалған, машинамен оқылатын және байланысқан форматта жалпыға қолжетімді деректерді тарату;

      5) деректердің анықтығы мен өзектілігін растау, анық емес деректерді анықтау, сондай-ақ анық емес деректердің анықталу жағдайлары және оны өзектілендіру процесінде жүргізілген өзгерістер туралы ақпараттық өзара іс-қимылдың мүдделі қатысушыларын хабардар ету мүмкіндігін қамтамасыз ету;

      6) "электрондық үкімет" шлюзін пайдалана отырып, "электрондық үкімет" ақпараттандыру объектілерінің өзара іс-қимылы кезінде деректерді ақпарат тұтынушының деректер форматынан ақпаратты берушінің деректер форматына түрлендірудің бірыңғай схемасын пайдалану талаптары ескеріледі.

      Ескерту. 2-тарау 52-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53. АҚ оқиғалары мониторингін және оқиғалар журналын талдау нәтижелері бойынша құпиялылығы, қолжетімділігі мен тұтастығы үшін өте қатерлі болып сәйкестендірілген АҚ оқиғалары:

      1) АҚ инциденттері ретінде анықталады;

      2) АҚ қатерлері (тәуекелдері) каталогында есепке алынады;

      3) мемлекеттік техникалық қызметтің компьютерлік инциденттерге әрекет ету қызметінде тіркеледі.

      53-1. АЖ-да электрондық құжаттарға қол қою функциясы болған жағдайда АЖ пайдаланушының электрондық құжаттың төлнұсқалығын осы АЖ-ны пайдаланбай-ақ, өзіне қолжетімді өзге де тәсілдермен тексеру мүмкіндігін алуы мақсатында АЖ пайдаланушыға пайдаланушы ЭЦҚ-сымен қол қойылған электрондық құжатты да, осындай электрондық құжаттар куәландырылған барлық ЭЦҚ-мен бірге өзіне қолжетімді өзге де электрондық құжаттарды да АЖ-дан көшіру мүмкіндігі беріледі.

      Ескерту. 2-тарау 53-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-2. АЖ-да электрондық құжаттарға қол қою функциясы болған жағдайда АЖ пайдаланушыға бұрын қол қойылған электрондық құжатты осындай электрондық құжат куәландырылған барлық ЭЦҚ-мен бірге, оның ішінде егер осындай электрондық құжатқа осы АЖ пайдаланылмай қол қойылған болса, АЖ-ға жүктеу мүмкіндігі беріледі.

      Ескерту. 2-тарау 53-2-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-3. АЖ-да электрондық құжаттармен жұмыс істеу функциясы болған жағдайда АЖ "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасы Заңының 5-бабы 1-тармағының 10) тармақшасына сәйкес уәкілетті орган бекітетін Электрондық цифрлық қолтаңбаның төлнұсқалығын тексеру қағидаларына сәйкес құжатқа қол қойған тұлғаның өкілеттіктерін тексеруді жүзеге асырады.

      Ескерту. 2-тарау 53-3-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-4. АЖ-да электрондық құжаттармен жұмыс істеу функциясы болған жағдайда электрондық құжаттар АЖ-да электрондық құжаттарды олар куәландырылған барлық ЭЦҚ-мен, уақыт белгілерімен және қол қою сәтінде кері қайтарып алуға (жоюға) болатындығы тұрғысынан тіркеу куәліктерін тексерудің мәртебесі туралы ақпаратпен бірге өзгеріссіз түрде электрондық құжатты сақтаудың бүкіл мерзімі ішінде сақталуы тиіс.

      Ескерту. 2-тарау 53-4-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53-5. АЖ-да электрондық құжаттармен жұмыс істеу функциясы болған жағдайда АЖ осы АЖ жұмыс істейтін куәландырушы орталықтар қолдайтын ЭЦҚ кілттерін сақтау қоймаларының барлық типтерімен жұмысты қолдауы тиіс.

      Ескерту. 2-тарау 53-5-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      54. Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде:

      зиянды кодты анықтау мен алдын алу;

      АҚ инциденттері мен оқиғаларын мониторингтеу және басқару;

      басып кіруді анықтау және алдын алу;

      ақпараттық инфрақұрылымды мониторингтеу және басқару құралдары мен жүйелері пайдаланылады.

      Ескерту. 54-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      54-1. МО, ЖАО ақпараттандыру объектілерін және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерін қорғау үшін деректердің тарап кетуін болғызбау жүйелері (DLP) қолданылады.

      Бұл ретте:

      іс-қимылға жүргізілетін бақылау туралы пайдаланушыны визуалды түрде хабардар ету;

      жергілікті желі шегінде деректердің тарап кетуін болғызбау жүйесінің басқару орталығы мен серверлерін орналастыру қамтамасыз етіледі.

      Ескерту. Талаптар 54-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      55. Қазақстан Республикасының негізгі куәландырушы орталығының тіркеу куәліктері ҚР СТ ИСО/МЭК 14888-1-2017 "Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 1-бөлім. Жалпы ережелер", ҚР СТ ИСО/МЭК 14888-3-2017 "Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 3-бөлім. Сертификатқа негізделген механизмдер", МемСТ Р ИСО/МЭК 9594-8-98 "Ақпараттық технология. Ашық желілердің өзара байланысы. Анықтамалық. 8-бөлім. Аутентификация негіздері" Қазақстан Республикасының стандарттарына сәйкес аутентификациялау мақсаттарында әлемдік БҚ өндірушілердің бағдарламалық өнімдерінің сенім білдірілген тізімдерінде танылуға жатады.

      Ескерту. 55-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      56. Қазақстан Республикасының негізгі куәландырушы орталығын қоспағанда, Қазақстан Республикасының куәландырушы орталықтары куәландырушы орталықтарды аккредиттеу қағидаларына сәйкес куәландырушы орталықты аккредиттеу жолымен әлемдік БҚ өндірушілер бағдарламалық өнімдерінің сенімді тізімдерінде танылады.

      Қазақстан Республикасының куәландырушы орталықтары шет елдердің аумағында Қазақстан Республикасы азаматтарының ЭЦҚ тексеруді қамтамасыз ету үшін өз тіркеу куәлігін Қазақстан Республикасының сенім білдірілген үшінші тарапында орналастырады.

      56-1. Заңмен қорғалатын құпияны қамтитын деректерді өңдейтін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иесі ақпараттық қауіпсіздікке жылына кемінде бір рет аудит жүргізеді. Екінші деңгейдегі банктердің ақпараттық қауіпсіздігінің аудиті Қазақстан Республикасының банк заңнамасының талаптарына сәйкес жүргізіледі.

      Ескерту. Талаптар 56-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

3-тарау. Ақпараттандыру объектілеріне қойылатын талаптар
1-параграф. Электрондық ақпараттық ресурстарға және Интернет ресурстарға қойылатын талаптар

      57. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      58. ИР құруға немесе дамытуға қойылатын талаптар ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      59. ИР иесі және (немесе) иеленушісі пайдаланушының кескін тілін таңдау мүмкіндігімен қазақ, орыс және қажет болған жағдайда басқа тілдерде көпшілікке қолжетімді ИР құруды қамтамасыз етеді.

      60. ИР-ды құру немесе дамыту ҚР СТ 2190-2012 "Ақпараттық технологиялар. Мемлекеттік органдар мен ұйымдардың интернет-ресурстары. Талаптар", ҚР СТ 2191-2023 "Ақпараттық технологиялар. Мүгедектігі бар адамдар үшін веб-контенттің қолжетімділігі", ҚР СТ 2192-2012 "Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. Жалпы сипаттамасы", ҚР СТ 2193-2012 "Ақпараттық технологиялар. Мобильдік веб-қосымшаларды әзірлеуге ұсынылатын тәжірибесі", ҚР СТ 2199-2012 "Ақпараттық технологиялар. Мемлекеттік органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар" Қазақстан Республикасы стандарттарының талаптарын ескере отырып жүзеге асырылады.

      Ескерту. 60-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      61. МО немесе ЖАО ИР-нда ЭАР дайындау, орналастыру, өзектілендіру уәкілетті орган бекіткен МО ИР ақпараттық толықтыру қағидалары мен олардың мазмұнына қойылатын талаптарға сәйкес жүзеге асырылады.

      62. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық бөлімшелерінің, жергілікті атқарушы органның ИР gov.kz. және мем.қаз домендік аймақтарында тіркеледі және МО ИРБП-да орналастырылады.

      МО ИРБП ЭҮ АКП-да орналастырылады.

      62-1. .KZ және (немесе) .ҚАЗ домендік атымен тіркелген интернет-ресурс Қазақстан Республикасының аумағында орналасқан аппараттық-бағдарламалық кешенде орналастырылады.

      Ескерту. Талаптар 62-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      62-2. Интернет-ресурстармен деректерді беру кезінде Интернеттің қазақстандық сегментінің кеңістігінде .KZ және (немесе) .ҚАЗ домендік аттарын пайдалану қауіпсіздік сертификаттарын қолдану арқылы жүзеге асырылады.

      Ескерту. Талаптар 62-2-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      63. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық бөлімшелерінің, жергілікті атқарушы органның ИР басқаруды, ЭАР орналастыру мен өзектілендіруді оператор ИР иесінің және (немесе) иеленушінің өтінімі негізінде ЭҮ АКИ локальдық желісінің сыртқы шеңберінен жүзеге асырады.

      63-1. МО және ЖАО ИР-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.

      Ескерту. Талаптар 63-1-тармақпен толықтырылды - ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      63-2. МО-ның, ЖАО-ның және ұйымдардың ақпараттандыру объектілерінде дербес деректерді қамтитын және мемлекеттік функцияларды автоматтандыру мен олардан туындайтын мемлекеттік қызметтерді көрсету кезінде пайдаланылатын, меншік иелері немесе иеленушілері өзге ақпараттандыру субъектілері болып табылатын ЭАР-ны оларды жинау және өңдеу мақсаттарына қол жеткізу күні басталғаннан кейін сақтауға жол берілмейді.

      Ескерту. 3-тарау 63-2-тармақпен толықтырылды - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      64. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      65. МО немесе ЖАО ЭАР пайдаланылмаған кезде оны "Ұлттық архив қоры және архивтеу туралы" Қазақстан Республикасы Заңында (бұдан әрі – Архив туралы заң) белгіленген тәртіппен архивке беруді қамтамасыз етеді.

      Ескерту. 65-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      66. ИР-дің АҚ-сын қамтамасыз ету үшін:

      1) домендік атаудың төлнұсқалылығын және АКҚҚ пайдаланылатын байланыс сеансы мазмұнының криптографиялық шифрлануын тексеруге арналған тіркеу куәліктері;

      2) мыналарды:

      ЭАР-ды орналастыру, өзгерту және жою операцияларын санкциялауды;

      ЭАР-ды орналастыру, өзгерту және жою кезінде авторлықты тіркеуді;

      жүктелетін ЭАР-ды зиянды кодтың бар болуы тұрғысынан тексеруді;

      орындалатын код пен скрипттер қауіпсіздігінің аудитін;

      орналастырылған ЭАР тұтастығын бақылауды;

      ЭАР-ды өзгерту журналын жүргізуді;

      пайдаланушылар мен бағдарламалық роботтардың аномальді белсенділігін бақылауды орындайтын құрамын (контентті) басқару жүйесі қолданылады.

2- параграф. Әзірленетін немесе сатып алынатын қолданбалы бағдарламалық қамтылымға қойылатын талаптар

      67. Қолданбалы БҚ-ны әзірлеуге немесе сатып алуға бастамашылық ету кезеңінде Заңның 7-бабының 11) тармақшасына сәйкес уәкілетті орган бекіткен ақпараттандыру объектілерін сыныптау қағидаларына және ақпараттандыру объектілерінің сыныптауышына сәйкес БҚ сыныбы айқындалады және жобалау құжаттамасында тіркеледі.

      68. Жасалатын немесе дамытылатын қолданбалы АЖ-ның БҚ-на қойылатын талаптар ҚР СТ 34.015-2002 "Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені. Автоматтандырылған жүйелерді құруға арналған техникалық тапсырма" Қазақстан Республикасы стандартының талаптарына сәйкес жасалатын техникалық тапсырмаларда осы БТ мен Заңның 7-бабының 20) тармақшасына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекітетін "электрондық үкіметтің" ақпараттандыру объектілерін құруға және дамытуға арналған техникалық тапсырмаларды жасау және қарау қағидаларында айқындалады.

      Ескерту. 68-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      69. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      69-1. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      70. Сатып алынатын қолданбалы БҚ-ға қойылатын талаптар осы БТ-ның талаптарын ескере отырып, ақпараттандыру саласында тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алудың техникалық ерекшеліктерінде айқындалады.

      71. Қолданбалы дайын БҚ сатып алу СБӨ басымдылығын ескере отырып, оның сипаттамалары коммерциялық БҚ сипаттамаларымен бірдей болған жағдайда жүзеге асырылады.

      72. БҚ әзірлеуге немесе сатып алуға қойылатын талаптарды қалыптастырған кезде ЭАР сыныбы және ЭАР каталогының мәліметтері ескеріледі.

      73. Әзірленетін немесе сатып алынатын дайын қолданбалы БҚ:

      1) пайдаланушы интерфейсін пайдаланушының тіл интерфейсін таңдау мүмкіндігімен, деректерді қазақ, орыс және қажет болған жағдайда басқа тілдерде енгізуді, өңдеу мен шығаруды қамтамасыз етеді;

      2) мынадай талаптарды ескереді:

      сенімділік;

      сүйемелденуі;

      пайдалану қолайлылығы;

      тиімділік;

      әмбебаптылық;

      функционалдық;

      кросс-платформалық;

      3) виртуалдау технологиясын көп функционалды қолдауды қамтамасыз етеді;

      4) кластерлеуді қолдайды;

      5) қазақ және орыс тілдерінде пайдалану жөніндегі техникалық құжаттамамен қамтамасыз етіледі.

      74. БҚ жасау және дамыту немесе сатып алу техникалық қолдаумен және сүйемелдеумен қамтамасыз етіледі.

      БҚ жоспарлау, жүзеге асыру және техникалық қолдау мен сүйемелдеуді құжаттандыру әзірлеушінің, өнім берушінің ерекшеліктеріне немесе АҚ ТҚ талаптарына сәйкес жүргізіледі.

      Ескерту. 74-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      75. Қолданбалы БҚ жасау және дамыту процесі:

      1) мыналарды:

      алгоритмдердің, бастапқы мәтіндер мен бағдарламалық құралдардың ақпараттық базасын құруды;

      бағдарламалық модульдерді сынақтан өткізуді және тестілеуді;

      ақпараттық, технологиялық және бағдарламалық үйлесімділікті қамтамасыз ететін АҚ алгоритмдерін, бағдарламалары мен құралдарын типтеуді;

      лицензияланған аспаптық әзірлеу құралдарын пайдалануды көздейді;

      2) қолданбалы БҚ қабылдаудың мыналарды көздейтін рәсімдерін қамтиды:

      әзірлеушінің қолданбалы БҚ құру үшін қажетті бағдарламалардың бастапқы мәтіндері мен басқа объектілерді иесіне және (немесе) иеленушіге беру;

      қолданбалы БҚ-ның толығымен жұмысқа қабілетті нұсқасын жасай отырып, берілген бастапқы мәтіндерді бақылауды орнату;

      БҚ-ның осы нұсқасы бойынша бақылау үлгісін орындау.

      Ескерту. 75-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      76. БҚ-ның авторланған өзгерістерін және оған қол жеткізу құқықтарын бақылау МО, ЖАО немесе ұйым ақпараттық технологиялар бөлімшесі жұмыскерлерінің қатысуымен жүзеге асырылады.

      Ескерту. 76-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      77. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      78. АҚ-ны қамтамасыз ету мақсатында:

      1) БҚ-ны әзірлеу кезеңінде ҚР МЕМ СТ Р 50739-2006 "Есептеу техникасы құралдары. Ақпаратты рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" Қазақстан Республикасы стандартының ұсынымдары ескеріледі;

      2) әзірленетін немесе сатып алынатын қолданбалы БҚ-ға қойылатын талаптар:

      пайдаланушыларды сәйкестендіру және аутентификациялау құралдарын, қажет болған жағдайда цифрлық сертификаттарды;

      қол жеткізуді басқару;

      тұтастықты бақылау;

      пайдаланушылардың АҚ-ға әсер ететін іс-әрекеттерін журналдау;

      онлайн транзакцияларды қорғау;

      сақтау, өңдеу кезінде құпия АЖ-дың АКҚҚ пайдалана отырып, ақпаратты криптографиялық қорғау;

      БҚ аса маңызды оқиғаларын журналдау құралдарын қолдануды көздейді.

      3) пайдалану кезінде АҚ ТҚ-да мыналар айқындалады және қолданылады:

      серверлерде және жұмыс станцияларында БҚ-ны орнату, жаңарту және жою қағидалары;

      жүйелік БҚ өзгертілген жағдайда қолданбалы БҚ өзгерістері мен оны талдауды басқару рәсімдері;

      4) лицензияланатын БҚ тек қана лицензия болған жағдайда ғана қолданылады және сатып алынады.

      Ескерту. 78-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      79. БҚ пайдалану заңдылығын бақылау бойынша іс-шаралар АҚ ТҚ-да айқындалады, жылына бір реттен жиі емес жүргізіледі және мыналарды:

      нақты пайдаланылатын БҚ айқындауды;

      БҚ пайдалануға құқықтарды айқындауды;

      нақты пайдаланылатын БҚ мен қолда бар лицензияларды салыстыруды қамтиды.

      80. Қолданбалы БҚ "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасы Заңының 5-бабы 1-тармағының 10) тармақшасына сәйкес уәкілетті орган бекіткен электрондық цифрлық қолтаңбаның төлнұсқалығын тексеру қағидаларына сәйкес ЭЦҚ ашық кілтінің және электрондық құжатқа қол қойған адамның тіркеу куәлігінің тиесілілігі мен жарамдылығын растауды тексеруді орындайды.

      Ескерту. 80-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

3-параграф. Ақпараттық-коммуникациялық инфрақұрылымға қойылатын талаптар

      81. АКИ-ға қойылатын талаптар Заңның 1-бабының 25) тармақшасына сәйкес оның құрамына кіретін объектілер ескеріле отырып қалыптастырылады.

      82. БТ АКИ-дің мынадай объектілеріне қойылатын талаптарды белгілейді:

      1) ақпараттық жүйе;

      2) технологиялық платформа;

      3) аппараттық-бағдарламалық кешен;

      4) телекоммуникация желілері;

      5) ақпараттық қауіпсіздік және техникалық құралдардың үздіксіз жұмыс істеу жүйелері;

      6) серверлік үй-жай (деректерді өңдеу орталығы).

      Ескерту. 82-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

4-параграф. Ақпараттық жүйеге қойылатын талаптар

      83. "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерінде ЭАР-ны өңдеу, сақтау және резервтік көшіру құралдарына қойылатын міндетті талаптар Заңның 42-бабында айқындалады.

      Ескерту. 83-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      84. Тәжірибелік пайдалануды бастау алдында әзірлеуші:

      1) АЖ-ның барлық функционалдық компоненттері үшін тестілер жинағын, тестілеу сценарийлерін және тестілеуді жүргізу үшін сынақ әдістемелерін әзірлейді;

      2) АЖ стендтік сынақтан өткізуді жүзеге асырады;

      3) сыныптауышқа сәйкес:

      МО немесе ЖАО бірінші сыныптағы АЖ персоналы үшін міндетті түрде оқытуды;

      МО немесе ЖАО екінші сыныптағы АЖ персоналы үшін бейне,-мультимедиа оқыту материалдарын жасауды;

      МО немесе ЖАО үшінші сыныптағы АЖ персоналы үшін анықтама жүйесін және (немесе) пайдалану жөнінде нұсқаулық жасауды жүзеге асырады.

      85. МО немесе ЖАО АЖ тәжірибелік пайдалану мыналарды қамтиды:

      тәжірибелік пайдалануды жүргізу рәсімдерін құжаттау;

      анықталған ақаулар мен кемшіліктерді кейіннен түзете отырып, оларды оңтайландыру және жою;

      АЖ тәжірибелік пайдалануды аяқтау актісін ресімдеу;

      тәжірибелік пайдалануды жүргізу мерзімі бір жылдан аспауға тиіс.

      Ескерту. 85-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      85-1. "Электрондық үкімет" ақпараттандыру объектісін ендіру Қазақстан Республикасының аумағында қолданылатын стандарттарға сәйкес іске асырылады.

      Ескерту. Талаптар 85-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      86. АЖ-ны МО-да, ЖАО-да немесе ұйымда өнеркәсіптік пайдалануға енгізу алдында құрылған АЖ немесе АЖ-ның жаңа нұсқалары мен жаңартуларын қабылдау өлшемшарттары айқындалады, келісіледі, құжат жүзінде ресімделеді.

      Ескерту. 86-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      87. МО-ның, ЖАО-ның және ұйымдардың АЖ-ны өнеркәсіптік пайдалануға беру тәжірибелік пайдалану оң аяқталған, ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған, ақпараттандыру және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органдардың, мүдделі МО-ның, ЖАО-ның және ұйымдардың өкілдері қатысатын қабылдау комиссиясы АЖ-ны өнеркәсіптік пайдалануға беру туралы актіге қол қойған жағдайда техникалық құжаттама талаптарына сәйкес жүзеге асырылады.

      Ескерту. 87-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      87-1. Ақпараттық қауіпсіздік талаптарына сәйкестік тұрғысынан сынақтар Заңның 49-бабына сәйкес жүргізіледі.

      Ескерту. Талаптар 87-1-тармақпен толықтырылды - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      88. "Электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға беруді оның меншік иесі немесе иеленушісі "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып қана жүзеге асырады.

      Ескерту. 88-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      89. МО немесе ЖАО АЖ өнеркәсіптік пайдалану кезінде:

      1) іркіліс болған немесе зақым келген жағдайда ЭАР-дың сақталуы, қорғалуы, қалпына келтірілуі;

      2) резервтік көшіру және ЭАР-дың уақтылы өзектілендірілуін бақылау;

      3) МО немесе ЖАО АЖ-ға өтініштер туралы мәліметтердің автоматтандырылған есепке алынуы, сақталуы және мезгіл-мезгіл архивтелуі;

      4) БҚ, серверлік және телекоммуникациялық жабдықтың конфигурациялық баптауларындағы өзгерістерді тіркеу;

      5) өнімділіктің функционалдық сипаттамаларын бақылау және реттеу;

      6) АЖ-ны сүйемелдеу;

      7) АЖ-ның пайдаланылатын лицензиялық БҚ техникалық қолдау;

      8) кепілді мерзім кезеңінде анықталған АЖ қателері мен кемшіліктерін жоюды қамтитын әзірлеушінің АЖ-ға кепілдікті қызмет көрсетуі (кепілдікті қызмет көрсету АЖ өнеркәсіптік пайдалануға енгізілген күннен бастап кемінде бір жыл мерзімге қамтамасыз етіледі);

      9) пайдаланушыларды АЖ-ға қосу, сондай-ақ АЖ-ның өзара іс-қимылының домендік атауларды пайдалана отырып жүзеге асырылуы;

      10) жүйелік-техникалық қызмет көрсету;

      11) мемлекеттік функцияларды жүзеге асыру және мемлекеттік қызметтер көрсету кезінде қағаз жеткізгіштегі құжаттардың пайдаланылуын, сондай-ақ оларды ұсыну жөніндегі талаптарды қысқарту (болғызбау) қамтамасыз етіледі.

      Ескерту. 89-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      90. МО-ның және ЖАО-ның АЖ-сын, оның ішінде МО-ның немесе ЖАО-ның тәжірибелік пайдалануға енгізілген АЖ-сымен интеграциялау Заңның 43-бабында айқындалған талаптарға сәйкес жүзеге асырылады.

      Мемлекеттік емес АЖ-ны МО-ның немесе ЖАО-ның АЖ-сымен интеграциялау Заңның 44-бабында айқындалған талаптарға сәйкес жүзеге асыралады.

      90-1. Ақпараттандыру объектілерінің немесе ақпарат объектілері компоненттерінің интеграциялық өзара іс-қимыл функцияларын шлюз, интеграциялау шинасы, интеграциялау компоненті немесе интеграциялау модулі арқылы іске асырған кезде:

      1) сұрау салулардың көздерін (қосылу нүктелерін) тіркеу және заңдылығын тексеру;

      2) мыналар:

      паролі немесе ЭЦҚ;

      қосылу нүктесі;

      қосылу бұғаттауының болуы;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген түрлері;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген жиілігі;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілерінің болуы;

      сигнатуралар бойынша зиянды кодтың болуы бойынша сұрау салулардың заңдылығын тексеру;

      3) мынадай:

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақыт ішінде қосылу болмаған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақытта сұрау салулардың рұқсат етілген жиілігінен асырған;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілері болған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған аутентификация қателерінің санынан асырған;

      пайдаланушылардың аномальды белсенділігі айқындалған;

      деректер массивтерін көшіру әрекеттері анықталған кезде хабарлама алмасу хаттамаларында бұзушылықтар анықталған кезде қосылуды бұғаттау;

      4) интеграциялық өзара іс-қимыл регламентінде айқындалған іс-қимыл жасау уақыты бойынша қосылу парольдерін үнемі ауыстыру;

      5) АҚ инциденттері айқындалған кезде қосылу логинін ауыстыру;

      6) ішкі шеңбердің ЛЖ адрестеуін жасыру;

      7) мыналар:

      ақпараттық хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      файлдарды беру/қабылдау оқиғаларын тіркеу;

      қызметтік хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      оқиғалар журналдарының мониторингі үшін инциденттерді және АҚ оқиғаларын басқару жүйесін қолдану;

      оқиғалар журналдарын АҚ оқиғаларының орын алуы тұрғысынан талдау рәсімдерін автоматтандыру;

      оқиғалар журналдарын әкімшілерге қарау үшін ғана қолжетімді мамандандырылған логтар серверінде сақтау;

      оқиғалар журналдарын (қажет болған кезде):

      а) ағымдағы тәулік;

      б) қосылу (байланыс арнасы);

      в) мемлекеттік орган (заңды тұлға);

      г) интеграцияланатын ақпараттандыру объектілері бойынша бөлек жүргізу қамтылған оқиғалар журналын жүргізу;

      8) интеграцияланатын ақпараттандыру объектілеріне уақытты синхрондау сервисін ұсыну;

      9) деректерді беру жүйелері арқылы жүзеге асырылатын қосылуларды бағдарламалық-аппараттық криптографиялық қорғау;

      10) қосылулар парольдерін шифрланған түрде сақтау және беру;

      11) интеграцияланатын ақпараттандыру объектілерінің жауапты адамдарын АҚ инциденттері туралы хабарландыруды автоматтандыру қамтамасыз етіледі.

      Ескерту. Талаптар 90-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      91. Бөгде ұйымдарды тарта отырып, өнеркәсіптік пайдалану кезеңінде АЖ-ға кепілдікті қызмет көрсету:

      кепілдікті қызмет көрсетуге арналған келісімдерде АҚ мәселелерін регламенттеуді;

      кепілдікті қызмет көрсету процесінде АКТ тәуекелдерін басқаруды талап етеді.

      92. МО-ның және ЖАО-ның АЖ-сын бағдарламалық-аппараттық қамтамасыз етуді басқару АЖ иеленушісі ішкі шеңберінің ЛЖ жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын және МО-ның немесе ЖАО-ның АЖ-сымен интеграцияланатын мемлекеттік емес АЖ-ны бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасы ратификациялаған халықаралық шарттардың шеңберінде ұлттық шлюзді пайдалана отырып жүзеге асырылатын мемлекетаралық ақпарат алмасуға байланысты жағдайларды қоспағанда, Қазақстан Республикасының аумағында орналастырылады.

      Ескерту. 92-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-1. МО мен ЖАО-ның АҚ жұмысын ұйымдастыру үшін Қазақстан Республикасының аумағында физикалық түрде орналасқан бұлтты сервистерді (виртуалдау технологиясын пайдалана отырып ресурстарды ұсынатын аппараттық-бағдарламалық кешендер, АЖ), басқару орталықтарын және серверлерді қолдануға жол беріледі.

      Ескерту. Талаптар 92-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-2. Қазақстан Республикасы азаматтарының дербес деректері қамтылған ақпараттық-коммуникациялық инфрақұрылымдардың аса маңызды объектілерінің АҚ бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасының аумағында орналастырылады.

      Ескерту. Талаптар 92-2-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-3. Мемлекеттік органдардың ақпараттық жүйелерінің меншік иелері мен иеленушілері ақпараттық қауіпсіздіктің жеке жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардың ақпараттық қауіпсіздігінің жедел орталығының қызметтерін сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ескерту. Талаптар 92-3-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-4. МО және ЖАО АЖ-ның меншік иелері, иеленушілері және пайдаланушылары ЭАР-ды толықтырып отыруды жүзеге асырады, оның анықтығы мен өзектілігін қамтамасыз етеді.

      Ескерту. Талаптар 92-4-тармақпен толықтырылды - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      93. МО-ның немесе ЖАО-ның АЖ меншік иесі немесе иесі АЖ-ны бұдан әрі пайдаланудың қажеттілігі болмаған жағдайда оны пайдалануды тоқтату туралы шешім қабылдайды.

      МО-ның немесе ЖАО-ның АЖ-сын пайдалануды тоқтату туралы сервистік интеграторды, "электрондық үкіметтің" архитектуралық порталында жариялау арқылы АЖ-лары МО-ның немесе ЖАО-ның пайдалануынан алынатын АЖ-сымен интеграцияланған ақпараттандыру субъектілерін және осы АЖ-ны пайдаланушы болып табылатын ГО-ны немесе ЖАО-ны хабардар ету қажет.

      94. МО немесе ЖАО МО-ның немесе ЖАО-ның АЖ-сын пайдаланудан алу жоспарын құрады және оны МО-ның немесе ЖАО-ның АЖ-сының пайдаланушысы болып табылатын МО-мен немесе ЖАО-мен келіседі.

      95. "Электрондық үкіметтің" ақпараттандыру объектісі пайдаланудан алынғаннан кейін электрондық ақпараттық ресурстар, техникалық құжаттама және бастапқы бағдарламалық кодтар Қазақстан Республикасының заңнамасына сәйкес архивке берілуге тиіс.

      Ескерту. 95-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      96. МО-ның немесе ЖАО-ның АЖ-сын пайдаланудан алуға өтінім келіп түскен кезде сервистік интегратор МО-ның немесе ЖАО-ның АЖ-сын тіркеу туралы электрондық куәлікті жояды және "электрондық үкіметтің" архитектуралық порталына тиісті мәліметтер орналастырады.

      97. МО-ның немесе ЖАО-ның пайдаланудан алынған АЖ-сын есептен шығару және (немесе) кәдеге жарату Қазақстан Республикасының бухгалтерлік есеп және қаржылық есептілік туралы заңнамасына сәйкес жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын пайдалану тоқтатылған, бірақ МО-ның немесе ЖАО-ның АЖ-сы белгіленген тәртіппен есептен шығарылмаған жағдайда, МО-ның немесе ЖАО-ның АЖ-сы консервациялауда деп саналады.

      МО-ның немесе ЖАО-ның АЖ-сы есептен шығарылғаннан кейін пайдаланылмайды.

      98. АҚ-ны қамтамасыз ету үшін:

      1) стендтік, қабылдау-тапсыру сынақтары мен тестілік пайдалану кезеңдерінде:

      бағдарламалардың нақты сыныптарына арналып әзірленген тестілер кешені негізінде АЖ-ның БҚ-сын тестілеу;

      белсенді ақаулардың әсеріне ұқсата отырып, бағдарламаларға экстремалды жүктемелер кезінде (стрес-тестілеу) табиғи сынақтар жүргізу;

      ықтимал ақауларды айқындау мақсатында АЖ-ның БҚ-сын тестілеу;

      жобалаудағы абайсызда жасалған бағдарламалық қателерді айқындау, өнімділіктің ықтимал проблемаларын айқындау үшін АЖ-ның БҚ-сына стендтік сынақтар жүргізу;

      бағдарламалық және аппараттық қамтылымның осалдықтарын айқындау және жою;

      қорғау құралдарын заңсыз әсерлерден пысықтау жүзеге асырылады;

      2) АЖ-ны тәжірибелік пайдалануға енгізу алдында:

      жұмыс істеп тұрған АЖ-ларға және ЭҮ АКИ компоненттеріне жаңа

      АЖ-ның, әсіресе ең жоғары жүктемелер уақытындағы жағымсыз әсерін бақылауды;

      ЭҮ АКИ АҚ-сының жай-күйіне жаңа АЖ-ның әсерін талдауды;

      персоналды жаңа АЖ-ны пайдалануға дайындауды ұйымдастыруды көздеу талап етіледі;

      3) АЖ-ны тәжірибелік немесе өнеркәсіптік пайдалану орталары мен әзірлеу, тестілеу немесе стендтік сынақтан өткізу орталарының аражігін ажырату жүзеге асырылады. Бұл ретте мынадай талаптар іске асырылады:

      АЖ-ны әзірлеу фазасынан тестілеу фазасына ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      АЖ-ны тестілеу фазасынан тәжірибелік пайдалану фазасына ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      АЖ-ны тәжірибелік пайдалану фазасынан өнеркәсіптік пайдалану кезеңіне ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      аспаптық әзірлеу құралдары мен АЖ-ның сынақтан өткізу үстіндегі БҚ-сы әртүрлі домендерде орналастырылады;

      комиляторлар, редакторлар және басқа аспаптық әзірлеу құралдары пайдалану ортасына орналастырылмайды немесе пайдалану ортасынан пайдалану үшін қолжетімсіз болады;

      АЖ-ны сынақтан өткізу ортасы аппараттық-бағдарламалық қамтылым мен архитектурасы бөлігінде пайдалану ортасына сәйкес келеді;

      сынақтан өткізу үстіндегі АЖ-лар үшін өнеркәсіптік пайдаланудағы жүйелерді пайдаланушылардың нақты есеп жазбаларын қолдануға жол берілмейді;

      өнеркәсіптік пайдаланудағы АЖ-лардағы деректер сынақтан өткізу ортасына көшіруге жатпайды;

      4) АЖ-ны пайдаланудан шығарған кезде:

      АЖ-дағы ақпаратты архивтеу;

      ақпаратты машиналық тасығыштардан деректерді және қалған ақпаратты жою (өшіру) және (немесе) ақпаратты машиналық тасығыштарды жою қамтамасыз етіледі. Ақпаратты сақтау және өңдеу жүзеге асырылған ақпаратты машиналық тасығыштарды пайдаланудан шығарған кезде аталған машиналық тасығыштарды тиісті акті ресімдей отырып, физикалық жою жүзеге асырылады.

      98-1. АКИ-дің аса маңызды объектілерінің ақпараттық жүйесіне де ҚР СТ IEC/PAS 62443-3-2017 "Коммуникациялық өнеркәсіптік желілер". Желі мен жүйенің қорғалуы (киберқауіпсіздігі). 3-бөлім. Өнеркәсіптік өлшеу мен басқару процесінің қорғалуы (киберқауіпсіздігі)" Қазақстан Республикасы стандартының талаптары қолданылады.

      Ескерту. Талаптар 98-1-тармақпен толықтырылды – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

5-параграф. Технологиялық платформаға қойылатын талаптар

      99. Технологиялық платформаны таңдау виртуалдандыру технологиясын қолдауға мүмкіндік беретін жабдықтың басымдылығын ескере отырып жүзеге асырылады.

      Ескерту. 99-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      100. Виртуалдау технологиясын іске асыратын жабдықты таңдау кезінде мынадай функционалдықты қамтамасыз ету қажеттілігі ескеріледі:

      1) декомпозиция:

      есептеуіш ресурстар виртуалды машиналар арасында бөлінеді;

      көптеген қосымшалар мен операциялық жүйелер бір физикалық есептеуіш жүйеде орналастырылады;

      2) оқшаулау:

      виртуалды машиналар бір-бірінен толығымен оқшауланған, ал біреуінің авариялық істен шығуы қалғанына әсер етпейді;

      ортақ желілік қосылуларды пайдалану жағдайларын қоспағанда, виртуалды машиналар мен қосымшалардың арасында деректер берілмейді;

      3) үйлесімділік:

      қосымшалар мен ОЖ-ға виртуалдау технологиясын іске асыратын жабдықтың есептеу ресурстары ұсынылады.

      101. ЭҮ АКП МО-ның серверлік орталығында орналасқан жабдықтарда орналастырылады.

      Ескерту. 101-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      101-1. ЭҮ АКП-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.

      Ескерту. Талаптар 101-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      102. Виртуалдау технологиясын пайдалану кезінде АҚ-ны қамтамасыз ету үшін:

      1) мыналарды:

      көрсетілетін АК-қызметтерінің клиенттерін және ерекшеленген пайдаланушыларды аутентификациялауды;

      пайдаланушыларды бір технологиялық платформа шегінде федеративтік сәйкестендіруді;

      пайдаланушыны сәйкестендіргішті жойғаннан кейін аутентификация туралы ақпаратты сақтауды;

      пайдаланушы өкілеттерінің бейіндерін тағайындау рәсімдерін бақылау құралдарын қолдануды талап ететін сәйкестендіруді басқару;

      2) мыналарды:

      АЖ-ның әкімшісі мен виртуалдау ортасы әкімшісінің өкілеттіктерінің аражігін ажыратуды;

      АК-қызметтерін пайдаланушының деректеріне виртуалдау ортасы әкімшісінің қол жеткізу құқығын шектеуді. Қолжетімділік құқығы АҚ ТҚ және қызмет көрсету туралы сервистік келісімде айқындалған нақты рәсімдермен шектеледі және тұрақты өзектілендірілуі тиіс;

      артықшылық берілген және қатерлі операцияларға арналған көп факторлық аутентификацияны қолдануды;

      рөлдерді барлық өкілеттіктермен пайдалануды шектеуді. АЖ әкімшісінің бейінін теңшеулер виртуалдау ортасының компоненттеріне қолжетімділікті алуға жол бермейді;

      ең төменгі артықшылықтарды айқындауды және қолжетімділікті рөлдік басқару үлгісін іске асыруды;

      қорғалған шлюз немесе жіберушілердің рұқсат етілген желілік мекенжайларының тізімі арқылы қашықтықтан қол жеткізуді талап ететін қолжетімділікті басқару;

      3) мыналарды:

      АКҚҚ шифрлау кілттері туралы деректерге қолжетімділікті шектеуді бақылауды;

      негізгі каталогты және кілттерге жазба енгізуді ұйымдастыруды бақылауды;

      жария етілген кілттерді бұғаттауды және оларды сенімді жоюды талап ететін шифрлау кілттерін басқару;

      4) мыналарды:

      АҚ ТҚ-да айқындалатын рәсімдердің міндеттілігі мен тұрақтылығын;

      барлық операциялық жүйелерге, клиенттік виртуалды машиналарға, желілік компоненттердің инфрақұрылымына арналған аудит рәсімдерін жүргізуді;

      оқиғаларды тіркеу журналын жүргізуді және әкімшіге қолжетімсіз сақтау жүйесінде сақтауды;

      оқиғаларды тіркеу журналын жүргізу жүйесі жұмысының дұрыстығын тексеруді;

      оқиғаларды тіркеу журналдарын АҚ ТҚ-да сақтау ұзақтығын айқындауды талап ететін АҚ оқиғалары аудитін жүргізу;

      5) мыналарды:

      әкімшілердің іс-қимылын журналға енгізуді;

      АҚ инциденттері мен оқиғалар мониторингі жүйесін қолдануды;

      қатерлі оқиғаны немесе АҚ инцидентін автоматты тану негізінде хабарландыруды талап ететін АҚ оқиғаларын тіркеу;

      6) мыналарды:

      жарты жылда бір рет өзектілендіріп, АҚ оқыс оқиғаларын табудың, анықтаудың, бағалаудың және оларға ден қою тәртібінің формалды процесін айқындауды;

      АҚ оқыс оқиғаларын табу, анықтау, бағалау және оларға ден қою нәтижелері бойынша АҚ ТҚ-да айқындалған кезеңділікпен есептер жасауды;

      АҚ оқыс оқиғалары туралы МО-ның, ЖАО-ның немесе ұйымның жауапты тұлғаларын хабардар етуді;

      Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығына АҚ оқыс оқиғалары туралы ақпарат беруді талап ететін АҚ оқыс оқиғаларын басқару;

      7) мыналарды:

      пайдаланылмайтын жеке құрылғыларды (алмалы-салмалы жинақтағыштарды, желілік интерфейстерді) физикалық ажыратуды немесе бұғаттауды;

      пайдаланылмайтын виртуалды құрылғылар мен сервистерді ажыратуды;

      мүмкіндігі шектеулі операциялық жүйелер арасындағы өзара іс-қимыл жасау мониторингін;

      виртуалды құрылғыларды физикалық құрылғылармен салыстыруды бақылауды;

      сертификатталған гипервизорларды пайдалануды жүзеге асыратын виртуалды ортасы инфрақұрылымының аппараттық және бағдарламалық компоненттерін қорғау шараларын қолдану;

      8) әзірлеу және тестілеу орталарынан пайдалану орталарын бөлу;

      9) АҚ ТҚ-да ақпараттандыру объектілеріне арналған өзгерістерді басқару рәсімдерін айқындау;

      10) АҚ ТҚ-да жабдықты және БҚ-ны кідірулері мен істен шығулардан кейін қалпына келтіру рәсімдерін белгілеу;

      11) мыналарды:

      виртуалдау машиналары бейіндерінің сақталуын, операциялық жүйенің, қосымшалардың, желілік конфигурацияның тұтастығын, МО-ның немесе ұйымның БҚ-сын және деректерін зиянды сигнатуралардың болуы тұрғысынан бақылауды қамтамасыз етуді;

      сыртқы пайдаланушылардың аппараттық бөлікке қол жеткізуін болғызбау мақсатында аппараттық платформаны виртуалды машинаның операциялық жүйесінен бөліп алуды;

      виртуалдау ортасы инфрақұрылымының түрлі функционалдық салалары арасындағы логикалық оқшаулауды талап ететін желілік және жүйелік әкімшілендіру рәсімдерін орындау іске асырылады.

      Ескерту. 102-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

6-параграф. Аппараттық-бағдарламалық кешенге қойылатын талаптар

      103. АБК-ның серверлік жабдығының конфигурациясына қойылатын талаптар АЖ-ны құруға немесе дамытуға арналған техникалық тапсырмада және (немесе) ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      104. АБК-ның серверлік жабдығының үлгілік конфигурациясын таңдау:

      1) көп процессорлық архитектурасы бар;

      2) ресурстарды масштабтауға және өнімділігін арттыруға мүмкіндік беретін;

      3) виртуалдау технологиясын қолдайтын;

      4) ресурстарды басқару, өзгерту және қайта бөлу құралдарын қамтитын;

      5) қолданыстағы ақпараттық-коммуникациялық инфрақұрылыммен үйлесімді серверлерінің басымдылығын қамтамасыз етуді ескере отырып жүзеге асырылады.

      105. Сервердің жоғары қолжетімдігін қамтамасыз ету үшін:

      1) резервтік желдеткіштерді, қуаттау блоктарын, енгізу-шығару дискілері мен адаптерлерін жедел ауыстырудың;

      2) жады парақшаларын динамикалық тазалаудың және қайта бөлудің;

      3) процессорларды динамикалық қайта бөлудің;

      4) қатерлі оқиғалар туралы хабарлаудың;

      5) қатерлі компоненттердің жай-күйін үздіксіз бақылауды қолдау мен бақылаудағы көрсеткіштерді өлшеудің кіріктірілген жүйелері қолданылады.

      106. Сатып алынатын серверлік жабдық өндірушінің техникалық қолдауымен қамтамасыз етіледі. Өндірістен алынатын серверлік жабдық сатып алынбайды.

      107. АҚ-ның НТҚ-да айқындалған АҚ-ны тұрақты негізде қамтамасыз ету мақсатында серверлік жабдықтың конфигурациясын тексере отырып, оны түгендеу жүзеге асырылады.

      108. Қазақстан Республикасының заңнамасында белгіленген тәртіппен АҚ бойынша бірлескен жұмыстар шартын ресімдеп, қызмет көрсету қауіпсіздігі мен сапасын қамтамасыз ету үшін МО және ЖАО ақпараттандыру объектілерінің АБК серверлік жабдығы:

      бірінші класс – МО серверлік орталығында ғана орналастырылады;

      екінші класс – осы БТ-да белгіленген серверлік үй-жайларға қойылатын талаптарға сәйкес жабдықталған МО-ның серверлік орталығында, МО, ЖАО немесе жұмылдырылатын заңды тұлғаның серверлік орталығында орналастырылады.

      Ескерту. 108-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      108-1. МО мен ЖАО-ның ақпараттандыру объектілерінің АБК қолжетімділігін және істен шықпай жұмыс істеуін қамтамасыз ету үшін деректерді өңдеудің аппараттық-бағдарламалық құралдарын, деректерді сақтау жүйелерін, деректерді сақтау желілерінің компоненттерін резервтеу екінші және үшінші кластардағы ақпараттандыру объектілері үшін МО-ның, ЖАО-ның немесе жұмылдырылатын заңды тұлғаның осы БТ-да белгіленген серверлік үй-жайларға қойылатын талаптарға сәйкес жабдықталған резервтік серверлік үй-жайында Қазақстан Республикасының заңнамасында белгіленген тәртіппен АҚ бойынша бірлескен жұмыстар шартын ресімдей отырып жүзеге асырылады.

      Ескерту. Талаптар 108-1-тармақпен толықтырылды - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (01.01.2023 бастап қолданысқа енгiзiледi) қаулысымен.

      109. Деректерді сақтау жүйелеріне қойылатын талаптар АЖ-ны құруға немесе дамытуға арналған техникалық тапсырмада және (немесе) ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      110. Деректерді сақтау жүйесі:

      деректерді репликациялауға арналған бірыңғай құралдарды;

      деректерді сақтау көлемі бойынша масштабталуды қолдауды қамтамасыз етеді.

      111. Жоғары қолжетімдікті талап ететін жүктемесі жоғары АЖ-лар үшін:

      1) деректерді сақтау желілері;

      2) виртуалдау және (немесе) деректерді сатылап сақтау жүйесін қолдайтын деректерді сақтау жүйелері пайдаланылады.

      112. Деректерді сақтау жүйесінің жоғары қолжетімділігін қамтамасыз ету үшін мынадай кіріктірілген жүйелер енгізіледі:

      1) резервтік желдеткіштер мен қуат беру блоктарын жедел ауыстыру;

      2) енгізу-шығару дискілері мен адаптерлерін жедел ауыстыру;

      3) қатерлі оқиғалар туралы хабарлау;

      4) белсенді контроллерлер (екеуден кем емес);

      5) деректерді сақтау желісінің интерфейстері (бір контроллерге екі порттан кем емес);

      6) қатерлі компоненттердің жай-күйін үздіксіз бақылауды қолдау және бақылаудағы көрсеткіштерді өлшеу.

      113. Деректерді сақтау жүйесі резервтік көшіру жүйесімен қамтамасыз етіледі.

      114. АҚ-ны, деректерді сенімді сақтауды және қалпына келтіру мүмкіндігін қамтамасыз ету үшін:

      1) осы БТ-ның 48-тармағына сәйкес АКҚҚ-ны пайдалана отырып, сақтаудағы таратылуы шектелген қызметтік ақпаратты, құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР ақпаратын криптографиялық қорғау қолданылады;

      2) қауіпсіздік деңгейі бойынша пайдаланылатын АКҚҚ-ның ақпаратты криптографиялық қорғау құралдарын пайдалану қағидаларында криптографиялық кілттерге арналып белгіленген қауіпсіздік деңгейінен төмен емес қорғалған шифрлау кілттерін сақтауға бөлінген сервер пайдаланылады;

      3) АҚ-ның НТҚ-сында айқындалған резервтік көшіру регламентіне сәйкес резервтік көшірмені жазу және сынақтан өткізу қамтамасыз етіледі.

      115. Құпия АЖ-да, құпия ЭАР-да және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР-да пайдаланылатын ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жоюдың бағдарламалық және аппараттық қамтылымы қолданылады.

      116. Серверлік жабдықтың және жұмыс станцияларының жүйелік БҚ-сын таңдаған кезде:

      1) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2) операциялық жүйелер типіне (клиенттік немесе серверлік) сәйкес келуі;

      3) пайдаланылатын қолданбалы БҚ-мен үйлесімділігі;

      4) телекоммуникация желілерінде жұмыс істейтін желілік сервистерді қолдауы;

      5) көпміндеттілікті қолдауы;

      6) операциялық жүйелерді өндіруші шығаратын маңызды жаңартуларды және қауіпсіздік жаңартуларын алу мен орнатудың штаттық құралдарының болуы;

      7) диагностикалау, аудит және оқиғалар журналын жүргізу құралдарының болуы;

      8) виртуалдау технологияларын қолдауы ескеріледі.

      Ескерту. 116-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      116-1. МО және ЖАО қызметшілері жұмыс станциясынан бірыңғай интерфейсті және "электрондық үкімет" барлық жүйелері мен сервистеріне (компоненттеріне, бағдарламалық өнімдеріне) қолжетімділікті қамтамасыз етуге арналған "Қызметшінің цифрлық жұмыс орнына" қол жеткізе алады.

      Ескерту. 2-тарау 116-1-тармақпен толықтырылды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      117. Жүйелік БҚ-ны сатып алу мынадай басымдық ескеріле отырып жүзеге асырылады:

      1) сатып алу құнын, сондай-ақ пайдалану кезеңінде лицензиялаудың жиынтық құнын төмендетуді қамтамасыз ететін лицензиялау моделі;

      2) техникалық қолдаумен және сүйемелдеумен қамтамасыз етілген БҚ.

      118. АҚ-ны қамтамасыз ету мақсатында жүйелік БҚ:

      1) мыналарды:

      пайдаланушыларды сәйкестендіруді, аутентификациялауды және парольдерін басқаруды;

      сәтті және сәтсіз қол жеткізулерді тіркеуді;

      жүйелік артықшылықтардың пайдаланылуын тіркеуді;

      қосылу уақытын шектеуді, қажет болған кезде уақыт лимитін асыру бойынша сеансты бұғаттауды пайдалана отырып, қолжетімділікті бақылауды;

      2) операциялық жүйені бақылау құралын айналып өту қабілеті бар жүйелік утилиталарды пайдаланушылардың пайдалануына жол бермеу және әкімшілер үшін шектеу мүмкіндігін қамтамасыз етеді.

      119. ЕБҚ авторлық құқық туралы заңнама талаптарын сақтай отырып, өтеусіз, МО-да пайдалануға кедергі жасайтын лицензиялық шектеулерсіз таратылады.

      120. ЕБҚ ашық бастапқы кодымен ұсынылады.

      121. МО-да пайдаланатын ЕБҚ ақпараттық өзара іс-қимылды ЭҮШ арқылы жасау форматтарын қолдауды ескере отырып пысықталады.

      122. ЕБҚ-ны пайдаланған кезде АҚ-ны қамтамасыз ету үшін:

      ЕБҚ-ны әзірлеушілер қоғамдастығы қолдайтын немесе бағдарламалық коды сараптаудан және сертификаттаудан өткен ЕБҚ-ны пайдалануға жол беріледі;

      ЕБҚ-ның пайдаланылған нұсқалары сақталады.

7-параграф. Телекоммуникация желілеріне қойылатын талаптар

      123. Ведомстволық (корпоративтік) телекоммуникация желілері бір меншік иесіне тиесілі бөлінген меншікті немесе жалға алынған байланыс арналары арқылы локальдық желілерді біріктіре отырып ұйымдастырылады.

      Локальдық желілерді біріктіруге арналған бөлінген байланыс арналары арналық және желілік деңгейлердегі хаттамаларды пайдалана отырып ұйымдастырылады.

      124. Ведомстволық (корпоративтік) желіні бірнеше локальдық желіні біріктіру арқылы ұйымдастырған кезде желінің радиалдық немесе тораптық-радиалдық топологиясы қолданылады. Бөлінген арналар тораптық нүктелерде бір шектес шлюзге қосылады. Локальдық желілерді каскадты (жүйелі) қосуға жол берілмейді.

      125. Ведомстволық (корпоративтік) телекоммуникация желісін жобалау кезінде оның құжат жүзіндегі схемасы құрылады, ал пайдалану кезінде өзектілендірілген күйде ұсталады.

      126. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      127. Алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      128. Бөлінген байланыс арнасының АҚ қамтамасыз ету мақсатында:

      1) ақпаратты қорғаудың, оның ішінде АКҚҚ-ны пайдалана отырып криптографиялық шифрлаудың бағдарламалық-техникалық құралдары қолданылады;

      2) маршруттау қағидалары мен қауіпсіздік саясаттары жазылған шектес шлюз арқылы жергілікті желіге қосылады. Шектес шлюз мынадай ең төменгі функциялар жинағын қамтамасыз етеді:

      желі тораптарын орталықтандырылған авторлау;

      әкімшілердің артықшылық деңгейлерінің конфигурациялау;

      әкімшілердің іс-қимылдарын хаттамалау;

      желілік мекенжайларды статикалық тарату;

      желілік шабуылдардан қорғау;

      физикалық және логикалық порттардың жай-күйін бақылау;

      әр интерфейсте кіріс және шығыс пакеттерін електен өткізу;

      берілетін трафикті АКҚҚ пайдалана отырып криптографиялық қорғау;

      3) ведомстволық (корпоративтік) телекоммуникациялар желісін және АС жергілікті желілерін өзара қосқан кезде:

      ақпарат ағындарын бөлу және оқшаулау құралдары;

      АҚ-ны және қауіпсіз басқаруды қамтамасыз ететін компоненттері бар жабдық;

      бөлінген және қол жеткізу жабдығымен интеграцияланған МО БКО периметрін қорғау мақсатында әрбір қосылу нүктесінде орнатылған желіаралық экрандар пайдаланылады;

      4) ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосқан кезде МО, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері оператордың немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының көрсетілетін қызметтерін пайдаланады.

      Ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосу ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен Интернетке қол жеткізудің бірыңғай шлюзінің жұмыс істеу қағидаларына сәйкес жүзеге асырылады;

      5) МО-ның, ЖАО-ның қызметшілері және мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің жұмыскерлері, сондай-ақ АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері өздерінің қызметтік міндеттерін атқару кезінде жедел ақпарат алмасуды электрондық нысанда жүзеге асыру үшін:

      ведомстволық электрондық поштаны, лездік хабарлар қызметін және өзге де сервистерді;

      егер уәкілетті орган өзгеше белгілемесе, басқару орталықтары мен серверлері іс жүзінде Қазақстан Республикасының аумағында орналасқан электрондық поштаны, лездік хабарлар қызметін және өзге де сервистерді;

      шетелдік жеке және заңды тұлғалармен коммуникация жасау мақсатында бейнеконференцбайланыстың қолжетімді бұлтты онлайн-сервистерін пайдаланады;

      6) МО мен ЖАО ведомстволық электрондық поштасының сыртқы электрондық пошта жүйелерімен өзара іс-қимылы электрондық поштаның бірыңғай шлюзі арқылы ғана жүзеге асырылады;

      7) МО-ның, ЖАО-ның қызметшілері және мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің жұмыскерлері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері сыртқы шеңбердің ЖЖ-нен ИР-ға ЕБҚ болып табылатын және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен ИҚБШ-ның жұмыс істеу қағидаларының талаптарына сәйкес келетін веб-шолғышты пайдалана отырып, ИҚБШ арқылы ғана қол жеткізуді жүзеге асырады;

      8) МО-ның, ЖАО-ның қызметшілері мен мемлекеттік заңды тұлғалардың жұмыскерлерінің интернет-ресурстарға қол жеткізуі дистрибутивінде Қазақстан Республикасының ұлттық куәландырушы орталығының және Қазақстан Республикасының негізгі куәландырушы орталығының алдын ала орнатылған тіркеу куәліктері бар интернет-браузер арқылы жүзеге асырады.

      Ескерту. 128-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      129. АС-ты МО БКО-ға қосу уәкілетті орган айқындайтын МО БКО-ға қосу және МО БКО арқылы интранет-ресурсқа қол жеткізуді ұсыну қағидаларына сәйкес жүзеге асырылады.

      АС өтінімдері бойынша оператор:

      АС өтінімдері бойынша МО БКО-ға қосылған АС жергілікті желілерінің IP-мекенжайларын бөлуді, тіркеуді және қайта тіркеуді;

      АС өтінімдері бойынша Интернеттің gov.kz және мем.қаз домендік аймақтарында домендік атауларды тіркеуді;

      АС өтінімдері бойынша МО БКО желісінде домендік атауларды тіркеуді;

      МО БКО желісінде DNS сервисін ұсынуды жүзеге асырады.

      Ескерту. 129-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      130. МО-да немесе ЖАО-да "электрондық үкіметтің" тек жалпыға қолжетімді ЭАР-ға және МО-ның немесе ЖАО-ның келушілерінің болуына рұқсат берілген "қонақтарға арналған орында" сымсыз қолжетімділікті ұйымдастыруға арналған құрылғыларды пайдалануға ғана жол беріледі.

      131. Осы БТ-ның 48-тармағына сәйкес ЭҮ АКИ операторы ұйымдастырған АКҚҚ пайдаланылатын МО БКО сымсыз байланыс арналарын қоспағанда, МО БКО-ға, АС-нің жергілікті желісіне, сондай-ақ МО БКО, АС-нің жергілікті желісінің құрамына кіретін техникалық құралдарға сымсыз желілер арқылы қашықтан қол жеткізуді, сымсыз қолжетімділікті ұйымдастыруға арналған құралдарды, модемдерді, радиомодемдерді, ұялы байланыс операторларының желілік модемдерін, ұялы байланыстың абоненттік құрылғыларын және басқа да сымсыз желілік құрылғыларды қосуға жол берілмейді.

      Ескерту. 131-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      131-1. МО немесе ЖАО қабылдаған АҚ саясатымен рұқсат етілмеген ұялы байланыстың абоненттік құрылғыларын, ұялы байланыс операторлары желілерінің модемдерін, сондай-ақ ақпараттың электрондық жеткізгіштерін қосуды бақылауды жүзеге асыру қажет.

      Ескерту. Талаптар 131-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      132. ЭҮ АКИ операторы АС өтінімдері бойынша:

      МО БКО-ға қосылған АС жергілікті желілерінің IP-мекенжайларын АС өтінімдері бойынша бөлуді, тіркеуді және қайта тіркеуді;

      АС өтінімдері бойынша Интернеттің домендік аймақтарында gov.kz және мем.қаз домендік аттарын тіркеуді;

      АС өтінімдері бойынша домендік аттарды МО БКО-да тіркеуді;

      МО БКО желісінде DNS сервисін ұсынуды жүзеге асырады.

      Ескерту. 132-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      133. МО және ЖАО жыл сайын:

      1) мемлекеттік техникалық қызметтен ИҚБШ жабдығында пайдаланылатын интернет-ресурстар санаттарының тізбесін сұратады;

      2) жоғарыда аталған тізбеден МО және ЖАО қызметшілерінің оларға қолжетімділігі ИҚБШ құралдарымен рұқсат етілетін интернет-ресурстардың санаттарын іріктейді және олардың тізімін жасайды;

      3) жоғарыда аталған тізімді және Интернетке қол жеткізуге рұқсат алатын МО мен олардың аумақтық бөлімшелерінің, ЖАО-ның ақпараттық-коммуникациялық желілерінің желілік мекенжайларының тізімдерін мемлекеттік техникалық қызметке ИҚБШ жабдығында қолдану үшін;

      4) VPN-арналарды ұйымдастыруға өндірістік қажеттілік болған жағдайда мемлекеттік техникалық қызметке ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісілген, талап етілетін VPN-арналар бойынша техникалық ақпаратты (дереккөздің және тағайындаудың IP-мекенжайлары, порттар, хаттама) жібереді.

      Ескерту. 133-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      133-1. МО немесе ЖАО ЖЖ-ның сыртқы шеңберінде орналасқан ақпараттандыру объектілерінде МО немесе ЖАО ЖЖ-ның сыртқы шеңберінен тыс қашықтан басқару үшін бағдарламалық немесе техникалық құралдарды орнатуға және қолдануға жол берілмейді.

      Ескерту. Талаптар 133-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      134. Алып тасталды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      134-1. Мемлекеттік техникалық қызмет ИҚБШ жабдықтарында мынадай ИР және БҚ санаттарын (әдепкі қалпы бойынша) бұғаттау саясатын қолданады:

      VPN;

      қашықтан қол жеткізу;

      p2p;

      ойын ресурстары;

      әдепкі қалпы бойынша ИР және БҚ санаттарының тізіміне кірмейтін белгісіз қосымшалар;

      зиянды ИР және БҚ.

      Ескерту. Талаптар 134-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      134-2. 134-1-тармақта көрсетілген ИР және БЖ жекелеген санаттарын бұғатталудан босату мүмкіндігін мемлекеттік техникалық қызмет МО-дан, ЖАО-дан, мемлекеттік ұйымдардан, квазимемлекеттік сектор субъектілерінен, сондай-ақ АКИ аса маңызды объектілерінің иелерінен түскен ресми сұрау салу негізінде қарайды.

      Ескерту. Талаптар 134-2-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      135. Құрылатын немесе дамытылатын локальдық желіге қойылатын талаптар ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      Жергілікті желінің кабельдік жүйесін жобалау кезінде ҚР ҚН 3.02-17-2011 "Құрылымдалған кабельдік желілер. Жобалау нормалары" мемлекеттік нормативінің талаптарын сақтау қажет.

      136. Жобалау кезінде жергілікті желінің құжат жүзіндегі схемасы құрылып, оны пайдаланған кезде өзектілендірілген күйде ұсталады.

      137. Кабельдік жүйенің барлық элементтері ҚР ҚН 3.02-17-2011 "Құрылымдалған кабельдік желілер. Жобалау нормалары" мемлекеттік нормативінің 13.1.5-тармағының талаптарына сәйкес таңбалауға жатады.

      Барлық кабельдік қосылулар кабельдік қосылуларды есепке алу журналында тіркеледі.

      138. Локальдық желілердің белсенді жабдығы үздіксіз қоректендіру көздерінен электр қуатын берумен қамтамасыз етіледі.

      139. Жергілікті желілерде АҚ қамтамасыз ету үшін:

      1) жергілікті желінің кабельдік жүйесінің пайдаланылмайтын порттары белсенді жабдықтан физикалық тұрғыдан ажыратылады;

      2) мынадай қағидалар қамтылған АҚ ТҚ әзірленеді және бекітіледі:

      желілер мен көрсетілетін желі қызметтерін пайдалану;

      халықаралық (аумақтық) деректерді беру желілеріне қосылу;

      Интернетке және (немесе) телекоммуникация желілеріне, халықаралық (аумақтық) деректерді беру желілеріне шығатын байланыс желілеріне қосылу;

      желілік ресурстарға сымсыз қолжетімділікті пайдалану;

      3) таратылуы шектелген қызметтік ақпарат, жасырын АЖ, жасырын ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР ақпараты қорғалмаған сымды байланыс арналары мен тиісті АКҚҚ-мен жабдықталмаған радиоарналар арқылы берілмейді.

      Таратылуы шектелген қызметтік ақпаратты беру Қазақстан Республикасының Үкіметі белгілеген Мәліметтерді таратылуы шектелген қызметтік ақпаратқа жатқызу және онымен жұмыс істеу қағидаларына сәйкес таратылуы шектелген ақпаратты қорғау жөніндегі арнайы талаптар сақтала отырып жүргізіледі;

      4) мынадай құралдар пайдаланылады:

      пайдаланушыларды сәйкестендіру, аутентификациялау мен қолжетімділікті басқару;

      жабдықты сәйкестендіру;

      диагностикалық және конфигурациялық порттарды қорғау;

      жергілікті желіні физикалық сегменттеу;

      жергілікті желіні логикалық сегменттеу;

      желілік қосылуды басқару;

      желіаралық экрандау;

      жергілікті желінің ішкі мекенжайлық кеңістігін жасыру;

      деректердің, хабарлар мен конфигурациялардың тұтастығын бақылау;

      осы БТ-ның 26-тармағына сәйкес ақпаратты криптографиялық қорғау;

      деректерді беру арналарын және желілік жабдықты физикалық қорғау;

      АҚ оқиғаларын тіркеу;

      желілік трафикті мониторингтеу және талдау;

      желіні басқару;

      5) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, МО-ның, сондай-ақ ЖАО-ның жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;

      6) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, орталық атқарушы мемлекеттік орган мен оның аумақтық бөлімшелерінің жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;

      7) АКҚҚ-ны пайдалана отырып ұйымдастырылған байланыс арналарын қоспағанда, шетелде орналасқан немесе экрандалған ішкі желіні қолдана отырып ұйымдастырылған Қазақстан Республикасының мекемелері үшін осы БТ-ның 48-тармағына сәйкес АС ішкі шеңберінің ЖЖ және сыртқы шеңберінің ЖЖ өзара түйіндесуіне жол берілмейді;

      8) АС-ның ішкі шеңберінің ЖЖ Интернетке қосуға жол берілмейді;

      9) АС-ның сыртқы шеңберінің ЖЖ-ні Интернетке қосу ИҚБШ арқылы ғана жүзеге асырылады. Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін, жедел мақсаттарда арнаулы және құқық қорғау МО-ны қоспағанда, Интернетке өзге тәсілмен қосылуға жол берілмейді. ЭҮСШ-ның Интернетпен өзара іс-қимыл жасауы ИҚБШ арқылы жүзеге асырылады;

      10) экрандалған ішкі желі қолданылған жағдайларды қоспағанда, ақпараттық өзара іс-қимылды Интернет арқылы іске асыратын АС АЖ АС-ның сыртқы шеңберінің бөлінген ЖЖ сегментінде орналастырылады және АС-ның ішкі шеңберінің ЖЖ орналастырылған АС-ның АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы жүзеге асырылады;

      10-1) ішкі контурдың ЖЖ-да Интернетте орналастырылған ақпараттандыру объектілерін немесе ЭҮСШ арқылы қосылмаған МО-ның, ЖАО-ның немесе ұйымның сыртқы контурының ЖЖ-ны пайдаланған кезде мынадай талаптарға сәйкес келетін экрандалған ішкі желі пайдаланылады:

      ішкі желі Интернет және ішкі контурдың ЖЖ тарапынан басып кіруді табу және оған жол бермеу, сондай-ақ ішкі желілік мекенжайларды жасыру үшін сыртқы желілік мекенжайларды түрлендіру функциялары бар жеке желіаралық экрандармен шектелген;

      сыртқы контурдың ЖЖ-дан, Интернеттен және ішкі контурдың ЖЖ-дан барлық қосылулар тек экрандалған ішкі желіден тыс орналасқан компьютерде жүзеге асырылады, ол желілік трафикті бастапқыдан ерекшеленетін өзге маршрут бойынша қайта бағыттау мүмкіндігі жоқ қолданбалы деңгейді қоса алғанда, желілік хаттамалардың барлық деңгейлерінде өңдеуді жүзеге асырады;

      сұрау салулар мен жауаптарды, сондай-ақ жұмыс станцияларында прокси-сервер арқылы Интернеттің жалпыға қолжетімді ресурстарына қолжетімділікті еркін пайдалануға жол берілмейді;

      11) экрандалған ішкі желі қолданылатын жағдайларды қоспағанда, Интернетте орналастырылған АЖ-лардың АС-ның ішкі шеңберінің ЖЖ орналастырылған АС-ның АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы ғана жүзеге асырылады;

      12) жоғары деңгейдегі уақыт көзі инфрақұрылымының серверлері үйлестірілген әлемдік уақыттың UTC (kz) ұлттық шәкілін көрсететін уақыт пен жиілік эталонымен синхрондалады.

      Дәл уақыт инфрақұрылымының серверлері жоғары деңгейдегі дәл уақыт инфрақұрылымының серверімен синхрондалады.

      Дәл уақыт инфрақұрылымының серверлері клиенттерге уақытты синхрондауға мүмкіндік береді;

      13) пайдаланылмайтын ашық желілік порттар ажыратылады.

      Ескерту. 139-тармақ жаңа редакцияда - ҚР Үкіметінің 10.02.2023 № 112 (қолданысқа енгізілу тәртібін 2-т. қараңыз) қаулысымен; өзгеріс енгізілді - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      140. БТ-ның 139-тармағының 10), 11) тармақшаларында көзделген талаптар 2016 жылғы 1 қаңтарға дейін өнеркәсіптік пайдалануға енгізілген және 2018 жылғы 1 қаңтарға дейін дамуға жатпайтын МО-ның немесе ЖАО-ның АЖ-ларына қолданылмайды.

      МО АЖ және ЖАО деректерінің мемлекеттік емес АЖ-мен ақпараттық өзара іс-қимыл тәртібі Заңның 7-бабының 13) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен "Электрондық үкіметтің" ақпараттандыру объектілерін интеграциялау қағидаларында айқындалады.

      Ескерту. 140-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

8-параграф. Техникалық құралдар мен ақпараттық қауіпсіздіктің үздіксіз жұмыс істеу жүйелеріне, сондай-ақ серверлік үй-жайларға (деректерді өңдеу орталықтарына) қойылатын талаптар

      Ескерту. 8-параграфтың тақырыбы жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      141. АБК-ның және деректерді сақтау жүйесінің серверлік жабдығы серверлік үй-жайда орналастырылады.

      142. Серверлік үй-жай өте алмайтын, терезе ойықтары жоқ бөлек үй-жайларда орналастырылады. Терезе ойықтары болған жағдайда, олар жабылады немесе жанбайтын материалдармен бекітіледі.

      Қабырға, төбе мен еден сырттары үшін шаң шығармайтын және жинамайтын материалдар пайдаланылады. Еден жабыны үшін антистатикалық қасиеті бар материалдар пайдаланылады. Серверлік үй-жай ластайтын заттардың кіруінен қорғалады.

      Серверлік үй-жайдың қабырғалары, есіктері, төбесі, едені және аралықтары үй-жайдың герметикалығын қамтамасыз етеді.

      143. Серверлік үй-жай есіктерінің ені 1,2 метрден және биіктігі 2,2 метрден кем болмайды, сыртқа қарай ашылады немесе екі жаққа жылжымалы болады. Есік жақтауының құрылысында табалдырық пен орталық тірегі болмайды.

      144. Серверлік үй-жай кабельдік жүйелер мен инженерлік коммуникацияларды орналастыруға арналған фальшеденмен және (немесе) фальштөбемен жабдықталады.

      145. Серверлік үй-жай арқылы кез келген транзиттік коммуникациялардың өтуіне жол берілмейді. Кәдімгі және өртке қарсы сумен жабдықтау, жылыту және кәріз трассалары серверлік үй-жайдан тыс жерге шығарылады және бір қабат шегінде серверлік үй-жайдың үстіне орналастырылмайды.

      Өрт сөндіру гидранттарын серверлік үй-жайдың үстіне орналастыру қажет болған жағдайда жабынды гидрооқшаулау құрылғысы бар құрғақ құбырлы өрт сөндіру жүйесі орнатылады және серверлік үй-жайдың үстінде субұрғыш ұйымдастырылады.

      Ескерту. 145-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      146. Ғимараттың қуатты және нашар қуатты кабельдік желілерін өткізуге арналған коммуникация арналары өзара қалыптандырылған бөлек немесе аралықтармен бөлінген кабельдік ұяшықтарда, қораптарда немесе құбырларда орындалады. Нашар қуатты және күштік шкафтар бөлек орнатылады және құлыппен жабылады.

      Кабельдерді жабулар, қабырғалар, аралықтар арқылы өткізу жанбайтын материалдармен герметикаланған жанбайтын құбырлар бөліктерінде жүзеге асырылады.

      147. Серверлік үй-жай сыртқы электрмагнитті сәулеленуден сенімді қорғалады.

      148. Жабдықты орналастыру кезінде:

      1) "Электр энергетикасы туралы" Қазақстан Республикасы Заңының (бұдан әрі – Электр энергетикасы туралы заң) 5-бабының 27) тармақшасына сәйкес энергетика саласындағы уәкілетті орган бекіткен Тұтынушылардың электр қондырғыларын техникалық пайдалану қағидаларын орындау қамтамасыз етіледі;

      2) жабдық пен коммуникациялардың салмағы ескеріліп, жабдықты жеткізушілердің және (немесе) өндірушінің орнатуға (монтаждауға), жабындар мен фальшеденге түсетін жүктемеге қойылатын талаптарын орындау қамтамасыз етіледі;

      3) жабдыққа қызмет көрсету үшін еркін қызметтік өту жолдарының болуы қамтамасыз етіледі;

      4) микроклиматты қамтамасыз ету жүйесінің ауа ағындарын ұйымдастыру ескеріледі;

      5) фальшедендер мен фальштөбелер жүйесін ұйымдастыру ескеріледі.

      Ескерту. 148-тармақ жаңа редакцияда - ҚР Үкіметінің 10.06.2022 № 383 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      149. Серверлік үй-жайда орнатылған жабдықты техникалық сүйемелдеу кезінде:

      1) жабдыққа қызмет көрсету;

      2) аппараттық-бағдарламалық қамтылымның жұмысында пайда болатын проблемаларды жою;

      3) кідірулер мен істен шығу фактілері, сондай-ақ қалпына келтіру жұмыстарының нәтижелері;

      4) өте маңызды жабдыққа кепілдікті қызмет көрсету мерзімі аяқталған соң кепілдікті мерзімнен кейінгі қызмет көрсету құжатталады.

      Құжаттау нысаны мен тәсілі өздігінен айқындалады.

      150. Өте маңызды жабдыққа қызмет көрсетуді сертификатталған техникалық персонал орындайды.

      151. Серверлік үй-жайға тікелей жақын жерде жөндеу-қалпына келтіру жұмыстарын жүргізген кезде жедел ауыстыруды орындау үшін жинақтауыштар мен жабдық қоры қамтылған өте маңызды объектіге арналған қосалқы бөлшектер қоймасы жасалады.

      152. Пайдаланудағы жабдықтың жұмысына тек қана ақпараттық технологиялар бөлімшесі басшысының немесе оның міндетін атқарушы тұлғаның рұқсатымен ғана араласуға болады.

      153. Негізгі және резервтік серверлік үй-жайлар бір-бірінен алыс тұрған ғимараттарда қауіпсіз қашықтықта орналастырылады. Резервтік серверлік үй-жайларға қойылатын талаптар негізгі серверлік үй-жайларға қойылатын талаптарға ұқсас болады.

      154. АҚ-ны, істен шығуының болмаушылығын және сенімді жұмыс істеуін қамтамасыз ету мақсатында:

      1) серверлік үй-жайда қатерлердің, қауіптердің орын алу тәуекелдерін және рұқсатсыз қол жеткізу мүмкіндіктерін төмендетуді қамтамасыз ететін жабдықты орналастыру тәсілдері қолданылады;

      2) алып тасталды - ҚР Үкіметінің 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      3) серверлік үй-жайда орнатылған АКИ объектілерін сүйемелдеуді жүзеге асыру үшін авторландырылған тұлғалардың тізімі өзектілендірілген күйде ұсталады;

      4) серверлік үй-жай:

      кіруді бақылау және басқару;

      микроклиматты қамтамасыз ету;

      күзет дабылы;

      бейнебақылау;

      өрт дабылы;

      өрт сөндіру;

      кепілді электрмен қоректендіру;

      жерге тұйықтау жүйелерімен жабдықталады;

      5) серверлік үй-жай инфрақұрылымының істен шығуының болмаушылығы 99,7 % кем болмайды.

      Ескерту. 154-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 10.02.2023 № 112 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      155. Кіруді бақылау және басқару жүйесі серверлік үй-жайға рұқсатпен кіруді және одан рұқсатпен шығуды қамтамасыз етеді. Кіретін есіктің бөгеу құрылғылары мен құрылысы кіруді сәйкестендіргіштерді кіретін есіктің тамбуры арқылы кері бағытта тапсыру мүмкіндігіне жол бермеуге тиіс.

      Кіруді бақылау және басқару жүйесінің орталық басқару құрылғысы бөгде адамдардың кіруінен қорғалған жеке қызметтік үй-жайларда, күзет постының үй-жайында орнатылады. Жүйе жұмысының режимдеріне ықпал ететін кіруді бақылау және басқару жүйесінің бағдарламалық құралдарына күзет персоналы тарапынан қол жеткізуге жол берілмейді.

      Кіруді бақылау және басқару жүйесін электрмен жабдықтау кезекші жарықтандыру қалқанының бос тобынан жүзеге асырылады. Кіруді бақылау және басқару жүйесі резервтік электр қоректендірумен қамтамасыз етіледі.

      156. Микроклиматты қамтамасыз ету жүйесі ауаны баптау, желдету және микроклиматтың мониторингі жүйелерін қамтиды. Серверлік үй-жайдың микроклиматын қамтамасыз ету жүйесі ғимаратта орнатылған басқа микроклимат жүйелерімен біріктірілмейді.

      Серверлік үй-жайдағы температура 45 %-дан 55 %-ға дейінгі салыстырмалы ылғалдығы кезінде 20 0С-дан 25 0С дейінгі диапазонда ұсталады.

      Ауаны баптау жүйесінің қуаты барлық жабдықтар мен жүйелердің жылу шығару жинағынан артық болу керек. Ауаны баптау жүйесі резервтеумен қамтамасыз етіледі. Серверлік үй-жайдағы ауа баптағыштарды кепілді электрмен қоректендіру жүйесінен немесе үздіксіз электрмен қоректендіру жүйесінен электрмен қоректендіру жүзеге асырылады.

      Желдету жүйесі таза ауаның фильтр арқылы кіруін және қысқы уақытта кіретін ауаны жылытуды қамтамасыз етеді. Серверлік үй-жайдағы ауа қысымы көрші үй-жайлардан ластанған ауаның кіруін болдырмау үшін артық ауамен жасалады. Ауаны тарту және шығару желдету жүйесінің ауа өткізгіштеріне өрт сөндіру жүйесімен басқарылатын қорғау клапандары орнатылады.

      Ауаны баптау және желдету жүйелері өрт дабылының сигналы бойынша автоматты түрде ажыратылады.

      Микроклиматтың мониторингі жүйесі серверлік шкафтардағы және телекоммуникациялық тіреулердегі мынадай климаттық параметрлерді бақылайды:

      ауа температурасы;

      ауа ылғалдығы;

      ауаның тозаңдылығы;

      ауада түтіннің болуы;

      шкафтар есіктерінің ашылуы (жабылуы).

      Ескерту. 156-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      157. Серверлік үй-жайдың күзет дабылы жүйесі ғимараттың қауіпсіздік жүйелерінен бөлек орындалады. Хабарландыру сигналдары тәуліктік күзет үй-жайына жеке пульт түрінде шығарылады. Серверлік үй-жайдың барлық кіру мен шығулары, сондай-ақ серверлік үй-жайдың ішкі көлемі бақылануы және күзетілуі тиіс. Күзет дабылы жүйесінің жеке резервтік қоректендіру көзі болады.

      158. Бейнебақылау жүйесінің камераларын орналастыру барлық серверлік үй-жайға барлық кірулер мен шығулардың, жабдық жанындағы кеңістіктің және өтулердің бақылануын қамтамасыз етуді ескере отырып таңдалады. Камералардың көру бұрышы мен мүмкіндігі адамдарды тануды қамтамасыз етуге тиіс. Камералардағы бейнелер тәуліктік күзет үй-жайына жеке пультқа шығарылады.

      159. Серверлік үй-жайдың өрт дабылы жүйесі ғимараттың өрт дабылынан бөлек орындалады. Серверлік үй-жайда датчиктердің екі түрі орнатылады: температуралық және түтіндік.

      Датчиктер серверлік үй-жайдың жалпы кеңістігін және фальшеденмен және (немесе) фальштөбемен құрылған көлемдерді бақылайды. Өрт дабылы жүйесінің хабарландыру сигналдары тәуліктік күзет үй-жайындағы пультқа шығарылады.

      160. Серверлік үй-жайдың өрт сөндіру жүйесі ғимараттың өрт сөндіру жүйесіне тәуелсіз өртті газбен сөндірудің автоматты қондырғысымен жабдықталады. Өртті газбен сөндірудің автоматты қондырғысында от сөндіргіш ретінде арнайы уытсыз газ пайдаланылады. Ұнтақты және сұйықтық өрт сөндіргіштер пайдаланылмайды. Өртті газбен сөндіру қондырғысы нақты серверлік үй-жайда немесе оның жанында осы мақсатта арнайы жабдықталған шкафта орналастырылады. Өрт сөндіру жүйесі түтін шыққанда іске қосылатын, өртті ерте айқындау датчиктерінен, сондай-ақ үй-жайдан шығу есігінің жанында орналасқан қол датчиктерден іске қосылады. От сөндіргішті шығаруды кешіктіру уақыты 30 с аспайтын уақытты құрайды. Өрт сөндіру жүйесінің іске қосылуы туралы хабарландыру үй-жайдың ішінде және сыртында орнатылатын таблоға шығарылады. Өрт сөндіру жүйесі желдету жүйесінің қорғау клапандарын жабу және жабдықты қоректендіруді ажырату командаларын береді. Өрт сөндіру жүйесімен жабдықталған серверлік үй-жай отты сөндіретін газды жоюға арналған тартып шығару желдетуімен жабдықталады.

      161. Кепілді электрмен қоректендіру жүйесі сыртқы электрмен қоректендірудің түрлі көздерінен ~400/230В кернеуге 50 Гц жиілігімен және дербес генератордан электрмен қоректендірудің екі жолының болуын көздейді. Барлық электр энергиясы көздері негізгі кіру жолында электрмен қоректендіру тоқтатылған, уақытша тоқтатылған кезде электрмен қоректендіру автоматты резервтік кіру жолына ауыстыруды орындайтын резервті енгізу автоматына беріледі. Электрмен қоректендіру желілерінің параметрлері мен тарауларының бөлінуі сервер үй-жайының жабдығы және ішкі жүйелері тұтынатын қуаттың жоспарлы жинағына сүйене отырып айқындалады. Электрмен қоректендіру желілері бес сымды схема бойынша орындалады.

      Кепілді электрмен қоректендіру жүйесі сервер үй-жайының жабдығы мен жүйелерін үздіксіз қоректендіру көздері арқылы электрмен қамтамасыз етуді көздейді. Үздіксіз қоректендіру көздерінің қуаты мен конфигурациясы барлық қоректендірілетін жабдық пен алдағы уақытта дамуға арналған қорды ескере отырып есептеледі. Үздіксіз қоректендіру көздерінен дербес жұмыс істеу уақыты қажеттіліктерді, сондай-ақ резервтік желілерге ауысу үшін қажет уақытты және генераторды жұмыс режиміне қосу уақытын ескере отырып есептеледі.

      162. Серверлік үй-жайдың жұмыс бабында жерге тұйықтау жүйесі ғимараттың қорғаныш мақсатындағы жерге тұйықтауынан бөлек орындалады. Серверлік үй-жайдың барлық металл бөліктері мен конструкциялары ортақ жерге тұйықтау шинасымен жерге тұйықталады. Жабдығы бар әрбір шкаф (таған) ортақ жерге тұйықтау шинасымен жалғанатын жеке өткізгішпен жерге тұйықталады. Ақпаратты өңдеу жабдығының ашық ток өткізгіш бөліктері электр қондырғысының бас жерге тұйықтау қысқышына жалғануға тиіс.

      Асқын кернеуден қорғау құрылғыларын бас жерге тұйықтау шинасымен жалғайтын жерге тұйықтау өткізгіштері ең қысқа және тік (бұрыштары жоқ) болуға тиіс.

      Жерге тұйықтау жүйесін құру және пайдалану кезінде мыналарды:

      Электр энергетикасы туралы заңның 5-бабының 19) тармақшасына сәйкес энергетика саласындағы уәкілетті органның бұйрығымен бекітілген Электр қондырғыларын орнату қағидаларын;

      ҚР СТ МемСТ 50571.21-2009 "Ғимараттардың электр қондырғылары. 5-бөлім. Электр жабдығын таңдау және монтаждау". 548-бөлім. "Құрылғыларды және ақпаратты өңдеу жабдығы қамтылған электр қондырғыларындағы электр әлеуетін теңестіру жүйесін жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МемСТ Р 50571.22-2006 "Ғимараттардың электр қондырғылары. 7-бөлім. Арнайы электр қондырғыларына қойылатын талаптар". 707-бөлім. "Ақпаратты өңдеу жабдығын жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МемСТ 12.1.030-81 "Еңбек қауіпсіздігі стандарттарының жүйесі. Электр қауіпсіздігі. Қорғаныштық жерге тұйықтау, нөлге қою" Қазақстан Республикасының стандартын;

      МемСТ 464-79 "Сымды байланыстың стационарлық құрылғыларына, радиорелелік станцияларға, сымды хабар таратудың радиотрансляциялық тораптарына және телевизияны ұжымдық қабылдау жүйесінің антенналарына арналған жерге тұйықтау. Қарсылық нормалары" Қазақстан Республикасының стандартын басшылыққа алу қажет.

      Ескерту. 162-тармақ жаңа редакцияда - ҚР Үкіметінің 13.05.2024 № 372 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      163. Телекоммуникациялық желілердің бөлу құрылғылары кростық үй-жайда орналастырылады. Кростық үй-жай ол қызмет көрсететін жұмыс аумағының ортасына жақын орналастырылады.

      Кростық үй-жайдың көлемі қызмет көрсетілетін жұмыс аумағы мен орнатылатын жабдықтың көлеміне қарай таңдалады.

      Кростық үй-жайлар мынадай талаптарға сәйкес болуы қажет:

      жабдыққа қызмет көрсету үшін бос қызметтік өтетін жолдың болуы;

      электромагниттік кедергілердің қуатты көздерінің (трансформаторлар, электр қалқандары, электр қозғалтқыштар және басқалары) болмауы;

      сумен жабдықтау жүйесінің бұрандалары мен құбырларының болмауы;

      өрт қауіпсіздігі жүйесінің болуы;

      жеңіл жанатын материалдардың (ағаш сөрелер, картон, кітаптар және басқалары) болмауы;

      жоба бойынша шкафты қосу үшін автоматтан бөлек жеке электр қуатталу желісінің болуы;

      сигнализациялық күзет жүйесінің, кіруді бақылау жүйесінің болуы;

      ауа баптау жүйесінің болуы.

      Ескерту. Талаптар 163-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

  Қазақстан Республикасы
  Үкiметiнiң
  2016 жылғы 20 желтоқсандағы
  № 832 қаулысына қосымша

Қазақстан Республикасы Үкiметiнiң күшi жойылған кейбiр шешiмдерiнiң тiзбесi

      1. "Қазақстан Республикасында ақпараттық қауіпсiздiкті қамтамасыз ету жөнiндегi кейбiр шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысының 1-тармағының 5) және 6) тармақшалары, 2-1 және 2-2-тармақтары.

      2. "Қазақстан Республикасында ақпараттық қауіпсiздiкті қамтамасыз ету жөнiндегi кейбiр шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысына толықтырулар енгізу туралы" Қазақстан Республикасы Үкіметінің 2013 жылғы 14 наурыздағы № 244 қаулысы.

      3. "Қазақстан Республикасында ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі кейбір шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысына өзгеріс енгізу туралы" Қазақстан Республикасы Үкіметінің 2014 жылғы 26 маусымдағы № 706 қаулысы.

On approval of uniform requirements in the field of information and communication technologies and information security

Decree of the Government of the Republic of Kazakhstan dated December 20, 2016 № 832.

      Unofficial translation

      In accordance with subparagraph 3) of article 6 of the Law of the Republic of Kazakhstan dated November 24, 2015 On Informatization, the Government of the Republic of Kazakhstan hereby RESOLVES:

      1. To approve the attached uniform requirements in the field of information and communication technologies and ensuring information security (hereinafter - the uniform requirements).

      2. To recognize as invalid some decisions of the Government of the Republic of Kazakhstan in accordance with the appendix to this resolution.

      3. This resolution shall be enforced upon expiry of ten calendar days after the date of its first official publication.

      Paragraph 140 of the uniform requirements is valid until January 1, 2018.

      Prime Minister
      of the Republic of Kazakhstan B. Sagintayev

  Approved By
Order № 832 of the Government
of the Republic of Kazakhstan
dated December 20, 2016

Uniform requirements in the field of information and communication technologies and information security Chapter 1. General Provisions

      1. Unified requirements in the field of information and communication technologies and ensuring information security (hereinafter referred to as UR) have been developed in accordance with subparagraph 3) of Article 6 of the Law of the Republic of Kazakhstan "On Informatization" (hereinafter referred to as the Law) and shall determine the requirements in the field of information and communication technologies and ensuring information security.

      Footnote. Paragraph 1 - as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

      2. UR provisions related to information security shall be mandatory for application by state bodies, local executive bodies, state legal entities, quasi-public sector entities, owners and holders of non-state information systems, integrated with information systems of state bodies or intended for the formation of state electronic information resources, also owners and holders of critical information and communication infrastructure facilities.

      3. The provisions of the UR shall not apply to:

      1) relations arising from the implementation by the National Bank of the Republic of Kazakhstan and organizations that are part of its structure, work on the creation or development, operation of Internet resources, information systems that are not integrated with the objects of the information and communication infrastructure of "electronic government", local area networks and networks telecommunications, as well as procurement of goods, works and services in the field of informatization;

      2) secure information systems classified as state secrets in accordance with the legislation of the Republic of Kazakhstan on state secrets, as well as special purpose telecommunications networks and/or presidential, government, classified, encrypted and coded communications;

      3) relations arising from the implementation by the authorized body for regulation, control and supervision of the financial market and financial organizations of work on the creation or development of information systems that are integrated with the information systems of the National Bank of the Republic of Kazakhstan, which are not integrated with the objects of the information and communication infrastructure of "electronic government";

      4) organizations in cases where the implementation of such provisions leads to a violation of paragraph 4 of Article 50 of the Law of the Republic of Kazakhstan "On banks and banking activities in the Republic of Kazakhstan".

      Footnote. Paragraph 3 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      4. The purpose of the UR is to establish requirements in the field of information and communication technologies and information security that are binding to state bodies, local authorities, state legal entities, quasi-public sector entities, owners and holders of non-state information systems integrated with information systems of state bodies or intended for the formation of state electronic information resources, also to the owners and holders of critical information and communication infrastructure facilities.

      5. The tasks of UR are:

      1) determination of the principles of organization and management of the informatization of state bodies for solving current and strategic tasks of public administration;

      2) determination of uniform principles for ensuring and managing information security of objects of informatization of "electronic government";

      3) establishment of requirements for the unification of the components of information and communication infrastructure facilities;

      4) the establishment of requirements for the structuring of the information and communication infrastructure and the organization of server rooms;

      5) establishment of the obligation to apply the recommendations of standards in the field of information and communication technologies and information security at all stages of the life cycle of objects of informatization;

      6) increasing the level of security of state and non-state electronic information resources, software, information systems and the information and communication infrastructure supporting them.

      Footnote. Clause 5 as amended by the Decree of the Government of the Republic of Kazakhstan № 1047 dated December 31, 2019 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); № 12 dated January 18, 2021 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      6. For the purposes of these URs, the following definitions are used therein:

      1) means of cryptographic information protection (hereinafter referred to as MCIP) - software or hardware-software complex that implements algorithms of cryptographic transformations, generation, formation, distribution or management of encryption keys;

      2) assets related to information processing means (hereinafter - asset) - a tangible or intangible object that is information or contains information, or serves for processing, storing, transmitting information and is of value to the organization in the interests of achieving the goals and continuity of its activity;

      3) marking of an asset related to information processing - means putting conventional signs, letters, figures, graphic signs or inscriptions on the asset for the purpose of its further identification (recognition), indication of its properties and characteristics;

      4) technical documentation on information security (hereinafter - TD IS) – documentation establishing policies, rules, protective measures relating to the processes of ensuring information security of informatization objects and (or) organizations;

      5) information security threat - a set of conditions and factors that create preconditions for the occurrence of an information security incident;

      6) monitoring of information security events (hereinafter - monitoring of IS events) - continuous observation of the informatization object in order to detect and identify information security events;

      7) information security monitoring system - organizational and technical measures aimed at monitoring the safe use of information and communication technologies;

      8) information security operational center - a legal entity or a structural unit of a legal entity that performs activities to protect electronic information resources, information systems, telecommunication networks and other informatization objects;

      9) internal audit of information security - an objective, documented process of control of qualitative and quantitative characteristics of the current state of information security of information objects in the organization, carried out by the organization itself in its own interests;

      10) software robot - software of a search engine or monitoring system that automatically and (or) according to a set schedule browses web pages, reads and indexes their content, following the links found on the web pages;

      11) data leak prevention (DLP) system – an information security tool designed to prevent leaks of electronic information resources of limited access;

      12) loaded (hot) redundancy of equipment - the use of additional (redundant) server and telecommunications equipment, software and maintaining them in active mode in order to flexibly and quickly increase the throughput, reliability and fault tolerance of the information system, electronic information resource;

      13) non-loaded (cold) hardware redundancy - use of additional server and telecommunication equipment and software prepared for operation and in inactive mode for the purpose of prompt restoration of the information system or electronic information resource;

      14) firewall - a hardware- software complex that operates in the information and communication infrastructure, controlling and filtering network traffic in accordance with specified rules;

      15) workstation - a stationary computer in a local area network designed for solving applied tasks;

      16) system software - a set of software to ensure the operation of computing equipment;

      17) Internet browser - application software designed for visual display of the content of Internet resources and interactive communication with it;

      18) coded communication – secure communication using documents and coding techniques;

      19) multi-factor authentication - a method of user authentication using a combination of various parameters, including generation and input of passwords or authentication attributes (digital certificates, tokens, smart cards, one-time password generators and biometric identification tools);

      20) cross room- a telecommunication room designed to accommodate interconnection, distribution points and devices;

      21) application software (hereinafter - AS) - a software package for solving an applied problem of a certain class of the subject area;

      22) classified communications – secure communications using classified equipment;

      23) scalability - the ability of an informatization object to ensure the possibility of enhancing its performance as the volume of processed information and (or) the number of simultaneously working users grows;

      24) server center of state bodies (hereinafter - SB server center) - a server room (data processing center), the owner and holder of which is the operator of the information and communication infrastructure of "e-government", designed to accommodate informatization objects of the "e-government";

      25) event logging - the process of recording information about software or hardware events occurring with the informatization object in the event log;

      26) vulnerability - a flaw of an informatization object, the use of which may lead to violation of integrity and (or) confidentiality, and (or) accessibility of the informatization object;

      27) proxy server - an intermediate server participating in Internet connection between computers/servers through which information is exchanged in order to protect it from network attacks;

      28) server room (data processing center) - a room intended to accommodate server, active and passive network (telecommunication) equipment and structured cabling systems equipment;

      29) registration certificate (hereinafter - digital certificate) - an electronic document issued by a certification center to confirm compliance of an electronic digital signature with the requirements established by the Law of the Republic of Kazakhstan “On Electronic Document and Electronic Digital Signature”;

      30) local area network of an outer loop (hereinafter - LAN of the outer loop) - a local network of informatization subjects determined by the authorized body, referred to the outer loop of the telecommunication network of informatization subjects, having a connection to the Internet, access to which for informatization subjects is provided by telecom operators only through single access gateway to the Internet;

      31) terminal system - thin or zero client for work with applications in terminal environment or programs - thin clients in a client-server architecture;

      32) time source infrastructure - hierarchically linked server equipment using network time synchronization protocol, performing the task of synchronizing internal clocks of servers, workstations and telecommunication equipment;

      33) informatization subjects determined by the authorized body - state bodies, their subordinate organizations and local self-government bodies, as well as other informatization subjects using the unified transport environment of state bodies for interaction of local (except for local networks with access to the Internet), departmental and corporate networks;

      34) organization - a state legal entity, a subject of quasi-state sector, owner and holder of non-state information systems integrated with information systems of state bodies or intended for formation of state electronic information resources, as well as owner and holder of critical information and communication infrastructure facilities;

      35) governmental communication - special secure communication for the needs of public administration;

      36) federated identification - a set of technologies enabling the use of a single user name and authentication identifier for access to electronic information resources in systems and networks that have established a trust relationship;

      37) encrypted communication - secure communication using manual ciphers, encryption machines, linear encryption equipment and special means of computer technology;

      38) internal loop of local area network (hereinafter - LAN of the internal loop) - local network of informatization subjects determined by the authorized body, referred to the internal loop of the telecommunication network of informatization subjects, having a connection to the unified transport environment of state bodies;

      39) a single “electronic government” repository – a repository of source codes and executable codes of the electronic government’s informatization objects compiled from them;

      40) external e-government gateway (hereinafter -EGEG) - a subsystem of the e-government gateway intended to ensure interaction of information systems located in the SB UTE with information systems located outside the SB UTE.

      Footnote. Paragraph 6 - as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      6-1. Digitalization of civil defence and LEB as part of digital transformation shall be carried out by creating and developing objects of informatization of "electronic government" or by acquiring objects of informatization of "electronic government" or information and communication services in accordance with the architecture of "electronic government", including taking into account:

      1) platforming - the formation and continuous development of interdepartmental centralized technological platforms for the information and communication infrastructure of "electronic government" and tools for solving common technical problems within various branches (areas) of public administration;

      2) universality of solutions - determination and ensuring the use of ready-made software and service software products for solving typical applied problems and automating typical supporting state functions;

      3) component building solutions - ensuring the development and implementation of individual standard components of the "electronic government" informatization objects in the format of microservices, which are planned, developed and implemented iteratively, gradually providing parts of the functionality of the entire solution and the benefits of its use;

      4) effectiveness - extracting the maximum benefit from the use of "electronic government" informatization objects, reducing costs and risks by optimizing structural components and costs;

      5) optimization of technical diversity - ensuring the reasonable use of free software and the systematic management of technical diversity.

      Footnote. Paragraph 1 is supplemented by paragraph 6-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      7. For the purposes of these URs, the following abbreviations shall be used:

      1) HSC – hardware and software complex;

      2) IS - information security;

      3) IS - information system;

      4) ICI - information and communication infrastructure;

      5) ICT - information and communication technologies;

      6) SW- software;

      7) LEB - local executive bodies;

      8) FS –free software;

      9) UIAG- unified Internet access gateway;

      10) IR – Internet resource;

      11) SB - the central executive body, the state body directly subordinate and accountable to the President of the Republic of Kazakhstan, territorial units of the department of the central executive body;

      12) SB UTM - unified transport medium of state bodies;

      13) SB UPIR – unified platform of Internet resources of state bodies;

      14) - excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023).

      15) EIR - electronic information resources;

      16) EG ICP - information and communication platform of "electronic government";

      17) EDS - electronic digital signature.

      18) IS - informatization subjects, defined by the authorized body

      Footnote. Paragraph 7 as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication); dated 10.02.2023 № 112 (shall be enforced from 01.01.2023).

      7-1. Platforming shall be based on the following requirements:

      1) implementation of the creation and development of solutions based on the technological platforms of the information and communication infrastructure of "electronic government" and (or) the use of the functionality of the technological platforms of the information and communication infrastructure of "electronic government";

      2) exclusion of components that duplicate the functionality of the technological platforms of the information and communication infrastructure of "electronic government";

      3) ensuring the automation of the processes of performing state functions and the services arising from them using technological platforms of the information and communication infrastructure of "electronic government".

      Footnote. Paragraph 1 is supplemented by paragraph 7-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

Chapter 2. Requirements for organization and management of informatization and information security Paragraph 1. Requirements for informatization of a state body

      8. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023).
      8-1. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023).

      8-2. The versatility of solutions shall be based on the fulfillment of the following requirements:

      1) the use of ready-made software and service software products for automating the processes of performing typical applied tasks and typical supporting state functions;

      2) adaptation of the features of the performance of state functions of a state body to the processes implemented in ready-made software and service software products, without the need to configure and refine the software in the implementation process;

      3) the absence of additional costs of state bodies for the implementation, training of users, the purchase of software and components of the information and communication infrastructure when using service software products.

      Footnote. Paragraph 2 is supplemented by paragraph 8-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).
      9. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      9-1. Component construction of solutions shall be based on the following requirements:

      1) building solutions based on microservice architecture using standard components;

      2) the use of the minimum required set of components to solve the tasks and ensure compliance with the requirements;

      3) exclusion of redundant components that simultaneously automate unrelated specific state functions and (or) typical providing state functions;

      4) ensuring adaptability, scalability and flexibility of the composition, structure and functionality of the components to changes in the legislation of the Republic of Kazakhstan, the priorities of socio-economic development, as well as the composition, structure and powers of state bodies;

      5) full compliance of the components with the goals, objectives and purpose of the "electronic government" informatization object;

      6) ensuring functional independence and lack of duplication of tasks and functionality of components;

      7) the formation of components based on open standards and using a set of standard application programming interfaces (application programming interface, API) provided by the component to third-party solutions to ensure its reuse;

      8) multi-level construction of the architecture by excluding the coverage of solution components simultaneously by several levels of architecture, including presentation levels, business logic and data storage;

      9) ensuring the availability of components for revision and reuse.

      Footnote. Paragraph 2 is supplemented by paragraph 9-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      10. Development of the "electronic government" architecture shall be carried out in accordance with the requirements for development of architecture of "electronic government" approved by the authorized body in accordance with subparagraph 10) of article 7 of the Law.

      10-1. Efficiency shall be based on the fulfillment of the following requirements:

      1) ensuring the maximum quantitative economic effect by reducing costs, ensuring payback and increasing the volume of budget receipts;

      2) focus on meeting the needs of individuals and legal entities, the industry (sphere) of public administration and (or) the state as a whole;

      3) ensuring the consistency of values and units of measurement of indicators of the results of the functioning of objects of informatization of "electronic government" and target indicators of the industry (sphere) of public administration;

      4) ensuring the priority of automation of the processes of performing specific state functions;

      5) sequential iterative creation and development of solutions by introducing part of the solution components with a basic set of functionality, followed by expanding the number of components and (or) increasing the level of their functionality.

      Footnote. Paragraph 2 is supplemented by paragraph 10-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).
      11. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023).

      11-1. Optimization of technical diversity shall be based on the fulfillment of the following requirements:

      1) alienability and independence from the names and versions of software, as well as restrictions on the components of the existing information and communication infrastructure of the state body;

      2) ensuring optimization of the diversity of existing software and simplification of the existing information and communication infrastructure of the state body;

      3) exclusion of restrictions for further development as a result of changing operating conditions and expanding the number of automation objects;

      4) ensuring the use of up-to-date software versions;

      5) implementation of the creation and development of solutions using free software in cases of ensuring the ability of the components of the solution to function without restrictions and the optimal total cost of ownership concerning proprietary licensed software.

      Footnote. Paragraph 2 is supplemented by paragraph 11-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).
      12. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023).

      13. Provision of SB and LEB with goods, works and services in the sphere of informatization is carried out by means of procurement taking into account the conclusion of the authorized body in the sphere of informatization on the calculations of expenses for public procurement of goods, works and services in the sphere of informatization submitted by the budget program administrators, except for special state bodies of the Republic of Kazakhstan.

      Footnote. Paragraph 13 - as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      13-1. SB and organizations shall place on the architectural portal of "electronic government" information about informatization objects and electronic copies of technical documentation for them in accordance with the rules for recording information about informatization objects of "electronic government" and placing electronic copies of technical documentation of informatization objects of "electronic government".

      The list of technical documentation for the informatization object required for placement shall be determined by the Rules for recording information about the "electronic government" informatization objects and placing electronic copies of the technical documentation for the "electronic government" informatization objects.

      Footnote. Paragraph 2 is supplemented by paragraph 13-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      14. Informatization tasks in the SB or LEB shall be implemented by the information technology unit, which shall:

      1) monitor and analyze the ICT use;

      2) participate in accounting and analysis of the ICT assets use;

      3) develop proposals to the SB strategic plan on informatization;

      4) coordinate works on the creation, maintenance and development of the "electronic government" software;

      5) control the provision by suppliers of the quality of informatization services stipulated by the agreements;

      6) registration and updating of information about objects of informatization of "electronic government" and electronic copies of technical documentation of objects of informatization of "electronic government" on the architectural portal of "electronic government";

      7) excluded by the resolution of the Government of RK from 13.05.2024 № 372 (shall come into effect upon expiration of ten calendar days after the day of its first official publication);
      8) excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023);

      9) fulfill requirements for information security.

      Footnote. Clause 14 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 10.02.2023 № 112 (shall be enforced from 01.01.2023); dated 13.05.2024 № 372 (enacted ten calendar days after the date of its first official publication).

      14-1. Owners and (or) proprietors shall ensure the commissioning of the e-government’s informatization object into industrial operation using executable codes compiled from source codes of the e-government’s informatization objects, transferred to it by the state technical service in accordance with the rules of operation of the unified e-government repository.

      Footnote. Chapter 2 has been supplemented by paragraph 14-1 pursuant to the Resolution of the Government of the Republic of Kazakhstan dated 10.02.2023 № 112 (enacted ten calendar days after the date of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (enacted ten calendar days after the date of its first official publication).

      15. The working space in SB and LEB shall be organized in accordance with the sanitary rules “Sanitary and epidemiological requirements for administrative and residential buildings” approved by the order of the Minister of Health of the Republic of Kazakhstan dated June 16, 2022 № ҚР ДСМ-52 (registered with the Ministry of Justice of the Republic of Kazakhstan on June 20, 2022 under № 28525).

      Footnote. Paragraph 15 - as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      16. The workplace of a SB and LEB servant shall be equipped with regard to his functional responsibilities and comprise:

      1) a workstation or a unified workstation or terminal system connected to the LAN internal circuit of the SB or LEB. It shall be allowed to equip the workplace with an extra monitor if necessary;

      2) a set of multimedia equipment (headphones, microphone and webcam) for working with multimedia EIR or video conferencing system, if necessary;

      3) telephone or IP telephony device.

      17. Requirements for a unified workplace or terminal system of SB and LEB, as well as components of information and communication infrastructure facilities shall be approved by the authorized body.

      Footnote. Paragraph 17 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      17-1. Compliance of the workplace or terminal system of SB and LEB with the requirements for a unified workplace or terminal system of SB and LEB, approved by the authorized body, is ensured.

      Requirements are updated and updated as needed.

      Footnote. The unified requirements are supplemented by paragraph 17-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      18. When choosing models of procured workstations, the following rules shall be complied with:

      1) the hardware characteristics of workstations meeting or exceeding the system requirements recommended by the developer (manufacturer) of the software used;

      2) workstation configurations are unified to ensure general level of services;

      3) centralized automated distribution of software updates is organized for workstations;

      4) to improve the quality and speed of administration, the number of different hardware-software configurations of workstations is reduced to three types:

      workstation for working with application software;

      high-power workstation for working with graphic packages, modeling software packages and others, used for applications with developed graphics, high requirements for processor performance, random access memory (RAM) and video subsystems amount;

      laptop for mobile users.

      19. For specification of technical requirements, the following key parameters of workstations shall be distinguished:

      1) performance, including:

      processor fast performance parameters;

      the necessary amount of RAM;

      Internal data bus speed;

      graphics subsystem performance;

      performance of input / output devices;

      monitor matrix parameters;

      2) reliability provided through the use of fault-tolerant hardware and software, determined basing on the average no failure operating time;

      3) scalability provided by the architecture and design of the personal computer due to the possibility of increasing:

      processor numbers and performance;

      RAM and external memory volumes;

      capacity of internal drives.

      20. To ensure information security:

      1) the technical documentation on information security shall define:

      ways of placing workstations of SB and LEB servants;

      ways to protect workstations against failures in the power supply system and other breaches caused by failures in the utilities;

      procedures and frequency of workstations maintenance to ensure continuous accessibility and integrity;

      ways to protect the workstations of mobile users outside the SB or LEB, factoring in various external risks;

      methods for guaranteed destruction of information during reuse of workstations or decommissioning of data storage media;

      rules for moving workstations outside the workplace;

      2) accounting of workstations shall be carried out regularly with a configuration check, as well as electronic storage media with unique identifying data;

      3) installation and use at the workstations of remote control software or hardware outside the internal LAN circuit shall be excluded. Remote control inside the LAN internal circuit shall be allowed in cases explicitly provided for in the SB or LEB legal act;

      4) unused input-output ports of workstations and mobile computers of SB and LEB servants shall be disabled or blocked, with the exception of workstations of IS unit staff.

      Footnote. Clause 20 as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      21. The issue of input-output operations with the use of external electronic data storage media at the workstations of SB and LEB servants shall be regulated in accordance with the IS policy adopted by the SB or LEB.

      22. To optimize equipment placement at the SB and LEB servant’s work station, the use of specialized equipment shall be permitted that ensures the use of one unit of a monitor, a manual manipulator (mouse) and a keyboard for several workstations, without using network interfaces.

      23. To use the services of the EG ICP, the workstation connected to the internal circuit LAN of the SB or LEB shall be provided with a network connection to the EG ICP infrastructure.

      24. Processing and storage of service information of the HE and LEB are carried out at workstations connected to the local area network of the internal loop and the external loop of the SB or LEB.

      Service information of SB and LEB with limited access shall be processed at workstations connected to the local area network of the internal loop of SB or LEB and not having an Internet connection.

      Footnote. Paragraph 24 as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      25. Access to the Internet for SB and LEB shall be provided from workstations connected to the LAN of the external circuit of SB and LEB, located outside the sensitive premises, determined in accordance with the Instruction on the protection of state secrets of the Republic of Kazakhstan.

      Footnote. Paragraph 25 as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

      25-1. When organizing access to the Internet from local area networks of the external circuit, availability of anti-virus tools and updates of the operating systems at workstations connected to the Internet is mandatory.

      Footnote. Chapter 2 was supplemented with clause 25-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 06/18/2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      26. Telephone service:

      1) shall be both based on digital telephone networks for general use, and IP-telephony technology;

      2) shall provide user switching with telephone network subscribers via the following channels:

      the use of subscriber connections through the existing local network of internal and external circuits and departmental data transmission network;

      the use of communication services of public telephony operator on the E1 stream;

      the use of mobile operators;

      the use of long-distance and international call services.

      27. For conferences, presentations, meetings, teleconference bridges, the SB and LEB conference room shall be equipped with:

      1) sound amplification conference system, with a microphone, loudspeaker at the participant’s place, and light indicator of the participant’s request and presentation.

      2) information input-output device.

      To organize a teleconference with geographically distributed participants who are in other cities or countries, the conference system can be optionally supplemented by the audio and video conferencing system of the EG ICI operator.

      28. Printing service:

      1) is implemented by means of printing, copying and scanning equipment connected to the local network of the SB internal circuit using a network interface or direct connection to the print server;

      2) is provided by software that carries out:

      centralized user and device management;

      accounting of printed documents, copies, e-mailed faxes and scans by user identification numbers with the possibility of distributing costs between departments and users;

      a system of reports graphically illustrating print, copy, and scan activity;

      user identification before the print service use;

      authorization of the SB servant on the printing device in the ways regulated in the IS technical documentation;

      forming a print queue that prints using a single print queue with the ability to receive printed documents on an available print device.

Paragraph 2. Requirements for information security organization

      29. When organizing, ensuring and managing IS in a SB, LEB or organization, one shall be guided by the provisions of the standard of the Republic of Kazakhstan ST RK ISO/IEC 27002-2023 “Information security, cybersecurity and privacy protection. Information security management tools”.

      Footnote. Paragraph 29 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      29-1. In order to implement the requirements for ensuring information security for the defense of the country and security of the state, the software and products of the electronic industry shall be acquired in the form of goods and information and communication services from the register of trusted software and products of the electronic industry in accordance with the Law and legislation of the Republic of Kazakhstan on public procurement, procurement of individual entities of the quasi-public sector.

      The register of trusted software and electronic industry products shall be maintained by the authorized body in the field of electronics industry in accordance with the Rules for the formation and maintenance of a register of trusted software and electronic industry products, as well as the criteria for including software and electronic industry products in the register of trusted software and electronic products industry approved by the authorized body in the field of electronics industry in accordance with paragraph 7 of Article 7-6 of the Law.

      And if the register of trusted software and electronics industry products does not contain the necessary products, their acquisition is permitted in accordance with the legislation of the Republic of Kazakhstan on public procurement, procurement of individual entities of the quasi-public sector.

      The owners and possessors of the software included in the register of trusted software and electronic industry products shall ensure the commissioning of the electronic government’s informatization object into commercial operation using executable codes compiled from the source codes of the e- government’s informatization objects transferred to it by the state technical service in accordance with the operation rules of the unified e-government repository.

      Footnote. The uniform requirements are supplemented by paragraph 29-1 pursuant to the Resolution of the Government of the Republic of Kazakhstan dated 31.12. 2019 № 1047 (effective ten calendar days after the date of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      30. To delineate responsibilities and functions in the IS provision, an information security unit shall be created, which is a structural unit, separate from other structural divisions engaged in creation, maintenance and development of IS objects, or an official in charge of information security shall be determined.

      The IS department or the official in charge of information security shall coordinate the work on ensuring information security and monitor the implementation of the information security requirements defined in the TD on IS.

      Employees in charge of providing information security shall undergo a specialized training course in providing information security at least once every three years with the issuance of a certificate.

      Footnote. Paragraph 30 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      31. TD IS is created in the form of a four-level system of documented rules, procedures, practices or guidelines, which are guided by the SB, MPR or organization in their activities.

      TD IS is developed in Kazakh and Russian languages, approved by a legal act of the SB, MPR organization and is communicated to all employees of the SB, MPR or employees of the organization.

      TD IS is revised in order to analyze and update the information contained in them at least once every two years.

      Footnote. Clause 31 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      32. The IS policy of the SB, LEB or organization is a first-level document and it shall define goals, objectives, guidelines and practical methods in the field of IS maintenance.

      32-1. The list of internal documents of a financial organization detailing the requirements of the IS policy shall be determined in accordance with the regulatory legal acts of the authorized body for regulation, control and supervision of the financial market and financial organizations that regulate the activities of financial organizations to ensure information security.

      Footnote. The unified requirements are supplemented by paragraph 32-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      33. The list of second-level documents includes documents detailing the requirements of the information security policy of the IS of SB, LEB or organization, including:

      1) methodology for assessing information security risks;

      2) rules for identification, classification, labeling, certification of assets associated with information processing facilities and their inventory;

      3) rules for conducting internal IS audit;

      4) rules for the use of cryptographic information protection means;

      5) rules for organizing the authentication procedure and delimitation of access rights to electronic information resources;

      6) rules for organizing anti-virus control, use of mobile devices, storage media, the Internet and e-mail;

      7) rules for organizing physical protection, a safe operating environment and ensuring continuous operation of assets associated with information processing facilities.

      Footnote. Paragraph 33 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      34. Third level documents contain description of processes and procedures for maintaining IS, including:

      1) catalog of IS threats (risks);

      2) plan for processing IS threats (risks);

      3) an action plan to maintain continuous operation and restore operability of assets associated with information processing facilities;

      4) administrator’s guide to maintaining an informatization object, backing up and restoring information;

      5) instructions on the actions for users to respond to IS incidents and in emergency (crisis) situations.

      Footnote. Paragraph 34 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      35. The list of fourth level documents includes work forms, logs, applications, protocols and other documents, including electronic ones, used to register and confirm completed procedures and work, including:

      1) log of information security incidents and emergency situations;

      2) log of visits to server rooms;

      3) report on the assessment of network resources vulnerability;

      4) cable connection log;

      5) log of backup copies (backup, recovery), testing of backup copies.

      Footnote. Paragraph 35 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      36. To ensure the assets security, the following actions shall be taken:

      1) inventory of assets;

      2) classification and labeling of assets in accordance with the classification system adopted by the SB or LEB;

      3) assignment of assets to servants and defining the range of their responsibilities in the IS assets management;

      4) regimentation in the IS TD of:

      the use and return of assets;

      identification, classification and labeling of assets.

      37. In order to manage risks in ICT, in SBs or LEBs the following measures shall be carried out:

      1) selection of a risk assessment methodology in accordance with the recommendations of the standard of the Republic of Kazakhstan ST RK 31010-2020 “Risk Management. Risk assessment methods” and development of risk analysis procedures;

      2) identification of risks in relation to the list of identified and classified assets, including:

      identifying IS threats and their sources;

      identifying vulnerabilities that could lead to occurrence of threats;

      identification of information leakage channels;

      formation of a model of the violator;

      3) selection of criteria for accepting identified risks;

      4) formation of a catalog of IS threats (risks), including assessment (reassessment) of identified risks in accordance with the requirements of the standard of the Republic of Kazakhstan ST RK ISO/IEC 27005-2022 “Information technologies. Security methods. Information Security Risk Management";

      5) development and approval of a plan for processing IS threats (risks), containing measures to neutralize or reduce them.

      Footnote. Paragraph 37 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 18.06.2018 №355 (effective ten calendar days after the date of its first official publication); dated 18.01.2021 №12 (effective ten calendar days after the date of its first official publication); dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      38. In order to control the events of information security violations in an SB, MPR or organization:

      1) monitoring of events related to IS violation and analysis of monitoring results;

      2) events related to the state of information security are recorded, and violations are identified by analyzing the event logs, including:

      operating system event logs;

      event logs of database management systems;

      anti-virus protection event logs;

      application software event logs;

      event logs of telecommunication equipment;

      event logs of systems for detecting and preventing attacks;

      content management system event logs;

      3) synchronization of the time of event logs with the infrastructure of the time source is provided;

      4) event logs are stored for the period specified in the IS TD, but not less than three years and are available online for at least two months;

      5) logs of events are kept in accordance with the formats and types of records defined in the rules for monitoring information security of objects of informatization of "electronic government" and critical objects of information and communication infrastructure, approved by the authorized body in the field of information security in agreement with the national authorities safety in accordance with subparagraph 7) of Article 7-1 of the Law;

      5-1) connection of IS event logging systems of the electronic government’s informatization objects to the technical means of the information security monitoring system of the National coordination center for Information Security shall be ensured at the request of the state technical service;

      6) provides protection of event logs from interference and unauthorized access. System administrators are not allowed to have the authority to modify, delete, or disable logs. For confidential IS, the creation and maintenance of a backup storage of logs is required;

      7) implementation of a formalized procedure for informing about information security incidents and responding to IS incidents is ensured.

      Footnote. Clause 38 as amended by the decrees of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 31.12.2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      38-1. SB and LEB shall provide permanent physical access to employees of the National Coordination Center for Information Security to the e- government’s informatization objects with the provision of separate workplaces at the request of the state technical service in order to perform work on monitoring information security and monitoring of information security events.

      Footnote. The uniform requirements have been supplemented by paragraph 38-1pursuant to the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      39. To protect critical processes of SB, LEB or organizations against internal and external threats:

      1) an action plan shall be developed, tested and implemented to ensure continuous operation and restoration of the operability of assets associated with information processing facilities;

      2) instruction shall be communicated to the SB and LEB or organization servants on the procedure for users to respond to IS incidents and in emergency (crisis) situations.

      The action plan for ensuring continuous operation and restoring operability of assets associated with information processing facilities shall be regularly updated.

      40. Functional responsibilities in ensuring IS and obligations to fulfill the requirements of the TD IS of SB, LEB servants or employees of the organization shall be included in job descriptions.

      Obligations in IS, which are valid after the termination of the employment contract, shall be fixed in the employment contract with the organization’s employee.

      Footnote. Paragraph 40 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      41. In the event of involving third-party organizations in maintaining the information security of EIR, information systems, ICI, their owner or holder shall enter into agreements that establish conditions for the operation, access or use of these facilities, and also liability for their violation.

      42. Content of the procedures in dismissal of the SB and LEB or organization’s servants who have obligations in the field of IS maintenance, shall be defined in the IS TD.

      43. When making changes to the employment contract terms of the organization’s employee, in rotation or promotion in the civil service of SB, LEB servant, at his dismissal, the right of access to information and information processing facilities, including physical and logical access, access identifiers, subscriptions, documentation that identifies him as a current SB, LEB servant, or executive officer or employee of the organization, shall be annulled.

      Footnote. Paragraph 43 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      44. The human resources service shall organize and maintain records on the SB and LEB or organization’s servant’s training in the field of informatization and IS maintenance.

      45. When initiating the creation or development of informatization objects of the first and second classes in accordance with the classifier of informatization objects approved by the authorized body in the field of informatization in accordance with subparagraph 11) of Article 7 of the Law (hereinafter referred to as the Classifier), as well as confidential IS, protection profiles shall be developed for composite components and security task in accordance with the requirements of the Republic of Kazakhstan ST RK ISO/IEC 15408-2017 "Information technology. Security methods and means. Criteria for assessing information technology security".

      Footnote. Paragraph 45 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      46. In order to ensure IS during the operation of informatization objects, requirements are established for:

      1) methods of authentication;

      2) applied ISC;

      3) ways to ensure availability and fault tolerance;

      4) monitoring of information security, protection and safe operation;

      5) the use of information security tools and systems;

      6) registration certificates of certification centers.

      Footnote. Clause 46 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 06/18/2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      46-1. For signing, the objects of informatization of "electronic government" use registration certificates of accredited certification centers in accordance with the Rules for issuing and revoking a certificate of accreditation of certification centers, approved by the authorized body in accordance with subparagraph 2) of paragraph 3 of Article 5 of the Law of the Republic of Kazakhstan "On electronic document and electronic digital signatures".

      Footnote. Paragraph 2 is supplemented by paragraph 46-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      47. When accessing first and second class information objects in accordance with the classifier, multi-factor authentication shall be used, including with the use of digital certificates.

      Footnote. Paragraph 47 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      48. To protect the restricted service information, confidential information systems, confidential EIR and the EIR containing personal data of limited access, data encryption tools (software or hardware) shall be applied with parameters meeting the requirements of the cryptographic information protection system in accordance with the standard of the Republic of Kazakhstan ST RK 1073-2007 Means of Cryptographic Protection of Information. General Technical Requirements for Informatization objects of:

      first class in accordance with the classifier - the third level of security;

      second class in accordance with the classifier - the second level of security;

      third class in accordance with the classifier - the first level of security.

      49. To ensure availability and fault tolerance, the owners of EG informatization objects shall provide:

      1) own or leased backup server room for EG informatization objects of the first and second classes in accordance with the classifier;

      2) backup of hardware and software for data processing, data storage systems, components of data storage networks and data transmission channels, including for EG informatization objects of:

      first class in accordance with the classifier - loaded (hot) in the backup server room;

      second class, in accordance with the classifier - not loaded (cold) in the backup server room;

      third class in accordance with the classifier - storage in a warehouse close to the main server room.

      49-1. The integration of "electronic government" informatization objects shall be carried out in accordance with the Rules for the integration of "electronic government" informatization objects, approved by the authorized body in accordance with subparagraph 13) of Article 7 of the Law, and subject to the information security requirements determined by the protection profile and drawn up by the contract of joint work on information security of the state and non-state information systems, and shall be based on ensuring:

      1) a unified integration environment - ensuring the technological possibility of interdepartmental and departmental information interaction of informatization objects;

      2) one-time integration - ensuring a single connection of objects of informatization of "electronic government" to the system of interaction and subsequent repeated use to minimize financial and time costs in the transfer and receipt of information;

      3) a single information space - ensuring the compatibility and comparability of data during transmission based on the use of standard data transmission formats.

      Footnote. Paragraph 2 is supplemented by paragraph 49-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      50. EG informatization objects of the first and second classes in accordance with the classifier shall be connected to the system of IS monitoring, protection and safe operation no later than one year after they are put into operation.

      50-1. Owners or possessors of non-state information systems intended for the formation of state electronic information resources, the implementation of state functions and the provision of public services, before integrating with information systems of state bodies, shall create their operational information security center and shall ensure its functioning or purchase the services of an operational information security center from third parties in accordance with the Civil Code of the Republic of Kazakhstan, and also ensure its interaction with the National Coordinating Center for Information Security.

      The owners of critically important information and communication infrastructure facilities shall create their operational information security center and ensure its operation or purchase the services of an operational information security center from third parties in accordance with the Civil Code of the Republic of Kazakhstan.

      Owners or possessors of critically important information and communication infrastructure facilities, with the exception of state bodies, LEBs, state legal entities, quasi-public sector entities, within a year from the date of inclusion in the list of critically important information and communication infrastructure facilities, shall create their own operational information security center and shall ensure its functioning or acquire the services of the operational information security center from third parties in accordance with the Civil Code of the Republic of Kazakhstan, and shall also ensure its interaction with the National Information Security Coordination Center.

      Footnote. The unified requirements are supplemented by paragraph 50-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication); as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      50-2. A unified integration environment shall be based on the following requirements:

      1) implementation of integration into a single integration environment in accordance with a service-oriented architecture;

      2) implementation of interstate information interaction of informatization objects of several states through the national gateway of the Republic of Kazakhstan;

      3) implementation of the creation, modification and deletion of data by interfacing them with the relevant processes for the implementation of public functions and the provision of public services initiated by the owners of the data or on their behalf;

      4) the use of uniform approaches and standards in ensuring the unambiguous identification of the interacting parties and the scope of their rights in the course of interaction;

      5) priority implementation of synchronous interaction between the objects of informatization of "electronic government";

      6) ensuring the use of information from the repository of electronic documents and a unified system of regulatory and reference information of the "electronic government" gateway in the process of information interaction and the provision of public services;

      7) ensuring fixation of the date, time, content and participants of all actions and operations carried out within the framework of information interaction, as well as information that allows restoring the history of information interaction;

      8) providing technical feasibility for access to data stored in organizations;

      9) ensuring the legitimacy and integrity of information interaction by signing the request and transmitted EDS data.

      Footnote. Paragraph 2 is supplemented by paragraph 50-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      51. SB, MPR or organization monitors:

      actions of users and staff;

      use of information processing facilities.

      Footnote. Clause 51 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      51-1. One-time integration shall be based on the following requirements:

      1) integration and provision of access to the functionality and EIR (data) of informatization objects based on a set of universal information interaction services published on the e-government gateway;

      2) ensuring the reuse of information interaction services by including them in the register of services of the "electronic government" gateway;

      3) ensuring the creation of information interaction services based on standard technologies, formats and data transfer protocols used in the Republic of Kazakhstan;

      4) distribution of data through a single virtual data source with access rights management for information recipients;

      5) implementation of the development of a new service of information interaction in cases of absence of a similar or similar service in the register of services of the "electronic government" gateway;

      6) providing technical feasibility for the formation of composite services based on information interaction services;

      7) ensuring the operability of the "electronic government" gateway, regardless of ongoing technical, administrative, organizational and other changes in the "electronic government" informatization objects connected to the "electronic government" gateway;

      8) ensuring the possibility of independent development of the object of informatization of the "electronic government" of the information provider without the need to refine all related consumers of information by ensuring the invariance of the interfaces of the information exchange service.

      Footnote. Paragraph 2 is supplemented by paragraph 51-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      52. In SB, MPR or organization in the framework of monitoring the actions of users and personnel:

      1) when detecting abnormal activity and malicious actions of users, these actions:

      the administrator is registered, blocked and promptly notified for the objects of informatization of the first class ES in accordance with the classifier;

      registered and blocked for objects of informatization of electronic signatures of the second class in accordance with the classifier;

      are registered for objects of informatization of electronic signatures of the third class in accordance with the classifier;

      2) the actions of the maintenance personnel are recorded and controlled by the IS department.

      Footnote. Clause 52 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      52-1. The unified information space shall be based on compliance with data management requirements, including taking into account the requirements for:

      1) ensuring data compatibility in the process of information interaction by syntactic, semantic and spatial correspondence of the transmitted data and interfaces of information interaction services;

      2) ensuring the distribution of a certain type of data by using reference sources of information and comparing them in the case of using data from several sources;

      3) unambiguous and unique identification of the disseminated data;

      4) distribution of publicly available data in a structured, machine-readable and linked format through an open data portal;

      5) ensuring the possibility of confirming the reliability and relevance of data, identifying inaccurate data, as well as informing interested participants in information interaction about cases of identifying inaccurate data and changes made in the process of updating it;

      6) the use of a single scheme for converting data from the data format of the information consumer to the data format of the information provider when interacting with the objects of informatization of the "electronic government" using the "electronic government" gateway.

      Footnote. Paragraph 2 is supplemented by paragraph 52-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      53. IS events identified as critical for confidentiality, accessibility and integrity, according to the information security events monitoring and event log analysis:

      1) shall be defined as IS incidents;

      2) shall be accounted for in the catalog of information security threats (risks);

      3) shall be registered in the computer incident response service of the state technical service.

      53-1. If the IS has the function of signing electronic documents, the IS user shall be allowed to upload an electronic document from the IS, both signed by the user's EDS, and other electronic documents available to him, along with all the EDS that certify such electronic documents, to get the IS user the ability to verify the authenticity of the electronic document without using this IP in other ways available to them.

      Footnote. Paragraph 2 is supplemented by paragraph 53-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-2. If the IS has the function of signing electronic documents, the IS user shall be allowed to upload a previously signed electronic document to the IS along with all the digital signatures that certify such an electronic document, including if such an electronic document was signed without using this IS.

      Footnote. Paragraph 2 is supplemented by paragraph 53-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-3. If the IS has the function of working with electronic documents, the IS shall check the powers of the person who signed the document in accordance with the Rules for verifying the authenticity of an electronic digital signature, approved by the authorized body in accordance with subparagraph 10) of paragraph 1 of Article 5 of the Law of the Republic of Kazakhstan "On electronic document and electronic digital signature".

      Footnote. Paragraph 2 is supplemented by paragraph 53-3 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-4. If the IS has the function of working with electronic documents, the IS must store electronic documents unchanged along with all the EDS with which they are certified, time stamps and information about the status of checking registration certificates for revocation (cancellation) at the time of signing during the entire period of storage of the electronic document in IS.

      Footnote. Paragraph 2 is supplemented by paragraph 53-4 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      53-5. If the IS has the function of working with electronic documents, the IS must support work with all types of EDS key stores supported by certification centers with which this IS works.

      Footnote. Paragraph 2 is supplemented by paragraph 53-5 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      54. At the stage of pilot and industrial operation of informatization objects, the following tools and systems shall be used:

      detection and prevention of malicious code;

      monitoring and management of information security incidents and events;

      intrusion detection and prevention;

      monitoring and management of information infrastructure.

      Footnote. Paragraph 54 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      54-1. Data leakage prevention systems (DLP) shall be used to protect the objects of informatization of SB, LEB and critically important objects of information and communication infrastructure.

      This shall provide:

      visual notification of the user about the ongoing control of actions;

      placement of the control center and servers of the data leakage prevention system within the local area network.

      Footnote. Paragraph 2 is supplemented by paragraph 54-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced ten calendar days after the day of its first official publication); as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      55. Registration certificates of the Root certification authority of the Republic of Kazakhstan are subject to recognition in the trusted lists of software products of global software manufacturers for authentication purposes in accordance with the standards of the Republic of Kazakhstan ST RK ISO/IEC 14888-1-2017 “Information technology. Information security methods. Digital signatures with app. Part 1. General provisions”, ST RK ISO/IEC 14888-3-2017 “Methods for protecting information digital signatures with an application. Part 3. Certificate-based mechanisms”, GOST R ISO/IEC 9594-8-98 “Information technology. Interconnection of open systems. Directory. Part 8. Authentication Basics”.

      Footnote. Paragraph 55 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      56. Certification authorities of the Republic of Kazakhstan, excepting the Root Certification Authority of the Republic of Kazakhstan, are recognized in trusted lists of software products of world software manufacturers by accreditation of the certification authority in accordance with the rules of accreditation of certification authorities.

      Certification authorities of the Republic of Kazakhstan shall place their registration certificate with a trusted third party of the Republic of Kazakhstan to ensure verification of EDS of the citizens of the Republic of Kazakhstan in foreign countries.

      56-1. The owner of critically important objects of information and communication infrastructure, which processes data containing secrets protected by law, shall conduct an information security audit at least once a year. The information security audit of second-tier banks shall be carried out in accordance with the requirements of the banking legislation of the Republic of Kazakhstan.

      Footnote. The unified requirements are supplemented by paragraph 56-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

Chapter 3. Requirements for informatization objects Paragraph 1. Requirements for electronic information resources and Internet resources

      57. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023).

      58. Requirements for creation or development of IR shall be defined in the technical specification for the acquisition of goods, works and services in the field of informatization.

      59. The owner and (or) holder of the IR shall provide creation of publicly available IR in the Kazakh, Russian and, if necessary, in other languages, with the possibility for the user to choose the interface language.

      60. In the IR creation or development the requirements shall be taken into account the of the standards of the Republic of Kazakhstan ST RK 2190-2012 “Information technologies. Internet resources of state bodies and organizations. Requirements”, ST RK 2191-2023 “Information technologies. Accessibility of web content for persons with disabilities”, ST RK 2192-2012 “Information technologies. Internet resource, Internet portal, intranet portal. General descriptions”, ST RK 2193-2012 “Information technologies. Recommended practice for developing mobile web applications”, ST RK 2199-2012 “Information technologies. Security requirements for web applications in state bodies”.

      Footnote. Paragraph 60 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      61. Preparation, placement, updating of EIR on the IR of SB or LEB shall be carried out in accordance with the rules of content and requirements for the maintenance of IR of the SB, approved by the authorized body.

      62. The IR of the central executive body, structural and territorial units of the central executive body, local executive body shall be placed on the SB UPIR and registered with the gov.kz and мем.қаз. domain zones.

      SB UPIR shall be placed on the EG ICP.

      62-1. An Internet resource with a registered.KZ and (or) .ҚАЗ domain name shall be hosted on a hardware and software complex located on the territory of the Republic of Kazakhstan.

      Footnote. The unified requirements are supplemented by paragraph 62-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      62-2. The use of .KZ and (or) .ҚАЗ domain names in the space of the Kazakhstan segment of the Internet when transmitting data by Internet resources shall be carried out using security certificates.

      Footnote. The unified requirements are supplemented by paragraph 62-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      63. IR management, placement and updating of EIR of the central executive body, structural and territorial units of the central executive body, local executive body shall be carried out from the external circuit of the EG ICI local network by the operator on the basis of a request from the owner and (or) holder of the IR.

      63-1. Industrial operation of the IR of SB and LEB is permitted subject to the availability of test reports with positive test results for compliance with information security requirements.

      Footnote. Chapter 3 has been supplemented by paragraph 63-1pursuant to the Resolution of the Government of the Republic of Kazakhstan dated 18.06.2018 №355 (effective ten calendar days after the date of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      63-2. Storage of EIR containing personal data and used in the automation of state functions and the provision of public services resulting from them after the date of achievement of the goals of their collection and processing, the owners of which are other informatization subjects, is not allowed in the informatization objects of SB, LEB and organizations.

      Footnote. Chapter 3 has been supplemented by paragraph 63-2pursuant to the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).
      64. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      65. In case of non-use of the EIR, the SB or LEB shall ensure its transfer to the archive in the manner prescribed by the Law of the Republic of Kazakhstan "On the National Archival Fund and Archives" (hereinafter referred to as the Law on Archives).

      Footnote. Paragraph 65 as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

      66. To ensure IS of IR, the following actions shall be applied:

      1) registration of certificates for authentication of the domain name and cryptographic protection of the contents of the communication session with the use of DET;

      2) content management system (content), performing:

      authorization of operations of EIR placement, change and deletion;

      registration of authorship when placing, changing and deleting EIR;

      checking of downloaded EIR for malware;

      security audit of executable code and scripts;

      integrity control of the placed EIR;

      maintaining of a log of EIR changes;

      monitoring of anomalies in users and software robots activity.

Paragraph 2. Requirements for developed or acquired application software

      67. At the stage of initiating creation or development of application software (AS), the software class shall be determined and recorded in the project documentation in accordance with the rules for classifying informatization objects and informatization objects classifier, approved by the authorized body in accordance with subparagraph 11) of article 7 of the Law.

      68. Requirements for the created or developed IP application software are determined in the terms of reference created in accordance with the requirements of the standard of the Republic of Kazakhstan ST RK 34.015-2002 “Information technology. Set of standards for automated systems. Terms of reference for the creation of an automated system ", these ET and the rules for the preparation and consideration of technical specifications for the creation and development of objects of informatization of" electronic government ", approved by the authorized body in the field of information security in accordance with subparagraph 20) of Article 7 of the Law.

      Footnote. Clause 68 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).
      69. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).
      69-1. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      70. Requirements for AS that is being acquired shall be defined in the technical specifications for the purchase of goods, works and services in informatization area, with regard to requirements of these UR.

      71. In the purchase of off-the-shelf AS the priority of free software (FS) shall be taken into account, provided that its characteristics are identical with commercial software.

      72. When forming requirements for development or acquisition of software, the EIR class and information of the EIR catalog shall be taken into account.

      73. Developed or acquired off-the-shelf AS shall:

      1) provide a user interface, input, processing and output of data in Kazakh, Russian and other languages, if necessary, with the possibility to select a user interface language;

      2) take into account the requirements such as:

      reliability;

      maintainability;

      ease of use;

      effectiveness;

      universality;

      functionality;

      cross-platform operation;

      3) provide full-functional virtualization technology support;

      4) support clustering;

      5) shall be provided with technical documentation for operation in the Kazakh and Russian languages.

      74. Creation and development or acquisition of software is provided with technical support and maintenance.

      Planning, implementation and documentation of technical support and software maintenance are carried out in accordance with the specifications of the manufacturer, supplier or the requirements of the IS TD.

      Footnote. Clause 74 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      75. The process of creating and developing application software:

      1) provides:

      creation of an information base of algorithms, source codes and software;

      testing and testing of software modules;

      typification of algorithms, programs and information security tools that ensure information, technological and software compatibility;

      use of licensed development tools;

      2) includes procedures for acceptance of applied software, providing for:

      the transfer by the developer of the source codes of programs and other objects necessary for the creation of application software to the owner and (or) the owner;

      control compilation of the transferred source texts, with the creation of a fully functional version of the application software;

      running a test case on a given version of the software.

      Footnote. Clause 75 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      76. Control over authorized changes to the software and access rights to it is carried out with the participation of employees of the department of information technology SB, MPR or organizations.

      Footnote. Clause 76 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).
      77. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      78. In order to ensure IS:

      1) at the software development stage, recommendations shall be taken into account of the standard of the Republic of Kazakhstan ST RK GOST R 50739-2006 Computers Technique. Information Protection against Unauthorised Access to Information. General Technical Requirements;

      2) requirements for the application software being developed or procured provide for the use of the following tools:

      identification and authentication of users, if necessary, digital certificates;

      access control;

      integrity control;

      logging of user actions that affect IS;

      protection of online transactions;

      cryptographic protection of information using MCIP of confidential information systems during storage and processing;

      logging of critical software events;

      3) IS TD shall determine and apply during operation:

      rules for installing, updating and deleting software on servers and workstations;

      management procedures of change and analysis of AS in the event of a change in the system software;

      4) licensed software shall be used and acquired only in the availability of a license.

      Footnote. Paragraph 78 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      79. Measures to control proper use of software are defined in the IS TD, and shall be carried out at least once a year and include:

      defining of actually used software;

      determination of the software use rights;

      comparison of actually used software and available licenses.

      80. The application software shall perform verification of the ownership and validity of the EDS public key and the registration certificate of the person who signed the electronic document, in accordance with the Rules for verifying the authenticity of electronic digital signature, approved by the authorized body in accordance with subparagraph 10) of paragraph 1 of Article 5 of the Law of the Republic of Kazakhstan "On electronic document and electronic digital signature".

      Footnote. Paragraph 80- as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

Paragraph 3. Requirements for information and communication infrastructure

      81. Requirements for ICI shall be formed with regard to the facilities comprised in it, in accordance with subparagraph 25) of Article 1 of the Law.

      82. UR establishes requirements for the following ICI objects:

      1) information system;

      2) technological platform;

      3) hardware and software complex;

      4) telecommunication networks;

      5) systems of uninterrupted functioning of technical means and information security;

      6) server room (data center).

      Footnote. Clause 82 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

Paragraph 4. Information System Requirements

      83. Mandatory requirements for means of processing, storage and backup of electronic information in the information and communication infrastructure objects of the e-government are determined by Article 42 of the Law.

      Footnote. Paragraph 83 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      84. Before starting a trial operation by the developer:

      1) a set of tests, test scripts and test methods shall be created for all functional components of the information system;

      2) bench tests of the information system shall be carried out;

      3) for the staff:

      of information system of SB or LEB of the first class, training is mandatory in accordance with the classifier;

      of information system of SB or LEB of the second class - creation of video, - multimedia training materials in accordance with the classifier;

      for information system of SB or LEB of the third class - creation of a help system and (or) operating instructions in accordance with the classifier.

      85. Trial operation of SB IS or LIE shall include:

      documentation of procedures for trial operation;

      optimization and elimination of identified defects and shortcomings with their subsequent correction;

      registration of an act on the completion of trial operation of the IS;

      the period of trial operation should not exceed one year.

      Footnote. Paragraph 85 - as amended by Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      85-1. The introduction of the object of informatization of "electronic government" shall be carried out in accordance with the standards in force in the territory of the Republic of Kazakhstan.

      Footnote. The unified requirements are supplemented by paragraph 85-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      86. Before entering into industrial operation of an IS in an SB, MPR or organization, the criteria for the acceptance of the created IS or new versions and updates of the IS are determined, agreed, documented.

      Footnote. Clause 86 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      87. Commissioning of IS of SB, LEB and organizations into commercial operation shall be carried out in accordance with the technical documentation requirements, subject to positive completion of trial operation, availability of test reports with positive test results for compliance with information security requirements, signing of the act of putting into commercial operation of the IS by the acceptance committee with participation of representatives of authorized bodies in the fields of informatization and information security, interested civil society organizations, local executive bodies and organizations.

      Footnote. Paragraph 87 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      87-1. Tests for compliance with information security requirements are carried out in accordance with Article 49 of the Law.

      Footnote. The unified requirements are supplemented by paragraph 87-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

      88. Commissioning of the electronic government’s informatization object into commercial operation shall be carried out by its owner or possessor only with the use of executable codes compiled from the source codes of the electronic government’s informatization objects transferred to it by the state technical service in accordance with the operation rules of the unified electronic government repository .

      Footnote. Paragraph 88 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      89. During the industrial operation of IS SB or M&E, the following shall be provided:

      1) safety, protection, and restoration of EIR in case of failure or damage;

      2) redundancy and control over the timely updating of the EIR;

      3) automated accounting, preservation and periodic archiving of information about calls to the SB IS or LEB;

      4) fixing changes in the configuration settings of software, server and telecommunications equipment;

      5) control and regulation of functional performance characteristics;

      6) maintenance of IP;

      7) technical support of the used licensed IP software;

      8) warranty service by the IS developer, including the elimination of errors and shortcomings of the IS identified during the warranty period (Warranty service shall be provided for a period of at least a year from the date of putting the IS into commercial operation);

      9) the connection of users to the IS, as well as the interaction of the IS, shall be carried out using domain names;

      10) system maintenance;

      11) reduction (exclusion) of the use of paper documents, as well as requirements for their submission in the performance of public functions and the provision of public services.

      Footnote. Paragraph 89 - as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

      90. Integration of the SB or LEB information system, including with SB or LEB information system, which is in trial operation, shall be carried out in accordance with the requirements specified in Article 43 of the Law.

      Integration of non-state information system with SB or LEB information system shall be carried out in accordance with the requirements defined by Article 44 of the Law.

      90-1. At the fulfillment of functions of integration interaction of informatization facilities or components of informatization facilities through a gateway, integration bus, integration component or integration module, the following actions shall be provided:

      1) registration and verification of sources (connection points) of legitimacy requests;

      2) verification of the legitimacy of requests for:

      password or EDS;

      connection point;

      presence of connection blocking;

      permitted types of requests defined in the regulation on integration interaction;

      the allowed request frequency defined in the regulation on integration interaction;

      presence in requests of signs of information security violations;

      presence of malicious code on signatures;

      3) connection blocking upon detection of violations in the messaging protocols in the events of:

      absence of connection during the time defined in the regulation on integration interaction;

      excess of the allowed frequency of requests for the time specified in the regulation of integration interaction;

      presence in requests of signs of information security violations;

      excess in the number of authentication errors defined in the regulation of integration interaction;

      detection of anomalous user activity;

      detection of attempts to upload data arrays;

      4) regular change of connection passwords according to the duration of time defined in the regulation of integration interaction;

      5) replacement of the login when identifying IS incidents;

      6) concealment of internal circuit LAN addressing;

      7) event logging, including:

      recording of events of transmission / receipt of information messages;

      recording of file transfer / receipt events;

      recording of service messages transfer / receipt events;

      the use of IS incident and event management system for monitoring of event logs;

      automation of procedures for analyzing event logs for the presence of IS events;

      storage of event logs on a specialized log server, accessible for administrators only for viewing;

      separate event logging (if necessary) by:

      a) the current day;

      b) connection (communication channel);

      c) to a state body (legal entity);

      d) integrable informatization objects;

      8) provision of time synchronization service for integrable informatization objects;

      9) software and hardware cryptographic protection of connections made through data transmission networks;

      10) storage and transmission of encrypted passwords;

      11) automation of notifying the responsible persons of integrated informatization objects of IS incidents.

      Footnote. Chapter 3 was supplemented with clause 90-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      91. Warranty service of the information system at the industrial operation stage with involvement of third parties shall require:

      IS regulation in warranty service agreements;

      ICT risk management in the process of warranty service.

      92. Management of software and hardware IS SB and MPR is carried out from the PP of the internal circuit of the owner of the IS.

      The software and hardware of the IS SB or PP and non-state IS integrated with the IS SB or MPR is located on the territory of the Republic of Kazakhstan, except for cases related to interstate information exchange, carried out using the national gateway, within the framework of international treaties ratified by the Republic of Kazakhstan.

      Footnote. Clause 92 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      92-1. To organize the work of the SB or LEB information system, it shall be allowed to use cloud services (hardware and software systems, information system providing resources with the use of virtualization technology), the control centers and servers of which are physically situated on the territory of the Republic of Kazakhstan.

      Footnote. Chapter 3 was supplemented with clause 92-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      92-2. The hardware and software of the information system of critical informatization facilities and ICI containing personal data of citizens of the Republic of Kazakhstan shall be placed on the territory of the Republic of Kazakhstan.

      Footnote. Chapter 3 was supplemented with clause 92-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      92-3. Possessors and owners of information systems of a state body shall create their operational information security center and ensure its functioning or purchase the services of an operational information security center from third parties in accordance with the Civil Code, and shall also ensure its interaction with the National Information Security Coordination Center.

      Footnote. The unified requirements are supplemented by paragraph 92-3 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      92-4. Possessors, owners and users of SB IS and LEB shall carry out filling, ensure the reliability and relevance of the EIR.

      Footnote. The unified requirements are supplemented by paragraph 92-4 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

      93. The owner or holder of the SB or LEB information system shall make a decision on the termination of the information system operation in the absence of the need for its further use.

      The service integrator shall be notified of the cessation of operation of the SB or LEB information system, with the publication on the architectural portal of the "electronic government" of the informatization subjects whose information systems are integrated with the decommissioned information system of SB or LEB, and the SB or LEB that are users of this information system.

      94. The SB or LEB shall draw up a plan for decommissioning of the SB or LEB information system operations and coordinate it with the SB or LEBs that are users of the information system of the SB or LEB.

      95. After decommissioning of the electronic government’s informatization object, electronic information resources, technical documentation and source program codes are subject to transfer to the archive in accordance with the legislation of the Republic of Kazakhstan.

      Footnote. Paragraph 95 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      96. Upon receipt of an application for terminating operation of the SB or LEB information system, the service integrator shall cancel the electronic registration certificate of the SB or LEB information system and place the relevant information on the architectural portal of the "electronic government".

      97. Withdrawal and (or) disposal of the decommissioned information system of the SB or LEB shall be carried out in accordance with the legislation of the Republic of Kazakhstan on accounting and financial reporting.

      If the operation of the information system of the SB or LEB is terminated, but the information system of the SB or LEB is not withdrawn in the prescribed manner, this information system shall be considered to be in conservation.

      After decommissioning the information system of the SB or LEB shall not be used.

      98. To maintain IS:

      1) at the stages of bench tests, acceptance tests and test operation the following actions shall be carried out:

      testing of information system software based on developed test suites configured for specific classes of programs;

      full-scale testing of programs under extreme loads with simulated exposure to active defects (stress testing);

      testing of the information system’s software to identify possible defects;

      bench tests of the information system’s software to determine unintended software design errors, identify potential problems for performance;

      Identification and elimination of vulnerabilities in software and hardware;

      development of protection tools against unauthorized exposure;

      2) before putting the information system into trial operation, it shall be required to provide:

      control of adverse effects of the new information system on the functioning information systems and components of the EG ICI, especially during maximum loads;

      analysis of the new information system impact on the condition of the information system of the EG ICI;

      organization of staff training for the operation of the new information system;

      3) separation of the environments of the pilot or industrial operation of the information system from the environments of development, testing or bench testing. The following requirements shall be implemented:

      transfer of the information system from the development phase to the testing phase shall be recorded and documented;

      transfer of the information system from the testing phase to the trial operation phase shall be recorded and documented;

      transfer of the information system from the pilot operation phase to the industrial operation phase shall be recorded and documented;

      development tools and tested software of the information system shall be located in different domains;

      compilers, editors and other development tools in the operating environment shall not be located or shall not be available for use from the operating environment;

      the test environment of the information system shall correspond to the operating environment in terms of hardware and software and architecture;

      for tested information systems, it shall not be allowed to use real user accounts of the systems that are in industrial operation;

      data from the information system in industrial operation shall not be subject to copying into the test environment;

      4) during the information system decommissioning the following steps shall be provided:

      archiving of information contained in the information system;

      destruction (erasing) of data and residual information from computer storage media and (or) destruction of computer storage media. Upon decommissioning of machine storage media on which information was stored and processed, physical destruction of these storage media shall be carried out with execution of the relevant act.

      98-1.The information system of critical ICI facilities is also subject to the requirements of the standard of the Republic of Kazakhstan ST RK IEC/PAS 62443-3-2017 “Industrial communication networks. Security (cybersecurity) of the network and system. Part 3. Security (cybersecurity) of the industrial measurement and control process.

      Footnote. The uniform requirements have been supplemented by paragraph 98-1 pursuant to the Resolution of the Government of the Republic of Kazakhstan dated 31.12. 2019 № 1047 (effective ten calendar days after the date of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

Paragraph 5. Technology platform requirements

      99. The choice of a technological platform is carried out taking into account the priority of equipment with the ability to support virtualization technology.

      Footnote. Clause 99 as amended by the Resolution of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      100. In the choice of equipment that implements virtualization technology, the need to ensure the following functions shall be taken into account:

      1) decomposition:

      computing resources distributed between virtual machines;

      many applications and operating systems coexisting on the same physical computing system;

      2) isolation:

      virtual machines completely isolated from each other, and an emergency failure of one of them not affecting the others;

      data is not transferred between virtual machines and applications, except when using shared network connections;

      3) compatibility:

      applications and OS are provided with computing resources of equipment that implements virtualization technology.

      101. ICP EG is placed on the hardware located in the SB server center.

      Footnote. Paragraph 101 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      101-1. Industrial operation of ICP EG is permitted subject to the availability of test reports with positive test results for compliance with information security requirements.

      Footnote. Chapter 3 has been supplemented by paragraph 101-1pursuant to the Resolution of the Government of the Republic of Kazakhstan dated 18.06.2018 №355 (effective ten calendar days after the date of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      102. To maintain IS using virtualization technology, the following measures shall be implemented:

      1) identity management requiring:

      authentication of IC services clients and privileged users;

      federated user identification within the same technology platform;

      saving of authentication information after deleting the user ID;

      the use of control tools for the procedures of assigning the user authority profiles;

      2) access control requiring:

      separation of powers of the information system administrator and the virtualization environment administrator;

      restrictions on access rights of the virtualization environment administrator to the IC service user data. Access rights are limited to the specific procedures defined in the SB TD and the service agreement for maintenance, and shall be subject to regular updating;

      multi-factor authentication for privileged and critical operations;

      restrictions on the use of roles with full authority. Information system administrator profile settings shall exclude access to the virtualization environment components;

      definition of minimum privileges and implementation of the role-based access control model;

      remote access via secure gateway or the list of allowed network addresses of the senders;

      3) encryption key management, requiring:

      control of access restrictions to data on encryption keys of data encryption tools (DET);

      control over organization of the root directory and key subscription;

      blocking of compromised keys and their safe destruction;

      4) conducting an audit of IS events, requiring:

      obligatory and regular procedures defined in the IS TD;

      conducting audit procedures for all the operating systems, client virtual machines, network components infrastructure;

      maintaining an event log and storing in a storage system inaccessible to the administrator;

      checking the correct operation of the event logging system;

      determining duration of the event logs storage in the IS TD;

      5) registration of IS events, requiring:

      logging of administrators’ actions;

      applying a system for monitoring incidents and IS events;

      alerting based on automatic detection of a critical event or information security incident;

      6) information security incident management, requiring:

      defining of a formal process for detecting, identifying, assessing and responding to IS incidents with updating once every six months;

      compiling reports at the frequency specified in the TD IS based on the results of detection, identification, assessment and response to IS incidents;

      notifying SB, LEBs or organization’s persons in charge about IS incidents;

      transfer of information about IS incidents to the National Coordination Center for Information Security;

      7) applying protective measures of hardware and software components of the virtualization environment infrastructure that carry out:

      physical shutdown or blocking of unused physical devices (removable drives, network interfaces);

      disabling of unused virtual devices and services;

      monitoring of the interaction between guest operating systems;

      control of virtual and physical devices association (mapping);

      the use of certified hypervisors;

      8) separation of production environments from development and testing environments;

      9) definition in the IS TD of change management procedures for informatization objects;

      10) determination in the IS TD of the recovery procedures after failures and malfunctioning of the equipment and software;

      11) execution of network and system administration procedures, requiring:

      ensuring the safety of images of virtual machines, monitoring the integrity of the operating system, applications, network configuration, software and data of the SB or organization for the presence of malicious signatures;

      separating the hardware platform from the virtual machine operating system in order to exclude external users from accessing the hardware;

      logical isolation between different functional areas of the virtualization environment infrastructure.

      Footnote. Paragraph 102 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

Paragraph 6. Requirements for hardware-software complex

      103. Requirements for configuration of server equipment of the HSC are determined in the requirements specification for creation or development of the information system and (or) technical specifications for the purchase of goods, works and services in the field of informatization.

      104. The HSC server equipment of typical configuration shall be selected with regard to priority of servers:

      1) with multiprocessor architecture;

      2) enabling scaling of resources and increase of productivity;

      3) supporting virtualization technology;

      4) including controls, changes and redistribution of resources;

      5) compatible with the used information and communication infrastructure.

      105. To ensure high availability of the server, the embedded systems shall be used:

      1) hot-swappable redundant fans, power supplies, drives and I / O adapters;

      2) dynamic clearance and redistribution of memory pages;

      3) dynamic redistribution of processors;

      4) alerts about critical events;

      5) supporting continuous monitoring of critical components and measuring monitored indicators.

      106. Acquired server hardware shall be provided with technical support of the manufacturer. Discontinued server hardware shall not be acquirable.

      107. To ensure IS on a regular basis, as defined in the TD IS, an inventory of server equipment shall be carried out with a check of its configuration.

      108. To ensure the security and quality of service with the execution of an IS joint work agreement in the manner prescribed by the legislation of the Republic of Kazakhstan, the server equipment of the agro-industrial complex of the objects of informatization of SB and LEB:

      first class - located only in the server center of SB;

      second class - located in the server center of the SB, the server room of the SB and local authorities or the involved legal entity, equipped in accordance with the requirements for server rooms established in these UT.

      Footnote. Paragraph 108 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      108-1. To ensure the availability and fault tolerance of the agro-industrial complex of objects of informatization of SB and LEB, reservation of hardware and software for data processing, data storage systems, and components of data storage networks shall be carried out with the execution of an agreement for joint work on information security in the manner established by the legislation of the Republic of Kazakhstan for objects of informatization of the first and second classes in the reserve server room of the SB, LEB or involved legal entity, equipped in accordance with the requirements for server rooms established in these UR.

      Footnote. Unified requirements are supplemented by paragraph 108-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication); as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      109. Requirements for data storage systems shall be defined in the requirements specification for creation or development of the information system and (or) technical specifications for the purchase of goods, works and services in the field of informatization.

      110. The data storage system shall provide support for:

      single tools for data replication;

      scalability by data storage volume.

      111. For highly loaded information systems, requiring high availability, the following shall be applied:

      1) data storage networks;

      2) data storage systems that support virtualization system and (or) tiered data storage.

      112. To ensure high availability, the storage systems shall include embedded systems:

      1) hot-swappable redundant fans and power supplies;

      2) hot-swap drives and I / O adapters;

      3) alerts about critical events;

      4) active controllers (at least two controllers);

      5) storage network interfaces (at least two ports per controller);

      6) support for continuous monitoring of the critical components status and measurement of monitored indicators.

      113. The data storage system shall be provided by a backup system.

      114. To maintain IS, safe storage and data recovery capabilities:

      1) cryptographic protection shall be applied of the stored service information of limited use, information of confidential information systems, confidential EIR and EIR containing personal data of limited access with the use of DET in accordance with paragraph 48 of these URs;

      2) a dedicated server shall be used for secure storage of encryption keys with a security level not lower than the security level of the used DET established for cryptographic keys in the rules for using data encryption tools;

      3) recording and testing of backups shall be provided in accordance with the backup regulations defined in the IS TD.

      115. When decommissioning storage media used in confidential information systems, confidential EIR and EIR containing personal data of limited access, software and hardware for guaranteed destruction of information shall be used.

      116. When choosing system software for server hardware and workstations, the following are taken into account:

      1) is excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023).

      2) compliance with the type of operating systems (client or server);

      3) compatibility with the used application software;

      4) support for network services operating in the telecommunications network;

      5) support for multitasking;

      6) availability of standard means of obtaining and installing critical updates and security updates issued by the manufacturer of operating systems;

      7) availability of diagnostic, audit and event logging tools;

      8) support for virtualization technologies.

      Footnote. Clause 116 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 10.02.2023 № 112 (shall be enforced from 01.01.2023).

      116-1. SB and LEB get access from the workstation to the "Digital Workplace of an Employee", designed to provide a single interface and access to all systems and services (components, software products) of "electronic government".

      Footnote. Paragraph 3 is supplemented by paragraph 116-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      117. Acquisition of the system software shall be carried out with regard to priority of:

      1) a licensing model that ensures decrease in the purchase cost, also aggregate cost of the license for the operation period;

      2) software provided with technical support and maintenance.

      118. To maintain IS, the system software shall enable:

      1) access control with the use of:

      identification, authentication and user password management;

      recording of successful and failed accesses;

      recording of the use of system privileges;

      restriction of the connection time, if necessary, and blocking the session if the time limit is exceeded;

      2) exceptions for users and restrictions for administrators in the use of system utilities that are able to bypass control mechanisms of the operating system.

      119. Free software (FS) distribution shall be gratis, without licensing restrictions, which prevent the use in the SB with observance of the copyright law requirements.

      120. FS shall be provided with open source code.

      121. FS used in the SB shall be updated taking into account the support of information interaction formats through the EG external gateway (EGEG).

      122. To maintain IS in the use of FS:

      FS supported by the community of FS developers or through examination and certification of software code shall be permitted;

      FS versions that were used shall be saved.

Paragraph 7. Requirements for telecommunication networks

      123. Departmental (corporate) telecommunication networks shall be organized by integrating local networks held by one owner through dedicated private or leased communication channels.

      Dedicated communication channels designed for integrating local networks shall be organized with the use of channel and network layer protocols.

      124. When organizing a departmental (corporate) network by integrating several local networks, a radial or radial-node network topology is applied. At the anchor connection points, dedicated channels are connected to one border gateway. Cascading (serial) LAN connection is not used.

      125. During designing, a documented scheme of a departmental (corporate) telecommunication network is created and maintained in operation.

      126. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).
      127. Excluded by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      128. In order to ensure the IS of a dedicated communication channel:

      1) software and hardware means of information protection shall be applied, including cryptographic encryption, using MCIP;

      2) connect to the local area network through an edge gateway with prescribed routing rules and security policies. The Edge Gateway shall provide the following minimum functionality:

      centralized authorization of network nodes;

      configuration of administrator privilege levels;

      recording the actions of administrators;

      static network address translation;

      protection against network attacks;

      monitoring the status of physical and logical ports;

      filtering of incoming and outgoing packets on each interface;

      cryptographic protection of transmitted traffic using MCIP;

      3) when connecting a departmental (corporate) telecommunications network and local SI networks, the following shall be used:

      means of separation and isolation of information flows;

      equipment with components that provide information security and secure management;

      dedicated and integrated with access equipment firewalls installed at each connection point to protect the ETC SB perimeter;

      4) when connecting a departmental (corporate) telecommunications network and local networks to the Internet through the SB UIAG, the state legal entities, quasi-public sector entities, as well as owners or holders of critical ICI facilities, with the exception of secondary education facilities in rural settlements using satellite (space) communication channels for accessing the Internet use the services of an operator or another telecom operator that has reserved communication channels on UIAG hardware.

      Connection of the departmental (corporate) telecommunications network and local networks to the Internet through the UIAG shall be carried out in accordance with the Rules for the operation of a single Internet access gateway, approved by the authorized information security body;

      5) employees of SB, LEB and employees of state legal entities, subjects of the quasi-public sector, as well as owners or possessors of critically important ICI facilities for the implementation of operational information exchange in electronic form in the performance of their official duties use:

      departmental e-mail, instant messaging and other services;

      e-mail, instant messaging service and other services, the control centers and servers of which are physically located on the territory of the Republic of Kazakhstan, unless otherwise established by the authorized body;

      available online cloud videoconferencing services for communication with foreign individuals and legal entities;

      6) the interaction of departmental e-mail of SB and LEB with external electronic mail systems shall be carried out only through a single e-mail gateway;

      7) servants of SB, LEB and employees of state legal entities, quasi-public sector entities, as well as owners or holders of critical information and communication facilities, with the exception of secondary education facilities in rural settlements that use satellite (space) communication channels to access the Internet, access IR from the LAN of outer circuit only through the UIAG using a web browser that is an open source software and meets the requirements of the Rules for the functioning of the UIAG, approved by the information security authorized body;

      8) employees of SB, LEB and employees of state legal entities shall access to Internet resources through an Internet browser, the distribution kit of which has pre-installed registration certificates of the national certification center of the Republic of Kazakhstan and the root certification center of the Republic of Kazakhstan.

      Footnote. Paragraph 128 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      129. Connection of SI to the SB UTE shall be carried out in accordance with the Rules for connecting to the SB UTE and providing access to an intranet resource through the SB UTE, determined by the authorized body.

      At the request of the SI, the operator shall perform:

      distribution, registration and re-registration of IP addresses of SI local area networks connected to the SB UTE, upon SI requests;

      registration of domain names in the Internet domain zones gov.kz and мем.қаз at the request of SI;

      registration of domain names in the ETS SB network at the request of SI;

      provision of DNS service in the ETS SB network.

      Footnote. Paragraph 129 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication).

      130. In SB or LEB it shall be allowed to use devices for organizing wireless access only to publicly available EIRs of the "electronic government" and places permitted for SB or LEB visitors staying in the "guest zone".

      131. It shall be prohibited to connect to the SB UTE, the local area network SI, as well as the technical means that are part of the SB UTE, the local area network SI, devices for organizing remote access via wireless networks, wireless access, modems, radio modems, modems of networks of cellular operators, cellular subscriber devices and other wireless network devices, except for ETS SB wireless communication channels organized by the EG ICP operator, using MCIP in accordance with clause 48 of these UR.

      Footnote. Paragraph 131 - as amended by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      131-1. It shall be necessary to control the connection of subscriber devices of cellular communication, modems of networks of cellular operators, as well as electronic media that are not allowed by the information security policy adopted in the SB or LEB.

      Footnote. The unified requirements are supplemented by paragraph 131-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      132. The operator of the EG ICP, at the request of the SI, shall perform:

      distribution, registration and re-registration of IP addresses of SI local area networks connected to the SB UTE, upon SI requests;

      registration of domain names in the Internet domain zones gov.kz and mem.қаз at the request of SI;

      registration of domain names in the ETS SB network at the request of SI;

      provision of DNS service in the ETS SB network.

      Footnote. Paragraph 132 - as amended by the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      133. SB and MPR annually:

      1) request from the state technical service a list of categories of Internet resources used on the equipment of SGIA;

      2) choose from the above list the categories of Internet resources, access to which is allowed for employees of the civil society and local authorities by means of SGIA, and make a list of them;

      3) send to the state technical service the above list and lists of network addresses of information and communication networks of civil society and their territorial subdivisions, MPRs that get access to the Internet, for use on SGIA equipment;

      4) send to the state technical service, in case of operational need to organize VPN channels, technical information on the required VPN channels (source and destination IP addresses, ports, protocol), agreed with the authorized body in the field of information security.

      Footnote. Clause 133 as amended by the Resolution of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); № 12 dated January 18, 2021 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      133-1. It shall be prohibited to install and use at informatization objects located in the LAN of the external circuit of the SB or LEB, software or hardware for remote control of them from outside the LAN of the external circuit of the SB or LEB.

      Footnote. The unified requirements are supplemented by paragraph 133-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).
      134. Excluded by Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      134-1. The State Technical Service shall apply the policy of blocking the following categories of IRs and software on the UIAG equipment (by default):

      - VPN;

      - remote access;

      - p2p;

      - game resources;

      - unknown applications that are not included in the list of IR and software categories by default;

      - malicious IR and software.

      Footnote. The unified requirements are supplemented by paragraph 134-1 in accordance with the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      134-2. The possibility of unlocking certain categories of IR and software specified in paragraph 134-1 shall be considered by the state technical service on the basis of an official request received from SB, LEB, government organizations, subjects of the quasi-public sector, as well as owners of critical ICI objects.

      Footnote. The unified requirements are supplemented by paragraph 134-2 in accordance with the Decree of the Government of the Republic of Kazakhstan dated January 18, 2021 № 12 (shall be enforced ten calendar days after the day of its first official publication).

      135. Requirements for the created or developed local network shall be defined in the technical specification for the purchase of goods, works and services in the field of informatization.

      When designing a cabling system for a local network, requirements shall be observed of the state standard SN RK 3.02-17-2011 Structured Cabling Networks. Design Standards.

      136. During the design, a documented scheme of the local network shall be created, which is kept up to date during operation.

      137. All the cabling system elements shall be subject to marking in accordance with requirements of paragraph 13.1.5 of the State standard SN RK 3.02-17-2011 Structured Cabling Networks. Design Standards.

      All the cabling connections shall be recorded in the cabling connection log.

      138. Active equipment of local networks shall be fed with electric power from uninterruptible power supplies.

      139. To ensure the IS of local area networks:

      1) unused LAN cabling ports shall be physically disconnected from the active equipment;

      2) TD IS shall be developed and approved, including the rules of:

      use of networks and network services;

      connections to international (territorial) data transmission networks;

      connections to the Internet and (or) telecommunications networks, communication networks with access to international (territorial) data transmission networks;

      use of wireless access to network resources;

      3) service information of limited distribution, information of confidential IS, confidential EIR and EIR containing personal data of limited access, shall not be transmitted via unprotected wired communication channels and radio channels that are not equipped with appropriate MCIP.

      The transfer of official information of limited distribution shall be carried out in compliance with special requirements for the protection of information of limited distribution in accordance with the Rules for classifying information as official information of limited distribution and working with it, established by the Government of the Republic of Kazakhstan;

      4) the following means shall be applied:

      identification, authentication and user access control;

      equipment identification;

      protection of diagnostic and configuration ports;

      physical segmentation of the local area network;

      logical segmentation of the local area network;

      network connection management;

      firewall;

      hiding the internal address space of the local area network;

      integrity control of data, messages and configurations;

      cryptographic protection of information in accordance with paragraph 26 of these URs;

      physical protection of data transmission channels and network equipment;

      registration of IS events;

      monitoring and analysis of network traffic;

      network management;

      5) the interaction of the local area networks of SB, as well as the LEB among themselves, shall be carried out only through the UTS of SB, except for special-purpose telecommunications networks and/or government, classified, encrypted and coded communications;

      6) the local area networks of the central executive state body and its territorial divisions shall interact with each other only through the SB UTE, except for special-purpose telecommunications networks and/or government, classified, encrypted and coded communications;

      7) interfacing of the LAN of the internal circuit and the LAN of the external SI circuit with each other shall be excluded, except for organized communication channels using MCIP, in accordance with paragraph 48 of these UR for institutions of the Republic of Kazakhstan located abroad or organized using a shielded subnet;

      8) the connection of the LAN of the internal circuit of the SI to the Internet shall be excluded;

      9) the LAN of the external SI circuit is connected to the Internet only through the UIAG. Connecting to the Internet in any other way shall not be allowed, with the exception of secondary education facilities in rural settlements that use satellite (space) communication channels to access the Internet, special and law enforcement SB for operational purposes. EGEG interaction with the Internet is carried out through UIAG;

      10) IS SIs that implement information interaction via the Internet shall be placed in a dedicated LAN segment of the SI outer loop and interaction with IS SI located in the local area network of the SI inner loop shall be carried out through the HSEP, except for cases where a shielded subnet is used;

      10-1) when using in the LAN of the internal loop of informatization objects located on the Internet, or in the LAN of the external loop of SB, LEB or organization that are not connected through EGEG, a shielded subnet is used that shall meet the following requirements:

      the subnet is limited on the Internet and LAN side of the internal circuit by separate firewalls with functions for detecting and preventing intrusions, as well as converting external network addresses to hide internal network addresses;

      all connections from the outer loop LAN, the Internet and the inner loop LAN are made exclusively to a computer located outside the shielded subnet, which processes network traffic at all levels of network protocols, including the application level, without the ability to redirect network traffic along a different route than the original one;

      It shall not be allowed to save requests and responses, as well as to freely use access to public Internet resources on workstations through a proxy server;

      11) information interaction of IS located on the Internet with IS SI located in the local area network of the SI internal circuit shall be carried out only through the HSEP, except for cases when a shielded subnet is used;

      12) servers of the top-level time source infrastructure are synchronized with the time and frequency standard reproducing the national UTC(kz) coordinated universal time scale.

      The Time Infrastructure servers shall be synchronized with the top-level Time Infrastructure server.

      Time infrastructure servers shall provide access to clients for time synchronization;

      13) open unused network ports shall be disabled.

      Footnote. Paragraph 139 - as amended by Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced ten calendar days after the day of its first official publication); as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      140. The requirements provided for in subparagraphs 10), 11) of paragraph 139 UR are not applicable to IS SB and MPR, put into commercial operation before January 1, 2016 and not subject to development until January 1, 2018.

      The procedure for information interaction of data from IS SB or MPR with non-state IS is determined by the Rules for the integration of objects of informatization of "electronic government", approved by the authorized body in the field of informatization in accordance with subparagraph 13) of Article 7 of the Law.

      Footnote. Clause 140 as amended by the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

Paragraph 8. Requirements for systems of uninterrupted operation of technical equipment and information security, as well as server rooms (data processing centers)

      Footnote. The title of paragraph 8 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      141. Server equipment of HSC and data storage systems shall be placed in the server room.

      142. The server room shall be located in separate, closed to admissions premises without windows. If there are window openings, they must be closed or sealed with non-combustible materials.

      For the surface of walls, ceilings and floors, materials are used that do not emit and do not accumulate dust. For flooring, antistatic materials are used. The server room shall be protected from contaminants.

      The walls, doors, ceiling, floor and partitions of the server room shall provide hermetic state of the premises.

      143. The doors of the server room must be at least 1.2 meters wide and 2.2 meters high, open outward or move apart. The door frame must be without a threshold and a central pillar.

      144. The server room must have a false floor and (or) false ceiling to accommodate cable systems and utility lines.

      145. Laying of any transit communications through the server room shall be prohibited. The routes for ordinary and fire water supply, heating and sewerage shall be withdrawn outside the server room and shall not be placed above the server room within the same floor.

      If it is necessary to place fire hydrants above the server room, a dry pipe fire extinguishing system with an overlap waterproofing device is equipped and a drainage system is installed above the server room.

      Footnote. Paragraph 145 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      146. Installation of communication channels for laying power and low-current cable networks of a building is carried out in separate or separated by partitions cable trays, ducts or pipes spaced from each other. Low-current and power cabinets shall be installed separately and locked.

      Cables through inter-floor covering, walls, partitions are laid in sections of fireproof pipes, and are hermetically sealed by non-combustible materials.

      147. The server room shall be reliably protected from external electromagnetic radiation.

      148. When placing equipment:

      1) the implementation of the Rules for the technical operation of electrical installations of consumers, approved by the authorized body in the field of energy in accordance with subparagraph 27) of Article 5 of the Law of the Republic of Kazakhstan "On Electricity" (hereinafter referred to as the Law on Electricity), shall be ensured;

      2) compliance with the requirements of suppliers and (or) equipment manufacturer for installation (assembly), load on floors and raised floors shall be ensured, taking into account the weight of equipment and communications;

      3) the availability of free service passages for equipment maintenance shall be ensured;

      4) the organization of air flows of the microclimate system shall be taken into account;

      5) the organization of the system of raised floors and false ceilings shall be taken into account.

      Footnote. Paragraph 148- as amended by Decree of the Government of the Republic of Kazakhstan dated 10.06.2022 № 383 (shall be enforced ten calendar days after the day of its first official publication).

      149. In technical support of the equipment installed in the server room, the following shall be documented:

      1) equipment maintenance;

      2) elimination of problems arising during the operation of hardware and software complex (HSC);

      3) facts of failures and malfunctions, also restoration work results;

      4) post-warranty service of critical equipment after the warranty service period expiry.

      The form and method of documentation shall be determined independently.

      150. Maintenance of critical equipment shall be performed by certified engineering staff.

      151. In close proximity to the server room, a warehouse of spare parts for critical equipment shall be created, containing a stock of components and equipment for operational replacement during remedial measures.

      152. Intervention in the work of equipment in operation shall be possible only with the permission of the head of the information technology unit or of a person replacing him.

      153. The main and backup server rooms have to be located at a safe distance in the buildings that are remote from each other. Requirements for redundant (backup) server rooms are identical to the requirements for primary server rooms.

      154. In order to ensure IS, fault tolerance and operational reliability:

      1) in the server room, methods of equipment location are used to reduce the risks of threats, dangers and opportunities for unauthorized access;

      2) excluded by the Decree of the Government of the Republic of Kazakhstan dated February 10, 2023 № 112 (shall be enforced from January 1, 2023);

      3) the list of persons authorized to support the IСI objects installed in the server room is kept up to date;

      4) the server room is equipped with systems:

      access control and management;

      providing a microclimate;

      security alarm;

      video surveillance;

      fire alarm;

      fire extinguishing;

      guaranteed power supply;

      grounding;

      5) the fault tolerance of the server room infrastructure is at least 99.7%.

      Footnote. Clause 154 as amended by the Decree of the Government of the Republic of Kazakhstan № 1047 dated December 31, 2019 (shall be enforced upon expiry of ten calendar days after the day of its first official publication); dated 10.02.2023 № 112 (shall be enforced from 01.01.2023).

      155. The access control and management system shall provide authorized entry into the server room and authorized exit from it. The blocking devices and design of the front door shall prevent the possibility of transmitting access identifiers in the opposite direction through the front door.

      The central control device of the access control and management system shall be installed in separate service rooms, premises of the security post, protected from access by unauthorized persons. Access of the security personnel to the software of the access control and management system that influences the system’s operating modes shall be excluded.

      Power supply to the access control and management system is provided from a free group of standby lighting panels. Access control and management system shall be provided with redundant power supply.

      156. The microclimate provision system includes air conditioning, ventilation and microclimate monitoring systems. The server room microclimate systems are not combined with other microclimate systems installed in the building.

      The temperature in the server room is maintained in the range from 20 ° C to 25 ° C with a relative humidity of 45% to 55%.

      The capacity of the air conditioning system must exceed the total heat generated by all equipment and systems. The air conditioning system is redundant. The power supply of air conditioners in the server room is carried out from a guaranteed power supply system or an uninterruptible power supply system.

      The ventilation system provides fresh air inflow with filtration and heating of incoming air in winter. The server room is pressurized to prevent contaminated air from entering the adjacent rooms. On the air ducts of the supply and exhaust ventilation, safety valves are installed, controlled by the fire extinguishing system.

      Air conditioning and ventilation systems are turned off automatically by a fire alarm signal.

      Microclimate monitoring system controls climatic parameters in server cabinets and telecommunication racks:

      air temperature;

      air humidity;

      dustiness of the air;

      smoke in the air;

      opening (closing) cabinet doors.

      Footnote. Clause 156 as amended by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 № 1047 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      157. The security system of the server room shall be separate from the building security systems. Alerts are displayed in the premises of the round-the-clock security on a separate display console. All the inlets and outlets of the server room, as well as the internal volume of the server room, are subject to control and protection. The alarm system has its own redundant power supply.

      158. Location of the video surveillance system cameras shall be selected with regard to control of all the entrances and exits to the server room, the space and passages near the equipment. The viewing angle and resolution of cameras must enable face recognition. The image from the cameras is displayed on a separate remote control in a 24-hour security room.

      159. The fire alarm system of the server room shall operate separate from the fire alarm of the building. Two types of sensors shall be installed in the server room: of temperature and smoke.

      The sensors control the total space of the server room and the volumes formed by the false floor and / or false ceiling. Alerts of the fire alarm system are displayed on the remote control in round-the-clock security premises.

      160. The server room fire extinguishing system shall be supplied with an automatic gas fire extinguishing installation, independent of the building fire extinguishing system. A special non-toxic gas is used as a fire extinguisher in an automatic gas fire extinguishing installation. Powder and liquid fire extinguishers shall not be used. The gas fire extinguishing installation shall be located directly in or near the server room in a cabinet specially equipped for this purpose. The fire extinguishing system is launched from sensors of early fire detection, which react to the emergence of smoke, also from hand sensors located at the premises exit. The delay time for the extinguisher release shall be no more than 30 seconds. Alert on the fire extinguishing system actuation comes up on the display, placed inside and outside the room. The fire extinguishing system issues commands to close the protective valves of the ventilation system and turn off the power to the equipment. A server room with a fire extinguishing system shall be provided with exhaust ventilation to air away the extinguishing gas.

      161. The guaranteed power supply system shall comprise two power supply inputs from different external power sources the voltage of ~ 400 / 230V, frequency of 50 Hz and an autonomous generator. All the electricity sources are fed to the power-transfer relay, which automatically switches to the backup power input when the main power input is interrupted or stopped. The parameters of the power lines and the core section are determined issuing from the planned total power consumption of the equipment and subsystems of the server room. Power lines are in a five-wire circuit.

      The guaranteed power supply system shall provide for the power supply of equipment and systems of the server room through uninterruptible power sources. The power and configuration of uninterruptible power sources is calculated taking into account all the powered equipment and stock for perspective development. Run time from uninterruptible power supplies is calculated taking into account the needs, as well as the necessary time to switch to the backup lines and the time for the generator to start up in operating mode.

      162. The working grounding system for the server room shall be made separate from the protective grounding of the building. All metal parts and structures of the server room shall be grounded by a common ground bar. Each cabinet (rack) with equipment shall be grounded with a separate conductor connected to a common ground bar. Exposed conductive parts of information processing equipment must be connected to the main earthing clamp of the electrical installation.

      The grounding conductors connecting the surge protection devices to the main grounding bar must be as short and straight as possible (no angles).

      When constructing and operating a grounding system, one shall be guided by:

      The Rules for the construction of electrical installations, approved by order of the authorized body in the field of energy in accordance with subparagraph 19) of Article 5 of the Law on Electric Power;

      standard of the Republic of Kazakhstan ST RK GOST R 50571.21-2009 “Electrical installations of buildings. Part 5. Selection and installation of electrical equipment. Section 548. “Grounding devices and electrical potential equalization systems in electrical installations containing information processing equipment”;

      standard of the Republic of Kazakhstan ST RK GOST R 50571.22-2006 “Electrical installations of buildings. Part 7. Requirements for special electrical installations.” Section 707. Grounding of Information Processing Equipment;

      standard of the Republic of Kazakhstan GOST 12.1.030-81 “System of occupational safety standards. Electrical safety. Protective grounding, grounding";

      standard of the Republic of Kazakhstan GOST 464-79 “Grounding for stationary installations of wired communications, radio relay stations, radio broadcasting nodes of wired broadcasting and antennas of collective television reception systems. Resistance standards.

      Footnote. Paragraph 162 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 13.05.2024 № 372 (effective ten calendar days after the date of its first official publication).

      163. Switchgears of telecommunication networks are located in a cross room. The cross room is located closer to the center of the work area it serves.

      The size of the cross room is selected based on the size of the served work area and the equipment to be installed.

      The cross room must meet the following requirements:

      availability of free service aisles for equipment maintenance;

      absence of powerful sources of electromagnetic interference (transformers, electrical panels, electric motors, etc.);

      lack of pipes and valves of the water supply system;

      the presence of fire safety systems;

      lack of easily flammable materials (wooden shelves, cardboard, books, etc.);

      the presence of a separate power line from a separate machine for connecting the cabinet according to the project;

      the presence of security alarm systems, access control;

      the presence of an air conditioning system.

      Footnote. Chapter 3 was supplemented with clause 163 in accordance with the Decree of the Government of the Republic of Kazakhstan dated June 18, 2018 № 355 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

  Appendix
  to Order № 832 of the Government
  of the Republic of Kazakhstan
  dated December 20, 2016

List of certain orders of the Government of the Republic of Kazakhstan that lost force

      1. Subparagraphs 5) and 6) of paragraph 1, paragraphs 2-1 and 2-2 of Order № 965 of the Government of the Republic of Kazakhstan dated September 14, 2004 "On some measures to ensure information security in the Republic of Kazakhstan".

      2. Order № 244 of the Government of the Republic of Kazakhstan dated March 14, 2013 "On introducing amendments to Order № 965 of the Government of the Republic of Kazakhstan dated September 14, 2004 "On some measures to ensure information security in the Republic of Kazakhstan ".

      3. Order № 706 of the Government of the Republic of Kazakhstan dated June 26, 2014 "On introducing amendments to Order № 965 of the Government of the Republic of Kazakhstan dated September 14, 2004 "On some measures to ensure information security in the Republic of Kazakhstan".