"Ақпараттық қауіпсіздікті қамтамасыз ету бөлігінде ақпараттандыру саласындағы тәуекел дәрежесін бағалау өлшемшарттарын және тексеру парақтарын бекіту туралы" Қазақстан Республикасы Премьер-Министрінің орынбасары – Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 29 қаңтардағы № 13/НҚ және Қазақстан Республикасы Ұлттық экономика министрінің 2019 жылғы 29 қаңтардағы № 12 бірлескен бұйрығына өзгерістер енгізу туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2023 жылғы 20 қаңтардағы № 21/НҚ және Қазақстан Республикасы Ұлттық экономика министрінің 2023 жылғы 23 қаңтардағы № 8 бірлескен бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2023 жылғы 27 қаңтарда № 31795 болып тіркелді

      ЗҚАИ-ның ескертпесі!
      Осы бірлескен бұйрық 01.01.2023 ж. бастап қолданысқа енгізіледі.

      БҰЙЫРАМЫЗ:

      1. "Ақпараттық қауіпсіздікті қамтамасыз ету бөлігінде ақпараттандыру саласындағы тәуекел дәрежесін бағалау өлшемшарттарын және тексеру парақтарын бекіту туралы" Қазақстан Республикасы Премьер-Министрінің орынбасары – Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 29 қаңтардағы № 13/НҚ және Қазақстан Республикасы Ұлттық экономика министрінің 2019 жылғы 29 қаңтардағы № 12 бірлескен бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 18269 болып тіркелген) мынадай өзгерістер енгізілсін:

      1-тармақтың 1) және 2) тармақшалары алып тасталсын;

      көрсетілген бірлескен бұйрықпен бекітілген Мемлекеттік заңды тұлғаларға, квазимемлекеттік сектор субъектілеріне, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері мен иеленушілеріне, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иелері мен иеленушілеріне қатысты ақпараттық қауіпсіздікті қамтамасыз ету бөлігінде ақпараттандыру саласындағы тексеру парағы осы бірлескен бұйрыққа қосымшаға сәйкес жаңа редакцияда жазылсын.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1) осы бірлескен бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бірлескен бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бірлескен бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бірлескен бұйрық 2023 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға жатады.

      Қазақстан Республикасы
Ұлттық экономика министрі
__________А. Куантыров
     
      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі
__________Б. Мусин

      "КЕЛІСІЛДІ"

      Қазақстан Республикасы

      Бас прокуратурасының Құқықтық

      статистика және арнайы есепке алу комитеті

  Қазақстан Республикасы
Ұлттық экономика министрінің
2023 жылғы 23 қаңтардағы
№ 8 мен
Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрі
2023 жылғы 20 қаңтардағы
№ 21/НҚ
Бірлескен бұйрыққа
қосымша
Қазақстан Республикасы
Премьер-Министрінің
орынбасары –
Қазақстан Республикасының
Қорғаныс және аэроғарыш
өнеркәсібі министрінің
2019 жылғы 29 қаңтардағы
№ 13/НҚ және
Қазақстан Республикасы
Ұлттық экономика министрінің
2019 жылғы 29 қаңтардағы
№ 12 бірлескен бұйрығына
3-қосымша

Ақпараттық қауіпсіздікті қамтамасыз ету бөлігінде ақпараттандыру саласындағы тексеру парағы

      __________________________________________________________________________

      Қазақстан Республикасы Кәсіпкерлік кодексінің

      __________________________________________________________________________

      138-бабына сәйкес

      мыналарға: мемлекеттік заңды тұлғаларға, квазимемлекеттік сектор субъектілеріне,

      мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе

      мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған

      мемлекеттік емес ақпараттық жүйелердің иелері мен иеленушілеріне, сондай-ақ

      ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иелері

      мен иеленушілеріне қатысты

      ________________________________________________________________________

      бақылау субъектілерінің (объектілерінің) біртекті тобының атауы

      Тексеруді тағайындаған мемлекеттік орган____________________________________

      _________________________________________________________________________

      _________________________________________________________________________

      Тағайындау туралы акт

      _________________________________________________________________________

      №, күні

      Бақылау субъектісінің (объектісінің) атауы

      _________________________________________________________________________

      _________________________________________________________________________

      Бақылау субъектісінің (объектісінің) (жеке сәйкестендіру нөмірі),

      бизнес-сәйкестендіру нөмірі

      _________________________________________________________________________

      _________________________________________________________________________

      Орналасқан жерінің мекенжайы

      _________________________________________________________________________

      _________________________________________________________________________


Талаптар тізбесі

Талаптарға сәйкес келеді

Талаптарға сәйкес келмейді

1

2

3

4

1

Мемлекеттік органдардың жергілікті, ведомстволық және корпоративтік телекоммуникация желілерін, жергілікті атқарушы органның, мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің (бұдан әрі – ИКИ) иелерін байланыс операторларының интернетке қол жеткізудің бірыңғай шлюзі арқылы интернетке қосуын жүзеге асыру жөніндегі талаптарды сақтау



2

Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері иеленушілерінің Ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығын ақпараттық қауіпсіздіктің оқыс оқиғалары мен оларға ден қою туралы хабардар етуі бойынша талаптарды сақтау



3

Мынадай:
пайдаланушыларды сәйкестендіру, аутентификациялау және қол жеткізуді басқару;
жабдықты сәйкестендіру;
диагностикалық және конфигурациялық порттарды қорғау;
локалдық желіні физикалық сегменттеу;
локалдық желіні логикалық сегменттеу;
желілік қосылымдарды басқару;
брандмауэр;
локалдық желінің ішкі мекенжай кеңістігін жасыру;
деректердің, хабарламалардың және конфигурациялардың тұтастығын бақылау;
ақпаратты криптографиялық қорғау құралдарын қолдану жөніндегі талаптарды сақтау.



4

Ақпараттандыру объектілерін пайдалану кезіндегі АҚ қорғауды және қауіпсіз жұмыс істеуін қамтамасыз етуді мониторингтеу талаптарын сақтау



5

Сыртқы контурдың локалдық желілерінен интернетке қол жеткізуді ұйымдастыру кезінде интернет желісіне қосылған жұмыс станцияларында вирусқа қарсы құралдардың, операциялық жүйелердің жаңартуларының болуы



6

Ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшауланған құрылымдық бөлімше болып табылатын АҚ бөлімшесінің болуы немесе сертификат бере отырып, АҚ қамтамасыз етуге және АҚ қамтамасыз ету саласында кемінде үш жылда бір рет мамандандырылған курстардан өтуге жауапты лауазымды адамды айқындау.



7

Мемлекеттік органдар (бұдан әрі – МО), жергілікті атқарушы орган (бұдан әрі – ЖАО) немесе ұйым өз қызметінде басшылыққа алатын құжатталған қағидалардың, рәсімдердің, практикалық тәсілдердің немесе басшылық қағидаттардың төрт деңгейлі жүйесі түрінде АҚ-ны қамтамасыз ету жөніндегі нормативтік-техникалық құжаттаманың (бұдан әрі – ТҚ) болуы және оған сәйкестігі. АҚ ТҚ қазақ және орыс тілдерінде әзірленеді, МО-ның, ЖАО-ның немесе ұйымның құқықтық актісімен бекітіледі және МО, ЖАО барлық қызметшілерінің немесе ұйым қызметкерлерінің назарына жеткізіледі.
АҚ ТҚ ондағы ақпаратты талдау және жаңарту мақсатында кемінде екі жылда бір рет қайта қаралады.
1. МО-ның, ЖАО-ның немесе ұйымның АҚ саясаты бірінші деңгейдегі құжат болып табылады және МО немесе ұйым күнделікті қызметінде басшылыққа алатын АҚ-ны қамтамасыз ету саласындағы мақсаттарды, міндеттерді, басшылық қағидаттары мен практикалық тәсілдерді айқындайды.
2. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының талаптарын нақтылайтын құжаттар кіреді, оның ішінде:
1) АҚ тәуекелдерін бағалау әдістемесі;
2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидалары;
3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету жөніндегі қағидалар;
4) есептеу техникасы құралдарын, телекоммуникация жабдығын және бағдарламалық қамтылымды түгендеу мен паспорттау қағидалары;
5) ішкі АҚ аудитін жүргізу қағидалары;
6) ақпаратты криптографиялық қорғау құралдарын (бұдан әрі – АКҚҚ) пайдалану тәртібі;
7) электрондық ақпараттық ресурстарға қол жеткізу құқығының аражігін ажырату қағидалары;
8) интернет желісі мен электрондық поштаны пайдалану қағидалары;
9) аутентификациялау рәсімін ұйымдастыру қағидалары;
10) вирусқа қарсы бақылауды ұйымдастыру қағидалары;
11) мобильдік қондырғыларды және ақпаратты тасығыштарды пайдалану қағидалары;
12) ақпаратты өңдеу құралдарын нақты қорғауды және ақпараттық ресурстардың қауіпсіз қызмет ету ортасын ұйымдастыру қағидалары.
3. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің сипаттамаларын қамтиды, оның ішінде:
1) АҚ қатерлері (тәуекелдері) каталогы;
2) АҚ қатерлерін (тәуекелдерін) өңдеу жоспары;
3) ақпаратты резервтік көшіру және қалпына келтіру регламенті;
4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету бойынша іс-шаралар жоспары;
5) әкімшінің ақпараттандыру объектісін сүйемелдеу жөніндегі басшылығы;
6) пайдаланушылардың АҚ оқыс оқиғаларына ден қою және штаттан тыс (дағдарысты) жағдайларда әрекет ету бойынша іс-қимыл тәртібі туралы нұсқаулық.
4. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және басқа да құжаттарды, сонымен бірге электрондық құжаттарды қамтиды, оның ішінде:
1) АҚ оқыс оқиғаларын тіркеу және штаттан тыс оқиғаларды есепке алу журналы;
2) серверлік үй-жайларға кіру журналы;
3) желілік ресурстардың осалдықтарын бағалауды жүргізу туралы есеп;
4) кабельдік қосылуларды есепке алу журналы;
5) резервтік көшірмелерді (резервтік көшірме, қайта қалпына келтіру), резервтік көшірмелерді тестілеуді есепке алу журналы;
6) ақпараттық жүйелердің (бұдан әрі – АЖ) жабдықтар конфигурациясының өзгерістерін есепке алу, еркін бағдарламалық қамтылымның (бұдан әрі – ЕБҚ) және қолданбалы бағдарламалық қамтылымның (бұдан әрі – ББЖ) өзгерістерін тестілеу және есепке алу, бағдарламалық қамтылымның (бұдан әрі – БҚ) осалдықтарын тіркеу және жою журналы;
7) серверлік үй-жайларға арналған дизель-генераторлық қондырғыларды және үздіксіз қуат беру көздерін тестілеу журналы;
8) серверлік үй-жайлардың микроклиматын, бейнебақылауды, өрт сөндіруді қамтамасыз ету жүйелерін тестілеу журналы



8

Көп факторлы аутентификацияны қолдану бойынша сыныптауышқа сәйкес, оның ішінде электрондық цифрлық қолтаңбаны пайдалана отырып, бірінші және екінші сыныптардың ақпараттандыру объектілеріне қол жеткізу кезінде талаптарды сақтау.



9

Лауазымдық нұсқаулықтарға және (немесе) еңбек шартының талаптарына АҚ қамтамасыз ету бойынша функционалдық міндеттерді енгізу жөніндегі талаптарды және МО, ЖАО немесе ұйым қызметшілерінің АҚ ТҚ талаптарын орындау бойынша міндеттемелерін сақтау



10

АКҚҚ пайдалану бойынша талаптарды сақтау



11

Ақпараттық жүйеде қамтылған мемлекеттік электрондық ақпараттық ресурстарды сақтау, қалпына келтіру, мемлекеттік электрондық ақпараттық ресурстардың сақталуы жөніндегі талаптарды сақтау



12

Мыналарды:
электрондық ақпараттық ресурстарда (бұдан әрі – ЭАР) орналастыру, өзгерту және жою операцияларына санкция беру;
ЭАР-ды орналастыру, өзгерту және жою кезінде авторлықты тіркеу;
жүктелетін ЭАР-ды зиянды кодқа тексеру;
орындалатын код пен сценарийлердің қауіпсіздік аудиті;
орналастырылған ЭАР тұтастығын бақылау;
ЭАР өзгерістер журналын жүргізу;
пайдаланушылардың және бағдарламалық роботтардың қалыптан тыс белсенділігін мониторингтеуді орындайтын мазмұнды (контент) басқару жүйелерін қолдану бойынша ақпараттық ресурстардың АҚ (бұдан әрі – АР АҚ) қамтамасыз ету үшін талаптарды сақтау



13

Домендік аттың төлнұсқалылығын тексеру және АР АҚ қамтамасыз ету кезінде АКҚҚ пайдалана отырып, байланыс сеансындағы ақпаратты криптографиялық қорғау үшін тіркеу куәліктерін қолдану бойынша талапты сақтау



14

Виртуалдау технологиясын пайдалану кезінде сәйкестендіруді басқару бойынша талаптарды сақтау:
көрсетілетін ақпараттық-коммуникациялық қызметтер клиенттерін және ерекшеленген пайдаланушыларды аутентификациялауды;
пайдаланушыларды бір технологиялық платформа шегінде федеративтік сәйкестендіруді;
пайдаланушыны сәйкестендіргішті жойғаннан кейін аутентификация туралы ақпаратты сақтауды;
пайдаланушы өкілеттерінің бейіндерін тағайындау рәсімдерін бақылау құралдарын қолдануды талап ететін сәйкестендіруді басқару



15

Виртуалдау технологиясын пайдалану кезінде АҚ оқиғаларына аудит жүргізу бойынша талаптарды сақтау:
АҚ ТҚ-да айқындалатын рәсімдердің міндеттілігі мен тұрақтылығын;
барлық операциялық жүйелерге, клиенттік виртуалды машиналарға, желілік компоненттердің инфрақұрылымына арналған аудит рәсімдерін жүргізуді;
оқиғаларды тіркеу журналын жүргізуді және әкімшіге қолжетімсіз сақтау жүйесінде сақтауды;
оқиғаларды тіркеу журналын жүргізу жүйесі жұмысының дұрыстығын тексеруді;
оқиғаларды тіркеу журналдарын АҚ ТҚ-да сақтау ұзақтығын айқындауды талап ететін АҚ оқиғалары аудитін жүргізу



16

Виртуалдау технологиясын пайдалану кезінде АҚ оқиғаларын тіркеу талаптарын сақтау:
әкімшілердің іс-қимылын журналға енгізуді;
АҚ оқыс оқиғалары мен оқиғалар мониторингі жүйесін қолдануды;
сыни оқиғаны немесе АҚ оқыс оқиғаларын автоматты тану негізінде хабарландыруды талап ететін АҚ оқиғаларын тіркеу



17

Желілік және жүйелік әкімшілендіру рәсімдерін орындау бойынша талаптарды сақтау:
виртуалды машиналар кескіндерінің сақталуын, операциялық жүйенің, қосымшалардың, желілік конфигурацияның, МО немесе ұйымның БҚ және деректерінің зиянды қолтаңбалардың болуын бақылауды қамтамасыз ету;
сыртқы пайдаланушылардың аппараттық бөлікке кіруін болдырмау мақсатында аппараттық платформаны виртуалды машинаның операциялық жүйесінен бөлу



18

Резервтік көшіру жүйесімен деректерді сақтау жүйесін қамтамасыз ету бойынша талаптарды сақтау



19

Локалдық желілерді біріктіретін бөлінген байланыс арнасын ұйымдастыру кезінде ақпаратты қорғаудың бағдарламалық-техникалық құралдарын, оның ішінде криптографиялық шифрлауды АКҚҚ пайдалана отырып қолдану жөніндегі талаптарды сақтау



20

АКҚҚ пайдалана отырып ұйымдастырылған байланыс арналарын қоспағанда, ішкі контурдың ЖЖ және сыртқы контурдың ЖЖ бір-бірімен ұштасуын болдырмау жөніндегі талаптарды сақтау



21

Ведомстволық электрондық поштаны, жедел хабарламалар қызметін және өзге де сервистерді МО, ЖАО қызметшілерінің және мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның (бұдан әрі – АКИ) аса маңызды объектілері иелерінің: олар қызметтік міндеттерін атқарған кезде электрондық нысандағы жедел ақпарат алмасуды (қызметтік хат алмасуды) жүзеге асыру үшін, егер уәкілетті орган өзгеше белгілемесе, Қазақстан Республикасының аумағында нақты орналасқан электрондық поштаны, жедел хабар алмасу қызметін және өзге де сервистерді, басқару орталықтары мен серверлерді пайдалану жөніндегі талаптарды сақтауы



22

Локалдық желілердің белсенді жабдықтары үшін үздіксіз электрмен жабдықтаудың болуы.



23

Локалдық желінің кабельдік жүйесінің пайдаланылмайтын порттарын белсенді жабдықтан физикалық ажырату бойынша талапты сақтау



24

Желіаралық экрандауды пайдалану бойынша талаптарды сақтау



25

Серверлік үй-жайда орнатылған жабдықты техникалық сүйемелдеу кезінде құжаттаудың болуы:
1) жабдыққа қызмет көрсету;
2) аппараттық-бағдарламалық қамтылымның жұмысында пайда болатын проблемаларды жою;
3) кідірулер мен істен шығу фактілері, сондай-ақ қалпына келтіру жұмыстарының нәтижелері;
4) өте маңызды жабдыққа кепілдікті қызмет көрсету мерзімі аяқталған соң кепілдікті мерзімнен кейінгі қызмет көрсету құжатталады.
Құжаттау нысаны мен тәсілі өздігінен айқындалады



26

Серверлік үй-жайға санкцияланған кіруді және одан санкцияланған шығуды қамтамасыз ететін серверлік үй-жайда кіруді бақылау және басқару жүйесінің болуы. Кіру есігінің бөгегіш құрылғылары мен конструкциясы кіру есігінің тамбуры арқылы кіру сәйкестендіргіштерін кері бағытта беру мүмкіндігін болдырмауы тиіс.
Кіруді бақылау және басқару жүйесінің орталық басқару құрылғысы бөгде адамдардың кіруінен қорғалған жеке қызметтік үй-жайларда, күзет бекетінің үй-жайларында орнатылады. Күзет персоналы тарапынан жүйенің жұмыс режиміне әсер ететін кіруді бақылау және басқару жүйесінің бағдарламалық құралдарына қол жеткізуге жол берілмейді.
Кіруді бақылау және басқару жүйесін электрмен жабдықтау кезекші жарықтандыру қалқанының еркін тобынан жүзеге асырылады. Кіруді бақылау және басқару жүйесі резервтік электрмен қоректендірумен қамтамасыз етіледі



27

Серверлік үй-жайда орнатылған АКИ объектілерін сүйемелдеуді жүзеге асыру үшін уәкілетті тұлғалар тізімінің өзекті күйінде болуы



28

Серверлік үй-жайда микроклиматты қамтамасыз ету жүйесінің болуы:
микроклиматты қамтамасыз ету жүйесі ауаны баптау, желдету және микроклиматты бақылау жүйелерін қамтиды;
ауаны баптау жүйесі резервтеу арқылы қамтамасыз етіледі;
серверлік үй жайдың кондиционерлерін электрмен қоректендіру кепілді электрмен қоректендіру жүйесінен немесе үздіксіз электрмен қоректендіру жүйесінен жүзеге асырылады;
ауа баптау және желдету жүйелері өрт дабылы бойынша автоматты түрде ажыратылады.



29

Серверлік үй-жайда күзет дабылы жүйесінің болуы:
серверлік үй-жайдың күзет дабылы жүйесі ғимараттың қауіпсіздік жүйелерінен бөлек орындалады; құлақтандыру дабылдары тәулік бойы күзет үй-жайына жеке пульт түрінде шығарылады; серверлік үй-жайдың барлық кірістері мен шығулары, сондай-ақ серверлік үй-жайдың ішкі көлемі бақылауға және күзетуге жатады; күзет дабылы жүйесінің резервтік қоректендірудің өзіндік көзі болады.



30

Серверлік үй-жайда бейнебақылау жүйесінің болуы:
бейнебақылау жүйесі камераларының орналасуы серверлік үй-жайға барлық кірулер мен шығуларды, жабдықтың жанындағы кеңістік пен өтулерді бақылауды қамтамасыз етуді ескере отырып таңдалады;
көру бұрышы мен камералардың рұқсаты бетті тануды қамтамасыз етуі тиіс; камералардан алынған сурет тәулік бойы күзет үй-жайына жеке пультке шығарылады.



31

Серверлік үй-жайда өрт дабылы жүйесінің болуы:
серверлік үй жайдың өрт дабылы жүйесі ғимараттың өрт дабылынан бөлек орындалады;
сервер бөлмесінде датчиктердің екі түрі орнатылған: температура және түтін;
датчиктер серверлік үй-жайдың жалпы кеңістігін және көтерілген фальеденнен және (немесе) көтерілген фальштөбеден пайда болған көлемдерді бақылайды;
өрт дабылы жүйесінің хабарландыру сигналдары тәулік бойы күзет үй-жайына пультке шығарылады.



32

Серверлік үй-жайда өрт сөндіру жүйесінің болуы:
серверлік үй-жайдың өрт сөндіру жүйесі ғимараттың өрт сөндіру жүйесіне тәуелсіз газды өрт сөндірудің автоматты қондырғысымен жабдықталады;
өрт сөндіргіш ретінде газды өрт сөндірудің автоматты қондырғысында арнайы улы емес газ пайдаланылады; ұнтақты және сұйық өрт сөндіргіштер пайдаланылмайды;
газды өрт сөндіру қондырғысы тікелей серверлік үй жайда немесе оның жанында осы үшін арнайы жабдықталған шкафта орналастырылады;
өрт сөндіру жүйесін іске қосу түтіннің пайда болуына жауап беретін өртті ерте анықтау датчиктерінен, сондай-ақ үй-жайдан шығатын жерде орналасқан қол датчиктерінен жүргізіледі;
өрт сөндіру жүйесінің іске қосылуы туралы хабарлама үй-жайдың ішінде және сыртында орналастырылатын таблоға шығарылады.



33

Серверлік үй-жайда кепілдендірілген электрмен жабдықтау жүйесінің болуы:
электр энергиясының барлық көздері негізгі енгізуде электр қуатын беруді тоқтату, үзіліс кезінде электр қуатын резервтік енгізуге автоматты түрде ауыстыруды жүзеге асыратын резервті енгізу автоматына беріледі;
кепілдендірілген электрмен жабдықтау жүйесі үздіксіз қоректендіру көздері арқылы серверлік үй-жай жабдықтары мен жүйелерін электрмен жабдықтауды көздейді.



34

Серверлік үй-жайда жерге тұйықтау жүйесінің болуы:
серверлік үй жайдың жерге тұйықтау жүйесі ғимараттың қорғаныш жерге тұйықталуынан бөлек орындалады;
серверлік үй-жайдың барлық металл бөліктері мен конструкциялары ортақ жерге тұйықтау шинасымен жерге тұйықталады. Жабдығы бар әрбір шкаф (тірек) ортақ жерге тұйықтау шинасына қосылатын жеке өткізгішпен жерге тұйықталады;
ақпаратты өңдеу жабдығының ашық өткізгіш бөліктері электр қондырғысының негізгі жерге тұйықтау қысқышына қосылуы тиіс;
кернеуден қорғау құрылғыларын негізгі жерге тұйықтау шинасына қосатын жерге тұйықтау өткізгіштері ең қысқа және тік (бұрыштары жоқ) болуы тиіс.



35

Кростық үй-жайда электромагниттік кедергілердің қуатты көздерінің (трансформаторлар, электр қалқандары, электр қозғалтқыштар және басқалары) болмауы



36

Сумен жабдықтау жүйесінің бұрандалары мен құбырларының болмауы



37

Кростық үй-жайда өрт қауіпсіздігі жүйесінің болуы



38

Кростық үй-жайда жеңіл жанатын материалдардың (ағаш сөрелер, картон, кітаптар және басқалары) болмауы



39

Кростық үй-жайда жоба бойынша шкафты қосу үшін автоматтан бөлек жеке электр қуатталу желісінің болуы



40

Кростық үй-жайда сигнализациялық күзет жүйесінің, кіруді бақылау жүйесінің болуы



41

Кростық үй-жайда ауа баптау жүйесінің болуы



42

Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде құралдар мен жүйелер пайдаланылады:
оқиғаларды және АҚ оқыс оқиғаларын ақпараттық инфрақұрылымды мониторингтеу және басқару;
басып кірудің алдын алу және анықтау.



43

Ақпараттық қауіпсіздіктің жеке жедел орталығын құру және оның жұмыс істеуін қамтамасыз ету немесе үшінші тұлғалардан ақпараттық қауіпсіздіктің жедел орталығының қызметтерін сатып алу жөніндегі талаптарды сақтау, сондай-ақ оның Ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығымен өзара іс-қимылы



44

Тіркелген. KZ және (немесе). ҚАЗ домендік атауы бар интернет-ресурсты Қазақстан Республикасының аумағында орналасқан аппараттық-бағдарламалық кешенде орналастыру жөніндегі талапты сақтау.
Интернеттің қазақстандық сегментінің кеңістігінде. KZ және (немесе). ҚАЗ домендік аттарын пайдалану қауіпсіздік сертификаттарын қолдану арқылы жүзеге асырылу талаптарын сақтау



45

Серверлік жабдықтың конфигурациясын тексере отырып, оны тұрақты негізде түгендеу жүргізу жөніндегі талаптарды сақтау



46

Сенім білдірілген бағдарламалық қамтылым және электрондық өнеркәсіп өнімдерінің тізілімінен елдің қорғанысы мен мемлекеттің қауіпсіздігі үшін АҚ қамтамасыз ету талаптарын іске асыру мақсатында тауарларды сатып алу жөніндегі талаптарды сақтау. Бұл ретте, Сенім білдірілген бағдарламалық қамтылым мен электрондық өнеркәсіп өнімдерінің тізілімінде қажетті өнім болмаған жағдайда тауарларды сатып алуға жол беріледі.



47

МО-да, ЖАО-да немесе ұйымда АҚ-ның бұзылу оқиғаларын бақылау мақсатында талаптарды сақтау:
1) АҚ-ны бұзуға байланысты оқиғалар мониторингі мен мониторинг нәтижелерін талдау жүргізіледі;
2) АҚ-ның жай-күйіне байланысты оқиғалар тіркеліп, оқиғалар журналдарын, оның ішінде:
операциялық жүйелердің оқиғалар журналдарын;
дерекқорларды басқару жүйелерінің оқиғалар журналдарын;
вирусқа қарсы қорғау оқиғаларының журналдарын;
қолданбалы БҚ оқиғалар журналдарын;
телекоммуникациялық жабдықтың оқиғалар журналдарын;
шабуылдарды анықтау және алдын алу жүйелерінің оқиғалар журналдарын;
контентті басқару жүйесі оқиғаларының журналын талдау арқылы бұзушылықтар анықталады;
3) оқиғаларды тіркеу журналдарындағы уақытты уақыт көзінің инфрақұрылымымен үйлесімді қамтамасыз ету;
4) оқиғаларды тіркеу журналдарын АҚ ТҚ-да көрсетілген мерзім ішінде сақтау, бірақ үш жылдан кем емес және екі айдан кем емес жедел қолжетімділікте болады;
5) оқиғаларды тіркеу журналдарын жүргізу;
6) оқиғаларды тіркеу журналдарын араласудан және рұқсатсыз кіруден қорғауды қамтамасыз ету. Жүйелік әкімшілерде журналдарды өзгертуге, жоюға және өшіруге өкілеттіктердің болуына жол бермеу. Құпия АЖ журналдардың резервтік қоймасын құруды және жүргізуді талап етеді;
6) оқиғаларды тіркеу журналдарын араласудан және авторланбаған қолжетімділіктен қорғау қамтамасыз етіледі. Жүйе әкімшілеріне журналдарды өзгертуге, жоюға және ажыратуға өкілеттік беруге жол берілмейді. Құпия АЖ үшін журналдардың резервтік қоймасын құру және оны жүргізу талап етіледі;
7) АҚ оқыс оқиғалары туралы хабардар етудің және АҚ-ның оқыс оқиғаларына әрекет етудің формальді рәсімін енгізу қамтамасыз етіледі.



48

ЭАР, АЖ, АКИ ақпараттық қауіпсіздігін қамтамасыз етуге бөгде ұйымдарды тартқан жағдайда олардың иесі немесе иеленушісі аталған объектілермен жұмыс істеу, оларға қол жеткізу немесе пайдалану шарттары, сондай-ақ оларды бұзғаны үшін жауапкершілігі белгіленетін келісімдерінің болуы



49

Жұмыстан босатылған немесе еңбек шартының талаптарына өзгерістер енгізілген кезде МО, ЖАО қызметшісінің немесе ұйым қызметкерінің жеке және логикалық қолжетімділікті, қол жеткізу, жазылу сәйкестендіргіштерін, оны МО, ЖАО жұмыс істейтін қызметшісі немесе ұйым жұмыскері ретінде сәйкестендіретін құжаттаманы қамтитын ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары оның еңбек шарты тоқтатылғаннан кейін жойылады немесе еңбек шартының талаптарына өзгерістер енгізілген кезде өзгертілу талаптарын сақтау



50

Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізу талаптарын сақтау



51

Мемлекеттік техникалық қызметтің компьютерлік оқыс оқиғаларға әрекет ету қызметінде құпиялылық, қолжетімділік және тұтастық үшін маңызды деп анықталған оқиғаларды тіркеу жөніндегі талаптарды сақтау
АҚ оқиғаларының мониторингін талдау және оқиғалар журналын талдау нәтижелері бойынша



52

Екінші деңгейдегі банктерді қоспағанда, заңмен қорғалатын құпияны қамтитын деректерді өңдейтін АКИ аса маңызды объектілерінің иелеріне жылына кемінде бір рет ақпараттық қауіпсіздік аудитін жүргізу жөніндегі талаптарды сақтау.



53

АЖ-ды, БҚ-ны немесе СБӨ-ні есептен шығарған кезде ЭАР иесі және (немесе) иеленушісі ЭАР қалпына келтіру бойынша нұсқаулық дайындау арқылы есептен шығарылатын АЖ дерекқорын басқару жүйесінің кіріктірілген функционалы арқылы дерекқорының құрылымын және мазмұнын сақтауды қамтамасыз ету талаптарын сақтау



54

Сервистік бағдарламалық өнімді өнеркәсіптік пайдалану кезінде АҚ талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар актінің болуы



55

Әзірленетін немесе сатып алынатын дайын қолданбалы БҚ пайдаланушы интерфейсін пайдаланушының тіл интерфейсін таңдау мүмкіндігімен, деректерді қазақ, орыс және қажет болған жағдайда басқа тілдерде енгізуді, өңдеу мен шығаруды қамтамасыз ету талаптарын сақтау



56

МО, ЖАО немесе ұйым:
пайдаланушылар мен персоналдың іс-қимылы;
ақпаратты өңдеу құралдарын қолдану мониторингін жүзеге асырады.



57

Әзірленетін немесе сатып алынатын дайын қолданбалы БҚ
қазақ және орыс тілдерінде пайдалану жөніндегі техникалық құжаттамамен қамтамасыз ету талаптарын сақтау



58

Ендірілген жүйелер серверінің жоғары қолжетімділігін қамтамасыз ету жөніндегі талаптарды сақтау: 1) резервтік желдеткіштерді, қуат көздерін, дискілерді және енгізу-шығару адаптерлерін қызу ауыстыру; 2) сыни оқиғалар туралы ескертулер; 3) сыни компоненттердің жай-күйін үздіксіз бақылауды қолдау және бақыланатын көрсеткіштерді өлшеу



59

Құпия АЖ-да, құпия ЭАР-да және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР-да пайдаланылатын ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жоюдың бағдарламалық және аппараттық қамтылымы қолдану жөніндегі талапты сақтау



60

Локалдық желі схемасының болуы



61

Аппараттық-бағдарламалық кешен және деректерді сақтау жүйесінің серверлік жабдығы серверлік үй-жайда орналастырылу талаптарын сақтау



62

Серверлік үй-жай өте алмайтын, терезе ойықтары жоқ бөлек үй-жайларда орналастыру. Терезе ойықтары болған жағдайда, олар жабылады немесе жанбайтын материалдармен бекітіледі. Қабырға, төбе мен еден сырттары үшін шаң шығармайтын және жинамайтын материалдар пайдаланылу. Еден жабыны үшін антистатикалық қасиеті бар материалдар пайдаланылады. Серверлік үй-жай ластайтын заттардың кіруінен қорғалады. Серверлік үй-жайдың қабырғалары, есіктері, төбесі, едені және аралықтары үй-жайдың герметикалығын қамтамасыз ету талаптарын сақтау



63

Серверлік үй-жай кабельдік жүйелер мен инженерлік коммуникацияларды орналастыруға арналған фальшеденмен және (немесе) фальштөбемен жабдықталудың болуы



64

Серверлік үй-жай арқылы кез келген транзиттік коммуникациялардан өту бойынша алып тастау жөніндегі талаптарды сақтау. Кәдімгі және өртке қарсы сумен жабдықтау, жылыту және кәріз трассалары серверлік үй-жайдан тыс шығарылады және жоғарғы қабаттарда серверлік үй-жайдың үстіне орналастырылмайды.



65

Негізгі және резервтік серверлік үй-жайлардың бір-бірінен шалғайдағы ғимараттарда қауіпсіз қашықтықта орналасуы бойынша талаптарды сақтау.
Резервтік серверлік үй жайларға қойылатын талаптар негізгі серверлік үй жайларға қойылатын талаптармен бірдей.



66

Серверлік үй-жайда екінші және үшінші сыныпты ақпараттандыру объектілерімен бірінші сыныпты ақпараттандыру объектілерінің сыныптауышына сәйкес жататын бір виртуалды ортада, бір серверлік жабдықта, бір монтаждық шкафта немесе ЭАР, ИР, СБӨ, АЖ тірегінде орналастыруды алып тастау жөніндегі талаптарды сақтау



      Лауазымды адам (-дар)__________________________________ ____________________

      лауазымы қолы

      __________________________________________________________________________

      тегі, аты, әкесінің аты (бар болған жағдайда)

      Бақылау субъектісінің басшысы ________________________ ______________________

      лауазымы қолы

      __________________________________________________________________________

      тегі, аты, әкесінің аты (бар болған жағдайда)

О внесении изменений в совместный приказ Заместителя Премьер – Министра Республики Казахстан – Министра оборонной и аэрокосмической промышленности Республики Казахстан от 29 января 2019 года №13/НҚ и Министра национальной экономики Республики Казахстан от 29 января 2019 года №12 "Об утверждении критериев оценки степени риска и проверочных листов в сфере информатизации в части обеспечения информационной безопасности"

Совместный приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 20 января 2023 года № 21/НҚ и Министра национальной экономики Республики Казахстан от 23 января 2023 года № 8. Зарегистрирован в Министерстве юстиции Республики Казахстан 27 января 2023 года № 31795

      Примечание ИЗПИ!
      Вводится в действие с 01.01.2023

      ПРИКАЗЫВАЕМ:

      1. Внести в совместный приказ Заместителя Премьер – Министра Республики Казахстан – Министра оборонной и аэрокосмической промышленности Республики Казахстан от 29 января 2019 года №13/НҚ и Министра национальной экономики Республики Казахстан от 29 января 2019 года №12 "Об утверждении критериев оценки степени риска и проверочных листов сфере информатизации в части обеспечения информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 18269) следующие изменения:

      исключить подпункты 1) и 2) пункта 1;

      Проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных юридических лиц, субъектов квазигосударственного сектора, собственников и владельцев негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры, утвержденный совместным указанным приказом, изложить в новой редакции согласно приложению к настоящему совместному приказу.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательном порядке обеспечить:

      1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего совместного приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий совместный приказ вводится в действие c 1 января 2023 года и подлежит официальному опубликованию.

      Министр национальной экономики
Республики Казахстан
__________ А. Куантыров
      Министр цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
__________ Б. Мусин

      "СОГЛАСОВАН"
Комитет по правовой статистике
и специальным учетам
Генеральной прокуратуры
Республики Казахстан

  Приложение
к совместному приказу
Министра национальной экономики
Республики Казахстан
от 23 января 2023 года № 8
и Министр цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 20 января 2023 года № 21/НҚ
  Приложение 3
к совместному приказу
Заместителя Премьер-Министра
Республики Казахстан
– Министра оборонной
и аэрокосмической промышленности
Республики Казахстан
от 29 января 2019 года № 13/НҚ
и Министра национальной экономики
Республики Казахстан
от 29 января 2019 года № 12

Проверочный лист в сфере информатизации в части обеспечения информационной безопасности
_________________________________________________________________
в соответствии со статьей 138

      __________________________________________________________________
Предпринимательского кодекса Республики Казахстан
в отношении: государственных юридических лиц, субъектов
квазигосударственного сектора, собственников и владельцев негосударственных
информационных систем, интегрируемых с информационными системами
государственных органов или предназначенных для формирования государственных
электронных информационных ресурсов, а также собственников и владельцев
критически важных объектов информационно-коммуникационной инфраструктуры
____________________________________________________________________
наименование однородной группы субъектов (объектов) контроля
____________________________________________________________________
____________________________________________________________________
Государственный орган, назначивший проверку __________________________
____________________________________________________________________
Акт о назначении проверки ____________________________________________
№, дата
Наименование субъекта (объекта) контроля ______________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный номер
субъекта (объекта) контроля ___________________________________________
Адрес места нахождения ______________________________________________

Перечень требований

Соответствует требованиям

Не соответствует требованиям

1

2

3

4

1

Соблюдение требования по осуществлению подключения локальных, ведомственных и корпоративных сетей телекоммуникаций государственных органов, местным исполнительным органом, государственных юридических лиц, субъектов квазигосударственного сектора, а также владельцев критически важных объектов информационно-коммуникационной инфраструктуры (далее - ИКИ) к Интернету операторами связи через единый шлюз доступа к Интернету



2

Соблюдение требования по оповещению владельцем критически важных объектов информационно-коммуникационной инфраструктуры Национального координационного центра информационной безопасности об инцидентах информационной безопасности и о результатах реагирования на них



3

Соблюдение требования по применению средств:
идентификации, аутентификации и управления доступом пользователей;
идентификации оборудования;
защиты диагностических и конфигурационных портов;
физического сегментирования локальной сети;
логического сегментирования локальной сети;
управления сетевыми соединениями;
межсетевого экранирования;
сокрытия внутреннего адресного пространства локальной сети;
контроля целостности данных, сообщений и конфигураций;
криптографической защиты информации



4

Соблюдение требования мониторинга обеспечения ИБ, защиты и безопасного функционирования при эксплуатации объектов информатизации



5

Наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет при организации доступа к Интернету из локальных сетей внешнего контура



6

Наличие подразделения ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определение должностного лица, ответственного за обеспечение ИБ, с прохождением специализированных курсов в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата



7

Наличие и соответствие нормативно-технической документации (далее – ТД) по обеспечению ИБ, в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется государственные органы (далее - ГО), местным исполнительным органом (далее - МИО) или организация в своей деятельности.
ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации. ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.
1. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.
2. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:
1) методика оценки рисков ИБ;
2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
5) правила проведения внутреннего аудита ИБ;
6) правила использования средств криптографической защиты информации (далее - СКЗИ);
7) правила разграничения прав доступа к электронным информационным ресурсам;
8) правила использования Интернет и электронной почты;
9) правила организации процедуры аутентификации;
10) правила организации антивирусного контроля;
11) правила использования мобильных устройств и носителей информации;
12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.
3. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:
1) каталог угроз (рисков) ИБ;
2) план обработки угроз (рисков) ИБ;
3) регламент резервного копирования и восстановления информации;
4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
5) руководство администратора по сопровождению объекта информатизации;
6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.
4. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:
1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;
2) журнал посещения серверных помещений;
3) отчет о проведении оценки уязвимости сетевых ресурсов;
4) журнал учета кабельных соединений;
5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;
6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений свободного программного обеспечения (далее - СПО) и прикладного программного обеспечения (далее - ППО) информационных систем (далее - ИС), регистрации и устранения уязвимостей программного обеспечения (далее - ПО);
7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;
8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений



8

Соблюдение требования при доступе к объектам информатизации первого и второго классов в соответствии с классификатором по применению многофакторной аутентификации, в том числе с использованием электронной цифровой подписи



9

Соблюдение требования по внесению в должностные инструкции и (или) условия трудового договора функциональных обязанностей по обеспечению ИБ и обязательств по исполнению требований ТД ИБ служащих ГО, МИО или работников организации



10

Соблюдение требования по применению СКЗИ



11

Соблюдение требования по хранению, восстановлению государственных электронных информационных ресурсов, содержащихся в информационной системе, сохранности государственных электронных информационных ресурсов



12

Соблюдение требования для обеспечения ИБ информационных ресурсов (далее – ИБ ИР) по применению
систем управления содержимым (контентом), выполняющая:
санкционирование операций размещения, изменения и удаления в электронных информационных ресурсах (далее – ЭИР);
регистрацию авторства при размещении, изменении и удалении ЭИР;
проверку загружаемого ЭИР на наличие вредоносного кода;
аудит безопасности исполняемого кода и скриптов;
контроль целостности размещенного ЭИР;
ведение журнала изменений ЭИР;
мониторинг аномальной активности пользователей и программных роботов



13

Соблюдение требования по применению регистрационных свидетельств для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ при обеспечении ИБ ИР



14

Соблюдения требования по управлению идентификацией при использовании технологии виртуализации:
аутентификация клиентов информационно-коммуникационных услуг и привилегированных пользователей;
федеративной идентификации пользователей в пределах одной технологической платформы;
сохранения информации об аутентификации после удаления идентификатора пользователя;
применения средств контроля процедур назначения профилей полномочий пользователя



15

Соблюдение требования по проведению аудита событий ИБ при использовании технологии виртуализации:
обязательность и регулярность процедур, определяемых в ТД ИБ;
проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;
ведения журнала регистрации событий и хранения в недоступной для администратора системе хранения;
проверки правильности работы системы ведения журнала регистрации событий;
определения длительности хранения журналов регистрации событий в ТД ИБ



16

Соблюдение требования регистрации событий ИБ при использовании технологии виртуализации:
журналирования действий администраторов;
применения системы мониторинга инцидентов и событий ИБ;
оповещения на основе автоматического распознавания критического события или инцидента ИБ



17

Соблюдение требования по исполнению процедур сетевого и системного администрирования:
обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур;
отделения аппаратной платформы от операционной системы виртуальной машины c целью исключения доступа внешних пользователей к аппаратной части



18

Соблюдение требования по обеспечению системы хранения данных системой резервного копирования



19

Соблюдение требования по применению программно-технических средств защиты информации, в том числе криптографического шифрования, с использованием СКЗИ при организации выделенного канала связи, объединяющего локальные сети



20

Соблюдение требования по исключению сопряжения ЛС внутреннего контура и ЛС внешнего контура между собой, за исключением организованных каналов связи с использованием СКЗИ



21

Соблюдение требовании по использованию
ведомственной электронной почты, службы мгновенных сообщений и иных сервисов; электронной почты, службы мгновенных сообщений и иных сервисов, центры управления и сервера которых физически размещены на территории Республики Казахстан, если иное не установлено уполномоченным органом, для осуществления оперативного информационного обмена в электронной форме служащими ГО, МИО и работниками государственных юридических лиц, субъектами квазигосударственного сектора, а также владельцами критически важных объектов информационно-коммуникационной инфраструктуры (далее - ИКИ) при исполнении ими служебных обязанностей



22

Наличие бесперебойного электропитания для активного оборудования локальных сетей



23

Соблюдение требования по физическому отключению неиспользуемых портов кабельной системы локальной сети от активного оборудования



24

Соблюдение требования по применению межсетевого экранирования



25

Наличие документирования при техническом сопровождении оборудования, установленного в серверном помещении:
1) обслуживание оборудования;
2) устранение проблем, возникающих при работе аппаратно-программного обеспечения;
3) факты сбоев и отказов, а также результаты восстановительных работ;
4) послегарантийное обслуживание критически важного оборудования по истечении гарантийного срока обслуживания



26

Наличие системы контроля и управления доступом в серверном помещении обеспечивающие санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери.
Устройство центрального управления системы контроля и управления доступом устанавливается в защищенных от доступа посторонних лиц отдельных служебных помещениях, помещении поста охраны. Доступ к программным средствам системы контроля и управления доступом, влияющим на режимы работы системы, со стороны персонала охраны исключить.
Электроснабжение системы контроля и управления доступом осуществляется от свободной группы щита дежурного освещения. Система контроля и управления доступом обеспечивается резервным электропитанием



27

Наличие в актуальном состоянии списка лиц, авторизованных для осуществления сопровождения объектов ИКИ, установленных в серверном помещении



28

Наличие системы обеспечения микроклимата в серверном помещении:
система обеспечения микроклимата включает системы кондиционирования, вентиляции и мониторинга микроклимата;
система кондиционирования воздуха обеспечивается резервированием;
электропитание кондиционеров серверного помещения осуществляется от системы гарантированного электропитания или системы бесперебойного электропитания;
системы кондиционирования и вентиляции отключаются автоматически по сигналу пожарной сигнализации



29

Наличие системы охранной сигнализации в серверном помещении:
система охранной сигнализации серверного помещения выполняется отдельно от систем безопасности здания; сигналы оповещения выводятся в помещение круглосуточной охраны в виде отдельного пульта; контролю и охране подлежат все входы и выходы серверного помещения, а также внутренний объем серверного помещения; система охранной сигнализации имеет собственный источник резервированного питания



30

Наличие системы видеонаблюдения в серверном помещении:
расположение камер системы видеонаблюдения выбирается с учетом обеспечения контроля всех входов и выходов в серверное помещение, пространства и проходов возле оборудования;
угол обзора и разрешение камер должны обеспечить распознавание лиц; изображение с камер выводится на отдельный пульт в помещение круглосуточной охраны



31

Наличие системы пожарной сигнализации в серверном помещении:
система пожарной сигнализации серверного помещения выполняется отдельно от пожарной сигнализации здания;
в серверном помещении устанавливаются два типа датчиков: температурные и дымовые;
датчиками контролируются общее пространство серверного помещения и объемы, образованные фальшполом и (или) фальшпотолком;
сигналы оповещения системы пожарной сигнализации выводятся на пульт в помещение круглосуточной охраны



32

Наличие системы пожаротушения в серверном помещении:
система пожаротушения серверного помещения оборудуется автоматической установкой газового пожаротушения, независимой от системы пожаротушения здания;
в качестве огнегасителя в автоматической установке газового пожаротушения используется специальный нетоксичный газ; порошковые и жидкостные огнегасители не используются;
установка газового пожаротушения размещается непосредственно в серверном помещении или вблизи него в специально оборудованном для этого шкафу;
запуск системы пожаротушения производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также ручных датчиков, расположенных у выхода из помещения;
оповещение о срабатывании системы пожаротушения выводится на табло, размещаемые внутри и снаружи помещения.



33

Наличие системы гарантированного электропитания в серверном помещении:
все источники электроэнергии подаются на автомат ввода резерва, осуществляющий автоматическое переключение на резервный ввод электропитания при прекращении, перерыве подачи электропитания на основном вводе;
система гарантированного электропитания предусматривает электроснабжение оборудования и систем серверного помещения через источники бесперебойного питания



34

Наличие системы заземления в серверном помещении:
система заземления серверного помещения выполняется отдельно от защитного заземления здания;
все металлические части и конструкции серверного помещения заземляются с общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемым с общей шиной заземления;
открытые токопроводящие части оборудования обработки информации должны быть соединены с главным заземляющим зажимом электроустановки;
заземляющие проводники, соединяющие устройства защиты от перенапряжения с главной заземляющей шиной, должны быть самыми короткими и прямыми (без углов)



35

Отсутствие мощных источников электромагнитных помех (трансформаторов, электрических щитов, электродвигателей и прочее) в кроссовом помещении



36

Отсутствие труб и вентилей системы водоснабжения в кроссовом помещении



37

Наличие систем пожарной безопасности в кроссовом помещении



38

Отсутствие легко возгораемых материалов (деревянные стеллажи, картон, книги и прочее) в кроссовом помещении



39

Наличие в кроссовом помещении отдельной линии электропитания от отдельного автомата для подключения шкафа по проекту



40

Наличие в кроссовом помещении систем охранной сигнализации, контроля доступа



41

Наличие в кроссовом помещении системы кондиционирования



42

На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:
мониторинга и управления инцидентами и событиями ИБ информационной инфраструктурой;
обнаружения и предотвращения вторжений



43

Соблюдение требований по созданию собственного оперативного центра информационной безопасности и обеспечению его функционирования или приобретению услуг оперативного центра информационной безопасности у третьих лиц, а также взаимодействие его с Национальным координационным центром информационной безопасности



44

Соблюдение требования по размещению на Интернет-ресурсе с зарегистрированным доменным именем .KZ и (или) .ҚАЗ на аппаратно-программном комплексе, который расположен на территории Республики Казахстан.
Использование доменных имен .KZ и (или).ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных Интернет-ресурсами осуществляется с применением сертификатов безопасности



45

Соблюдение требования по проведению на регулярной основе инвентаризации серверного оборудования с проверкой его конфигурации



46

Соблюдение требований по приобретению товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства из реестра доверенного программного обеспечения и продукции электронной промышленности.
При этом, в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции, допускается приобретение товаров



47

Соблюдение требований по контролю событий нарушений ИБ в ГО, МИО или организации:
1) проведение мониторинга событий, связанных с нарушением ИБ, и анализ результатов мониторинга;
2) регистрация события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:
журналов событий операционных систем;
журналов событий систем управления базами данных;
журналов событий антивирусной защиты;
журналов событий прикладного ПО;
журналов событий телекоммуникационного оборудования;
журналов событий систем обнаружения и предотвращения атак;
журналов событий системы управления контентом;
3) обеспечение синхронизации времени журналов регистрации событий с инфраструктурой источника времени;
4) хранение журналов регистрации событий в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;
5) ведение журналов регистрации событий
6) обеспечение защиты журналов регистрации событий от вмешательства и неавторизированного доступа. Не допущение наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;
7) обеспечение внедрения формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ



48

Наличие соглашения, в котором устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение при привлечении сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ



49

Соблюдение требований при увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора



50

Соблюдение требования кадровой службой организации и ведения учета прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ



51

Соблюдение требования по регистрации в службе реагирования на компьютерные инциденты государственной технической службы событий, идентифицированных как критические для конфиденциальности, доступности и целостности
по результатам анализа мониторинга событий ИБ и анализа журнала событий



52

Соблюдение требования по проведению аудита ИБ не реже одного раз в год, владельцам критически важных объектов ИКИ, обрабатывающий данные, содержащие охраняемую законом тайну, за исключением банков второго уровня



53

Соблюдение требования при списании ИС, ПО или сервисного программного продукта по обеспечению сохранения структуры и содержания базы данных посредством встроенного функционала системы управления базы данных списываемой ИС с подготовкой инструкции по восстановлению ЭИР



54

Наличие акта с положительным результатом испытаний на соответствие требованиям ИБ



55

Соблюдение требования по обеспечению разрабатываемого или приобретаемого готового прикладного ПО
интерфейсом пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса



56

Соблюдение требования по осуществлению мониторинга:
действий пользователей и персонала;
использования средств обработки информации



57

Соблюдение требования по обеспечению разрабатываемого или приобретаемого готового прикладного ПО технической документацией по эксплуатации на казахском и русском языках



58

Соблюдение требования по обеспечению высокой доступности сервера встроенных систем:
1) горячей замены резервных вентиляторов, блоков питания, дисков и адаптеров ввода-вывода;
2) оповещения о критических событиях;
3) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей



59

Наличие программного и аппаратного обеспечения гарантированного уничтожения информации при выводе из эксплуатации носителей информации, используемых в конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа



60

Наличие схемы локальной сети



61

Наличие в серверном помещении серверное оборудование аппаратно-программный комплекс и системы хранения данных



62

Соблюдение требования по расположению серверного помещения в отдельных, непроходных помещениях без оконных проемов. В случае наличия оконных проемов, они закрываются или заделываются негорючими материалами.
Для поверхности стен, потолков и пола применяются материалы, не выделяющие и не накапливающие пыль. Для напольного покрытия применяются материалы с антистатическими свойствами. Серверное помещение защищается от проникновения загрязняющих веществ.
Стены, двери, потолок, пол и перегородки серверного помещения обеспечивают герметичность помещения



63

Наличие в серверном помещений фальшпола и (или) фальшпотолка для размещения кабельных систем и инженерных коммуникаций



64

Соблюдение требования по исключению через серверное помещение прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением на верхних этажах



65

Соблюдение требования по расположению основных и резервных серверных помещений на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям



66

Соблюдение требования по исключению в серверном помещении размещения в одной виртуальной среде, одном серверном оборудовании, одном монтажном шкафу или стойке ЭИР, ИР, СПП, ИС, относящихся в соответствии с классификатором объектов информатизации первого класса с объектами информатизации второго и третьего класса



      Должностное (ые) лицо (а)
_________________________________ ____________
должность подпись
______________________________________________
фамилия, имя, отчество (при наличии)
Руководитель субъекта контроля
___________________________________ ___________
должность подпись
_______________________________________________
фамилия, имя, отчество (при наличии)