"Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына толықтырулар мен өзгерістер енгізу туралы

Қазақстан Республикасы Үкіметінің 2018 жылғы 18 маусымдағы № 355 қаулысы.

      Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына (Қазақстан Республикасының ПҮАЖ-ы, 2016 ж., № 65, 428-құжат) мынадай толықтырулар мен өзгерістер енгізілсін:

      көрсетілген қаулымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарда:

      6-тармақ мынадай мазмұндағы 11-1) және 20-1) тармақшалармен толықтырылсын:

      "11-1) кростық үй-жай – қосу, бөлу пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;";

      "20-1) ұйымдар – мемлекеттік заңды тұлға, квазимемлекеттік сектор субъектісі, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иелісі мен иеленушісі;";

      мынадай мазмұндағы 8-1-тармақпен толықтырылсын:

      "8-1. МО архитектурасы туралы мәліметтер үшінші тұлғаларға бекітілген АҚ саясатына сәйкес МО-ның ақпараттық қауіпсіздік және ақпараттық технологиялар бойынша құрылымдық бөлімшелерінің басшыларымен не оларды алмастыратын адамдармен келісу бойынша ғана беріледі.";

      9-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) МО-ның бекітілген архитектурасына, ал ол болмаған жағдайда –ақпараттандыру саласындағы сарапшылық кеңестің шешімдеріне сәйкес ақпараттандыруға және ақпараттық қауіпсіздікке шығындарды жоспарлауды;";

      мынадай мазмұндағы 25-1-тармақпен толықтырылсын:

      "25-1. Сыртқы шеңбердің локальдық желілерінен интернетке қолжетімділікті ұйымдастырған кезде міндетті түрде вирустарға қарсы құралдардың болуы, интернет желісіне қосылған жұмыс станцияларындағы операциялық жүйелердің жаңартылуы қамтамасыз етіледі.";

      29, 30-тармақтар мынадай редакцияда жазылсын:

      "29. МО-да, ЖАО-да немесе ұйымда АҚ ұйымдастыру, қамтамасыз ету және басқару кезінде "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару құралдары туралы ережелер жиынтығы" Қазақстан Республикасының ҚР СТ ИСО/МЭК 27002-2015 стандартының ережелерін басшылыққа алу қажет.

      30. АҚ қамтамасыз ету саласындағы жауапкершіліктің және функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшау құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды адам белгіленеді.

      АҚ жеке құрылымдық бөлімшесін құру бойынша осы тармақтың талаптары арнаулы мемлекеттік органдарға қолданылмайды.

      АҚ бөлімшелері немесе АҚ қамтамасыз етуге жауапты лауазымды адам:

      1) АҚ ТҚ талаптарының орындалуын бақылауды;

      2) АҚ құжаттық ресімделуін бақылауды;

      3) АҚ қамтамасыз ету бөлігінде активтердің басқарылуын бақылауды;

      4) БҚ пайдаланудың заңдылығын бақылауды;

      5) АКТ саласындағы тәуекелдердің басқарылуын бақылауды;

      6) АҚ оқиғаларының тіркелуін бақылауды;

      7) АҚ ішкі аудитін жүргізуді;

      8) АҚ сыртқы аудитінің ұйымдастырылуын бақылауды;

      9) АКТ пайдаланатын бизнес-процестер үздіксіздігінің қамтамасыз етілуін бақылауды;

      10) персоналды басқару кезінде АҚ талаптарының сақталуын бақылауды;

      11) "электрондық үкіметтің" ақпараттандыру объектісі АҚ-сының жай-күйін бақылауды жүзеге асырады.";

      31-тармақтың екінші бөлігі мынадай редакцияда жазылсын:

      "АҚ ТҚ қазақ және орыс тілдерінде әзірленеді, МО-ның, ЖАО-ның немесе ұйымның құқықтық актісімен бекітіледі және МО, ЖАО барлық қызметшілерінің немесе ұйым қызметкерлерінің назарына жеткізіледі.";

      35-тармақ мынадай редакцияда жазылсын:

      "35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды қамтиды, соның ішінде:

      1) АҚ инциденттерін тіркеу және штаттан тыс оқиғаларды есепке алу журналы;

      2) серверлік үй-жайларға кіру журналы;

      3) желілік ресурстардың осалдықтарын бағалауды жүргізу туралы есеп;

      4) кабельдік қосылуларды есепке алу журналы;

      5) резервтік көшірмелерді (резервтік көшірме, қайта қалпына келтіру), резервтік көшірмелерді тестілеуді есепке алу журналы;

      6) жабдық конфигурациясының өзгеруін есепке алу, АЖ ЕБҚ мен ҚБҚ тестілеу және өзгерістерді есепке алу, БҚ осалдықтарын тіркеу және жою журналы;

      7) серверлік үй-жайларға арналған дизель-генераторлық қондырғыларды және үздіксіз қуат беру көздерін тестілеу журналы;

      8) серверлік үй-жайлардың микроклиматын, бейнебақылауды, өрт сөндіруді қамтамасыз ету жүйелерін тестілеу журналы.";

      37-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:

      "4) мыналарды:

      ҚР СТ ИСО/МЭК 27005-2013 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды);

      ықтимал нұқсанды айқындауды қамтитын АҚ қатерлері (тәуекелдері) каталогын қалыптастыру; ";

      38-тармақтың 4) және 5) тармақшалары мынадай редакцияда жазылсын:

      "4) оқиғаларды тіркеу журналдары АҚ ТҚ-да көрсетілген, бірақ үш жылдан кем емес мерзім бойы сақталады және кем дегенде екі ай жедел қолжетімді болады;

      5) уәкілетті орган бекітетін "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингін жүргізу қағидаларында айқындалатын форматтар мен жазба түрлеріне сәйкес құрылатын БҚ оқиғаларын тіркеу журналдары жүргізіледі;";

      43-тармақ мынадай редакцияда жазылсын:

      "43. Жұмыстан босатылған немесе еңбек шарты талаптарына өзгерістер енгізілген кезде МО, ЖАО қызметшісінің немесе ұйым қызметкерінің жеке және логикалық қолжетімділікті, қол жеткізу, қол қою сәйкестендіргіштерін және оны МО, ЖАО жұмыс істейтін қызметшісі немесе ұйым жұмыскері ретінде сәйкестендіретін құжаттаманы қамтитын ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары оның еңбек шарты тоқтатылғаннан кейін жойылады немесе еңбек шартының талаптарына өзгерістер енгізілген кезде өзгертіледі.";

      45-тармақ мынадай редакцияда жазылсын:

      "45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР МЕМ СТ Р ИСО/МЭК 15408-2006 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан Республикасы стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.";

      46-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) аутентификация тәсілдеріне;";

      47-тармақ мынадай редакцияда жазылсын:

      "47. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ақпараттандыру объектілеріне қол жеткізу кезінде көп факторлы, соның ішінде ЭЦҚ пайдаланыла отырып аутентификация қолданылады.";

      мынадай мазмұндағы 54-1-тармақпен толықтырылсын:

      "54-1. Локальды желілерде деректердің таралуын болдырмау жүйелерін (DLP) қолдануға жол беріледі. Бұл ретте:

      іс-әрекеттерге жүргізілетін бақылау туралы пайдаланушыға визуалды хабарлау;

      пайдаланушының іс-әрекеттеріне бақылауды жүзеге асыру үшін оның жазбаша келісімін алу;

      басқару орталығын және деректердің таралуын болдырмау жүйесін локальды желі шегінде орналастыру қамтамасыз етіледі.";

      мынадай мазмұндағы 63-1-тармақпен толықтырылсын:

      "63-1. МО мен ЖАО АР өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар акті және "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 66-бабында көзделген жағдайлардан басқа, ақпараттық қауіпсіздік талаптарына сәйкестік аттестаты болған жағдайда жол беріледі.";

      68 және 69-тармақтар мынадай редакцияда жазылсын:

      "68. Құрылатын немесе дамытылатын қолданбалы АЖ-ның БҚ-сына қойылатын талаптар ҚР СТ 34.015-2002 "Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені. Автоматтандырылған жүйелерді құруға арналған техникалық тапсырма" Қазақстан Республикасы стандартының талаптарына сәйкес құрылатын техникалық тапсырмаларда осы БТ мен ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісу бойынша уәкілетті орган бекітетін мемлекеттік органдардың ақпараттық жүйелерін құруға немесе дамытуға арналған техникалық тапсырмаларды жасау және қарау қағидаларында айқындалады.

      69. Құрылатын немесе дамытылатын СБӨ-ге қойылатын талаптар осы БТ мен уәкілетті орган бекітетін ақпараттандырудың сервистік моделін іске асыру қағидаларына сәйкес жасалатын ақпараттық-коммуникациялық қызметті жобалауға арналған тапсырмада айқындалады.";

      мынадай мазмұндағы 69-1-тармақпен толықтырылсын:

      "69-1. Сервистік бағдарламалық өнімді өнеркәсіптік пайдалануға "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 66-бабында көзделген жағдайларды қоспағанда, ақпараттық қауіпсіздік талаптарына сәйкестік тұрғысынан сынақтардың оң нәтижелері бар акті, бағдарламалық құжаттама мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкес сапасын бағалау мақсатында сынақтан өткізу хаттамасы және бағдарламалық құжаттаманы сараптау хаттамасы болған кезде жол беріледі.";

      мынадай мазмұндағы 90-1- тармақпен толықтырылсын:

      "90-1. Ақпараттандыру объектілерінің немесе ақпарат объектілері компоненттерінің интеграциялық өзара іс-қимыл функцияларын шлюз, интеграциялау шинасы, интеграциялау компоненті немесе интеграциялау модулі арқылы іске асырған кезде:

      1) сұрау салулардың көздерін (қосылу нүктелерін) тіркеу және заңдылығын тексеру;

      2) мыналар:

      паролі немесе ЭЦҚ;

      қосылу нүктесі;

      қосылу бұғаттауының болуы;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген түрлері;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген жиілігі;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілерінің болуы;

      сигнатуралар бойынша зиянды кодтың болуы бойынша сұрау салулардың заңдылығын тексеру;

      3) мынадай:

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақыт ішінде қосылу болмаған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақытта сұрау салулардың рұқсат етілген жиілігінен асырған;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілері болған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған аутентификация қателерінің санынан асырған;

      пайдаланушылардың аномальды белсенділігі айқындалған;

      деректер массивтерін көшіру әрекеттері анықталған кезде хабарлама алмасу хаттамаларында бұзушылықтар анықталған кезде қосылуды бұғаттау;

      4) интеграциялық өзара іс-қимыл регламентінде айқындалған іс-қимыл жасау уақыты бойынша қосылу парольдерін үнемі ауыстыру;

      5) АҚ инциденттері айқындалған кезде қосылу логинін ауыстыру;

      6) ішкі шеңбердің ЛЖ адрестеуін жасыру;

      7) мыналар:

      ақпараттық хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      файлдарды беру/қабылдау оқиғаларын тіркеу;

      қызметтік хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      оқиғалар журналдарының мониторингі үшін инциденттерді және АҚ оқиғаларын басқару жүйесін қолдану;

      оқиғалар журналдарын АҚ оқиғаларының орын алуы тұрғысынан талдау рәсімдерін автоматтандыру;

      оқиғалар журналдарын әкімшілерге қарау үшін ғана қолжетімді мамандандырылған логтар серверінде сақтау;

      оқиғалар журналдарын (қажет болған кезде):

      а) ағымдағы тәулік;

      б) қосылу (байланыс арнасы);

      в) мемлекеттік орган (заңды тұлға);

      г) интеграцияланатын ақпараттандыру объектілері бойынша бөлек жүргізу қамтылған оқиғалар журналын жүргізу;

      8) интеграцияланатын ақпараттандыру объектілеріне уақытты синхрондау сервисін ұсыну;

      9) деректерді беру жүйелері арқылы жүзеге асырылатын қосылуларды бағдарламалық-аппараттық криптографиялық қорғау;

      10) қосылулар парольдерін шифрланған түрде сақтау және беру;

      11) интеграцияланатын ақпараттандыру объектілерінің жауапты адамдарын АҚ инциденттері туралы хабарландыруды автоматтандыру қамтамасыз етіледі.";

      92-тармақ мынадай редакцияда жазылсын:

      "92. МО-ның және ЖАО-ның АЖ-сын бағдарламалық-аппараттық қамтамасыз етуді басқару АЖ иеленушісі ішкі шеңберінің ЛЖ жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын және МО-ның немесе ЖАО-ның АЖ-сымен интеграцияланатын мемлекеттік емес АЖ-ны бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасы ратификациялаған халықаралық шарттардың шеңберінде ұлттық шлюзді пайдалана отырып жүзеге асырылатын мемлекетаралық ақпарат алмасуға байланысты жағдайларды қоспағанда, Қазақстан Республикасының аумағында орналастырылады.";

      мынадай мазмұндағы 92-1 және 92-2-тармақтармен толықтырылсын:

      "92-1. МО мен ЖАО-ның АҚ жұмысын ұйымдастыру үшін Қазақстан Республикасының аумағында физикалық түрде орналасқан бұлтты сервистерді (виртуалдау технологиясын пайдалана отырып ресурстарды ұсынатын аппараттық-бағдарламалық кешендер, АЖ), басқару орталықтарын және серверлерді қолдануға жол беріледі.

      92-2. Қазақстан Республикасы азаматтарының дербес деректері қамтылған ақпараттық-коммуникациялық инфрақұрылымдардың аса маңызды объектілерінің АҚ бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасының аумағында орналастырылады.";

      99-тармақ мынадай редакцияда жазылсын:

      "99. Технологиялық платформаны таңдау виртуалдандыру технологиясын қолдауға мүмкіндік беретін жабдықтың басымдылығын ескере отырып жүзеге асырылады.";

      мынадай мазмұндағы 101-1-тармақпен толықтырылсын:

      "101-1. АКП өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар акті және "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 66-бабында көзделген жағдайларды қоспағанда ақпараттық қауіпсіздік талаптарына сәйкестік аттестаты болған кезде жол беріледі.";

      116-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) АЖ-ның қолданбалы БҚ-сын әзірлеуге (дамытуға) арналған техникалық тапсырмада немесе "электрондық үкімет" сервистік интеграторы әзірлеген ақпараттық-коммуникациялық қызметтерді жобалауға арналған тапсырмада ұсынылатын талаптар;";

      128-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:

      "4) ведомстволық (корпоративтік) телекоммуникациялық және локальдік желілерді интернетке МО-ның, ЖАО-ның немесе ұйымның ИҚБШ арқылы қосқан кезде АКИ операторының немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының қызметтерін пайдаланады;";

      131-тармақ мынадай редакцияда жазылсын:

      "131. МО БКО-ға, МО-ның немесе ЖАО-ның локальдық желісіне, сондай-ақ МО БКО құрамына кіретін, МО-ның немесе ЖАО-ның локальдық желісінің құрамына кіретін техникалық құралдарға сымсыз желілер арқылы қашықтықтан қол жеткізуді, сымсыз қолжетімділікті ұйымдастыруға арналған құралдарды, модемдерді, радиомодемдерді, ұялы байланыс операторларының желілік модемдерін, ұялы байланыстың абоненттік құрылғыларына және басқа да сымсыз желілік құрылғыларды қосуға жол берілмейді.".

      140-тармақ мынадай редакцияда жазылсын:

      "140 БТ-ның 139-тармағының 10), 11) тармақшаларында көзделген талаптар 2016 жылғы 1 қаңтарға дейін өнеркәсіптік пайдалануға енгізілген және 2018 жылғы 1 қаңтарға дейін дамуға жатпайтын МО-ның немесе ЖАО-ның АЖ-ларына қолданылмайды.

      МО АЖ және ЖАО деректерінің мемлекеттік емес АЖ-мен ақпараттық өзара іс-қимыл тәртібі Заңның 7-бабының 13) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен "Электрондық үкіметтің" ақпараттандыру объектілерін интеграциялау қағидаларында айқындалады.";

      мынадай мазмұндағы 163-тармақпен толықтырылсын:

      "163. Телекоммуникациялық желілердің бөлу құрылғылары кростық үй-жайда орналастырылады. Кростық үй-жай ол қызмет көрсететін жұмыс аумағының ортасына жақын орналастырылады.

      Кростық үй-жайдың көлемі қызмет көрсетілетін жұмыс аумағы мен орнатылатын жабдықтың көлеміне қарай таңдалады.

      Кростық үй-жайлар мынадай талаптарға сәйкес болуы қажет:

      жабдыққа қызмет көрсету үшін бос қызметтік өтетін жолдың болуы;

      электромагниттік кедергілердің қуатты көздерінің (трансформаторлар, электр қалқандары, электр қозғалтқыштар және басқалары) болмауы;

      сумен жабдықтау жүйесінің бұрандалары мен құбырларының болмауы;

      өрт қауіпсіздігі жүйесінің болуы;

      жеңіл жанатын материалдардың (ағаш сөрелер, картон, кітаптар және басқалары) болмауы;

      жоба бойынша шкафты қосу үшін автоматтан бөлек жеке электр қуатталу желісінің болуы;

      сигнализациялық күзет жүйесінің, кіруді бақылау жүйесінің болуы;

      ауа баптау жүйесінің болуы.".

      2. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Премьер-Министрі
Б. Сағынтаев

О внесении дополнений и изменений в постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности"

Постановление Правительства Республики Казахстан от 18 июня 2018 года № 355

      Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности" (САПП Республики Казахстан, 2016 г., № 65, ст. 428) следующие дополнения и изменения:

      в единых требованиях в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных указанным постановлением:

      пункт 6 дополнить подпунктами 11-1) и 20-1) следующего содержания:

      "11-1) кроссовое помещение – телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;";

      "20-1) организация – государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры;";

      дополнить пунктом 8-1 следующего содержания:

      "8-1. Сведения об архитектуре ГО передаются третьим лицам исключительно по согласованию с руководителями структурных подразделений по информационной безопасности и информационным технологиям ГО, либо лицами, их заменяющими, в соответствии с утвержденной политикой ИБ.";

      подпункт 1) пункта 9 изложить в следующей редакции:

      "1) планирование затрат на информатизацию и информационную безопасность в соответствии с утвержденной архитектурой ГО, а в случае ее отсутствия – согласно решениям экспертного совета в сфере информатизации;";

      дополнить пунктом 25-1 следующего содержания:

      "25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.";

      пункты 29, 30 изложить в следующей редакции:

      "29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ИСО/МЭК 27002-2015 "Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасностью".

      30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.

      Требование настоящего пункта по созданию отдельного подразделения ИБ не распространяется на специальные государственные органы.

      Подразделение ИБ или должностное лицо, ответственное за обеспечение ИБ, осуществляет:

      1) контроль исполнения требований ТД ИБ;

      2) контроль за документальным оформлением по ИБ;

      3) контроль за управлением активами в части обеспечения ИБ;

      4) контроль правомерности использования ПО;

      5) контроль за управлением рисками в сфере ИКТ;

      6) контроль за регистрацией событий ИБ;

      7) проведение внутреннего аудита ИБ;

      8) контроль за организацией внешнего аудита ИБ;

      9) контроль за обеспечением непрерывности бизнес-процессов, использующих ИКТ;

      10) контроль соблюдения требований ИБ при управлении персоналом;

      11) контроль за состоянием ИБ объекта информатизации "электронного правительства".";

      часть вторую пункта 31 изложить в следующей редакции:

      "ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.";

      пункт 35 изложить в следующей редакции:

      "35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:

      1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;

      2) журнал посещения серверных помещений;

      3) отчет о проведении оценки уязвимости сетевых ресурсов;

      4) журнал учета кабельных соединений;

      5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;

      6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений СПО и ППО ИС, регистрации и устранения уязвимостей ПО;

      7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;

      8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.";

      подпункт 4) пункта 37 изложить в следующей редакции:

      "4) формирование каталога угроз (рисков) ИБ, включающее:

      оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ИСО/МЭК 27005-2013 "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности";

      определение потенциального ущерба;";

      подпункты 4) и 5) пункта 38 изложить в следующей редакции:

      "4) журналы регистрации событий хранятся в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;

      5) ведутся журналы регистрации событий создаваемого ПО в соответствии с форматами и типами записей, определенными в Правилах проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры, утверждаемых уполномоченным органом;";

      пункт 43 изложить в следующей редакции:

      "43. При увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора.";

      пункт 45 изложить в следующей редакции:

      "45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее – классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ГОСТ Р ИСО/МЭК 15408-2006 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".";

      подпункт 1) пункта 46 изложить в следующей редакции:

      "1) способам аутентификации;";

      пункт 47 изложить в следующей редакции:

      "47. При доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием ЭЦП.";

      дополнить пунктом 54-1 следующего содержания:

      "54-1. Допускается применение в локальных сетях систем предотвращения утечки данных (DLP). При этом обеспечиваются:

      визуальное уведомление пользователя о проводимом контроле действий;

      получение письменного согласия пользователя на осуществление контроля его действий;

      размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.";

      дополнить пунктом 63-1 следующего содержания:

      "63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности и аттестата соответствия требованиям информационной безопасности, за исключением случаев, предусмотренных статьей 66 Закона Республики Казахстан "Об информатизации.";

      пункты 68 и 69 изложить в следующей редакции:

      "68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями стандарта Республики Казахстан СТ РК 34.015-2002 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание или развитие информационных систем государственных органов, утверждаемыми уполномоченным органом по согласованию с уполномоченным органом в сфере обеспечения информационной безопасности.

      69. Требования к создаваемому или развиваемому СПП определяются в задании на проектирование информационно-коммуникационной услуги, создаваемом в соответствии с настоящими ЕТ и правилами реализации сервисной модели информатизации, утверждаемыми уполномоченным органом.";

      дополнить пунктом 69-1 следующего содержания:

      "69-1. Промышленная эксплуатация сервисного программного продукта допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности, протокола испытаний с целью оценки качества в соответствии с требованиями программной документации и действующих на территории Республики Казахстан стандартов в сфере информатизации и протокола экспертизы программной документации, за исключением случаев, предусмотренных статьей 66 Закона Республики Казахстан "Об информатизации".";

      дополнить пунктом 90-1 следующего содержания:

      "90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:

      1) регистрация и проверка источников (точек подключений) запросов на легитимность;

      2) проверка легитимности запросов по:

      паролю или ЭЦП;

      точке подключения;

      наличию блокировки соединения;

      разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;

      разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;

      наличию в запросах признаков нарушений информационной безопасности;

      наличию вредоносного кода по сигнатурам;

      3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:

      отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;

      превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;

      наличии в запросах признаков нарушений информационной безопасности;

      превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;

      выявлении аномальной активности пользователей;

      выявлении попыток выгрузки массивов данных;

      4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;

      5) замена логина соединения при выявлении инцидентов ИБ;

      6) сокрытие адресации ЛС внутреннего контура;

      7) журналирование событий, включающее:

      регистрацию событий передачи/приема информационных сообщений;

      регистрацию событий передачи/ получения файлов;

      регистрацию событий передачи/получения служебных сообщений;

      применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;

      автоматизацию процедур анализа журналов событий на наличие событий ИБ;

      хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;

      раздельное ведение журналов событий (при необходимости) по:

      а) текущим суткам;

      б) соединению (каналу связи);

      в) государственному органу (юридическому лицу);

      г) интегрируемым объектам информатизации;

      8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;

      9) программно-аппаратная криптографическая защита соединений, осуществляемых через сети передачи данных;

      10) хранение и передача паролей соединений в зашифрованном виде;

      11) автоматизация оповещения об инцидентах ИБ ответственных лиц интегрируемых объектов информатизации.";

      пункт 92 изложить в следующей редакции:

      "92. Управление программно-аппаратным обеспечением ИС ГО и МИО осуществляется из ЛС внутреннего контура владельца ИС.

      Программно-аппаратное обеспечение ИС ГО или МИО и негосударственных ИС, интегрируемых с ИС ГО или МИО, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом, осуществляемым с использованием национального шлюза, в рамках международных договоров, ратифицированных Республикой Казахстан.";

      дополнить пунктами 92-1 и 92-2 следующего содержания:

      "92-1. Для организации работы ИС ГО и МИО допускается использование облачных сервисов (аппаратно-программные комплексы, ИС, предоставляющие ресурсы с использованием технологии виртуализации), центры управления и сервера которых физически размещены на территории Республики Казахстан.

      92-2. Программно-аппаратное обеспечение ИС критически важных объектов информационно-коммуникационной инфраструктуры, содержащее персональные данные граждан Республики Казахстана, размещается на территории Республики Казахстан.";

      пункт 99 изложить в следующей редакции:

      "99. Выбор технологической платформы осуществляется с учетом приоритета оборудования с возможностью поддержки технологии виртуализации.";

      дополнить пунктом 101-1 следующего содержания:

      "101-1. Промышленная эксплуатация ИКП допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности и аттестата соответствия требованиям информационной безопасности, за исключением случаев, предусмотренных статьей 66 Закона Республики Казахстан "Об информатизации".";

      подпункт 1) пункта 116 изложить в следующей редакции:

      "1) требования, предъявляемые в техническом задании на разработку (развитие) прикладного ПО ИС или задании на проектирование информационно-коммуникационной услуги, разработанном сервисным интегратором "электронного правительства";";

      подпункт 4) пункта 128 изложить в следующей редакции:

      "4) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ ГО, МИО или организации используют услуги оператора ИКИ или другого оператора связи, имеющего зарезервированные каналы связи на оборудовании ЕШДИ;";

      пункт 131 изложить в следующей редакции:

      "131. Не допускается подключение к ЕТС ГО, локальной сети ГО или МИО, а также техническим средствам, входящим в состав ЕТС ГО, локальной сети ГО или МИО, устройств для организации удаленного доступа посредством беспроводных сетей, беспроводного доступа, модемов, радиомодемов, модемов сетей операторов сотовой связи, абонентских устройств сотовой связи и других беспроводных сетевых устройств.";

      пункт 140 изложить в следующей редакции:

      "140. Требования, предусмотренные в подпунктах 10), 11) пункта 139 ЕТ, не предъявляются к ИС ГО и МИО, введенным в промышленную эксплуатацию до 1 января 2016 года и не подлежащим развитию до 1 января 2018 года.

      Порядок информационного взаимодействия данных ИС ГО или МИО с негосударственными ИС определяется Правилами интеграции объектов информатизации "электронного правительства", утвержденными уполномоченным органом в сфере информатизации в соответствии с подпунктом 13) статьи 7 Закона.";

      дополнить пунктом 163 следующего содержания:

      "163. Распределительные устройства сетей телекоммуникаций размещаются в кроссовом помещении. Кроссовое помещение размещается ближе к центру обслуживаемой им рабочей области.

      Размер кроссового помещения выбирается исходя из размера обслуживаемой рабочей области и устанавливаемого оборудования.

      Помещение кроссового помещения должно соответствовать следующим требованиям:

      наличие свободных служебных проходов для обслуживания оборудования;

      отсутствие мощных источников электромагнитных помех (трансформаторов, электрических щитов, электродвигателей и прочее);

      отсутствие труб и вентилей системы водоснабжения;

      наличие систем пожарной безопасности;

      отсутствие легко возгораемых материалов (деревянные стеллажи, картон, книги и прочее);

      наличие отдельной линии электропитания от отдельного автомата для подключения шкафа по проекту;

      наличие систем охранной сигнализации, контроля доступа;

      наличие системы кондиционирования.".

      2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Премьер-Министр
Республики Казахстан
Б. Сагинтаев