Об утверждении Правил проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

Приказ и.о. Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 февраля 2018 года № 33/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 13 апреля 2018 года № 16756.

      В соответствии с подпунктом 8) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" и подпунктом 2) пункта 3 статьи 16 Закона Республики Казахстан от 19 марта 2010 года "О государственной статистике" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности.

      2. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) в течение десяти календарных дней после государственной регистрации настоящего приказа направление его копии на официальное опубликование в периодические печатные издания;

      4) размещение настоящего приказа на интернет-ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      5) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2), 3) и 4) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Исполняющий обязанности Министра
оборонной и аэрокосмической
промышленности Республики Казахстан
М. Нургужин

"СОГЛАСОВАНО"
Министр информации и коммуникаций
Республики Казахстан
______________ Д. Абаев
6 марта 2018 год
"СОГЛАСОВАНО"
Исполняющий обязанности Председателя
Комитета по статистике
Министерства национальной экономики
Республики Казахстан
___________ Г. Керимханова
30 марта 2018 год
"СОГЛАСОВАНО"
Председатель Комитета
национальной безопасности
Республики Казахстан
___________ К. Масимов
13 марта 2018 год

  Утверждены
приказом исполняющего
обязанности Министра
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 28 февраля 2018 года
№ 33/НҚ

Правила
проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

Глава 1. Общие положения

      1. Настоящие Правила проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 8) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и определяют порядок проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее – ЕТ), относящихся к сфере обеспечения информационной безопасности.

      2. Мониторинг выполнения ЕТ проводится с целью определения полноты выполнения требований в сфере обеспечения информационной безопасности.

      3. Задачами проведения мониторинга выполнения ЕТ являются сбор, свод и анализ информации о ходе выполнения ЕТ в сфере обеспечения информационной безопасности.

      4. Мониторинг выполнения ЕТ осуществляется уполномоченным органом в сфере обеспечения информационной безопасности (далее – уполномоченный орган).

      5. Мониторинг выполнения ЕТ осуществляется в отношении государственных органов (далее – ГО), местных исполнительных органов (далее – МИО), государственных юридических лиц, субъектов квазигосударственного сектора, собственников и владельцев негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры, в части выполнения ими ЕТ.

      6. Настоящие Правила не распространяются на:

      1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры "электронного правительства", локальных сетей и сетей телекоммуникаций, а также при проведении закупок товаров, работ и услуг в сфере информатизации;

      2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и (или) правительственной, президентской засекреченной, шифрованной и кодированной связи;

      3) информационные системы и интернет ресурсы специальных государственных органов.

Глава 2. Порядок проведения мониторинга выполнения ЕТ в области информационно-коммуникационных технологий и обеспечения информационной безопасности

      7. Мониторинг выполнения ЕТ осуществляется на основе:

      1) отчета о выполнении ЕТ, представляемой ежегодно субъектами указанными в пункте 5 настоящих Правил по форме согласно приложению к настоящим Правилам, (далее – отчет);

      2) информации, запрашиваемой уполномоченным органом у республиканского государственного предприятия "Государственная техническая служба" Комитета национальной безопасности Республики Казахстан в соответствии с подпунктом 5) статьи 7-1 Закона;

      3) информации, запрашиваемой уполномоченным органом у Оперативного центра информационной безопасности, Национального координационного центра информационной безопасности в соответствии с Законом.

      4) информация, размещенной на архитектурном портале "электронного правительства".

      Сноска. Пункт 7 с изменениями, внесенными приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 19.08.2019 № 200/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      8. Государственные органы, местные исполнительные органы представляют отчет на казахском и русском языках в срок не позднее 25 числа месяца, следующего за отчетным периодом, в уполномоченный орган в электронном виде посредством единой системы электронного документооборота государственных органов.

      9. Государственные юридические лица, субъекты квазигосударственного сектора, собственники и владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственники и владельцы критически важных объектов информационно-коммуникационной инфраструктуры на добровольной основе представляют отчет на казахском и русском языках в срок не позднее 25 числа месяца, следующего за отчетным периодом, в уполномоченный орган на бумажном носителе.

      Отчетным периодом является календарный год.

      10. В случае если последний день срока предоставления отчета приходится на нерабочий день, сроком предоставления является следующий рабочий день.

      11. Уполномоченный орган на основе сводной информации проводит анализ выполнения требований ЕТ в сфере обеспечения информационной безопасности.

  Приложение
к Правилам проведения
мониторинга выполнения
единых требований в области
информационно-
коммуникационных технологий
и обеспечения информационной
безопасности
  Форма, предназначенная для сбора административных данных

Отчет о выполнении ЕТ

      Сноска. Приложение с изменениями, внесенными приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 19.08.2019 № 200/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Отчетный период 20___ г.

      Индекс: форма № 1-ФО


      Периодичность: годовая


      Круг лиц представляющих: государственные органы, местные исполнительные органы, государственные юридические лица, субъекты квазигосударственного сектора, собственники и владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, собственники и владельцы критически важных объектов информационно-коммуникационной инфраструктуры


      Куда представляется: Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан


      Срок представления: до 25 января после отчетного периода

Перечень требований

Выполнено

Невыполнено

Причина невыполнения

1

2

3

4

5

Требования к организации и управлению информатизацией

1.

Соблюдение требований по оборудованию рабочего пространства и места служащих государственного органа (далее – ГО) и местных исполнительных органов (далее – МИО)




2.

Соблюдение требований по размещению рабочих станций служащих ГО или МИО




3.

Соблюдение требований по защите рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб




4.

Соблюдение требований по процедуре и периодичности технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности




5.

Соблюдение требований по защите рабочих станций мобильных пользователей, находящихся за пределами ГО или МИО, с учетом различных внешних рисков




6.

Соблюдение требований гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации




7.

Соблюдение правил выноса рабочих станций за пределы рабочего места




8.

Соблюдение учета рабочих станций с проверкой конфигураций




9.

Соблюдение требований по отключению или блокированию неиспользуемых портов ввода-вывода рабочих станций и мобильных компьютеров служащих ГО и МИО




10.

Соблюдение требований по обработке и хранению служебной информации ГО и МИО на рабочих станциях, подключенных к локальной сети внутреннего контура ГО или МИО и не имеющих подключения к Интернету




Требования к организации информационной безопасности

11.

Соблюдение требований по наличию обособленного структурного подразделения по информационной безопасности




12.

Наличие нормативно-технической документации по обеспечению информационной безопасности




13.

Наличие методов оценки рисков в сфере информационно-коммуникационных технологий




14.

Наличие каталога угроз (рисков) в сфере информационно-коммуникационных технологий




15.

Осуществление контроля событий нарушений информационной безопасности




16.

Соблюдение требований по хранению журналов регистрации событий в течении трех лет в оперативном доступе не менее трех месяцев




17.

Наличие плана мероприятий по обеспечению непрерывной работы и восстановлению критически важных процессов




18.

Соблюдение обязанностей по обеспечению информационной безопасности внесенных в должностные инструкции и (или) условия трудового договора




19.

Соблюдение требований идентификации




20.

Соблюдение требований по применению средств криптографической защиты информации




21.

Обеспечение доступности и отказоустойчивости методами резервирования серверного оборудования




22.

Обеспечение мониторинга действий пользователей и обеспечение блокировки аномальной деятельности пользователей




23.

Соблюдение требований мониторинга обеспечения информационной безопасности




24.

Наличие средств и систем обеспечения информационной безопасности




25.

Наличие регистрационных свидетельств удостоверяющих центров




Требования к электронным информационным ресурсам и интернет-ресурсам

26.

Соблюдение требований по формированию, размещению и хранению метаданных




27.

Соблюдение требований по созданию или развитию информационных ресурсов




28.

Соблюдение требований по обеспечению информационной безопасности информационных ресурсов




Требования к разрабатываемому или приобретаемому прикладному программному обеспечению

29.

Соблюдение требований к создаваемому или развиваемому прикладному программному обеспечению информационной системы




30.

Соблюдение требований к использованию готового прикладного программного обеспечения




31.

Наличие технической поддержки и сопровождения программного обеспечения




32.

Наличие мероприятия по контролю использования программного обеспечения:
-определение фактически используемого программного обеспечения;
-определение прав на использование программного обеспечения;
-сравнение фактически используемого программного обеспечения и имеющихся лицензий.




33.

Соблюдение требований использования электронной цифровой подписи в прикладном программном обеспечении




Требования к информационной системе

34.

Наличие акта о завершении опытной эксплуатации информационной системы




35.

Строка исключена приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 19.08.2019 № 200/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

36.

Строка исключена приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 19.08.2019 № 200/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

37.

Соблюдения требования предоставления системному интегратору "электронного правительства" для учета и хранения разработанного программного обеспечения: исходных кодов согласно единым требованиям, комплекса настроек лицензионного прикладного программного обеспечения (при наличии) информационной системы ГО и МИО




38.

Соблюдение требования по обеспечению промышленной эксплуатации информационной системы ГО или МИО




39.

Обеспечение управления информационной системы из внутренней локальной сети




Требования к технологической платформе

40.

Наличие коэффициента бесперебойного и отказоустойчивого функционирования предоставляемых информационно-коммуникационных услуг




41.

Соблюдение требований по управлению идентификацией




42.

Соблюдение требований по управлению доступом




43.

Соблюдение требований по управлению ключами шифрования




44.

Соблюдение требований по проведению аудита событий информационной безопасности




45.

Соблюдение требований регистрации событий информационной безопасности




46.

Соблюдение требований по применению защитных мер аппаратных и программных компонентов инфраструктуры среды виртуализации




47.

Наличие физического разделения сред эксплуатации от сред разработки и тестирования




48.

Исполнение процедур сетевого и системного администрирования




Требования к аппаратно-программному комплексу

49.

Проведение на регулярной основе инвентаризации серверного оборудования с проверкой его конфигурации




50.

Соблюдение требования по размещению серверного оборудования




51.

Наличие системы хранения данных обеспечивающей систему резервного копирования




Требования к сетям телекомуникаций

52.

Соблюдение требований к выделенным каналам связи




53.

Соблюдение требований по использованию служащими только ведомственной электронной почты при исполнении служебных обязанностей




54.

Наличие оборудования кабельной системы




55.

Наличие активного оборудования локальных сетей обеспечивающегося электропитанием от источников бесперебойного питания




Требования к системам бесперебойного функционирования технических средств и информационной безопасности

56.

Соблюдение требований по монтажу оборудования




57.

Наличие документирования при техническом сопровождении оборудования




58.

Наличие системы контроля и управления доступом




59.

Наличие системы обеспечения микроклимата




60.

Наличие системы охранной сигнализации серверного помещения




61.

Наличие системы видеонаблюдения




62.

Наличие системы пожарной сигнализации серверного помещения




63.

Наличие системы пожаротушения серверного помещения




64.

Наличие системы гарантированного электропитания




65.

Наличие системы заземления серверного помещения




      Примечание:

      Пояснение по заполнению формы отчета о выполнении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

      1. Настоящее пояснение по заполнению формы отчета, предназначенной для сбора административных данных, детализирует порядок ее заполнения (далее – форма отчет).

      2. Основной задачей формы отчета о выполнении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) является сбор, свод и анализ информации о ходе выполнения ЕТ в сфере обеспечения информационной безопасности.

      3. Заполненная форма отчета предоставляется в Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан:

      1) государственными и местными исполнительными органами отчет на казахском и русском языках в срок не позднее 25 числа месяца, следующего за отчетным периодом, посредством единой системы электронного документооборота государственных органов.

      2) государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры на добровольной основе в срок не позднее 25 числа месяца, следующего за отчетным периодом, на бумажном носителе.

      4. Форма отчета заполняется на казахском и русском языках.

      5. Форму отчета подписывает первый руководитель, а в случае его отсутствия – лицо, исполняющее его обязанности.

      6. Форма отчета заполняется следующим образом:

      в графе 3 "Выполнено" указывается обозначение знаком "+";

      в графе 4 "Не выполнено" указывается обозначение знаком "–";

      в графе 5 "Причина невыполнения" указывается подробная информация о невыполнении требований пунктов ЕТ.

      _______________________________________
      (Наименование организации, БИН)

      ______________________________________________
      (Адрес, телефон, электронная почта)


Исполнитель
_________________________________
Фамилия, имя, отчество (при наличии)
дата _____________________________
подпись__________________________

Руководитель
_________________________________
Фамилия, имя, отчество (при наличии)
дата _____________________________
подпись__________________________


Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың орындалуына мониторинг жүргізу қағидаларын бекіту туралы

Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің м.а. 2018 жылғы 28 ақпандағы № 33/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 13 сәуірде № 16756 болып тіркелді.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1-бабының 8) тармақшасына және "Мемлекеттік статистика туралы" 2010 жылғы 19 наурыздағы Қазақстан Республикасы Заңының 16-бабы 3-тармағының 2) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың орындалуына мониторинг жүргізу қағидалары бекітілсін.

      2. Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) осы бұйрықтың Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелуін;

      2) осы бұйрық мемлекеттік тіркелген күнінен бастап күнтізбелік он күн ішінде оның көшірмесін қағаз және электронды түрде қазақ және орыс тілдерінде ресми жариялау және Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде орналастыру үшін "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жолдауды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде оның көшірмесін ресми жариялау үшін мерзімді баспа басылымдарына жолдауды;

      4) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      5) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2), 3) және 4) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Қорғаныс және аэроғарыш
өнеркәсібі министрінің
міндетін атқарушы
М. Нұрғожин

"КЕЛІСІЛДІ"
Қазақстан Республикасының
Ақпарат және коммуникациялар министрі
______________ Д. Абаев
6 наурыз 2018 жыл

"КЕЛІСІЛДІ"
Қазақстан Республикасы
Ұлттық экономика министрлігінің Статистика комитеті төрағасының міндетін атқарушы
___________ Г. Керімханова
30 наурыз 2018 жыл

"КЕЛІСІЛДІ"
Қазақстан Республикасы
Ұлттық қауіпсіздік комитетінің төрағасы
___________ К. Мәсімов
13 наурыз 2018 жыл


  Қазақстан Республикасы
Қорғаныс және аэроғарыш
өнеркәсібі министрінің
міндетін атқарушының
2018 жылғы 28 ақпандағы
№ 33/НҚ
бұйрығымен бекітілген

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың орындалуына мониторинг жүргізу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың орындалуына мониторинг жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 8) тармақшасына сәйкес әзірленген және Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген, Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың (бұдан әрі – БТ) орындалуына мониторинг жүргізу тәртібін айқындайды.

      2. БТ-ның орындалу мониторингі ақпараттық қауіпсіздікті қамтамасыз ету саласындағы талаптарды орындаудың толықтығын анықтау мақсатында жүргізіледі.

      3. БТ-ның орындалу мониторингін жүргізу міндеттері ақпараттық қауіпсіздікті қамтамасыз ету саласындағы БТ-ның орындалу барысы туралы ақпаратты жинақтау, жалпылау және талдау болып табылады.

      4. БТ-ның орындалуын мониторингілеуді ақпараттық қауіпсіздік саласындағы уәкілетті орган жүзеге асырады (бұдан әрі – уәкілетті орган).

      5. БТ-ның орындалу мониторингі мемлекеттік органдарға (бұдан әрі – МО), жергілікті атқарушы органдарға (бұдан әрі – ЖАО), мемлекеттік заңды тұлғаларға, квазимемлекеттік сектор субъектілеріне, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелеріне және иеленушілеріне, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері иелері мен иеленушілеріне қатысты, олардың БТ-ны орындауы бойынша жүргізіледі.

      6. Осы Ережелер:

      1) Қазақстан Республикасы Ұлттық Банкі мен оның құрылымына кіретін ұйымдар "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын интернет-ресурстарды, ақпараттық жүйелерді, локалдық желілерді және телекоммуникациялар желілерін құру немесе дамыту, пайдалану бойынша жұмыстарды жүзеге асырған кезде, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді сатып алуды жүргізген кезде туындайтын қатынастарға;

      2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалып орындалған ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, президенттік, құпияландырылған, шифрланған және кодталған байланыс желілеріне;

      3) арнайы мемлекеттік органдарының ақпараттық жүйелері мен интернет ресурстарына таралмайды.

2-тарау. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы БТ-ның орындалу мониторингін жүргізу тәртібі

      7. БТ-ның орындалу мониторингі:

      1) осы Ережелердің 5-тармағында аталған субъектілермен осы Ережелердің қосымшасына сәйкес нысанда БТ орындау туралы жыл сайын ұсынылатын есеп (бұдан әрі – есеп);

      2) уәкілетті орган Заңның 7-1-бабының 5) тармақшасына сәйкес Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің "Мемлекеттік техникалық қызмет" республикалық мемлекеттік кәсіпорнынан сұрататын ақпарат;

      3) уәкілетті органмен Заңға сәйкес Ақпараттық қауіпсіздіктің жедел орталығынан, Ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығынан сұратылатын ақпарат негізінде жүзеге асырылады;

      4) "электрондық үкіметтің" сәулет порталында орналастырылған ақпарат.

      Ескерту. 7-тармаққа өзгеріс енгізілді – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 19.08.2019 № 200/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      8. Мемлекеттік органдар, жергілікті атқарушы органдар есепті қазақ және орыс тілдерінде есептік кезеңнен кейінгі айдың 25-сінен кешіктірмей, уәкілетті органға мемлекеттік органдардың электронды құжат айналымының бірыңғай жүйесі арқылы электронды түрде ұсынады.

      9. Мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері иелері мен иеленушілері есепті еркін түрде мемлекеттік және орыс тілдерінде есептік кезеңнен кейінгі айдың 25-сінен кешіктірмей, уәкілетті органға қағаз тасымалдауышта ұсынады.

      Есепті кезең күнтізбелік жыл болып табылады.

      10. Егер есепті ұсыну мерзімінің соңғы күні жұмыс істемейтін күнге келген жағдайда ұсыну мерзімі келесі жұмыс күні болып табылады.

      11. Уәкілетті орган жиынтық ақпарат негізінде ақпараттық қауіпсіздікті қамтамасыз ету саласындағы БТ талаптарын орындауына талдау жүргізеді.

  Ақпараттық-коммуникациялық
технологиялар және ақпарттық
қауіпсіздікті қамтамасыз ету
саласындағы бірыңғай
талаптарды орындау
мониторингін жүргізу
қағидаларына қосымша
Әкімшілік деректерді
жинауға арналған нысан

БТ орындау туралы есеп Есепті кезең 20___ ж.

      Ескерту. Қосымшаға өзгеріс енгізілді – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 19.08.2019 № 200/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      Индексі: № 1-ЕН нысан

      Кезеңділігі: жылдық

      Ұсынатын тұлғалар тобы: мемлекеттік органдар, жергілікті атқарушы органдар, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілер, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері иелері мен иеленушілері

      Қайда ұсынылады: Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі

      Тапсыру мерзімі: есептік кезеңнен кейін 25 қаңтарына дейін

Талаптар тізбесі

Орындалды

Орындалмағаны

Орындамау себептері

1

2

3

4

5

Ақпараттандыруды ұйымдастыруға және басқаруға қойылатын талаптар

1.

Мемлекеттік орган (бұдан әрі – МО) және жергілікті атқарушы орган (бұдан әрі – ЖАО) қызметшілерінің жұмыс кеңістігі мен орнын жабдықтау бойынша талаптарды сақтау




2.

МО немесе ЖАО қызметкерлерінің жұмыс станцияларын орналастыру бойынша талаптарды сақтау




3.

Электрмен жабдықтау жүйесіндегі істен шығудан және коммуналдық қызметтер жұмысындағы кірістерден туындайтын басқа да бұзылулардан жұмыс станцияларын қорғау бойынша талаптарды сақтау




4.

Үздіксіз қолжетімділігін және тұтастығын қамтамасыз ету үшін жұмыс станцияларына техникалық қызмет көрсету рәсімдері мен мерзімділігі бойынша талаптарды сақтау




5.

Түрлі сыртқы тәуекелдерді ескере отырып, МО-дан немесе ЖАО-дан тыс орналасқан мобильдік пайдаланушылардың жұмыс станцияларын қорғау бойынша талаптарды сақтау




6.

Жұмыс станцияларын екінші рет пайдаланған немесе ақпарат тасымалдауыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жою бойынша талаптарды сақтау




7.

Жұмыс станцияларын жұмыс орнынан тыс жерлерге шығару қағидаларын сақтау




8.

Конфигурацияларын тексере отырып, жұмыс станцияларын есепке алу




9.

МО және ЖАО қызметшілерінің жұмыс станциялары мен мобильдік компьютерлеріндегі қолданылмайтын енгізу-шығару порттарын ажырату немесе бұғаттау бойынша талаптарды сақтау




10.

МО немесе ЖАО ішкі шеңберінің локалды желісіне қосылған және Интернетке қосылмаған жұмыс станцияларында МО және ЖАО қызметтік ақпаратын өңдеу мен сақтауын жүзеге асыру бойынша талаптарды сақтау




Ақпараттық қауіпсіздікті қамтамасыз етуді ұйымдастыруға қойылатын талаптар

11.

Ақпараттық қауіпсіздік бойынша оқшауланған құрылымдық бөлімшесінің болуы бойынша талаптарды сақтау




12.

Ақпараттық қауіпсіздікті қамтамасыз ету бойынша нормативтік-техникалық құжаттаманың болуы




13.

Ақпараттық-коммуникациялық технологиялар саласында тәуекелдерін бағалау әдістемесінің болуы




14.

Ақпараттық-коммуникациялық технологиялар саласындағы қатерлер (тәуекелдер) каталогының болуы




15.

Ақпараттық қауіпсіздік бұзушылықтары оқиғаларын бақылауды жүзеге асыру




16.

Оқиғаларды тіркеу журналдарын үш жылдан кем емес мерзім бойы және кем дегенде үш ай жедел қолжетімді түрде сақтау талаптарын сақтау




17.

Аса маңызды процестердің үздіксіз жұмысын қамтамасыз ету және қалпына келтіру бойынша шаралар жоспарының болуы




18.

Лауазымдық нұсқаулықтарға және (немесе) еңбек шартының талаптарына енгізілген ақпараттық қауіпсіздікті қамтамасыз ету бойынша міндеттерді орындау




19.

Сәйкестендіру талаптарын сақтау




20.

Ақпаратты криптографиялық қорғау құралдарын пайдалану бойынша талаптарды сақтау




21.

Серверлік жабдықтарды резервте сақтау әдісімен қолжетімділікті және тұрақтылықты қамтамасыз ету




22.

Пайдаланушылар әрекеттерін мониторингілеуді және пайдаланушылардың аномалды әрекеттерін бұғаттауды қамтамасыз ету




23.

Ақпараттық қауіпсіздікті қамтамасыз етуді мониторингілеу талаптарын сақтау




24.

Ақпараттық қауіпсіздікті қамтамасыз ету құралдары мен жүйелерінің болуы




25.

Растайтын орталықтарының тіркеу куәліктерінің болуы




Электронды ақпараттық ресурстарға және интернет-ресурстарға қойылатын талаптар

26.

Метадеректерді қалыптастыру, орналастыру және сақтау бойынша талаптарды сақтау




27.

Ақпараттық ресурстарды құру мен дамыту бойынша талаптарды сақтау




28.

Ақпараттық ресурстардың ақпараттық қауіпсіздігін қамтамасыз ету бойынша талаптарды сақтау




Әзірленетін немесе сатып алынатын қолданбалы бағдарламалық қамтылымға қойылатын талаптар

29.

Ақпараттық жүйенің құрылып жатқан немесе дамудағы қолданбалы бағдарламалық қамтылымға қойылатын талаптарды сақтау




30.

Дайын қолданбалы бағдарламалық қамтылымды пайдалануға қойылатын талаптарды сақтау




31.

Бағдарламалық қамтылымды техникалық қолдау және сүйемелдеудің болуы




32.

Бағдарламалық қамтылымның пайдаланылуын бақылау бойынша шаралардың болуы:
-нақты пайдаланылатын бағдарламалық қамтамасыздандыру айқындау;
-бағдарламалық қамтамасыздандыру пайдалануға құқықтарды айқындауды;
-нақты пайдаланылатын бағдарламалық қамтамасыздандыру мен қолда бар лицензияларды салыстырып тексеру.




33.

Қолданбалы бағдарламалық қамтылымда электронды қолтаңба қолдану талаптарын орындау




Ақпараттық жүйеге қойылатын талаптар

34.

Ақпараттық жүйені тәжірибелік пайдалануды аяқтау туралы актінің болуы




35.

Алып тасталды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 19.08.2019 № 200/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

36.

Алып тасталды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 19.08.2019 № 200/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

37.

Әзірленген бағдарламалық қамтылымды, есепке алу және сақтау үшін "электрондық үкіметтің" сервистік интеграторына: біріңғай талаптарына сәйкес бастапқы кодтарды, МО және ЖАО ақпараттық жүйесінің лицензияланған қолданбалы бағдарламалық қамтылымның баптау кешенін (болған кезде) ұсыну талабын сақтау




38.

МО және ЖАО ақпараттық жүйесін өнеркәсіптік пайдалануды қамтамасыз ету бойынша талаптарды сақтау




39.

Ішкі локалды желіден ақпараттық жүйені басқаруды қамтамасыз ету




Технологиялық платформаға қойылатын талаптар

40.

Ұсынылатын ақпараттық-коммуникаицялық қызметтердің үздіксіз және тоқтаусыз жұмыс істеу коэффициентінің болуы




41.

Сәйкестендіруді басқару бойынша талаптарды сақтау




42.

Қолжетімділікті басқару бойынша талаптарды сақтау




43.

Шифрлау кілттерін басқару бойынша талаптарды сақтау




44.

Ақпараттық қауіпсіздік оқиғаларының аудитін өткізу бойынша талаптарды сақтау




45.

Ақпараттық қауіпсіздік оқиғаларын тіркеу талаптарын сақтау




46.

Виртуализация ортасы инфрақұрылымның аппараттық және бағдарламалық компоненттерін қорғау шараларын қолдану бойынша талаптарды сақтау




47.

Әзірлеу және тестілеу ортасын пайдалану ортасын физикалық бөлудің болуы




48.

Желілік және жүйелік әкімшілеу рәсімдерін орындау




Апараттық-бағдарламалық кешенге қойылатын талаптар

49.

Серверлік жабдықтың конфигурациясын тексере отырып, оған тұрақты негізде түгендеу жүргізу




50.

Серверлік жабдықты орнату бойынша талаптарды орындау




51.

Резервтік көшіру жүйесін қамтамасыз ететін деректерді сақтау жүйесінің болуы




Телекоммуникация желілеріне қойылатын талаптар

52.

Бөлінген байланыс арналарына қойылатын талаптарды сақтау




53.

Қызметтік міндеттерін орындау кезінде қызметкерлердің тек ведомстволық электронды поштаны пайдалануы бойынша талаптарды сақтау




54.

Кәбіл жүйесі жабдығының болуы




55.

Үздіксіз қуаттау көздерінен электрқуаттаумен қамсыздандырылатын локалды желілердің активті жабдығының болуы




Техникалық құралдардың үздіксіз жұмыс істеу және ақпараттық қауіпсіздік жүйелеріне қойылатын талаптар

56.

Жабдықты монтаждау бойынша талаптарды сақтау




57.

Жабдықты техникалық сүйемелдеу кезінде құжаттаудың болуы




58.

Қолжетімділікті басқару мен бақылау жүйесінің болуы




59.

Микроклиматты қамтамасыз ету жүйесінің болуы




60.

Серверлік үй-жайдың күзет дабыл жүйесінің болуы




61.

Бейнебақылау жүйесінің болуы




62.

Серверлік үй-жайдың өрт дабыл жүйесінің болуы




63.

Серверлік үй-жайлардың өрт сөндіру жүйесінің болуы




64.

Кепілді электрқуаттау жүйесінің болуы




65.

Серверлік үй-жайдың жерге тұйықталған жүйесінің болуы




      Ескертпе:

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың орындалуы туралы есеп нысанын толтыру бойынша түсіндірме

      1. Осы түсіндірме есеп нысанын толтыру бойынша түсіндірме, әкімшілік деректерді жинауға арналған, оны толтыру тәртібін нақтылайды (бұдан әрі – есеп нысаны)

      2. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың орындалуы туралы (бұдан әрі – БТ) есеп нысанының негізгі міндеті ақпараттық қауіпсіздікті қамтамасыз ету саласындағы БТ орындау барысы туралы ақпаратты жинау, жинақтау және талдау болып табылады.

      3. Толтырылған есеп нысаны Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігіне:

      1) есеп мемлекеттік және жергілікті атқарушы органдарына қазақ және орыс тілдерінде есепті кезеңнен кейінгі айдың 25-күнінен кешіктірмей мемлекеттік органдардың бірыңғай электрондық құжат айналымы жүйесі арқылы;

      2) мемлекеттік заңды тұлғалармен, квазимемлекеттік сектор субъектілерімен, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланған немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иелерімен және иеленушілерімен, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелерімен және иеленушілерімен ерікті негізде есепті кезеңнен кейінгі айдың 25-күнінен кешіктірмей, қағаз түрінде ұсынылады.

      4. Есеп нысаны қазақ және орыс тілдерінде толтырылады.

      5. Есеп нысанына бірінші басшы, ол болмаған жағдайда – оның міндетін атқарушы тұлға қол қояды.

      6. Есеп нысаны мынадай түрде толтырылады:

      3-бағанда "Орындалды" белгісі "+" белгісімен көрсетіледі;

      4-бағанда "Орындалған жоқ" белгісі "–" белгісімен көрсетіледі;

      5-бағанда "Орындалмау себебі" БТ тармақтарының талаптары орындалмағаны туралы толық ақпарат көрсетіледі.

      ______________________________________________

      (Ұйым атауы, БСН)

      ______________________________________________

      (Мекенжайы, телефон, электронды пошта)

Орындаушы
__________________________
Тегі, аты, әкесінің аты (бар болса)
күні ______________________
қолы _____________________

Басшы
_________________________________
Тегі, аты, әкесінің аты (бар болса)
күні _____________________________
қолы ____________________________