Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қоюдың дағдарысқа қарсы ұлттық жоспарын бекіту туралы

Қазақстан Республикасы Үкіметінің 2018 жылғы 9 тамыздағы № 488 қаулысы.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 6-бабының 6-1) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қоюдың дағдарысқа қарсы ұлттық жоспары бекітілсін.

      2. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Премьер-Министрі 		Б. Сағынтаев

  Қазақстан Республикасы
Үкіметінің
2018 жылғы9 тамыздағы
№ 488 қаулысымен
бекітілген

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қоюдың дағдарысқа қарсы ұлттық жоспары

1-тарау. Жалпы ережелер

      1. Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қоюдың дағдарысқа қарсы ұлттық жоспары (бұдан әрі – жоспар) ақпараттық қауіпсіздіктің жай-күйіне олардың жұмысының бұзылуын бір мерзімде барынша азайта отырып, ақпараттық қауіпсіздіктің оқыс оқиғаларының әсерін азайту бойынша жүйе субъектілерінің іс-қимыл тәртібін айқындайды.

      2. Осы жоспар Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған, қорғалып орындалатын ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, президенттік, құпияландырылған, шифрланған және кодталған байланыс желілеріне қолданылмайды.

      3. Осы жоспарда мынадай ұғымдар пайдаланылады:

      1) ақпараттық-коммуникациялық инфрақұрылым объектілері (бұдан әрі – АКИ объектілері) – ақпараттық жүйелер, технологиялық платформалар, ақпараттық-бағдарламалық кешендер, телекоммуникация желілері, сондай-ақ техникалық құралдардың үздіксіз жұмыс істеуін және ақпараттық қауіпсіздікті қамтамасыз ету жүйелері;

      2) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері (бұдан әрі – АКИАМО) – жұмыс істеуінің бұзылуы немесе тоқтауы қолжетімділігі шектеулі дербес деректерді және заңмен қорғалатын құпияны қамтитын өзге де мәліметтерді заңсыз жинауға және өңдеуге, әлеуметтік және (немесе) техногендік сипаттағы төтенше жағдайға немесе қорғаныс, қауіпсіздік, халықаралық қатынастар, экономика, шаруашылықтың жекелеген салалары үшін немесе тиісті аумақта тұратын халықтың тыныс-тіршілігі, оның ішінде: жылумен жабдықтау, электрмен жабдықтау, газбен жабдықтау, сумен жабдықтау, өнеркәсіп, денсаулық сақтау, байланыс, банк саласы, көлік, гидротехникалық құрылыстар, құқық қорғау қызметі, "электрондық үкімет" инфрақұрылымы үшін елеулі теріс салдарларға алып келетін АКИ объектілері;

      3) ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою жүйесі (бұдан әрі – жүйе) – электрондық ақпараттық ресурстарды, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымдарды компьютерлік шабуылдар мен олардың зардаптарын жою салдарынан болатын технологиялық істен шығудан немесе рұқсатсыз ықпал етуден қорғау бойынша жалпы мемлекеттік іс-шаралар кешенін іске асыруға арналған ақпараттық қауіпсіздікті қамтамасыз етудегі күштер мен құралдардың жиынтығы;

      4) ақпараттық қауіпсіздіктің оқыс оқиғасы (бұдан әрі – АҚ оқыс оқиғасы) – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиiсiнше жұмыс iстеуiне қатер төндiретiн және (немесе) электрондық ақпараттық ресурстарды заңсыз алу, көшiру, тарату, түрлендiру, жою немесе бұғаттау үшiн жағдай жасайтын жеке немесе сериялы түрде туындайтын іркілістер;

      5) ақпараттық қауіпсіздік саласындағы дағдарысты жағдай – мемлекеттік қызметтерді ұсынуды тоқтатуға немесе шектеуге, тиісті аумақтарда тұрып жатқан халықтың тіршілігі немесе Қазақстан Республикасының қорғаныс, қауіпсіздік, халықаралық қатынастар, экономика, шаруашылықтың жеке салалары, инфрақұрылымы үшін әлеуметтік және (немесе) техногендік сипаттағы төтенше жағдайларға немесе жағымсыз салдарға әкеп соғуы мүмкін АҚ оқиғасы немесе АКИ объектілерінде олардың пайда болуының нақты алғышарттары;

      6) ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығы (бұдан әрі – АҚҰҮО) – "Мемлекеттік техникалық қызмет" акционерлік қоғамының құрылымдық бөлімшесі";

      7) жүйе субъектілері – ақпараттық қауіпсіздік мәселелерін шешуге немесе АҚ оқыс оқиғаларына ден қоюға уәкілетті мемлекеттік органдар, АҚҰҮО, Жедел штаб, "электрондық үкімет" ақпараттандыру объектілерінің иелері, АКИАМО иелері, ақпараттық қауіпсіздіктің жедел орталықтары (бұдан әрі – АҚЖО), ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтері;

      8) компьютерлік шабуыл – ақпаратқа, электрондық ресурсқа, ақпараттық жүйеге рұқсатсыз ықпал ету немесе оларға бағдарламалық немесе бағдарламалық-аппараттық құралдарды (немесе желіаралық өзара іс-қимылдардың хаттамаларын) қолдана отырып, қолжетімділік алу арқылы қатерлер төндіруді іске асырудың мақсатты әрекеті.

      Жоспардағы басқа да пайдаланылатын ұғымдар Қазақстан Республикасының ақпарат және байланыс саласындағы заңнамаларда қолданылатын ұғымдарға сәйкес келеді.

      Ескерту. 3-тармаққа өзгерістер енгізілді - ҚР Үкіметінің 01.10.2020 № 630; 26.10.2022 № 849 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

2-тарау. Профилактикалық іс-шаралар

      4. Профилактика және ақпараттандыру мен байланыс саласындағы оқыс оқиғаларды болдырмау мақсатында АҚҰҮО жоспарлы негізде АҚ оқыс оқиғалары бойынша түсіндіру жұмыстарын өткізеді, бұл үшін тұрақты негізде ақпараттық қауіпсіздік саласындағы шетелдік және халықаралық ұйымдарды қоса алғанда жүйе субъектілерінен және өзге көздерден ақпаратты жинауды, талдауды және қорытындылауды жүзеге асырады.

      5. АҚЖО АҚ қатерлерін анықтау мен болдырмау мақсатында оған қосылған ақпараттық-коммуникациялық инфрақұрылымға және ақпараттандырудың объектілеріне мониторингілеуді жүзеге асырады.

      6. Ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингі мәселелері бойынша АҚЖО-ның өзара іс-қимылын АҚҰҮО қамтамасыз етеді.

      7. Электрондық ақпараттық ресурстардың, бағдарламалық қамтылымның, ақпараттық жүйелер мен оларды қолдайтын ақпараттық-коммуникациялық инфрақұрылымның қорғалу деңгейін арттыруға арналған жүйе субъектілері Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды, сондай-ақ ақпараттық қауіпсіздік саласын регламенттейтін өзге де нормативтік құқықтық актілерді басшылыққа алады.

3-тарау. Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің және "электрондық үкімет" ақпараттандыру объектілерінің иелері мен меншік иелерінің іс-шаралары

      8. АҚ-ның 0-ден 5-ке дейінгі маңыздылық деңгейіндегі оқыс оқиғаларына ден қоюды қамтамасыз ету мақсатында "электрондық үкімет" ақпараттандыру обьектілерінің иелері, АКИАМО иелері, АҚЖО ақпараттық қауіпсіздік қатерлерін (қауіптерін) өңдеу, үздіксіз жұмысты қамтамасыз ету және ақпараттарды өңдеу құралдарына байланысты активтердің жұмыс істеу қабілетін қалпына келтіру бойынша шаралар және мынадай міндетті іс-шаралар көзделген ден қою жоспарларын әзірлейді және бекітеді:

      1) ақпараттық қауіпсіздіктің дағдарыстық жағдайын болдырмау бойынша іс-шаралар ұйымдастыру және өткізу;

      2) ақпараттық-коммуникациялық инфрақұрылымдағы ақпараттық қауіпсіздіктің жай-күйі туралы деректерді жинақтау және талдау;

      3) АҚЖО және АҚҰҮО-мен өзара іс-қимылды жүзеге асыру;

      4) үздіксіз жұмысты қамтамасыз етуді қолдайтын шаралар және сыртқы өзгерістерге төзімділік;

      5) анықталған ақпараттық қауіпсіздіктің оқыс оқиғалары және оларды жою мәселелері бойынша жүйенің мүдделі субъектілерін ақпараттандыру;

      6) ақпараттық қауіпсіздіктің оқыс оқиғаларын және олардың салдарын жою кезіндегі іс-қимыл тәртібі, жүйе субъектісінің ақпараттық-коммуникациялық инфрақұрылымына әсерін барынша азайту;

      7) ақпараттық қауіпсіздіктің оқыс оқиғаларының (журналдардың, баяндамалардың және нысандардың) цифрлық ізін сақтау шаралары;

      8) ақпараттық қауіпсіздіктің оқыс оқиғаларының себебін белгілеу;

      9) ақпараттық қауіпсіздіктің оқыс оқиғаларынан кейін жасалуы тиіс әрекеттер;

      10) АҚ оқыс оқиғаларының себептерін жою;

      11) қалпына келтіру рәсімдері.

      Ақпараттық-коммуникациялық инфрақұрылымның жұмыс істеу ерекшелігіне және (немесе) жүйе субъектілерінің технологиялық процестеріне сүйене отырып, өзге іс-шаралар қосылуы мүмкін.

      9. "Электрондық үкіметтің" ақпараттандыру объектілері мен АКИАМО иелері ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті органға ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қоюдың бекітілген жоспарларының көшірмесін жолдайды.

      10. АҚ оқыс оқиғалары мәселелері бойынша АКИАМО және "Электрондық үкіметтің" ақпараттандыру объектілерінің иелері мен меншік иелері АҚҰҮО-мен тәулік бойы 1400 call-орталығы немесе www.kz-cert.kz ресми сайты арқылы өзара іс-қимыл жасайды.

      11. "Электрондық үкіметтің" ақпараттандыру объектілерінің және АКИАМО иелерінің шешімі бойынша ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қоюға ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтері және (немесе) АҚЖО жұмылдырылуы мүмкін.

      12. "Электрондық үкіметтің" ақпараттандыру объектілері мен АКИАМО иелері ден қою аяқталғаннан кейін ақпараттық қауіпсіздік жөніндегі уәкілетті органның және АҚҰҮО ұсыныстарын пайдалана отырып, жүйені қалпына келтіру бойынша жоспарда көзделген шараларды іске асыруға кіріседі.

      13. "Электрондық үкіметтің" ақпараттандыру объектілері, АКИАМО иелері өзара тиімді іс-қимыл жасау мақсатында ақпараттық қауіпсіздікті қамтамасыз ету үшін жауапты лауазымды адамдарды анықтайды.

      Адамдардың байланыс деректері АҚҰҮО-ға жіберіледі. Жауапты лауазымды адамдарды немесе оның байланыс деректерін ауыстыру бойынша барлық жағдайлар туралы 48 сағат ішінде АҚҰҮО-ға хабарланады.

4-тарау. Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою

4.1-параграф. Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою бойынша уәкілетті органның іс-қимылы

      14. АҚҰҮО "электрондық үкіметтің" ақпараттандыру объектілерінің және АКИ аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу қағидаларында және Ақпараттық қауіпсіздікті қамтамасыз етудің жедел орталықтары мен Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығы арасындағы ақпараттық қауіпсіздікті қамтамасыз ету үшін қажетті ақпарат алмасу қағидаларында белгіленген, ақпараттық қауіпсіздіктің оқыс оқиғалары маңыздылығының 3, 4 және 5 деңгейлеріне сәйкес ақпараттандыру объектілерінде ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат алған жағдайларда Қазақстан Республикасының Ұлттық қауіпсіздік органдарына хабарлайды.

      15. Кейінге қалдыруға болмайтын, ауыр және аса ауыр қылмыстардың, сондай-ақ қылмыстық топ дайындайтын және жасайтын қылмыстардың жасалуына әкеп соғуы мүмкін жағдайларда Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің төрағасы, оның орынбасарлары немесе Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің аумақтық органдарының бастықтары не оларды алмастыратын адамдар кейіннен байланыс саласындағы уәкілетті органды және Қазақстан Республикасының Бас прокуратурасын 24 сағат ішінде хабардар ете отырып, жедел-іздестіру қызметінің барлық субъектілерінің мүддесінде байланыс желілерінің және (немесе) құралдарының жұмысын, байланыс қызметтерінің көрсетілуін, интернет-ресурстарға және (немесе) оларда орналастырылған ақпаратқа қол жеткізуді тоқтата тұруға құқылы.

      16. Әлеуметтік, табиғи және техногендік сипаттағы төтенше жағдайларда, төтенше немесе әскери жағдайларды енгізген кезде ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті орган интернет-ресурстарды және инфрақұрылымның АКИ объектілерін басқару бойынша қызметті үйлестіруді жүзеге асырады.

      17. Трансшекаралық сипаттағы АҚ-ның оқыс оқиғаларына ден қою шаралары сыртқы саяси қызмет жөніндегі уәкілетті органмен келісіледі және Қазақстан Республикасы ратификациялаған халықаралық шарттарға сәйкес жүзеге асырылады.

4.2-параграф. Жедел штабтың іс-қимылы

      18. Ақпараттық қауіпсіздік саласындағы дағдарысты жағдайларға ден қою бойынша қызметті үйлестіру мақсатында АҚҰҮО негізінде ақпараттық қауіпсіздіктің дағдарысты жағдайларына ден қою бойынша жедел штаб (бұдан әрі – Жедел штаб) құрылады.

      19. Жедел штаб шақырылғанға дейін АҚҰҮО АКИ-дің аса маңызды объектілерінің және "Электрондық үкіметтің" ақпараттандыру объектілерінің меншік иелері мен иелерінің күштерімен және құралдарымен бірге дағдарыстық жағдайға, оның таратылуын тоқтату мен зардаптарын азайту мақсатында бастапқы ден қою шараларын өткізеді.

      20. Ұлттық қауіпсіздік комитеті төрағасының ақпараттық қауіпсіздік саласына жетекшілік ететін немесе оның міндеттерін атқарушы орынбасары Жедел штаб басшысы болып табылады. Ақпараттық қауіпсіздік саласындағы уәкілетті органның ақпараттық қауіпсіздікті қамтамасыз ету саласындағы мемлекеттік саясатты іске асыруды қамтамасыз ететін ведомствосының басшысы немесе оның міндетін атқарушы Жедел штаб басшысының орынбасары болып табылады.

      21. Жедел штаб басшысының шешімі бойынша оның құрамына мемлекеттік органдардың және өзге де ұйымдардың өкілдері кіре алады.

      22. Ақпараттық қауіпсіздіктің дағдарыстық жағдайын бастапқы талдау негізінде ақпараттық қауіпсіздіктің оқыс оқиғасы салдарын жою және оқшаулау бойынша шаралар кешенін ұйымдастыру және іске асыру үшін АҚҰҮО басшысы Жедел штаб басшысына Жедел штабты шақыру туралы шешім қабылдауды ұсынады.

      23. Жедел штабтың дағдарыстық жағдайлардағы негізгі міндеттері:

      ақпараттық қауіпсіздіктің дағдарысты жағдайына ден қою бойынша мемлекеттік органдар мен ұйымдардың уәкілетті бөлімшелерінің іс-қимыл тәртібін белгілеу;

      ақпараттық қауіпсіздіктің дағдарыстық жағдайларын оқшаулау және жою жөніндегі мемлекеттік органдар мен ұйымдардың уәкілетті бөлімшелерінің күштері мен құралдарына түзетулер енгізу;

      ақпараттық қауіпсіздік саласындағы дағдарыстық жағдайларға ұйымдастырушылық және техникалық ден қоюды үйлестіру;

      ақпараттық қауіпсіздік саласындағы дағдарыстық жағдай кезеңінде жұмысы зардап шеккен ақпараттық-коммуникациялық инфрақұрылымның жұмысын қалпына келтіру іс-шараларын әзірлеу және ұйымдастыру;

      ақпараттық қауіпсіздік саласындағы дағдарыстық жағдайдың туындау себептері мен жағдайларын анықтау бойынша қызметтік және техникалық тергеп-тексеруді және талқылауды ұйымдастыру;

      ақпараттандыру объектілерінің иелері мен меншік иелерін ақпараттық қауіпсіздіктің оқыс оқиғалары туралы бұқаралық ақпарат құралдары арқылы құлақтандыру болып табылады.

On approval of the National anti-crisis plan for responding to information security incidents

Resolution of the Government of the Republic of Kazakhstan dated August 9, 2018 No. 488.

      Unofficial translation

      In accordance with subparagraph 6-1) of article 6 of the Law of the Republic of Kazakhstan “On informatization” dated November 24, 2015 the Government of the Republic of Kazakhstan RESOLVES:

      1. To approve the attached the National anti-crisis plan for responding to information security incidents.

      2. This resolution shall come into effect ten calendar days after the day of its first official publication.

      Prime Minister of the
Republic of Kazakhstan 		B. Sagintayev

  Approved
by Resolution No. 488 of
the Government of the
Republic of Kazakhstan
dated August 9, 2018

National anti-crisis plan for responding to information security incidents Chapter 1. General provisions

      1. National anti-crisis plan for responding to information security incidents (hereinafter referred to as the plan) determines the order of actions of the entities of the system to reduce the impact of information security incidents on the state of information security while minimizing violations of their work.

      2. This plan does not apply to protected information systems, classified as state secrets in accordance with the legislation of the Republic of Kazakhstan on state secrets, as well as to telecommunications of special purpose and / or governmental, presidential, secret, encrypted and coded communications.

      3. In this plan the following concepts shall be used:

      1) facilities of information and communication infrastructure (hereinafter referred to as the ICI facilities) – information systems, technological platforms, hardware and software systems, telecommunications networks, as well as support systems for the smooth operation of hardware and information security;

      2) critical objects of information and communication infrastructure (hereinafter referred to as COICI) - objects of ICI, violation or termination of the functioning of which leads to illegal collection and processing of personal data of limited access and other information containing secret protected by law, social and (or) technogenic nature or significant negative consequences for defense, security, international relations, economy, individual spheres of economy or life of the population living in the relevant territory, including infrastructure: heat supply, power supply, gas supply, water supply, industry, healthcare, communications, banking, transport, hydraulic structures, law enforcement, "electronic government";

      3) information security incident response system (hereinafter referred to as the system) – a set of forces and means of ensuring information security, designed to implement a nationwide set of measures to protect electronic information resources, information systems, and information and communication infrastructure from technological failures or unauthorized exposure as a result of computer attacks, and liquidation of their consequences;

      4) information security incident (hereinafter referred to as the IS incident) – separately or serially disruptions in the operation of the information and communication infrastructure or its separate objects, posing a threat to their proper functioning and (or) conditions for the unlawful acquisition, copying, distribution, modification, destruction or blocking of electronic information resources;

      5) crisis situation in the field of information security – IS incident or real precondition for its occurrence at ICI facilities, which can lead to the impossibility or restriction of the provision of public services, an emergency situation of a social and (or) technogenic nature, or significant negative consequences for defense, security, international relations, the economy, certain sectors of the economy, the infrastructure of the Republic of Kazakhstan, or for the livelihoods of the population living in the relevant territory;

      6) national coordination center of information security (hereinafter referred to as NCCIS) - structural subdivision of the joint-stock company "State technical service";

      7) system entities – government agencies authorized to resolve information security or response to IS incident, NCCIS, Operational headquarters, owners of "e-government" information facilities, the CIOICI owners, information security operational centers (hereinafter referred to as the ISOC), Information security incident response services;

      8) computer attack – a deliberate attempt to implement the threat of tampering information, electronic resources, information systems, or to access them using a software or firmware (or interworking protocol).

      Other concepts used in the plan correspond to the concepts used in the legislation of the Republic of Kazakhstan in the field of informatization and communication.

      Footnote. Paragraph 3 as amended with the resolution of the Government of the RK dated 01.10.2020 № 630; dated 26.10.2022 No. 849 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

Chapter 2. Preventive actions

      4. In order to prevent incidents in the field of informatization and communication, the NCCIS conducts explanatory work on IS incidents on a planned basis. In this regard, it collects, analyzes and compiles information from system entities and other sources, including foreign and international organizations in the field of information security.

      5. ISOC in order to identify and suppress IS threats monitors the connected information and communication infrastructure and information facilities.

      6. ISOC interoperability in monitoring the provision of information security for information objects provided by NCCIS.

      7. The system entities to improve the level of protection of electronic information resources, software, information systems and the information and communication infrastructure supporting them are guided by the Uniform requirements in the field of information and communication technologies and information security, as well as other regulatory legal acts governing the field of information security.

Chapter 3. Actions of owners of critical information and communication infrastructure
facilities and “e- government” information facilities

      8. In order to ensure response to IS incidents with levels of criticality from 0 to 5, owners of “e-government" information facilities, CIOICI, ISOC owners develop and approve response plans, which include measures to deal with threats (risks) of information security, ensure continuous operation and recovery the health of assets associated with information processing facilities, and the following mandatory measures for:

      1) organizing and conducting measures to prevent the emergence of a crisis situation of information security;

      2) collection and analysis of data on the state of information security in the information and communication infrastructure;

      3) interacting with ISOC and NCCIS;

      4) supporting measures to ensure continuity of work and resilience to external changes;

      5) informing the system stakeholders on the issues of information security incidents detected and their elimination;

      6) the procedure for eliminating information security incidents and their consequences, minimizing the impact on the information and communication infrastructure of the system entity;

      7) measures for saving the digital traces of information security incidents (magazines, reports and forms);

      8) determining the causes of information security incidents;

      9) the actions to be taken after the information security incident;

      10) eliminate the cause of an IS incident;

      11) recovery procedures.

      Other activities may be included based on the characteristics of the information and communication infrastructure and (or) technological processes of the subjects of the system.

      9. Owners of e-government informatization facilities and CIOICI send a copy of the approved information security incident response plans to the authorized information security authority.

      10. On IS issues, the owners of CIOICI and e-government informatization facilities interact with NCCIS through the around-the-clock 1400 call center or the official www.kz-cert.kz website.

      11. According to the decision of the owners of "electronic government" informatization facilities and CIOICI, the information security incident response services and (or) ISOC may be involved in response to information security incidents.

      12. The “electronic government” informatization facilities and CIOICI, owners after the completion of the response, start implementing the measures provided for by the plan to restore the system, including using the recommendations of the authorized agency for information security and the NCCIS.

      13. For the purpose of effective interaction, the “electronic government” informatization facilities and CIOICI owners determine responsible officials for ensuring information security.

      Contact details of officials are sent to NCCIS. The NCCIS is informed about all cases of replacement of the responsible official or their contacts within 48 hours.

Chapter 4. Information security incident response
Paragraph 4.1. Actions of authorized agencies to respond to information security incidents

      14. NCCIS in cases of receiving information on information security incidents at information facilities, in accordance with 3, 4 and 5 levels of information security incidents, established by the Rules for monitoring of information security of e-government informatization facilities and critical ICI facilities and the Information Exchange Rules required for information security, between operational information security centers and the National Information Security Coordination Center, informs the national security agencies of the Republic of Kazakhstan.

      15. In urgent cases and that can result in the commission of serious and extremely serious crimes, as well as crimes being prepared and committed by a criminal group, the Chairman of the National Security Committee of the Republic of Kazakhstan, his deputies or the heads of territorial bodies of the National Security Committee of the Republic of Kazakhstan or their substitutes , has the right to suspend the operation of networks and (or) means of communication, the provision of communication services, access to Internet resources and (or) information posted on them in the interests of all subjects of operational investigative activities with subsequent notification to the authorized body in the field of communications and the General Prosecutor's Office of the Republic of Kazakhstan within 24 hours.

      16. In emergency situations of social, natural and technogenic nature, the introduction of state of emergency or martial law, the authorized body for ensuring information security coordinates the management of Internet resources and ICI facilities.

      17. Measures to respond to IS cross-border incidents are coordinated with the authorized body on foreign policy activities and implemented in accordance with international treaties ratified by the Republic of Kazakhstan..

Paragraph 4.2. Actions of the Operational headquarters

      18. In order to coordinate information crisis response activities in the field of information security, an operational headquarters for information security crisis response is created on the basis of NCCIS (hereinafter referred to as the Operational Headquarters).

      19. Prior to the convening of the Operational Headquarters, NCCIS, together with the forces and means of the owners of critical ICI facilities and e-government informatization facilities, conducts primary response to a crisis situation in order to prevent the spread and minimize its consequences.

      20. The head of the Operational Headquarters is the Deputy Chairman of the National Security Committee supervising the area of information security or his acting official. The deputy head of the Operational Headquarters is the head of the department, the authorized body in the field of information security, ensuring the implementation of state policy in the field of information security or his acting official.

      21. By decision of the head of the Operational Headquarters, it may include representatives of state bodies and other organizations.

      22. Based on the initial analysis of the information security crisis, the head of the NCCIS proposes to the head of the Operational Headquarters the decision to convene the Operational Headquarters to organize and implement a set of measures to prevent it and localize the consequences of an information security incident..

      23. The main tasks of the Operational Headquarters in a crisis situation are:

      determination of the procedure for the actions of authorized divisions of state bodies and organizations in responding to the information security crisis situation;

      making adjustments to the actions of the forces and means of authorized divisions of state bodies and organizations for localizing and eliminating information security crisis situations;

      coordination of organizational and technical response to crises in the field of information security;

      development and organization of measures to restore the functioning of the information and communication infrastructure, which work was disrupted during a crisis situation of information security;

      organizing of official and technical investigations and proceedings to establish the causes and conditions for the emergence of a crisis situation of information security;

      informing owners of information facilities about information security incidents via the mass media.