О внесении изменений и дополнений в постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности"

Постановление Правительства Республики Казахстан от 13 мая 2024 года № 372.

      Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности" следующие изменения и дополнения:

      в единых требованиях в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных указанным постановлением:

      пункт 6 изложить в следующей редакции:

      "6. Для целей настоящих ЕТ в них используются следующие определения:

      1) средство криптографической защиты информации (далее – СКЗИ) – программное обеспечение или аппаратно-программный комплекс, реализующие алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;

      2) активы, связанные со средствами обработки информации (далее – актив), – материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеет ценность для организации в интересах достижения целей и непрерывности ее деятельности;

      3) маркировка актива, связанного со средствами обработки информации, – нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;

      4) техническая документация по информационной безопасности (далее – ТД ИБ) – документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации;

      5) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      6) мониторинг событий информационной безопасности (далее – мониторинг событий ИБ) – постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;

      7) система мониторинга обеспечения информационной безопасности – организационные и технические мероприятия, направленные на проведение мониторинга безопасного использования информационно-коммуникационных технологий;

      8) оперативный центр информационной безопасности – юридическое лицо или структурное подразделение юридического лица, осуществляющие деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;

      9) внутренний аудит информационной безопасности – объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах;

      10) программный робот – программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и (или) по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным на веб-страницах;

      11) система предотвращения утечки данных (DLP) – средство защиты информации, предназначенное для предотвращения утечек электронных информационных ресурсов ограниченного доступа;

      12) нагруженное (горячее) резервирование оборудования – использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса;

      13) не нагруженное (холодное) резервирование оборудования – использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса;

      14) межсетевой экран – аппаратно-программный или программный комплекс, функционирующий в информационно-коммуникационной инфраструктуре, осуществляющий контроль и фильтрацию сетевого трафика в соответствии с заданными правилами;

      15) рабочая станция – стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач;

      16) системное программное обеспечение – совокупность программного обеспечения для обеспечения работы вычислительного оборудования;

      17) интернет-браузер – прикладное программное обеспечение, предназначенное для визуального отображения содержания интернет-ресурсов и интерактивного взаимодействия с ним;

      18) кодированная связь – защищенная связь с использованием документов и техники кодирования;

      19) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

      20) кроссовое помещение – телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;

      21) прикладное программное обеспечение (далее – ППО) – комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;

      22) засекреченная связь – защищенная связь с использованием засекречивающей аппаратуры;

      23) масштабируемость – способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;

      24) серверный центр государственных органов (далее – серверный центр ГО) – серверное помещение (центр обработки данных), собственником и владельцем которого является оператор информационно-коммуникационной инфраструктуры "электронного правительства", предназначенное для размещения объектов информатизации "электронного правительства";

      25) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;

      26) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

      27) прокси-сервер – промежуточный сервер, участвующий в интернет-соединении между компьютерами/серверами, через который происходит обмен информацией в целях ее защиты от сетевых атак;

      28) серверное помещение (центр обработки данных) – помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;

      29) регистрационное свидетельство (далее – цифровой сертификат) – электронный документ, выдаваемый удостоверяющим центром для подтверждения соответствия электронной цифровой подписи требованиям, установленным Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи";

      30) локальная сеть внешнего контура (далее – ЛС внешнего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внешнему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с Интернетом, доступ к которому для субъектов информатизации предоставляется операторами связи только через единый шлюз доступа к Интернету;

      31) терминальная система – тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами – тонкими клиентами в клиент-серверной архитектуре;

      32) инфраструктура источника времени – иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;

      33) субъекты информатизации, определенные уполномоченным органом, – государственные органы, их подведомственные организации и органы местного самоуправления, а также иные субъекты информатизации, использующие единую транспортную среду государственных органов для взаимодействия локальных (за исключением локальных сетей, имеющих доступ к Интернету), ведомственных и корпоративных сетей;

      34) организация – государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры;

      35) правительственная связь – специальная защищенная связь для нужд государственного управления;

      36) федеративная идентификация – комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения;

      37) шифрованная связь – защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники;

      38) локальная сеть внутреннего контура (далее – ЛС внутреннего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внутреннему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с единой транспортной средой государственных органов;

      39) единый репозиторий "электронного правительства" – хранилище исходных кодов и скомпонованных из них исполняемых кодов объектов информатизации "электронного правительства";

      40) внешний шлюз "электронного правительства" (далее – ВШЭП) – подсистема шлюза "электронного правительства", предназначенная для обеспечения взаимодействия информационных систем, находящихся в ЕТС ГО, с информационными системами, находящимися вне ЕТС ГО.";

      пункт 13 изложить в следующей редакции:

      "13. Обеспечение ГО и МИО товарами, работами и услугами в сфере информатизации осуществляется путем закупа с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчеты расходов на государственные закупки товаров, работ и услуг в сфере информатизации, за исключением специальных государственных органов Республики Казахстан.";

      подпункт 7) пункта 14 исключить;

      пункты 14-1 и 15 изложить в следующей редакции:

      "14-1. Собственники и (или) владельцы обеспечивают ввод в промышленную эксплуатацию объекта информатизации "электронного правительства" с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория "электронного правительства".

      15. Рабочее пространство в ГО и МИО организуется в соответствии с санитарными правилами "Санитарно-эпидемиологические требования к административным и жилым зданиям", утвержденными приказом Министра здравоохранения Республики Казахстан от 16 июня 2022 года № ҚР ДСМ-52 (зарегистрирован в Министерстве юстиции Республики Казахстан 20 июня 2022 года за № 28525).";

      пункты 29, 29-1 и 30 изложить в следующей редакции:

      "29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ISO/IEC 27002-2023 "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".

      29-1. В целях реализации требований обеспечения информационной безопасности для обороны страны и безопасности государства осуществляется приобретение ПО и продукции электронной промышленности в виде товара и информационно-коммуникационной услуги из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с Законом и законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

      Реестр доверенного программного обеспечения и продукции электронной промышленности ведется уполномоченным органом в сфере электронной промышленности в соответствии с Правилами формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериями по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности, утвержденными уполномоченным органом в сфере электронной промышленности согласно пункту 7 статьи 7-6 Закона.

      При этом в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции допускается ее приобретение в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

      Собственники и владельцы программного обеспечения, включенного в реестр доверенного программного обеспечения и продукции электронной промышленности, обеспечивают ввод в промышленную эксплуатацию объекта информатизации "электронного правительства" с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория "электронного правительства".

      30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.

      Подразделение ИБ или должностное лицо, ответственное за обеспечение ИБ, осуществляют координацию работ по обеспечению ИБ и контроль за исполнением требований ИБ, определенных в ТД по ИБ.

      Сотрудники, ответственные за обеспечение ИБ, проходят специализированные курсы в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата.";

      пункты 33, 34 и 35 изложить в следующей редакции:

      "33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:

      1) методика оценки рисков информационной безопасности;

      2) правила идентификации, классификации, маркировки, паспортизации активов, связанных со средствами обработки информации и их инвентаризации;

      3) правила проведения внутреннего аудита ИБ;

      4) правила использования средств криптографической защиты информации;

      5) правила организации процедуры аутентификации и разграничения прав доступа к электронным информационным ресурсам;

      6) правила организации антивирусного контроля, использования мобильных устройств, носителей информации, Интернета и электронной почты;

      7) правила организации физической защиты, безопасной среды функционирования и обеспечения непрерывной работы активов, связанных со средствами обработки информации.

      34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:

      1) каталог угроз (рисков) ИБ;

      2) план обработки угроз (рисков) ИБ;

      3) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

      4) руководство администратора по сопровождению объекта информатизации, резервному копированию и восстановлению информации;

      5) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

      35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:

      1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;

      2) журнал посещения серверных помещений;

      3) отчет о проведении оценки уязвимости сетевых ресурсов;

      4) журнал учета кабельных соединений;

      5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий.";

      в пункте 37:

      подпункт 1) изложить в следующей редакции:

      "1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2020 "Менеджмент риска. Методы оценки риска" и разработка процедуры анализа рисков;";

      подпункт 4) изложить в следующей редакции:

      "4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 27005-2022 "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности";";

      пункт 38 дополнить подпунктом 5-1) следующего содержания:

      "5-1) обеспечивается подключение систем журналирования событий ИБ объектов информатизации "электронного правительства" к техническим средствам системы мониторинга обеспечения информационной безопасности Национального координационного центра информационной безопасности по запросу государственной технической службы;";

      дополнить пунктом 38-1) следующего содержания:

      "38-1. ГО и МИО обеспечивают на постоянной основе физический доступ работникам Национального координационного центра информационной безопасности к объектам информатизации "электронного правительства" с предоставлением отдельных рабочих мест по запросу государственной технической службы в целях проведения работ по мониторингу обеспечения информационной безопасности и мониторингу событий информационной безопасности.";

      пункт 40 изложить в следующей редакции:

      "40. Функциональные обязанности по обеспечению ИБ и обязательства по исполнению требований ТД ИБ служащих ГО, МИО или работников организации вносятся в должностные инструкции.

      Обязательства в области обеспечения ИБ, имеющие силу после прекращения действий трудового договора, закрепляются в трудовом договоре с работником организации.";

      пункт 43 изложить в следующей редакции:

      "43. При внесении изменений в условия трудового договора работника организации, ротации или продвижении по государственной службе служащего ГО, МИО, их увольнении права доступа к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются.";

      пункт 47 изложить в следующей редакции:

      "47. При доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием цифровых сертификатов.";

      пункт 55 изложить в следующей редакции:

      "55. Регистрационные свидетельства Корневого удостоверяющего центра Республики Казахстан подлежат признанию в доверенных списках программных продуктов мировых производителей ПО для целей аутентификации в соответствии со стандартами Республики Казахстан СТ РК ИСО/МЭК 14888-1-2017 "Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения", СТ РК ИСО/МЭК 14888-3-2017 "Методы защиты информации цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате", ГОСТ Р ИСО/МЭК 9594-8-98 "Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации".";

      пункт 60 изложить в следующей редакции:

      "60. Создание или развитие ИР осуществляются с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 "Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования", СТ РК 2191-2023 "Информационные технологии. Доступность веб-контента для лиц с инвалидностью", СТ РК 2192-2012 "Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания", СТ РК 2193-2012 "Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений", СТ РК 2199-2012 "Информационные технологии. Требования к безопасности веб-приложений в государственных органах".";

      пункт 63-1 изложить в следующей редакции:

      "63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.";

      дополнить пунктом 63-2 следующего содержания:

      "63-2. В объектах информатизации ГО, МИО и организаций не допускается хранение ЭИР, содержащих персональные данные и используемых при автоматизации государственных функций и оказании вытекающих из них государственных услуг, после наступления даты достижения целей их сбора и обработки, собственниками или владельцами которых являются иные субъекты информатизации.";

      подпункт 2) пункта 78 изложить в следующей редакции:

      "2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:

      идентификации и аутентификации пользователей, при необходимости цифровых сертификатов;

      управления доступом;

      контроля целостности;

      журналирования действий пользователей, влияющих на ИБ;

      защиты онлайновых транзакций;

      криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;

      журналирования критичных событий ПО;";

      пункт 83 изложить в следующей редакции:

      "83. Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в объектах информационно-коммуникационной инфраструктуры "электронного правительства" определяются статьей 42 Закона.";

      пункт 87 изложить в следующей редакции:

      "87. Ввод в промышленную эксплуатацию ИС ГО, МИО и организаций осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченных органов в сферах информатизации и обеспечения информационной безопасности, заинтересованных ГО, МИО и организаций.";

      пункт 88 изложить в следующей редакции:

      "88. Ввод в промышленную эксплуатацию объекта информатизации "электронного правительства" осуществляется его собственником или владельцем только с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория "электронного правительства".";

      пункт 95 изложить в следующей редакции:

      "95. После снятия с эксплуатации объекта информатизации "электронного правительства" электронные информационные ресурсы, техническая документация и исходные программные коды подлежат передаче в архив в соответствии с законодательством Республики Казахстан.";

      пункт 98-1 изложить в следующей редакции:

      "98-1. На информационную систему критически важных объектов ИКИ также распространяются требования стандарта Республики Казахстан СТ РК IEC/PAS 62443-3-2017 "Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления.";

      пункты 101 и 101-1 изложить в следующей редакции:

      "101. ИКП ЭП размещается на оборудовании, расположенном в серверном центре ГО.

      101-1. Промышленная эксплуатация ИКП ЭП допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.";

      в пункте 102:

      подпункт 6) изложить в следующей редакции:

      "6) управление инцидентами ИБ, требующее:

      определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты ИБ с актуализацией раз в полугодие;

      составления отчетов с периодичностью, определенной в ТД ИБ, по результатам обнаружения, выявления, оценки и реагирования на инциденты ИБ;

      уведомления ответственных лиц ГО, МИО или организации об инцидентах ИБ;

      передачи информации об инцидентах ИБ в Национальный координационный центр информационной безопасности;";

      подпункт 8) изложить в следующей редакции:

      "8) разделение сред эксплуатации от сред разработки и тестирования;";

      подпункт 11) изложить в следующей редакции:

      "11) исполнение процедур сетевого и системного администрирования, требующее:

      обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур;

      отделения аппаратной платформы от операционной системы виртуальной машины c целью исключения доступа внешних пользователей к аппаратной части;

      логической изоляции между различными функциональными областями инфраструктуры среды виртуализации.";

      в пункте 128:

      подпункт 4) изложить в следующей редакции:

      "4) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ ГО государственные юридические лица, субъекты квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ, за исключением объектов среднего образования сельских населенных пунктов, использующих спутниковые (космические) каналы связи для доступа к Интернету, используют услуги оператора или другого оператора связи, имеющего зарезервированные каналы связи на оборудовании ЕШДИ.

      Подключение ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ осуществляется в соответствии с Правилами функционирования единого шлюза доступа к Интернету, утвержденными уполномоченным органом в сфере обеспечения информационной безопасности;";

      подпункт 7) изложить в следующей редакции:

      "7) служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также собственники или владельцы критически важных объектов ИКИ, за исключением объектов среднего образования сельских населенных пунктов, использующих спутниковые (космические) каналы связи для доступа к Интернету, осуществляют доступ к ИР из ЛС внешнего контура только через ЕШДИ с использованием веб-обозревателя, являющегося СПО и соответствующего требованиям Правил функционирования ЕШДИ, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности;";

      подпункт 134-1 изложить в следующей редакции;

      "134-1. Государственная техническая служба применяет на оборудовании ЕШДИ политику блокировки следующих категорий ИР и ПО (по умолчанию):

      VPN;

      удаленный доступ;

      p2p;

      игровые ресурсы;

      неизвестные приложения, не входящие по умолчанию в перечень категорий ИР и ПО;

      вредоносные ИР и ПО.";

      в пункте 139:

      подпункт 9) изложить в следующей редакции:

      "9) осуществляется соединение ЛС внешнего контура СИ с Интернетом только через ЕШДИ. Подключение к Интернету иным способом не допускается, за исключением объектов среднего образования сельских населенных пунктов, использующих спутниковые (космические) каналы связи для доступа к Интернету, специальных и правоохранительных ГО в оперативных целях. Взаимодействие ВШЭП с Интернетом осуществляется через ЕШДИ;";

      дополнить подпунктом 10-1) следующего содержания:

      "10-1) при использовании в ЛС внутреннего контура объектов информатизации, размещенных в Интернете, или ЛС внешнего контура ГО, МИО или организации, которые не подключены посредством ВШЭП, используется экранированная подсеть, соответствующая следующим требованиям:

      подсеть ограничена со стороны Интернета и ЛС внутреннего контура отдельными межсетевыми экранами с функциями обнаружения и предотвращения вторжений, а также преобразования внешних сетевых адресов для сокрытия внутренних сетевых адресов;

      все подключения из ЛС внешнего контура, Интернета и ЛС внутреннего контура осуществляются исключительно на компьютер, размещенный вне экранированной подсети, который выполняет обработку сетевого трафика на всех уровнях сетевых протоколов, включая прикладной уровень без возможности перенаправления сетевого трафика по иному маршруту, отличающемуся от изначального;

      не допускается сохранение запросов и ответов, а также свободное использование на рабочих станциях доступов к общедоступным ресурсам Интернета через прокси-сервер;";

      заголовок параграфа 8 изложить в следующей редакции:

      "Параграф 8. Требования к системам бесперебойного функционирования технических средств и информационной безопасности, а также серверным помещениям (центрам обработки данных)";

      пункт 145 изложить в следующей редакции:

      "145. Через серверное помещение исключается прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением в пределах одного этажа.

      При необходимости размещения пожарных гидрантов над серверным помещением оборудуется сухотрубная система пожаротушения с устройством гидроизоляции перекрытия и организуется водоотвод над серверным помещением.";

      пункт 162 изложить в следующей редакции:

      "162. Система рабочего заземления серверного помещения выполняется отдельно от защитного заземления здания. Все металлические части и конструкции серверного помещения заземляются общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемым с общей шиной заземления. Открытые токопроводящие части оборудования обработки информации должны быть соединены с главным заземляющим зажимом электроустановки.

      Заземляющие проводники, соединяющие устройства защиты от перенапряжения с главной заземляющей шиной, должны быть самыми короткими и прямыми (без углов).

      При построении и эксплуатации системы заземления необходимо руководствоваться:

      Правилами устройства электроустановок, утвержденными приказом уполномоченного органа в сфере энергетики в соответствии с подпунктом 19) статьи 5 Закона об электроэнергетике;

      стандартом Республики Казахстан СТ РК ГОСТ Р 50571.21-2009 "Электроустановки зданий. Часть 5. Выбор и монтаж электрооборудования. Раздел 548. "Заземляющие устройства и системы уравнивания электрических потенциалов в электроустановках, содержащих оборудование обработки информации";

      стандартом Республики Казахстан СТ РК ГОСТ Р 50571.22-2006 "Электроустановки зданий. Часть 7. Требования к специальным электроустановкам". Раздел 707. "Заземление оборудования обработки информации";

      стандартом Республики Казахстан ГОСТ 12.1.030-81 "Система стандартов безопасности труда. Электробезопасность. Защитное заземление, зануление";

      стандартом Республики Казахстан ГОСТ 464-79 "Заземление для стационарных установок проводной связи, радиорелейных станций, радиотрансляционных узлов проводного вещания и антенн систем коллективного приема телевидения. Нормы сопротивления.".

      2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Премьер-Министр
Республики Казахстан
О. Бектенов

"Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасы Үкіметінің 2024 жылғы 13 мамырдағы № 372 қаулысы.

      Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына мынадай өзгерістер мен толықтырулар енгізілсін:

      көрсетілген қаулымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарда:

      6-тармақ мынадай редакцияда жазылсын:

      "6. Осы БТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады:

      1) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін генерациялауды, қалыптастыруды, таратуды немесе басқаруды іске асыратын бағдарламалық қамтылым немесе ақпараттық-бағдарламалық кешен;

      2) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі – актив) – ақпарат болып табылатын немесе ақпаратты қамтитын немесе ақпаратты өңдеу, сақтау, беру үшін қызмет ететін және мақсаттарға қол жеткізу мен қызметінің үздіксіздігі мүддесінде ұйым үшін құндылығы бар материалдық немесе материалдық емес объект;

      3) ақпаратты өңдеу құралдарымен байланысты активті таңбалау – активті кейіннен сәйкестендіру (тану), оның қасиеттері мен сипаттамаларын көрсету мақсатында оған шартты белгілерді, әріптерді, цифрларды, графикалық белгілерді немесе жазуларды түсіру;

      4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ ТҚ) – ақпараттандыру объектілерінің және (немесе) ұйымның АҚ-ны қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;

      5) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуына алғышарт жасайтын жағдайлар мен факторлар жиынтығы;

      6) ақпараттық қауіпсіздік оқиғаларының мониторингі (бұдан әрі – АҚ оқиғаларының мониторингі) – ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін ұдайы байқауда ұстау;

      7) ақпараттық қауіпсіздікті қамтамасыз ету мониторингінің жүйесі – ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану мониторингін жүргізуге бағытталған ұйымдастырушылық және техникалық іс-шаралар;

      8) ақпараттық қауіпсіздіктің жедел орталығы – электрондық ақпараттық ресурстарды, ақпараттық жүйелерді, телекоммуникация желілері мен ақпараттандырудың басқа да объектілерін қорғау жөніндегі қызметті жүзеге асыратын заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;

      9) ақпараттық қауіпсіздіктің ішкі аудиті – ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың объективті, құжатталған, өз мүдделерінде ұйымның өзі жүзеге асыратын процесі;

      10) бағдарламалық робот – іздеу жүйесінің немесе мониторинг жүйесінің веб-парақтарды автоматты түрде және (немесе) берілген кесте бойынша қарап шығуды орындайтын, веб-парақтарда табылған сілтемелермен өтіп, олардың мазмұнын оқитын және индекстейтін бағдарламалық қамтылымы;

      11) деректердің таралып кетуіне жол бермеу жүйесі (DLP) – қолжетімділігі шектеулі электрондық ақпараттық ресурстардың таралып кетуіне жол бермеуге арналған ақпаратты қорғау құралы;

      12) жабдықты жүктелген (қызу) резервтеу – ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігі мен істен шығуға төзімділігін икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану және оларды белсенді режимде ұстау;

      13) жабдықты жүктелмеген (суық) резервтеу – ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа дайындалған және белсенді емес режимде тұрған қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану;

      14) желіаралық экран – ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылау мен сүзгілеуді жүзеге асыратын ақпараттық-бағдарламалық немесе бағдарламалық кешен;

      15) жұмыс станциясы – қолданбалы міндеттерді шешуге арналған жергілікті желі құрамындағы стационарлық компьютер;

      16) жүйелік бағдарламалық қамтылым – есептеу жабдығының жұмысын қамтамасыз етуге арналған бағдарламалық қамтылым жиынтығы;

      17) интернет-браузер – интернет-ресурстардың мазмұнын көрнекі көрсетуге және онымен интерактивті өзара іс-қимыл жасауға арналған қолданбалы бағдарламалық қамтылым;

      18) кодталған байланыс – кодтау құжаттары мен техникасы пайдаланылатын қорғалған байланыс;

      19) көпфакторлы аутентификациялау – әртүрлі параметрлер комбинациясының, оның ішінде парольдерді немесе аутентификациялық белгілерді (цифрлық сертификаттарды, токендерді, смарт-карталарды, бірреттік парольдердің генераторларын және биометриялық сәйкестендіру құралдарын) генерациялаудың және енгізудің көмегімен пайдаланушының шынайылығын тексеру тәсілі;

      20) кросстық үй-жай – қосу, тарату пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;

      21) қолданбалы бағдарламалық қамтылым (бұдан әрі – ҚБҚ) – пәндік саланың белгілі бір сыныбындағы қолданбалы міндетін шешуге арналған бағдарламалық қамтылым кешені;

      22) құпияландырылған байланыс – құпияландыру аппаратурасы пайдаланылатын қорғалған байланыс;

      23) масштабталу – ақпараттандыру объектісінің өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай өзінің өнімділігін арттыру мүмкіндігін қамтамасыз ету қабілеті;

      24) мемлекеттік органдардың серверлік орталығы (бұдан әрі – МО серверлік орталығы) – меншік иесі және иеленушісі "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының операторы болып табылатын, "электрондық үкіметтің" ақпараттандыру объектілерін орналастыруға арналған серверлік үй-жай (деректерді өңдеу орталығы);

      25) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;

      26) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

      27) прокси-сервер – өзі арқылы ақпаратты желілік шабуылдардан қорғау мақсатында онымен алмасу жүретін компьютерлер/серверлер арасындағы интернет-байланысқа қатысатын аралық сервер;

      28) серверлік үй-жай (деректерді өңдеу орталығы) – серверлік, активті және пассивті желілік (телекоммуникациялық) жабдықты және құрылымдалған кәбілдік жүйелердің жабдығын орналастыруға арналған үй-жай;

      29) тіркеу куәлігі (бұдан әрі – цифрлық сертификат) – электрондық цифрлық қолтаңбаның "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының Заңында белгіленген талаптарға сәйкестігін растау үшін куәландырушы орталық беретін электрондық құжат;

      30) сыртқы шеңбердің жергілікті желісі (бұдан әрі – сыртқы шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, ақпараттандыру субъектілері үшін қолжетімділікті байланыс операторлары Интернетке қол жеткізудің бірыңғай шлюзі арқылы ғана ұсынатын, Интернетке қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің сыртқы шеңберіне жатқызылған жергілікті желісі;

      31) терминалдық жүйе – терминалдық ортада қосымшалармен не клиенттік-серверлік архитектурада талғампаз клиент-бағдарламалармен жұмыс істеуге арналған талғампаз немесе нөлдік клиент;

      32) уақыт көзінің инфрақұрылымы – серверлердің, жұмыс станцияларының және телекоммуникациялық жабдықтың ішкі сағаттарын синхрондау міндетін орындайтын, уақытты синхрондаудың желілік хаттамасын пайдаланатын иерархиялық байланысқан серверлік жабдық;

      33) уәкілетті орган айқындаған ақпараттандыру субъектілері – жергілікті (Интернетке қолжетімділігі бар жергілікті желілерді қоспағанда), ведомстволық және корпоративтік желілердің өзара іс-қимылын қамтамасыз ету үшін мемлекеттік органдардың бірыңғай көліктік ортасын пайдаланатын мемлекеттік органдар, олардың ведомстволық бағынысты ұйымдары мен жергілікті өзін-өзі басқару органдары, сондай-ақ өзге де ақпараттандыру субъектілері;

      34) ұйым – мемлекеттік заңды тұлға, квазимемлекеттік сектор субъектісі, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иесі және иеленушісі, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иесі және иеленушісі;

      35) үкіметтік байланыс – мемлекеттік басқару мұқтажына арналған арнайы қорғалған байланыс;

      36) федеративті сәйкестендіру – сенімді қатынастар орнатқан жүйелердегі және желілердегі электрондық ақпараттық ресурстарға қол жеткізу үшін пайдаланушының бірыңғай атын және аутентификациялық сәйкестендіргішті пайдалануға мүмкіндік беретін технологиялар кешені;

      37) шифрланған байланыс – қол шифрлары, шифрлау машиналары, желілік шифрлау аппаратурасы және есептеу техникасының арнаулы құралдары пайдаланылатын қорғалған байланыс;

      38) ішкі шеңбердің жергілікті желісі (бұдан әрі – ішкі шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, мемлекеттік органдардың бірыңғай көліктік ортасына қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің ішкі шеңберіне жатқызылған жергілікті желісі;

      39) "электрондық үкіметтің" бірыңғай репозиторийі – "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтары мен олардан құрастырылған орындалатын кодтарды сақтау орны;

      40) "электрондық үкіметтің" сыртқы шлюзі (бұдан әрі – ЭҮСШ) – МО БКО-да тұрған ақпараттық жүйелердің МО БКО-дан тыс тұрған ақпараттық жүйелермен өзара іс-қимылын қамтамасыз етуге арналған "электрондық үкімет" шлюзінің кіші жүйесі.";

      13-тармақ мынадай редакцияда жазылсын:

      "13. МО-ны және ЖАО-ны ақпараттандыру саласындағы тауарлармен, жұмыстармен және көрсетілетін қызметтермен қамтамасыз ету Қазақстан Республикасының арнаулы мемлекеттік органдарын қоспағанда, бюджеттік бағдарламалардың әкімшілері ұсынған ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді мемлекеттік сатып алуға арналған шығыстардың есеп-қисаптарын ақпараттандыру саласындағы уәкілетті органның қорытындысын ескере отырып сатып алу арқылы жүзеге асырылады.";

      14-тармақтың 7) тармақшасы алып тасталсын;

      14-1 және 15-тармақтар мынадай редакцияда жазылсын:

      "14-1. Меншік иелері және (немесе) иеленушілер "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.

      15. МО-дағы және ЖАО-дағы жұмыс кеңістігі Қазақстан Республикасы Денсаулық сақтау министрінің 2022 жылғы 16 маусымдағы № ҚР ДСМ-52 бұйрығымен бекітілген "Әкімшілік және тұрғын ғимараттарға қойылатын санитариялық-эпидемиологиялық талаптар" санитариялық қағидаларына сәйкес ұйымдастырылады (Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 20 маусымда № 28525 болып тіркелген).";

      29, 29-1 және 30-тармақтар мынадай редакцияда жазылсын:

      "29. МО-да, ЖАО-да немесе ұйымда АҚ-ны ұйымдастыру, қамтамасыз ету және басқару кезінде ҚР СТ ISO/IEC 27002-2023 "Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздікті басқару құралдары" Қазақстан Республикасы стандартының ережелерін басшылыққа алу қажет.

      29-1. Елдің қорғанысы мен мемлекет қауіпсіздігі үшін ақпараттық қауіпсіздікті қамтамасыз ету талаптарын іске асыру мақсатында Заңға және Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес БҚ мен электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінен тауар және ақпараттық-коммуникациялық көрсетілетін қызмет түрінде сатып алу жүзеге асырылады.

      Электрондық өнеркәсіп саласындағы уәкілетті орган Заңның 7-6-бабының 7-тармағына сәйкес бекіткен Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін қалыптастыру және жүргізу қағидаларына, сондай-ақ бағдарламалық қамтылымды және электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізу жөніндегі өлшемшарттарға сәйкес сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін электрондық өнеркәсіп саласындағы уәкілетті орган жүргізеді.

      Бұл ретте сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінде қажетті өнім болмаған жағдайда оны Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес сатып алуға жол беріледі.

      Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізілген бағдарламалық қамтылымның меншік иелері және иеленушілері "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.

      30. АҚ-ны қамтамасыз ету саласындағы жауапкершілік пен функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшауланған құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға айқындалады.

      АҚ бөлімшесі немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға АҚ-ны қамтамасыз ету жөніндегі жұмыстарды үйлестіруді және АҚ бойынша ТҚ-да айқындалған АҚ талаптарының орындалуын бақылауды жүзеге асырады.

      АҚ-ны қамтамасыз етуге жауапты қызметкерлер үш жылда бір реттен сиретпей АҚ-ны қамтамасыз ету саласындағы мамандандырылған курстардан өтіп, оларға сертификат беріледі.";

      33, 34 және 35-тармақтар мынадай редакцияда жазылсын:

      "33. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының талаптарын егжей-тегжейлі көрсететін құжаттар, оның ішінде:

      1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

      2) ақпаратты өңдеу құралдарымен және оларды түгендеумен байланысты активтерді сәйкестендіру, сыныптау, таңбалау, паспорттау қағидалары;

      3) АҚ ішкі аудитін жүргізу қағидалары;

      4) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;

      5) электрондық ақпараттық ресурстарға қол жеткізу құқықтарын аутентификациялау және олардың аражігін ажырату рәсімін ұйымдастыру қағидалары;

      6) вирусқа қарсы бақылауды ұйымдастыру, мобильді құрылғыларды, ақпарат жеткізгіштерді, Интернетті және электрондық поштаны пайдалану қағидалары;

      7) ақпаратты өңдеу құралдарымен байланысты активтердің физикалық қорғалуын, жұмыс істеуі мен үздіксіз жұмысын қамтамасыз етудің қауіпсіз ортасын ұйымдастыру қағидалары кіреді.

      34. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің сипаттамасын, оның ішінде:

      1) АҚ қауіп-қатерлер (тәуекелдер) каталогын;

      2) АҚ қауіп-қатерлерін (тәуекелдерін) өңдеу жоспарын;

      3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету және жұмысқа қабілеттілігін қалпына келтіру жөніндегі іс-шаралар жоспарын;

      4) ақпараттандыру объектісін сүйемелдеу, ақпаратты резервтік көшіру және қалпына келтіру жөніндегі әкімшінің нұсқауын;

      5) пайдаланушылардың АҚ оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда ден қою бойынша іс-қимыл тәртібі туралы нұсқаулықты қамтиды.

      35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды, оның ішінде:

      1) АҚ оқыс оқиғаларын тіркеу және штаттан тыс жағдайларды есепке алу журналын;

      2) серверлік үй-жайларға бару журналын;

      3) желілік ресурстардың осалдығына бағалау жүргізу туралы есепті;

      4) кәбілдік қосылуларды есепке алу журналын;

      5) резервтік көшірмелерді есепке алу (резервтік көшіру, қалпына келтіру), резервтік көшірмелерді тестілеу журналын қамтиды.";

      37-тармақта:

      1) тармақша мынадай редакцияда жазылсын:

      "1) ҚР СТ 31010-2020 "Тәуекел менеджменті. Тәуекелді бағалау әдістері" Қазақстан Республикасы стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу;";

      4) тармақша мынадай редакцияда жазылсын:

      "4) ҚР СТ ISO/IEC 27005-2022 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын АҚ қауіп-қатерлері (тәуекелдері) каталогын қалыптастыру;";

      38-тармақ мынадай мазмұндағы 5-1) тармақшамен толықтырылсын:

      "5-1) мемлекеттік техникалық қызметтің сұратуы бойынша Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығының ақпараттық қауіпсіздікті қамтамасыз ету мониторингі жүйесінің техникалық құралдарына "электрондық үкіметтің" ақпараттандыру объектілерінің АҚ оқиғаларын журналдау жүйелерін қосу қамтамасыз етіледі;";

      мынадай мазмұндағы 38-1-тармақпен толықтырылсын:

      "38-1. МО және ЖАО ақпараттық қауіпсіздікті қамтамасыз ету мониторингі және ақпараттық қауіпсіздік оқиғаларының мониторингі жөніндегі жұмыстарды жүргізу мақсатында мемлекеттік техникалық қызметтің сұрау салуы бойынша Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығының жұмыскерлеріне жеке жұмыс орындарын ұсына отырып, "электрондық үкіметтің" ақпараттандыру объектілеріне физикалық қолжетімділікті тұрақты негізде қамтамасыз етеді.";

      40-тармақ мынадай редакцияда жазылсын:

      "40. АҚ-ны қамтамасыз ету жөніндегі функционалдық міндеттер және МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің АҚ ТҚ талаптарын орындау жөніндегі міндеттемелері лауазымдық нұсқаулықтарға енгізіледі.

      Еңбек шартының қолданылуы тоқтатылғаннан кейін күшінде қалған АҚ-ны қамтамасыз ету саласындағы міндеттемелер ұйым жұмыскерімен жасалған еңбек шартында бекітіледі.";

      43-тармақ мынадай редакцияда жазылсын:

      "43. Ұйым жұмыскерінің еңбек шартының талаптарына өзгерістер енгізу, МО, ЖАО қызметшісін ротациялау немесе мемлекеттік қызмет бойынша ілгерілету, оларды жұмыстан шығару кезінде физикалық және логикалық қол жеткізуді, қол жеткізу идентификаторларын, жазылымдарды қамтитын, оны МО-ның, ЖАО-ның қазіргі қызметшісі немесе ұйымның жұмыскері ретінде сәйкестендіретін ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары жойылады.";

      47-тармақ мынадай редакцияда жазылсын:

      "47. Сыныптауышқа сәйкес бірінші және екінші сыныптардағы ақпараттандыру объектілеріне қол жеткізу кезінде көп факторлы, оның ішінде цифрлық сертификаттар пайдаланылатын аутентификация қолданылады.";

      55-тармақ мынадай редакцияда жазылсын:

      "55. Қазақстан Республикасының негізгі куәландырушы орталығының тіркеу куәліктері ҚР СТ ИСО/МЭК 14888-1-2017 "Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 1-бөлім. Жалпы ережелер", ҚР СТ ИСО/МЭК 14888-3-2017 "Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 3-бөлім. Сертификатқа негізделген механизмдер", МемСТ Р ИСО/МЭК 9594-8-98 "Ақпараттық технология. Ашық желілердің өзара байланысы. Анықтамалық. 8-бөлім. Аутентификация негіздері" Қазақстан Республикасының стандарттарына сәйкес аутентификациялау мақсаттарында әлемдік БҚ өндірушілердің бағдарламалық өнімдерінің сенім білдірілген тізімдерінде танылуға жатады.";

      60-тармақ мынадай редакцияда жазылсын:

      "60. ИР-ды құру немесе дамыту ҚР СТ 2190-2012 "Ақпараттық технологиялар. Мемлекеттік органдар мен ұйымдардың интернет-ресурстары. Талаптар", ҚР СТ 2191-2023 "Ақпараттық технологиялар. Мүгедектігі бар адамдар үшін веб-контенттің қолжетімділігі", ҚР СТ 2192-2012 "Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. Жалпы сипаттамасы", ҚР СТ 2193-2012 "Ақпараттық технологиялар. Мобильдік веб-қосымшаларды әзірлеуге ұсынылатын тәжірибесі", ҚР СТ 2199-2012 "Ақпараттық технологиялар. Мемлекеттік органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар" Қазақстан Республикасы стандарттарының талаптарын ескере отырып жүзеге асырылады.";

      63-1-тармақ мынадай редакцияда жазылсын:

      "63-1. МО және ЖАО ИР-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.";

      мынадай мазмұндағы 63-2-тармақпен толықтырылсын:

      "63-2. МО-ның, ЖАО-ның және ұйымдардың ақпараттандыру объектілерінде дербес деректерді қамтитын және мемлекеттік функцияларды автоматтандыру мен олардан туындайтын мемлекеттік қызметтерді көрсету кезінде пайдаланылатын, меншік иелері немесе иеленушілері өзге ақпараттандыру субъектілері болып табылатын ЭАР-ны оларды жинау және өңдеу мақсаттарына қол жеткізу күні басталғаннан кейін сақтауға жол берілмейді.";

      78-тармақтың 2) тармақшасы мынадай редакцияда жазылсын:

      "2) әзірленетін немесе сатып алынатын қолданбалы БҚ-ға қойылатын талаптар:

      пайдаланушыларды сәйкестендіру және аутентификациялау құралдарын, қажет болған жағдайда цифрлық сертификаттарды;

      қол жеткізуді басқару;

      тұтастықты бақылау;

      пайдаланушылардың АҚ-ға әсер ететін іс-әрекеттерін журналдау;

      онлайн транзакцияларды қорғау;

      сақтау, өңдеу кезінде құпия АЖ-дың АКҚҚ пайдалана отырып, ақпаратты криптографиялық қорғау;

      БҚ аса маңызды оқиғаларын журналдау құралдарын қолдануды көздейді.";

      83-тармақ мынадай редакцияда жазылсын:

      "83. "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерінде ЭАР-ны өңдеу, сақтау және резервтік көшіру құралдарына қойылатын міндетті талаптар Заңның 42-бабында айқындалады.";

      87-тармақ мынадай редакцияда жазылсын:

      "87. МО-ның, ЖАО-ның және ұйымдардың АЖ-ны өнеркәсіптік пайдалануға беру тәжірибелік пайдалану оң аяқталған, ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған, ақпараттандыру және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органдардың, мүдделі МО-ның, ЖАО-ның және ұйымдардың өкілдері қатысатын қабылдау комиссиясы АЖ-ны өнеркәсіптік пайдалануға беру туралы актіге қол қойған жағдайда техникалық құжаттама талаптарына сәйкес жүзеге асырылады.";

      88-тармақ мынадай редакцияда жазылсын:

      "88. "Электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға беруді оның меншік иесі немесе иеленушісі "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып қана жүзеге асырады.";

      95-тармақ мынадай редакцияда жазылсын:

      "95."Электрондық үкіметтің" ақпараттандыру объектісі пайдаланудан алынғаннан кейін электрондық ақпараттық ресурстар, техникалық құжаттама және бастапқы бағдарламалық кодтар Қазақстан Республикасының заңнамасына сәйкес архивке берілуге тиіс.";

      98-1-тармақ мынадай редакцияда жазылсын:

      "98-1. АКИ-дің аса маңызды объектілерінің ақпараттық жүйесіне де ҚР СТ IEC/PAS 62443-3-2017 "Коммуникациялық өнеркәсіптік желілер". Желі мен жүйенің қорғалуы (киберқауіпсіздігі). 3-бөлім. Өнеркәсіптік өлшеу мен басқару процесінің қорғалуы (киберқауіпсіздігі)" Қазақстан Республикасы стандартының талаптары қолданылады.";

      101 және 101-1-тармақтар мынадай редакцияда жазылсын:

      "101. ЭҮ АКП МО-ның серверлік орталығында орналасқан жабдықтарда орналастырылады.

      101-1. ЭҮ АКП-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.";

      102-тармақта:

      6) тармақша мынадай редакцияда жазылсын:

      "6) мыналарды:

      жарты жылда бір рет өзектілендіріп, АҚ оқыс оқиғаларын табудың, анықтаудың, бағалаудың және оларға ден қою тәртібінің формалды процесін айқындауды;

      АҚ оқыс оқиғаларын табу, анықтау, бағалау және оларға ден қою нәтижелері бойынша АҚ ТҚ-да айқындалған кезеңділікпен есептер жасауды;

      АҚ оқыс оқиғалары туралы МО-ның, ЖАО-ның немесе ұйымның жауапты тұлғаларын хабардар етуді;

      Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығына АҚ оқыс оқиғалары туралы ақпарат беруді талап ететін АҚ оқыс оқиғаларын басқару;";

      8) тармақша мынадай редакцияда жазылсын:

      "8) әзірлеу және тестілеу орталарынан пайдалану орталарын бөлу;";

      11) тармақша мынадай редакцияда жазылсын:

      "11) мыналарды:

      виртуалдау машиналары бейіндерінің сақталуын, операциялық жүйенің, қосымшалардың, желілік конфигурацияның тұтастығын, МО-ның немесе ұйымның БҚ-сын және деректерін зиянды сигнатуралардың болуы тұрғысынан бақылауды қамтамасыз етуді;

      сыртқы пайдаланушылардың аппараттық бөлікке қол жеткізуін болғызбау мақсатында аппараттық платформаны виртуалды машинаның операциялық жүйесінен бөліп алуды;

      виртуалдау ортасы инфрақұрылымының түрлі функционалдық салалары арасындағы логикалық оқшаулауды талап ететін желілік және жүйелік әкімшілендіру рәсімдерін орындау іске асырылады.";

      128-тармақта:

      4) тармақша мынадай редакцияда жазылсын:

      "4) ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосқан кезде МО, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері оператордың немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының көрсетілетін қызметтерін пайдаланады.

      Ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосу ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен Интернетке қол жеткізудің бірыңғай шлюзінің жұмыс істеу қағидаларына сәйкес жүзеге асырылады;";

      7) тармақша мынадай редакцияда жазылсын:

      "7) МО-ның, ЖАО-ның қызметшілері және мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің жұмыскерлері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері сыртқы шеңбердің ЖЖ-нен ИР-ға ЕБҚ болып табылатын және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен ИҚБШ-ның жұмыс істеу қағидаларының талаптарына сәйкес келетін веб-шолғышты пайдалана отырып, ИҚБШ арқылы ғана қол жеткізуді жүзеге асырады;";

      134-1-тармақша мынадай редакцияда жазылсын;

      "134-1. Мемлекеттік техникалық қызмет ИҚБШ жабдықтарында мынадай ИР және БҚ санаттарын (әдепкі қалпы бойынша) бұғаттау саясатын қолданады:

      VPN;

      қашықтан қол жеткізу;

      p2p;

      ойын ресурстары;

      әдепкі қалпы бойынша ИР және БҚ санаттарының тізіміне кірмейтін белгісіз қосымшалар;

      зиянды ИР және БҚ.";

      139-тармақта:

      9) тармақша мынадай редакцияда жазылсын

      "9) АС-ның сыртқы шеңберінің ЖЖ-ні Интернетке қосу ИҚБШ арқылы ғана жүзеге асырылады. Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін, жедел мақсаттарда арнаулы және құқық қорғау МО-ны қоспағанда, Интернетке өзге тәсілмен қосылуға жол берілмейді. ЭҮСШ-ның Интернетпен өзара іс-қимыл жасауы ИҚБШ арқылы жүзеге асырылады;";

      мынадай мазмұндағы 10-1) тармақшамен толықтырылсын:

      "10-1) ішкі контурдың ЖЖ-да Интернетте орналастырылған ақпараттандыру объектілерін немесе ЭҮСШ арқылы қосылмаған МО-ның, ЖАО-ның немесе ұйымның сыртқы контурының ЖЖ-ны пайдаланған кезде мынадай талаптарға сәйкес келетін экрандалған ішкі желі пайдаланылады:

      ішкі желі Интернет және ішкі контурдың ЖЖ тарапынан басып кіруді табу және оған жол бермеу, сондай-ақ ішкі желілік мекенжайларды жасыру үшін сыртқы желілік мекенжайларды түрлендіру функциялары бар жеке желіаралық экрандармен шектелген;

      сыртқы контурдың ЖЖ-дан, Интернеттен және ішкі контурдың ЖЖ-дан барлық қосылулар тек экрандалған ішкі желіден тыс орналасқан компьютерде жүзеге асырылады, ол желілік трафикті бастапқыдан ерекшеленетін өзге маршрут бойынша қайта бағыттау мүмкіндігі жоқ қолданбалы деңгейді қоса алғанда, желілік хаттамалардың барлық деңгейлерінде өңдеуді жүзеге асырады;

      сұрау салулар мен жауаптарды, сондай-ақ жұмыс станцияларында прокси-сервер арқылы Интернеттің жалпыға қолжетімді ресурстарына қолжетімділікті еркін пайдалануға жол берілмейді;";

      8-параграфтың тақырыбы мынадай редакцияда жазылсын:

      "8-параграф. Техникалық құралдар мен ақпараттық қауіпсіздіктің үздіксіз жұмыс істеу жүйелеріне, сондай-ақ серверлік үй-жайларға (деректерді өңдеу орталықтарына) қойылатын талаптар";

      145-тармақ мынадай редакцияда жазылсын:

      "145. Серверлік үй-жай арқылы кез келген транзиттік коммуникациялардың өтуіне жол берілмейді. Кәдімгі және өртке қарсы сумен жабдықтау, жылыту және кәріз трассалары серверлік үй-жайдан тыс жерге шығарылады және бір қабат шегінде серверлік үй-жайдың үстіне орналастырылмайды.

      Өрт сөндіру гидранттарын серверлік үй-жайдың үстіне орналастыру қажет болған жағдайда жабынды гидрооқшаулау құрылғысы бар құрғақ құбырлы өрт сөндіру жүйесі орнатылады және серверлік үй-жайдың үстінде субұрғыш ұйымдастырылады.";

      162-тармақ мынадай редакцияда жазылсын:

      "162. Серверлік үй-жайдың жұмыс бабында жерге тұйықтау жүйесі ғимараттың қорғаныш мақсатындағы жерге тұйықтауынан бөлек орындалады. Серверлік үй-жайдың барлық металл бөліктері мен конструкциялары ортақ жерге тұйықтау шинасымен жерге тұйықталады. Жабдығы бар әрбір шкаф (таған) ортақ жерге тұйықтау шинасымен жалғанатын жеке өткізгішпен жерге тұйықталады. Ақпаратты өңдеу жабдығының ашық ток өткізгіш бөліктері электр қондырғысының бас жерге тұйықтау қысқышына жалғануға тиіс.

      Асқын кернеуден қорғау құрылғыларын бас жерге тұйықтау шинасымен жалғайтын жерге тұйықтау өткізгіштері ең қысқа және тік (бұрыштары жоқ) болуға тиіс.

      Жерге тұйықтау жүйесін құру және пайдалану кезінде мыналарды:

      Электр энергетикасы туралы заңның 5-бабының 19) тармақшасына сәйкес энергетика саласындағы уәкілетті органның бұйрығымен бекітілген Электр қондырғыларын орнату қағидаларын;

      ҚР СТ МемСТ 50571.21-2009 "Ғимараттардың электр қондырғылары. 5-бөлім. Электр жабдығын таңдау және монтаждау". 548-бөлім. "Құрылғыларды және ақпаратты өңдеу жабдығы қамтылған электр қондырғыларындағы электр әлеуетін теңестіру жүйесін жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МемСТ Р 50571.22-2006 "Ғимараттардың электр қондырғылары. 7-бөлім. Арнайы электр қондырғыларына қойылатын талаптар". 707-бөлім. "Ақпаратты өңдеу жабдығын жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МемСТ 12.1.030-81 "Еңбек қауіпсіздігі стандарттарының жүйесі. Электр қауіпсіздігі. Қорғаныштық жерге тұйықтау, нөлге қою" Қазақстан Республикасының стандартын;

      МемСТ 464-79 "Сымды байланыстың стационарлық құрылғыларына, радиорелелік станцияларға, сымды хабар таратудың радиотрансляциялық тораптарына және телевизияны ұжымдық қабылдау жүйесінің антенналарына арналған жерге тұйықтау. Қарсылық нормалары" Қазақстан Республикасының стандартын басшылыққа алу қажет.".

      2. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Премьер-Министрі
О. Бектенов