ИПС "Әділет"

Об утверждении Правил проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры

Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 7 июня 2018 года № 17019.

В соответствии с подпунктом 7) статьи 7-1 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:

Сноска. Преамбула - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

1. Утвердить прилагаемые Правила проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры.

2. Признать утратившим силу приказ исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 66 "Об утверждении Правил проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации "электронного правительства" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 13178, опубликован 10 марта 2016 года в информационно-правовой системе "Әділет").

3. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней со дня государственной регистрации в Министерстве юстиции Республики Казахстан настоящего приказа направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) в течение десяти календарных дней после государственной регистрации настоящего приказа направление его копии на официальное опубликование в периодические печатные издания;

4) размещение настоящего приказа на интернет-ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

5) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2), 3) и 4) настоящего пункта.

4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.

5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр оборонной
и аэрокосмической промышленности
Республики Казахстан

Б. Атамкулов

"СОГЛАСОВАНО"
Председатель Комитета
национальной безопасности
Республики Казахстан
_______________ К. Масимов
"___" ____________ 2018 года

Утверждены
приказом
Министра оборонной
и аэрокосмической промышленности
Республики Казахстан
от 28 марта 2018 года № 52/НҚ

Правила проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры

Сноска. Правила в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 13.08.2019 № 195/НҚ (вводится в действие с 20.09.2019).

Глава 1. Общие положения

1. Настоящие Правила проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры (далее – Правила) разработаны в соответствии с подпунктом 7) статьи 7-1 Закона Республики Казахстан "Об информатизации" (далее – Закон) и определяют порядок проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры.

Сноска. Пункт 1 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

2. В настоящих Правилах используются следующие понятия и сокращения:

1) объекты информатизации – электронные информационные ресурсы, программное обеспечение, интернет-ресурс и информационно-коммуникационная инфраструктура;

2) владелец объектов информатизации – субъект, которому собственник объектов информатизации предоставил права владения и пользования объектами информатизации в определенных законом или соглашением пределах и порядке;

3) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

4) техническая документация по информационной безопасности – документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения информационной безопасности (далее – ИБ) объектов информатизации и (или) организации;

5) система управления событиями информационной безопасности – программное обеспечение или аппаратно-программный комплекс, предназначенные для автоматизированного выявления событий информационной безопасности и инцидентов информационной безопасности путем сбора и анализа журналов регистрации событий объекта информатизации;

6) агент системы управления событиями информационной безопасности – программное обеспечение, устанавливаемое на серверное оборудование объекта информатизации для сбора журналов регистрации событий;

7) событие информационной безопасности – состояние объектов информатизации, свидетельствующее о возможном нарушении существующей политики безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности объекта информатизации;

8) уполномоченный орган в сфере обеспечения информационной безопасности (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере обеспечения информационной безопасности;

9) система мониторинга обеспечения информационной безопасности – организационные и технические мероприятия, направленные на проведение мониторинга безопасного использования информационно-коммуникационных технологий;

10) оперативный центр информационной безопасности (далее – ОЦИБ) – юридическое лицо или структурное подразделение юридического лица, осуществляющее деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;

11) инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

12) государственная техническая служба (далее – АО "ГТС") - акционерное общество, созданное по решению Правительства Республики Казахстан;

критически важные объекты информационно-коммуникационной инфраструктуры (далее - КВОИКИ) – объекты информационно-коммуникационной инфраструктуры, нарушение или прекращение функционирования которых приводит к незаконному сбору и обработке персональных данных ограниченного доступа и иных сведений, содержащих охраняемую законом тайну, чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или для жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, "электронного правительства";

14) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;

15) система сбора журналов регистрации событий – аппаратно-программный комплекс, обеспечивающий централизованный сбор журналов регистрации событий объектов информатизации, их хранение и дальнейшую передачу в систему управления событиями информационной безопасности;

16) объекты информатизации "электронного правительства" (далее – ОИ ЭП) – государственные электронные информационные ресурсы, программное обеспечение государственных органов, интернет - ресурс государственного органа, объекты информационно-коммуникационной инфраструктуры "электронного правительства", в том числе объекты информатизации иных лиц, предназначенные для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг;

17) мониторинг обеспечения информационной безопасности объектов информатизации "электронного правительства" (далее – МОИБ) – отслеживание полноты и качества реализации собственниками и (или) владельцами объектов информатизации "электронного правительства" технических и организационных мероприятий по обеспечению ИБ ОИ ЭП посредством выявления угроз и инцидентов ИБ;

18) архитектурный портал "электронного правительства" – объект информатизации, предназначенный для осуществления учета, хранения и систематизации сведений об объектах информатизации "электронного правительства", архитектуры "электронного правительства" в целях дальнейшего использования государственными органами для мониторинга, анализа и планирования в сфере информатизации.

Сноска. Пункт 2 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменением, внесенным приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

3. МОИБ проводится АО "ГТС", реализующим задачи и функции Национального координационного центра информационной безопасности (далее – НКЦИБ), в соответствии с подпунктом 15) пункта 1 статьи 14 Закона, посредством системы МОИБ НКЦИБ и включает в себя следующие виды работ:

мониторинг реагирования на инциденты ИБ;

мониторинг обеспечения защиты;

мониторинг обеспечения безопасного функционирования.

Сноска. Пункт 3 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

4. Объектами МОИБ являются введенные в промышленную эксплуатацию ОИ ЭП, в том числе отнесенные к КВОИКИ, за исключением:

электронных информационных ресурсов, содержащих сведения, составляющие государственные секреты;

информационных систем в защищенном исполнении, отнесенных к государственным секретам;

объектов информатизации Национального банка Республики Казахстан, не интегрируемых с ОИ ЭП.

Сноска. Пункт 4 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

5. МОИБ проводится по одному из следующих вариантов:

1) по одному виду работ;

2) по нескольким видам работ;

3) в полном составе видов работ.

Сноска. Пункт 5 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

6. МОИБ, отнесенных к КВОИКИ, осуществляется на основании договорных отношений между Комитетом национальной безопасности Республики Казахстан (далее – КНБ РК) и АО "ГТС".

Сноска. Пункт 6 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Порядок проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства"

7. АО "ГТС" для проведения МОИБ в качестве первичной информации использует сведения об объекте МОИБ из архитектурного портала "электронного правительства", а также сведения, полученные на этапах проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - ИБ), включая:

1) перечень программных и технических средств;

2) схемы сетей телекоммуникаций;

3) контрольные суммы исходных кодов и/или файлов программных средств;

4) структуры баз данных.

Сноска. Пункт 7 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

8. Собственник или владелец объекта МОИБ уведомляет АО "ГТС" о вводе объекта МОИБ в промышленную эксплуатацию, либо о прекращении эксплуатации в течение 10 рабочих дней со дня ввода в промышленную эксплуатацию, либо прекращения эксплуатации официальным письмом и предоставляет в бумажном и электронном виде сведения об ОИ ЭП по форме, согласно приложению 1 к настоящим Правилам (далее – Сведения).

Сноска. Пункт 8 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

9. АО "ГТС" разрабатывает график проведения работ по МОИБ и согласовывает его с КНБ РК.

Сноска. Пункт 9 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

10. АО "ГТС" при проведении МОИБ осуществляет:

1) в рамках мониторинга реагирования на инциденты ИБ:

анализ объекта МОИБ на предмет определения перечня журналов регистрации событий, необходимых для передачи в систему управления событиями ИБ НКЦИБ;

установку агентов системы управления событиями ИБ на систему сбора журналов регистрации событий объекта МОИБ и, при необходимости, на иные объекты информационно-коммуникационной инфраструктуры собственника или владельца объекта МОИБ;

сбор в систему управления событиями ИБ НКЦИБ журналов регистрации событий объекта МОИБ и относящихся к нему средств защиты информации, их обработку и анализ с целью выявления событий ИБ и инцидентов ИБ;

первичный анализ событий ИБ или инцидентов ИБ, выявленных на объекте МОИБ;

уведомление ответственных лиц за обеспечение ИБ объекта МОИБ в течение 30 минут с момента выявления события ИБ или инцидента ИБ с предоставлением перечня данных о выявленном событии ИБ или инциденте ИБ согласно приложению 7 к настоящим Правилам;

выдачу первичных рекомендаций по приостановлению распространения инцидента ИБ собственнику или владельцу объекта МОИБ;

направление, при необходимости, к месту размещения объекта МОИБ работника АО "ГТС" в рамках реагирования на инцидент ИБ (необходимость определяется КНБ РК или АО "ГТС" самостоятельно);

уведомление КНБ РК при не устранении собственником или владельцем объекта МОИБ или уполномоченным им лицом причин и последствий инцидента ИБ в течение 72 часов с момента подтверждения инцидента ИБ;

2) в рамках мониторинга обеспечения защиты:

обследование объектов МОИБ на предмет наличия уязвимостей (далее – обследование на уязвимости) согласно графику проведения работ по МОИБ:

в режиме "тестирование на проникновение" – 8 раз в год (4 основных, 4 контрольных);

в режиме "контроль обновлений и анализ конфигураций" – 2 раза в год (основное, контрольное);

анализ исходного кода – 4 раза в год (2 основных, 2 контрольных);

"ручное" тестирование на проникновение – 2 раза в год (основное, контрольное);

при проведении ручного тестирования на проникновение обследование локальной вычислительной сети (при ее наличии), имеющей сопряжение с локальной вычислительной сетью, в которой размещен объект МОИБ;

предоставление результатов обследования на уязвимости и рекомендаций по устранению уязвимостей объектов МОИБ собственникам или владельцам объектов МОИБ в течение 10 рабочих дней после завершения работ по обследованию на уязвимости;

по запросу собственника или владельца объектов МОИБ консультирование по вопросам устранения уязвимостей объектов МОИБ, выявленных в рамках обследования на уязвимости;

3) в рамках мониторинга обеспечения безопасного функционирования:

обследование объекта МОИБ на предмет исполнения требований технической документации по информационной безопасности (далее – ТД по ИБ), приведенной в приложении 3 к настоящим Правилам, согласно графику проведения работ по МОИБ;

предоставление собственникам или владельцам объектов МОИБ результатов обследования объекта МОИБ на предмет исполнения требований ТД по ИБ и рекомендаций по устранению выявленных нарушений в течение 10 рабочих дней со дня завершения обследования.

Сноска. Пункт 10 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

11. Собственник или владелец объекта МОИБ обеспечивает условия для проведения АО "ГТС" работ по МОИБ, включая:

физический доступ работникам АО "ГТС" к объекту МОИБ, к системе сбора журналов регистрации событий объекта МОИБ в сопровождении работников собственника или владельца объекта МОИБ или уполномоченного им лица;

два рабочих места для работников АО "ГТС" с предоставлением круглосуточного сетевого доступа к объекту МОИБ на безвозмездной основе;

сетевой доступ для АО "ГТС" к системе сбора журналов регистрации событий объекта МОИБ с правами на исполнение всех без исключения операций;

доступ к ТД по ИБ, утвержденной собственником или владельцем объекта МОИБ, заверенной его подписью и печатью (при наличии);

физический доступ к серверному и сетевому оборудованию, сети телекоммуникаций объекта МОИБ с проведением фото и видео фиксации и к документации на объект МОИБ и сопутствующей документации, в том числе к договорам на сопровождение и техническую поддержку объекта МОИБ.

Сноска. Пункт 11 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

12. При проведении АО "ГТС" мониторинга реагирования на инциденты ИБ собственник или владелец объекта МОИБ или лицо, оказывающее ему услуги ОЦИБ:

организует журналирование событий объекта МОИБ и относящихся к нему средств защиты информации, в соответствии с форматами и типами записей журналов регистрации событий ОИ ЭП, приведенными в приложении 4 к настоящим Правилам;

организует систему сбора журналов регистрации событий в контуре телекоммуникационной сети, в котором функционирует объект МОИБ;

организует передачу журналов регистрации событий объекта МОИБ и относящихся к нему средств защиты информации, в систему сбора журналов регистрации событий объекта МОИБ;

уведомляет АО "ГТС" о планируемых работах по внесению изменений в журналирование событий объекта МОИБ за 5 рабочих дней до внесения изменений. К уведомлению прикладываются образцы изменяемых журналов регистрации событий и их описание;

обеспечивает условия, согласованные с АО "ГТС", для передачи журналов регистрации событий объекта МОИБ из системы сбора журналов регистрации событий объекта МОИБ в систему управления событиями ИБ НКЦИБ;

при самостоятельном обнаружении инцидента ИБ на объекте МОИБ, уведомляет АО "ГТС" в течение 15 минут с момента подтверждения инцидента ИБ и направляет в АО "ГТС" информацию о принятых мерах по устранению инцидента ИБ в течение 72 часов с момента его подтверждения, в соответствии с Приложением 2 к настоящим Правилам;

в случае уведомления АО "ГТС" о событии ИБ или инциденте ИБ, в течение 72 часов с момента уведомления направляет в АО "ГТС":

при подтверждении события ИБ - результаты анализа события ИБ;

при подтверждении инцидента ИБ - информацию о принятых мерах по устранению инцидента ИБ в соответствии с Приложением 2 к настоящим Правилам.

Сноска. Пункт 12 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

13. При проведении АО "ГТС" мониторинга обеспечения защиты собственник или владелец объектов МОИБ:

в течение двадцати календарных дней со дня получения результатов обследования на наличие уязвимостей направляет в АО "ГТС" информацию о принятых мерах для устранения уязвимостей объекта МОИБ;

при самостоятельном обнаружении уязвимости объекта МОИБ, предоставляет в АО "ГТС" перечень данных об уязвимости ОИ ЭП по форме согласно приложению 5 к настоящим Правилам в течение 24 часов с момента выявления уязвимости;

при неустранении уязвимости объекта МОИБ может присвоить уязвимости одну из категорий (производственная необходимость, уязвимость нулевого дня, ложное срабатывание) и предоставляет в АО "ГТС" категории причин неустранения уязвимости и обоснование причины неустранения согласно приложению 6 к настоящим Правилам.

Сноска. Пункт 13 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

14. При проведении АО "ГТС" мониторинга обеспечения безопасного функционирования собственник или владелец объекта МОИБ:

в течение 10 рабочих дней со дня получения уведомления о проведении работ по обследованию объекта МОИБ на предмет исполнения требований ТД по ИБ предоставляет в АО "ГТС" копии ТД по ИБ, утвержденной собственником или владельцем объекта МОИБ, заверенной его подписью и печатью (при наличии), приведенной в приложении 3 к настоящим Правилам;

в течение одного месяца со дня получения результатов обследования объекта МОИБ на предмет исполнения требований ТД по ИБ предоставляет в АО "ГТС" информацию о мерах, принятых по выявленным нарушениям требований ТД по ИБ.

Сноска. Пункт 14 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

15. АО "ГТС" направляет запрос собственникам или владельцам объектов МОИБ о предоставлении Сведений с целью формирования перечня объектов МОИБ. Собственник или владелец объекта МОИБ в течение 10 рабочих дней с момента получения запроса от АО "ГТС" предоставляет в АО "ГТС" Сведения в электронной форме.

Сноска. Пункт 15 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

16. Собственник или владелец объекта МОИБ при изменении контактных данных лица, ответственного за обеспечение ИБ объекта МОИБ, в течение 48 часов с момента данного изменения направляет в АО "ГТС" актуальные контактные данные.

Сноска. Пункт 16 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

17. АО "ГТС" ежеквартально направляет в КНБ РК сводную информацию по выявленным событиям ИБ, инцидентам ИБ, уязвимостям ОИ ЭП, изменениям ОИ ЭП и выявленным нарушениям требований ТД по ИБ, а также сведения о принятых собственниками или владельцами объектов МОИБ мерах.

Сноска. Пункт 17 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

18. КНБ РК ежеквартально направляет в уполномоченный орган сводную информацию по выявленным инцидентам ИБ, уязвимостям ОИ ЭП, изменениям ОИ ЭП и выявленным нарушениям требований ТД по ИБ, а также сведения о принятых собственниками или владельцами объектов МОИБ мерах.

Глава 3. Порядок проведения мониторинга обеспечения информационной безопасности критически важных объектов информационно-коммуникационной инфраструктуры

Сноска. Заголовок главы 3 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

19. Мониторинг обеспечения информационной безопасности КВОИКИ, не относящихся к ОИ ЭП, осуществляется собственным подразделением по ИБ владельца КВОИКИ или путем приобретения услуг третьих лиц в соответствии со статьей 683 Гражданского кодекса Республики Казахстан.

Сноска. Пункт 19 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

20. Собственник или владелец КВОИКИ обеспечивает подключение системы мониторинга обеспечения ИБ (далее – СМО ИБ) КВОИКИ к техническим средствам ОЦИБ, а также определяет ответственного по ИБ КВОИКИ в течение девяноста календарных дней со дня включения в перечень КВОИКИ, утверждаемый уполномоченным органом в сфере обеспечения информационной безопасности.

Сноска. Пункт 20 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
21. Исключен приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2023 № 128/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

22. После подключения СМО ИБ КВОИКИ к техническим средствам ОЦИБ, при выявлении СМО ИБ ОЦИБ инцидента ИБ, ОЦИБ в течение 15 минут с момента подтверждения инцидента ИБ уведомляет АО "ГТС" и собственника или владельца КВОИКИ путем оповещения ответственного по ИБ КВОИКИ. ОЦИБ в течение 72 часов с момента подтверждения инцидента ИБ направляет в АО "ГТС" информацию о принятых мерах по устранению инцидента ИБ в соответствии с Приложением 2 к настоящим Правилам.

Сноска. Пункт 22 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

23. Собственник или владелец КВОИКИ исправляет выявленные уязвимости в течение тридцати календарных дней после получения уведомления.

24. В случае самостоятельного выявления инцидента ИБ подразделением по ИБ КВОИКИ, ответственный по ИБ КВОИКИ в течение 15 минут с момента подтверждения инцидента ИБ уведомляет АО "ГТС" и ОЦИБ. ОЦИБ в течение 72 часов с момента подтверждения инцидента ИБ направляет в АО "ГТС" информацию о принятых мерах по устранению инцидента ИБ в соответствии с Приложением 2 к настоящим Правилам. В случае отсутствия лица, оказывающего услуги ОЦИБ, информацию о принятых мерах по устранению инцидента ИБ в АО "ГТС" направляет подразделение по ИБ КВОИКИ.

Сноска. Пункт 24 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

25. Порядок и требования, изложенные в настоящей главе, установлены для КВОИКИ, не относящихся к ОИ ЭП.

Сноска. Правила дополнены пунктом 25 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 27.10.2022 № 399/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

	Приложение 1 к Правилам проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов
	информационно-коммуникационной инфраструктуры
	Форма

Сведения об объекте информатизации "электронного правительства"

Сноска. Приложение 1 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

1. Официальное наименование объекта информатизации "электронного правительства" (далее - ОИ ЭП).

2. Собственник ОИ ЭП.

3. Владелец ОИ ЭП (при наличии).

4. Физическое месторасположение ОИ ЭП (улица, город, область).

5. Организация, осуществляющая сопровождение и (или) системно-техническое обслуживание ОИ ЭП (с указанием полных контактных данных).

6. Уровень критичности согласно классификатору объектов информатизации: высокий, средний, низкий.

7. Информация о наличии подключения ОИ ЭП к Единой транспортной среде государственных органов и пропускной способности канала связи.

8. Информация о наличии подключения ОИ ЭП к Интернету и пропускной способности канала связи.

9. Логическая и физическая архитектурные схемы ОИ ЭП, утвержденные собственником или владельцем ОИ ЭП и заверенные его подписью и печатью (при наличии).

10. Информация о наличии системы сбора журналов регистрации событий с указанием наименования системы и контура локальной сети, в котором функционирует система.

11. Контактные данные ОЦИБ или лица, ответственного за обеспечение информационной безопасности ОИ ЭП.

12. Сведения о технических и программных средствах ОИ ЭП, в том числе, резервных технических и программных средствах и средствах защиты информации, относящихся к ОИ ЭП, с указанием IP-адресов, доменных имен (при наличии), назначения технического и программного средства и версии (при наличии), к которому относится IP-адрес.

	Приложение 1 к Сведениям об объекте информатизации "электронного правительства"
	Форма

Сноска. Приложение 1 исключено приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

	Приложение 2 к Сведениям об объекте информатизации "электронного правительства"
	Форма

Сноска. Приложение 2 исключено приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Приложение 2
к Правилам проведения
мониторинга обеспечения
информационной безопасности
объектов информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры

Форма

Перечень данных об инциденте информационной безопасности

Сноска. Приложение 2 - в редакции приказа и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Дата регистрации инцидента ИБ
Уровень критичности инцидента ИБ*	Высокий (4); Средний (3); Низкий (2); Не определено (1).
Тип инцидента ИБ	Отказ в облуживании (DoS, DDoS); Несанкционированный доступ и модификация содержания; Ботнет; Вирусная атака; Шифровальщик; Эксплуатация уязвимости; Компрометация средств аутентификации/авторизации; Фишинг; Спам; Другой.
Масштабность	Единичный; Массовый.
Детали	Дата и время возникновения; Дата и время подтверждения; Повторный/новый; Индикатор компрометации (IOC).
Признак	Действительный; Попытка; Подозрение;
Контур	Локальная сеть внутреннего контура; Локальная сеть внешнего контура.
Описание инцидента ИБ
Последствие	Без последствий; Нарушение работоспособности; Нарушение целостности; Нарушение режима конфиденциальности информации.
Объект, которому нанесен ущерб
Действия, предпринятые для устранения инцидента ИБ
Примечание

Уровни критичности инцидента информационной безопасности

Уровень критичности	Признаки	Примеры инцидентов ИБ
Высокий (4)	Инциденты ИБ, которые приводят к невозможности предоставления услуг/выполнения работ, и (или) потере/модификации критичных* данных, и (или) нарушению конфиденциальности объекта информатизации, обрабатывающего критичные* данные.	- Несанкционированный доступ - Эксплуатация уязвимости - Шифровальщик - Вредоносное ПО - Отказ в обслуживании (DoS/DDoS-атака) И т.д.
Средний (3)	Инциденты ИБ, которые приводят к существенному ограничению предоставления услуг/выполнения работ, и (или) потере/модификации данных, не являющихся критичными, и (или) нарушению конфиденциальности объекта информатизации, обрабатывающего данные, не являющихся критичными.	- Несанкционированный доступ - Шифровальщик - Вредоносное ПО - Отказ в обслуживании (DoS/DDoS-атака) - Эксплуатация уязвимости И т.д.
Низкий (2)	Инциденты ИБ, не влияющие на предоставление услуги/выполнение работ.	- Вредоносное ПО - Отказ в обслуживании (DoS/DdoS-атака) - Эксплуатация уязвимости - Спам - Фишинговая атака И т.д.
Не определено (1)**	Влияние инцидента ИБ на предоставление услуг не определено	Нехарактерная/подозрительная активность

Примечание:
* К критичным данным относятся данные, защищаемые законодательством Республики Казахстан и/или отнесенные к критичным владельцем/собственником объекта информатизации.
**Уровень необходимо пересмотреть в течение 48 часов с момента подтверждения инцидента ИБ.

Приложение 3
к Правилам проведения
мониторинга обеспечения
информационной безопасности
объектов информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры

Форма

Техническая документации по информационной безопасности

1. Документы первого уровня:

1) политика информационной безопасности.

2. Документы второго уровня:

1) методика оценки рисков информационной безопасности;

2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;

3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

5) правила проведения внутреннего аудита ИБ;

6) правила использования средств криптографической защиты информации;

7) правила разграничения прав доступа к электронным информационным ресурсам;

8) правила использования Интернет и электронной почты;

9) правила организации процедуры аутентификации;

10) правила организации антивирусного контроля;

11) правила использования мобильных устройств и носителей информации;

12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.

3. Документы третьего уровня:

1) каталог угроз (рисков) ИБ;

2) план обработки угроз (рисков) ИБ;

3) регламент резервного копирования и восстановления информации;

4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

5) руководство администратора по сопровождению объекта информатизации;

6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

4. Документы четвертого уровня:

1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;

2) журнал посещения серверных помещений;

3) отчет о проведении оценки уязвимости сетевых ресурсов;

4) журнал учета кабельных соединений;

5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;

6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений свободного программного обеспечения и прикладного программного обеспечения информационной системы, регистрации и устранения уязвимостей программного обеспечения;

7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;

8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.

Приложение 4
к Правилам проведения
мониторинга обеспечения
информационной безопасности
объектов информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры

Форма

Форматы и типы записей журналов регистрации событий объектов информатизации "электронного правительства"

Глава 1. Форматы и типы записей журналов регистрации событий операционной системы

1. Типы событий операционной системы (далее – ОС), подлежащие журналированию:

1) запуск/остановка системы;

2) работа с объектами ОС (открытие, сохранение, переименование, удаление, создание, копирование);

3) установка и удаление программного обеспечения (далее – ПО);

4) авторизация (вход и выход) пользователей в ОС, успешные и неуспешные попытки авторизации;

5) изменение системной конфигурации;

6) создание, удаление, модификация учетных записей;

7) активация/дезактивация систем защиты, таких как антивирусные системы и системы обнаружения вторжения, и средств ведения журнала регистрации событий;

8) изменение или попытки изменения настроек и средств управления защитой системы;

9) использование привилегированных учетных записей;

10) подключение/отключение устройства ввода/вывода;

11) неудавшиеся или отвергнутые действия пользователя;

12) неудавшиеся или отвергнутые действия, затрагивающие данные и другие ресурсы;

13) запуск, остановка процессов в ОС.

2. Журнал регистрации событий ОС содержит следующие поля:

1) дата и время (формат даты: ДД:ММ:ГГГГ, формат времени: ЧЧ:ММ:СС);

2) наименование хоста;

3) описание события.

3. Для серверных ОС семейства Unix-подобных систем (Unix, Linux, AIX, HPUX и др.) дополнительно к событиям из пункта 1, необходима фиксация следующих событий:

1) подключение идентичной учетной записи с разных IP-адресов на один и тот же сервер;

2) открытие новых портов в системе;

3) всех событий в ключевых логах: /var/log/secure, /var/log/messages, /var/log/audit.

4. Для серверных ОС семейства Windows, дополнительно к событиям из пункта 1, необходима фиксация следующих событий:

1) присвоение специальных привилегий новому сеансу (logon) – Windows EID 4672;

2) Сетевой вход (Network logon) – Windows EID 4624;

3) Доступ к сетевой папке администратора (administrative share access) и доступ к SMB каналам (pipes) – Windows EID 5140/5145;

4) доступ к объекту "Файл" с правами "Запись данных" или "Добавление файла–Windows" EID 4663;

5) запуск потенциально опасных процессов (WmiPrvSE.exe, WinrsHost.exe, wsmprovhost.exe, mmc.exe, psexe*.exe, paexe*.exe) – Sysmon EID 1;

6) установка и запуск службы (сервиса) – Windows EID 7045/7036/4697;

7) создание или изменение параметров заданий в планировщике задач (scheduled tasks) – Windows EID 4698/4702;

8) достигнут таймаут службы– Windows EID 7009;

9) ошибка при запуске службы – Windows EID 7000;

10) изменено значение реестра – Windows EID 4657;

11) запись в пространство имен WMI – Windows EID 4662.

5. Записи в журналах регистрации событий хранятся в текстовом формате.

6. Значения полей журналов регистрации событий разделяются символами-разделителями, в случае если поле имеет длинный формат и в содержании поля присутствует символ-разделитель, применяются символы-ограничители полей.

7. Для журналов регистрации событий используется кодировка UTF-8.

8. В один файл журнала регистрации событий не допускается запись событий, имеющих разные форматы данных.

Глава 2. Форматы и типы записей журналов регистрации событий системы управления базами данных

9. Типы событий системы управления базами данных, подлежащие журналированию:

1) контроль сессий (успешная/неуспешная авторизация, регистрация использования незарегистрированных учетных записей);

2) все действия пользователей базы данных (далее – БД) имеющих административные привилегии (включая команды select, create, alter, drop, truncate, rename, insert, update, delete, call (execute), lock);

3) все действия пользователей имеющих права на присвоение привилегий другим пользователям БД (grant, revoke, deny).

10. Журнал регистрации событий БД содержит следующие поля:

1) дата и время (формат даты: ДД:ММ:ГГГГ, формат времени: ЧЧ:ММ:СС);

2) имя учетной записи/ID пользователя;

3) IP-адрес хоста или наименование хоста;

4) описание события;

5) наименование объекта (таблицы, процедуры, функции, при возможности реализации).

11. Записи в журналах регистрации событий хранятся в текстовом формате.

12. Значения полей журналов регистрации событий разделяются символами-разделителями, в случае если поле имеет длинный формат и в содержании поля присутствует символ-разделитель, применяются символы-ограничители полей.

13. Для журналов регистрации событий используется кодировка UTF-8.

14. В один файл журнала регистрации событий не допускается запись событий, имеющих разные форматы данных.

Глава 3. Форматы и типы записей журналов регистрации событий телекоммуникационного оборудования

15. Типы событий телекоммуникационного оборудования, подлежащие журналированию:

1) запуск/остановка системы;

2) изменение системной конфигурации;

3) создание, удаление, модификация локальных учетных записей;

4) использование привилегированных учетных записей;

5) подключение/отключение устройства ввода/вывода;

6) неудавшиеся или отвергнутые действия пользователя;

7) запуск, падение, остановка сетевых линков (коннектов).

16. С межсетевых экранов при наличии технической возможности ведется запись логов всего трафика (входящего и исходящего), а также запись всех событий на устройстве.

17. Журнал регистрации событий телекоммуникационного оборудования содержит следующие поля:

1) дата и время (формат даты: ДД:ММ:ГГГГ, формат времени: ЧЧ:ММ:СС);

2) наименование устройства;

3) имя учетной записи/ID пользователя;

4) IP-адрес хоста;

5) IP-адрес источника;

6) IP-адрес назначения;

7) описание события.

18. Записи в журналах регистрации событий хранятся в текстовом формате.

19. Значения полей журналов регистрации событий разделяются символами-разделителями, в случае если поле имеет длинный формат и в содержании поля присутствует символ-разделитель, применяются символы-ограничители полей.

20. Для журналов регистрации событий используется кодировка UTF-8.

21. В один файл журнала регистрации событий не допускается запись событий, имеющих разные форматы данных.

Глава 4. Форматы и типы записей журналов регистрации событий прикладного программного обеспечения

22. Типы событий ПО, подлежащие журналированию:

1) авторизация (вход и выход) пользователей, успешные и неуспешные попытки авторизации;

2) создание, копирование, перемещение, удаление, модификация локальных учетных записей и конфигурационных файлов;

3) неудавшиеся или отвергнутые действия пользователя;

4) получение пользователем доступа к объектам доступа;

5) действия пользователей прикладного ПО (доступ к объекту (данным), изменения объекта (данных), удаления объекта (данных)).

23. Журнал регистрации событий ПО содержит следующие поля:

1) дата и время (формат даты: ДД:ММ:ГГГГ, формат времени: ЧЧ:ММ:СС);

2) наименование источника события (сервис/служба);

3) имя учетной записи/ID пользователя;

4) IP-адрес пользователя;

5) время начала операции;

6) время окончания операции;

7) описание события.

24. Записи в журналах регистрации событий хранятся в текстовом формате.

25. Значения полей журналов регистрации событий разделяются символами-разделителями, в случае если поле имеет длинный формат и в содержании поля присутствует символ-разделитель, применяются символы-ограничители полей.

26. Для журналов регистрации событий используется кодировка UTF-8.

27. В один файл журнала регистрации событий не допускается запись событий, имеющих разные форматы данных.

Глава 5. Форматы и типы записей журналов регистрации событий, выявляемые средствами защиты информации

28. Типы событий, выявляемые средствами защиты информации, подлежащие журналированию:

1) создание, копирование, перемещение, удаление, модификация локальных учетных записей и конфигурационных файлов;

2) запуск/остановка службы;

3) изменение системной конфигурации;

4) создание, удаление, модификация локальных учетных записей.

29. Журнал регистрации событий средств защиты информации содержит следующие поля:

1) дата и время (формат даты: ДД:ММ:ГГГГ, формат времени: ЧЧ:ММ:СС);

2) наименование источника события (сервис/служба);

3) имя учетной записи/ID пользователя;

4) IP-адрес клиента;

5) время начала операции;

6) время окончания операции;

7) описание события.

30. Записи в журналах регистрации событий хранятся в текстовом формате.

31. Значения полей журналов регистрации событий разделяются символами-разделителями, в случае если поле имеет длинный формат и в содержании поля присутствует символ-разделитель, применяются символы-ограничители полей.

32. Для журналов регистрации событий используется кодировка UTF-8.

33. В один файл журнала регистрации событий не допускается запись событий, имеющих разные форматы данных.

Приложение 5
к Правилам проведения
мониторинга обеспечения
информационной безопасности
объектов информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры

Форма

Перечень данных об уязвимости объекта информатизации "электронного правительства"

Дата и время обнаружения уязвимости	Контур	Название объекта информатизации	Компонент объекта информатизации (название, IP, hostname и т.д.)	Порт	Описание уязвимости	Дополнительная информация
1	2	3	4	5	6	7
	Внешний/ Внутренний контур

Приложение 6
к Правилам проведения
мониторинга обеспечения
информационной безопасности
объектов информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры

Форма

Категории причин неустранения уязвимости и обоснование причины неустранения

Категории причин неустранения уязвимости	Обоснование причины неустранения уязвимости
Производственная необходимость	Описание уязвимости и состояние объекта информатизации "электронного правительства"; предпринятые меры по устранению уязвимости; причины и характер требуемых изменений в объекте информатизации; сроки устранения уязвимости, не превышающие шести месяцев с момента первого обнаружения.
Уязвимость нулевого дня	Описание уязвимости и состояние объекта информатизации "электронного правительства", а также проведенные мероприятия по снижению вероятности эксплуатации уязвимости.
Ложное срабатывание	Описание характеристики или состояние объекта информатизации "электронного правительства", определенного как уязвимость.

Приложение 7
к Правилам проведения
мониторинга обеспечения
информационной безопасности
объектов информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры

Форма

Перечень данных о выявленном событии информационной безопасности или инциденте информационной безопасности

Сноска. Правила дополнены приложением 7 в соответствии с приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 23.04.2025 № 175/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Дата регистрации события ИБ/инцидента ИБ
Детали	Дата и время обнаружения; IP-адрес источника; IP-адрес назначения (при наличии информации в ЖРС); Наименование устройства/Имя компьютера; Наименование события ИБ/инцидента ИБ; Путь файла/Запрос (при наличии информации в ЖРС); Код ответа от сервера (при наличии информации в ЖРС); Количество сработок на СЗИ (при наличии информации в ЖРС); Организация-источник (при наличии информации в ЖРС); Первичное фиксирование/повторное фиксирование;
Описание события ИБ/инцидента ИБ	В случае наличия дополнительной информации в ЖРС
Собственник или владелец ОИ ЭП
Объект, на котором выявлено событие ИБ/инцидент ИБ
Примечание

"Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу қағидаларын бекіту туралы

Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 28 наурыздағы № 52/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 7 маусымда № 17019 болып тіркелді.

"Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 7) тармақшасына сәйкес БҰЙЫРАМЫН:

Ескерту. Кіріспе жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

1. Қоса беріліп отырған "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу қағидалары бекітілсін.

2. "Электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін, қорғалуын және қауіпсіз жұмыс істеуін қамтамасыз етудің мониторингін жүргізу қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушысының 2016 жылғы 26 қаңтардағы № 66 бұйрығының (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 13178 болып тіркелген, "Әділет" Қазақстан Республикасы нормативтік құқықтық актілерінің ақпараттық құқықтық жүйесінде 2016 жылғы 10 наурызда жарияланған) күші жойылды деп танылсын.

3. Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күнінен бастап күнтізбелік он күн ішінде оның көшірмелерін баспа және электрондық түрде қазақ және орыс тілдерінде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу және ресми жариялау үшін "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

3) осы бұйрық мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмелерін мерзімді баспа басылымдарында ресми жариялауға жіберуді;

4) осы бұйрық ресми жариялағаннан кейін оны Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

5) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2), 3) және 4) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

5. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының
Қорғаныс және аэроғарыш
өнеркәсібі министрі

Б. Атамқұлов

"КЕЛІСІЛГЕН"

Қазақстан Республикасы

Ұлттық қауіпсіздік

комитетінің төрағасы

______________ К. Мәсімов

2018 жылғы 21 мамыр

Қазақстан Республикасы
Қорғаныс және аэроғарыш
өнеркәсібі министрінің
2018 жылғы "28" наурыздағы
№ 52/НҚ бұйрығымен
бекітілген

"Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу қағидалары

Ескерту. Қағида жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 13.08.2019 № 195/НҚ (20.09.2019 бастап қолданысқа енгізіледі) бұйрығымен.

1-тарау. Жалпы қағидалар

1. Осы "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 7) тармақшасына сәйкес әзірленді және "электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу тәртібін айқындайды.

Ескерту. 1-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

2. Осы Қағидаларда мынадай терминдер мен аббревиатуралар пайдаланылады:

1) ақпараттандыру объектілері – электрондық ақпараттық ресурстар, бағдарламалық қамтылым, интернет-ресурс және ақпараттық-коммуникациялық инфрақұрылым;

2) ақпараттандыру объектілерінің иеленушісі – ақпараттандыру объектілерінің меншік иесі заңда немесе келісімде айқындалған шектерде және тәртіппен ақпараттандыру объектілерін иелену және пайдалану құқықтарын берген субъект;

3) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама – ақпараттандыру объектілерінің және (немесе) ұйымның ақпараттық қауіпсіздікті (бұдан әрі – АҚ) қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;

5) ақпараттық қауіпсіздік оқиғаларын басқару жүйесі – ақпараттандыру объектілері оқиғаларын тіркеу журналын талдау және жинау жолымен ақпараттық қауіпсіздік оқыс оқиғаларын және ақпараттық қауіпсіздік оқиғаларын анықтауды автоматтандыруға арналған бағдарламалық қамтылым немесе аппараттық-бағдарламалық кешен;

6) ақпараттық қауіпсіздік оқиғаларын басқару жүйесінің агенті – оқиғаларды тіркеу журналын жинау үшін ақпараттандыру объектісінің серверлік жабдығына орнатылған бағдарламалық қамтылым;

7) ақпараттық қауіпсіздік оқиғасы – ақпараттандыру объектілерінің қазіргі бар қауіпсіздік саясатын ықтимал бұзу туралы не ақпараттандыру объектілерінің қауіпсіздігіне қатысы болуы мүмкін, бұрын белгісіз болған жағдай туралы куәландыратын жай-күйі;

8) ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – ақпараттық қауіпсіздікті қамтамасыз ету саласындағы басшылықты және салааралық үйлестіруді жүзеге асыратын орталық атқарушы орган;

9) ақпараттық қауіпсіздікті қамтамасыз ету мониторингінің жүйесі – ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану мониторингін жүргізуге бағытталған ұйымдастырушылық және технологиялық іс-шаралар;

10) ақпараттық қауіпсіздіктің жедел орталығы (бұдан әрі – АҚЖО) – электрондық ақпараттық ресурстарды, ақпараттық жүйелерді, телекоммуникация желілері мен ақпараттандырудың басқа да объектілерін қорғау жөніндегі қызметті жүзеге асыратын заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;

11) ақпараттық қауіпсіздіктің оқыс оқиғасы – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жекелей немесе сериялы түрде туындайтын, олардың тиісінше жұмыс істеуіне қатер төндіретін және (немесе) электрондық ақпараттық ресурстарды заңсыз алу, көшірмесін түсіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын іркілістер;

12) мемлекеттік-техникалық қызмет (бұдан әрі – "МТҚ" АҚ) – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

13) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері (бұдан әрі – АКИАМО) – жұмыс істеуінің бұзылуы немесе тоқтауы қолжетімділігі шектеулі дербес деректерді және заңмен қорғалатын құпия қамтылған өзге де мәліметтерді заңсыз жинауға және өңдеуге, әлеуметтік және (немесе) техногендік сипаттағы төтенше жағдайға немесе қорғаныс, қауіпсіздік, халықаралық қатынастар, экономика, шаруашылықтың жекелеген салалары үшін немесе тиісті аумақта тұратын халықтың тыныс-тіршілігі, оның ішінде: жылумен жабдықтау, электрмен жабдықтау, газбен жабдықтау, сумен жабдықтау, өнеркәсіп, денсаулық сақтау, байланыс, банк саласы, көлік, гидротехникалық құрылыстар, құқық қорғау қызметі, "электрондық үкімет" инфрақұрылымы үшін елеулі теріс салдарларға алып келетін ақпараттық-коммуникациялық инфрақұрылым объектілері;

14) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;

15) оқиғаларды тіркеу журналдарын жинау жүйесі – ақпараттандыру объектілері оқиғаларын тіркеу журналдарының орталықтандырылған жинағын, олардың сақталуын және одан әрі ақпараттық қауіпсіздік оқиғаларын басқару жүйесіне беруді қамтамасыз ететін аппараттық-бағдарламалық кешен;

16) "электрондық үкіметтің" ақпараттандыру объектілері (бұдан әрі – ЭҮ АО) – мемлекеттік функцияларды жүзеге асыру және мемлекеттік қызметтерді көрсету, мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік электрондық ақпараттық ресурстар, мемлекеттік органдардың бағдарламалық қамтамасыз етуі, мемлекеттік органның интернет-ресурстары, "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылым объектілері, оның ішінде өзге тұлғалардың ақпараттандыру объектілері;

17) "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингі (бұдан әрі – АҚҚМ) – АҚ қауіп-қатерлері мен оқыс оқиғаларын анықтау арқылы ЭҮ АО АҚ қамтамасыз ету бойынша техникалық және ұйымдастыру іс-шараларын "электрондық үкіметтің" ақпараттандыру объектілерінің иелері және (немесе) меншік иелерімен іске асырудың толықтығы мен сапасын қадағалау.

18) "электрондық үкіметтің" архитектуралық порталы – мемлекеттік органдардың ақпараттандыру саласында мониорингтеу, талдау және жоспарлау үшін одан әрі пайдалануы мақсатында "электрондық үкіметтің" ақпараттандыру объектілері туралы мәліметтерді, "электрондық үкіметтің" архитектурасын есепке алуды, сақтауды және жүйелеуді жүзеге асыруға арналған ақпараттандыру объектісі.

Ескерту. 2-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); өзгеріс енгізілді - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрықтарымен.

3. АҚҚМ-ны Ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығының (бұдан әрі – АҚҰҮО) міндеттері мен функцияларын іске асыратын "МТҚ" АҚ Заңның 14-бабының 1-тармағының 15) тармақшасына сәйкес, АҚҰҮО АҚҚМ жүйесі арқылы жүргізеді және мынадай жұмыс түрлерін қамтиды:

АҚ оқыс оқиғаларына ден қою мониторингі;

қорғауды қамтамасыз ету мониторингі;

қауіпсіз жұмыс істеуін қамтамасыз ету мониторингі.

Ескерту. 3-тармаққа өзгеріс енгізілді - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

4. АҚҚМ объектілеріне:

мемлекеттік құпияларды құрайтын мәліметтерді қамтитын электрондық ақпараттық ресурстардан;

мемлекеттік құпияларға жататын, орындалуы қорғалған ақпараттық жүйелерден;

Қазақстан Республикасы Ұлттық Банкінің ЭҮ АО-мен интеграцияланбайтын ақпараттандыру объектілерінен басқа өнеркәсіптік пайдалануға енгізілген, оның ішінде АКИАМО-ға жатқызылған ЭҮ АО жатады.

Ескерту. 4-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

5. АҚҚМ мынадай нұсқалардың бірі бойынша жүргізіледі:

1) бір жұмыс түрі бойынша;

2) бірнеше жұмыс түрлері бойынша;

3) жұмыс түрлерінің толық құрамында.

Ескерту. 5-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

6. АКИАМО-ға жатқызылған АҚҚМ Қазақстан Республикасы Ұлттық қауіпсіздік комитеті (бұдан әрі – ҚР ҰҚК) мен "МТҚ" АҚ арасындағы шарттық қатынастар негізінде жүзеге асырылады.

Ескерту. 6-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

2-тарау. "Электрондық үкімет" ақпараттандыру объектілерінің ақпараттық қауіпсіздікті қамтамасыз ету мониторингін жүргізу тәртібі

7. "МТҚ" АҚ АҚҚМ жүргізу үшін бастапқы ақпарат ретінде "электрондық үкімет" архитектуралық порталынан АҚҚМ объектісі туралы мәліметтерді, сондай-ақ сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақ жүргізу кезеңдерінен алынған мәліметтерді қолданады, оның ішінде:

1) бағдарламалық және техникалық құралдар тізбесі;

2) телекоммуникация желілерінің сызбалары;

3) бастапқы кодтардың және/немесе бағдарламалық құралдар файлдарының бақылау жиынтықтары;

4) деректер базасының құрылымы қоса қолданылады.

Ескерту. 7-тармаққа өзгеріс енгізілді - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

8. АҚҚМ объектісінің меншік иесі немесе иеленушісі АҚҚМ объектісінің өнеркәсіптік пайдалануға енгізілгені немесе пайдалану тоқтатылғаны туралы өнеркәсіптік пайдалануға енгізілген немесе пайдалану тоқтатылған күннен бастап 10 жұмыс күні ішінде ресми хатпен "МТҚ" АҚ-ны хабардар етеді және осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша ЭҮ АО туралы мәліметтерді қағаз және электронды түрде жолдайды (бұдан әрі – Мәліметтер).

Ескерту. 8-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

9. "МТҚ" АҚ АҚҚМ бойынша жұмыстар жүргізу кестесін әзірлейді және оны ҚР ҰҚК-пен келіседі.

Ескерту. 9-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

10. "МТҚ" АҚ АҚҚМ жүргізу кезінде келесілерді жүзеге асырады:

1) АҚ оқыс оқиғаларына ден қою мониторингі шеңберінде:

АҚҰҮО-ның АҚ оқиғаларын басқару жүйесіне жіберілуі қажет оқиғаларды тіркеу журналдарының тізбесін анықтау үшін АҚҚМ объектісін талдау;

АҚ оқиғаларын басқару жүйесінің агенттерін АҚҚМ объектісінің оқиғаларды тіркеу журналдарын жинау жүйесіне және, қажет болған жағдайда, АҚҚМ объектісінің меншік иесі немесе иеленушісінің өзге ақпараттық-коммуникациялық инфрақұрылым объектілеріне орнату;

АҚҰҮО-ның АҚ оқиғаларын басқару жүйесіне АҚҚМ объектісінің және оған жататын ақпаратты қорғау құралдарының оқиғаларды тіркеу журналдарын жинау, оларды АҚ оқиғалары мен АҚ оқыс оқиғаларын анықтау мақсатында өңдеу және талдау;

АҚҚМ объектілерінде анықталған АҚ оқиғалары немесе АҚ оқыс оқиғаларын бастапқы талдау;

АҚҚМ объектісінің АҚ қамтамасыз етуге жауапты тұлғаларын АҚ оқиғасы немесе АҚ оқыс оқиғасы анықталған сәттен бастап 30 минут ішінде анықталған АҚ оқиғасы немесе АҚ оқыс оқиғасы туралы деректер тізбесін осы Қағидаларға 7-қосымшаға сәйкес ұсына отырып хабардар ету;

АҚҚМ объектісінің меншік иесі мен иеленушісіне АҚ оқыс оқиғасының таралуын тоқтата тұру бойынша бастапқы ұсыныстар беру;

АҚ оқыс оқиғаларына ден қою шеңберінде қажет болған жағдайда, "МТҚ" АҚ қызметкерін АҚҚМ объектісі орналасқан жерге бағыттау (қажеттілікті ҚР ҰҚК немесе "МТҚ" АҚ дербес айқындайды);

АҚҚМ объектісінің меншік иесі немесе иеленушісі немесе оның уәкілетті тұлғасы АҚ оқыс оқиғасының себептері мен салдарын АҚ оқыс оқиғасы расталған сәттен бастап 72 сағат ішінде жоймаған жағдайда ҚР ҰҚК-ні хабардар ету;

2) қорғауды қамтамасыз ету мониторингі шеңберінде:

АҚҚМ бойынша жұмыстарды жүргізу кестесіне сәйкес АҚҚМ объектілерін осалдықтардың бар-жоғы мәніне зерттеп-қарау (бұдан әрі – осалдықтарға зерттеп-қарау):

"енуге тестілеу" режимінде - жылына 8 рет (4 негізгі, 4 бақылау);

"жаңартуларды бақылау және конфигурацияларды талдау" режимінде – жылына 2 рет (негізгі, бақылау);

бастапқы кодты талдау – жылына 4 рет (2 негізгі, 2 бақылау);

енуге "қолмен" тестілеу – жылына 2 рет (негізгі, бақылау);

енуге қолмен тестілеу кезінде АҚҚМ объектісі орналасқан жергілікті есептеу желісімен түйісетін жергілікті есептеу желісін (бар болған жағдайда) зерттеп-қарау;

АҚҚМ объектілерінің меншік иелері немесе иеленушілеріне осалдықтарға зерттеп-қарау бойынша жұмыстар аяқталғаннан кейін 10 жұмыс күні ішінде АҚҚМ объектілерін осалдықтарға зерттеп-қарау нәтижелерін және осалдықтарды жою бойынша ұсынымдар беру;

АҚҚМ объектілерінің меншік иесінің немесе иеленушісінің сұрау салуы бойынша осалдықтарға зерттеп-қарау шеңберінде анықталған АҚҚМ объектілерінің осалдықтарын жою мәселелері бойынша консультация беру;

3) қауіпсіз жұмыс істеуді қамтамасыз ету мониторингі шеңберінде:

АҚҚМ объектісін осы Қағидаларға 3-қосымшада келтірілген ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ жөніндегі ТҚ) талаптарының орындалуына АҚҚМ бойынша жұмыс жүргізу кестесіне сәйкес зерттеп-қарау;

АҚҚМ объектілерінің меншік иелеріне немесе иеленушілеріне АҚҚМ объектісін АҚ жөніндегі ТҚ талаптарының орындалуына зерттеп-қарау нәтижелерін және анықталған бұзушылықтарды жою бойынша ұсынымдарды зерттеп-қарау аяқталған күннен бастап 10 жұмыс күні ішінде ұсыну.

Ескерту. 10-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

11. АҚҚМ объектісінің меншік иесі немесе иеленушісі "МТҚ" АҚ АҚҚМ бойынша жұмыстар жүргізуі үшін жағдайлар жасайды, оның ішінде:

"МТҚ" АҚ қызметкерлеріне АҚҚМ объектісіне, АҚҚМ объектісінің оқиғаларды тіркеу журналдарын жинау жүйесіне АҚҚМ объектісінің меншік иесі немесе иеленушісі қызметкерлері немесе уәкілетті тұлғаның сүйемелдеуімен физикалық қолжетімділік:

"МТҚ" АҚ қызметкерлері үшін АҚҚМ объектісіне тәулік бойы желілік қолжетімділікті қамтамасыз ете отырып тегін негізде екі жұмыс орны;

АҚҚМ объектісінің оқиғаларды тіркеу журналдарын жинау жүйесіне шектеусіз барлық операцияларды орындай алатындай "МТҚ" АҚ үшін желілік қолжетімділік;

АҚҚМ объектісінің меншік иесі немесе иеленушісі бекіткен, оның қолымен және мөрімен (бар болған жағдайда) расталған АҚ жөніндегі ТҚ-ға қолжетімділік;

фото және бейнетіркеу жүргізе отырып, АҚҚМ объектісінің серверлік және желілік жабдығына, телекоммуникация желісіне және АҚҚМ объектісіне арналған құжаттама мен ілеспе құжаттамаға, оның ішінде АҚҚМ объектісін сүйемелдеу және техникалық қолдау шарттарына физикалық қолжетімділік.

Ескерту. 11-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

12. "МТҚ" АҚ АҚ оқыс оқиғаларына ден қою мониторингін жүргізген кезде АҚҚМ объектінің меншік иесі немесе иеленушісі немесе оған АҚЖО қызметтерін көрсететін тұлға:

АҚҚМ объектісі оқиғаларының және оған қатысты ақпаратты қорғау құралдарының журналдануын осы Қағидаларға 4-қосымшада келтірілген ЭҮ АО оқиғаларын тіркеу журналдары жазбаларының үлгілері мен түрлеріне сәйкес ұйымдастырады;

АҚҚМ объектісі жұмыс істейтін телекоммуникация желісінің шеңберінде оқиғаларды тіркеу журналдарын жинау жүйесін ұйымдастырады;

АҚҚМ объектісінің және оған қатысты ақпаратты қорғау құралдарының оқиғаларды тіркеу журналдарын АҚҚМ объектісінің оқиғаларды тіркеу журналдарын жинау жүйесіне беруді ұйымдастырады;

АҚҚМ объектісі оқиғаларының журналдануына өзгерістер енгізу бойынша жоспарланған жұмыстар туралы өзгерістер енгізгенге дейін 5 жұмыс күн бұрын "МТҚ" АҚ-ны хабардар етеді. Хабарламаға оқиғаларды тіркеу журналдарының өзгертілетін үлгілері және олардың сипаттамасы қоса беріледі;

оқиғаларды тіркеу журналдарын АҚҚМ объектісінің оқиғаларды тіркеу журналдарын жинау жүйесінен АҚҰҮО АҚ оқиғаларын басқару жүйесіне жіберу үшін, "МТҚ" АҚ-мен келісілген жағдайларды қамтамасыз етеді;

АҚҚМ объектісінде АҚ оқыс оқиғасы өз бетінше анықталған кезде, АҚ оқыс оқиғасы расталған сәттен бастап 15 минут ішінде "МТҚ" АҚ-ны хабардар етеді және АҚ оқыс оқиғасы расталған сәттен бастап 72 сағат ішінде "МТҚ" АҚ-ға АҚ оқыс оқиғасын жою бойынша қабылданған шаралар туралы ақпаратты осы Қағидаларға 2-қосымшаға сәйкес жібереді;

"МТҚ" АҚ АҚ оқиғасы немесе АҚ оқыс оқиғасы туралы хабардар еткен кезде, "МТҚ" АҚ-ға хабарлама сәтітен бастап 72 сағат ішінде:

АҚ оқиғасы расталған кезде - АҚ оқиғасын талдау нәтижелері туралы ақпаратты;

АҚ оқыс оқиғасы расталған кезде - АҚ оқыс оқиғасын жою бойынша қабылданған шаралар туралы ақпаратты осы Қағидаларға 2-қосымшаға сәйкес жолдайды.

Ескерту. 12-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

13. АҚҚМ объектілерінің меншік иесі немесе иеленушісі "МТҚ" АҚ қорғауды қамтамасыз ету мониторингін жүргізу кезінде:

АҚҚМ объектісінің осалдықтарын табуға зерттеп-қарау нәтижелерін алған күннен жиырма күнтізбелік күн ішінде "МТҚ" АҚ-ға осалдықтарды жою үшін қабылданған шаралар туралы ақпаратты жолдайды;

АҚҚМ объектісінде осалдықды өз бетінше анықтаған жағдайда, осалдық анықталған сәттен бастап 24 сағат ішінде ЭҮ АО осалдығы туралы деректер тізбесін осы Қағидаларға 5-қосымша нысаны бойынша "МТҚ" АҚ-ға жолдайды;

АҚҚМ объектісінің осалдығын жоймаған кезде осалдыққа санаттардың бірін (өндірістік қажеттілік, нөлдік күннің осалдығы, жалған іске қосу) бере алады және осы Қағидаларға 6-қосымшаға сәйкес осалдықты жоймау себептерінің санаттарын және жоймау себебінің негіздемесін "МТҚ" АҚ-ға ұсынады.

Ескерту. 13-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

14. АҚҚМ объектісінің меншік иесі немесе иеленушісі "МТҚ" АҚ қауіпсіз жұмыс істеуді қамтамасыз ету мониторингін жүргізген кезде:

АҚҚМ объектісін АҚ жөніндегі ТҚ талаптарының орындалуына зерттеп-қарау бойынша жұмыстарды жүргізу туралы хабарламаны алған күннен бастап 10 жұмыс күні ішінде "МТҚ" АҚ-ға АҚҚМ объектісінің меншік иесі немесе иеленушісі бекіткен, оның қолымен және мөрімен (бар болған жағдайда) куәландырылған осы Қағидаларға 3-қосымшада келтірілген АҚ жөніндегі ТҚ көшірмелерін ұсынады;

АҚҚМ объектісін АҚ жөніндегі ТҚ талаптарының орындалуына зерттеп-қарау нәтижелерін алған күннен бастап бір ай ішінде "МТҚ" АҚ-ға АҚ жөніндегі ТҚ талаптарының анықталған бұзушылықтары бойынша қабылданған шаралар туралы ақпаратты ұсынады.

Ескерту. 14-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

15. "МТҚ" АҚ АҚҚМ объектілер тізбесін қалыптастыру мақсатында, АҚҚМ объектілерінің меншік иелеріне немесе иеленушілеріне Мәліметтерді ұсыну туралы сұраныс жолдайды. АҚҚМ объектісінің меншік иесі немесе иеленушісі "МТҚ" АҚ-дан сұраныс алған сәттен 10 жұмыс күні ішінде Мәліметтерді электрондық формада "МТҚ" АҚ-ға ұсынады.

Ескерту. 15-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

16. АҚҚМ объектісінің АҚ-ны қамтамасыз етуге жауапты тұлғасының байланыс деректері өзгерген жағдайда, АҚҚМ меншік иесі немесе иеленушісі аталған өзгеріс сәтінен бастап 48 сағат ішінде "МТҚ" АҚ-ға өзекті байланыс деректерін жолдайды.

Ескерту. 16-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

17. "МТҚ" АҚ тоқсан сайын ҚР ҰҚК-ға анықталған АҚ оқиғалары, АҚ оқыс оқиғалары, ЭҮ АО-ның осалдықтары, ЭҮ АО өзгерістері және АҚ жөніндегі ТҚ талаптарының анықталған бұзушылықтары бойынша жиынтық ақпаратты, сондай-ақ АҚҚМ меншік иелері мен иеленушілері қабылдаған шаралар туралы деректерді жолдайды.

Ескерту. 17-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

18. ҚР ҰҚК тоқсан сайын уәкілетті органға анықталған АҚ оқыс оқиғалары, ЭҮ АО осалдықтары, ЭҮ АО өзгерістері және АҚ жөніндегі ТҚ талаптарының анықталған бұзушылықтары бойынша жиынтық ақпарат, сондай-ақ АҚҚМ меншік иелері мен иеленушілері қабылдаған шаралар туралы деректер жолдайды.

3-тарау. Ақпараттық коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу тәртібі

Ескерту. 3-тараудың тақырыбы жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

19. ЭҮ АО-ға жатпайтын АКИАМО-ның ақпараттық қауіпсіздігін қамтамасыз ету мониторингі АКИАМО иесінің АҚ бойынша өз бөлімшесімен немесе Қазақстан Республикасы Азаматтық кодексінің 683-бабына сәйкес үшінші тұлғалардың қызметтерін сатып алу жолымен жүзеге асырылады.

Ескерту. 19-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

20. АКИАМО меншік иесі немесе иеленушісі Заңның 7-1-бабы 3) тармақшасына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен бекітілетін АКИАМО тізбесіне енгізілу күнінен бастап тоқсан күнтізбелік күн ішінде АКИАМО-ның АҚ-ны қамтамасыз ету мониторингі жүйесін (бұдан әрі – АҚ ҚМЖ) АҚЖО-ның техникалық құралдарына қосуды қамтамасыз етеді, сондай-ақ АКИАМО-ның АҚ бойынша жауапты тұлғасын анықтайды.

Ескерту. 20-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
21. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 31.03.2023 № 128/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

22. АКИАМО АҚ ҚМЖ-сы АҚЖО-ның техникалық құралдарына қосылғаннан кейін, АҚЖО-ның АҚ ҚМЖ-сы АҚ оқыс оқиғасын анықтаған жағдайда, АҚЖО АҚ оқыс оқиғасы расталған сәттен бастап 15 минут ішінде, "МТҚ" АҚ-ны және АКИАМО-ның АҚ бойынша жауапты тұлғасына хабарлау арқылы АКИАМО меншік иесін немесе иеленушісін хабардар етеді. АҚЖО "МТҚ" АҚ-ға АҚ оқыс оқиғасы расталған сәттен бастап 72 сағат ішінде АҚ оқыс оқиғасын жою бойынша қабылданған шаралар туралы ақпаратты осы Қағидаларға 2-қосымшаға сәйкес жолдайды.

Ескерту. 22-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

23. АКИАМО меншік иесі немесе иеленушісі хабарландыру алғаннан кейін отыз күнтізбелік күн ішінде анықталған осалдықтарды түзетеді.

24. АКИАМО-ның АҚ бөлімшесі АҚ оқыс оқиғасын өзі дербес анықтаған жағдайда, АКИАМО-ның АҚ бойынша жауапты тұлғасы АҚ оқыс оқиғасы расталған сәттен бастап 15 минут ішінде "МТҚ" АҚ мен АҚЖО-ны хабардар етеді. АҚЖО "МТҚ" АҚ-ға АҚ оқыс оқиғасы расталған сәттен бастап 72 сағат ішінде АҚ оқыс оқиғасын жою бойынша қабылданған шаралар туралы ақпаратты осы Қағидаларға 2-қосымшаға сәйкес жолдайды.

АҚЖО қызметтерін көрсететін тұлға болмаған жағдайда, "МТҚ" АҚ-ға АҚ оқыс оқиғасын жою бойынша қабылданған шаралар туралы ақпаратты АКИАМО-ның АҚ бойынша бөлімшесі жолдайды.

Ескерту. 24-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

Осы тарауда жазылған тәртіп пен талаптар ЭҮ АО-ға жатпайтын АКИАМО үшін белгіленген.

Ескерту. Қағида 25-тармақпен толықтырылды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 27.10.2022 № 399/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

"Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздігін қамтамасыз
етуге мониторинг
жүргізу қағидаларына
1-қосымша

Нысан

"Электрондық үкіметтің" ақпараттандыру объектісі туралы мәліметтер

Ескерту. 1-қосымша жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

1. "Электрондық үкіметтің" ақпараттандыру объектісінің (бұдан әрі - ЭҮ АО) ресми атауы.

2. ЭҮ АО меншік иесі.

3. ЭҮ АО иеленушісі (бар болған жағдайда).

4. ЭҮ АО нақты орналасқан жері (көше, қала, облыс).

5. ЭҮ АО-ны қолдап отыруды және (немесе) жүйелік-техникалық қызмет көрсетуді жүзеге асыратын ұйым (толық байланыс деректерін көрсете отырып).

6. Ақпараттандыру объектілерінің сыныптауышына сәйкес маңыздылық деңгей: жоғары, орташа, төмен.

7. ЭҮ АО-ның мемлекеттік органдардың бірыңғай көліктік ортасына қосылуының болуы және байланыс арнасының өткізу қабілеті туралы ақпарат.

8. ЭҮ АО-ның Интернетке қосылуының болуы және байланыс арнасының өткізу қабілеті туралы ақпарат.

9. ЭҮ АО меншік иесі немесе иеленушісі бекіткен және оның қолымен және мөрімен (бар болған жағдайда) куәландырылған ЭҮ АО-ның логикалық және физикалық архитектуралық схемалары.

10. Жүйенің атауын және жүйе жұмыс істейтін жергілікті желінің шеңберін көрсете отырып, оқиғаларды тіркеу журналдарын жинау жүйесінің болуы туралы ақпарат.

11. АҚЖО немесе ЭҮ АО-ның ақпараттық қауіпсіздігін қамтамасыз етуге жауапты тұлғаның байланыс деректері.

12. ЭҮ АО техникалық және бағдарламалық құралдары, оның ішінде IP-мекенжайларын, домендік аттарды (бар болған жағдайда), техникалық және бағдарламалық құралдың мақсатын және IP-мекенжай жататын нұсқасын (бар болған жағдайда) көрсете отырып, ЭҮ АО-ға жататын резервтік техникалық және бағдарламалық құралдар мен ақпаратты қорғау құралдары туралы мәліметтер.

"Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздігін қамтамасыз
етуге мониторинг
жүргізу қағидаларына
2-қосымша

нысан

Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы деректер тізбесі

Ескерту. 2-қосымша жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

АҚ оқыс оқиғасы тіркелген күні
АҚ оқыс оқиғасының маңыздылық деңгейі*	Жоғары (4); Орташа (3); Төмен (2); Анықталмаған (1).
АҚ оқыс оқиғасының түрі	Қызмет көрсетуден бас тарту (DoS, DDoS); Рұқсатсыз қол жеткізу және қамтылымды түрлендіру; Ботнет; Вирустық шабуыл; Шифрлаушы; Осалдықты пайдалану; Аутентификация/авторизация құралдарының жария етілуі; Фишинг; Спам; Басқа.
Ауқымы	Жеке; Жаппай.
Егжей-тегжейліліктер	Туындау күні мен уақыты; Растау күні мен уақыты; Қайта / жаңа; Жария ету индикаторы (IOC).
Белгісі	Жарамды; Әрекет; Күдік;
Шеңбер	Ішкі шеңбердің жергілікті желісі; Сыртқы шеңбердің жергілікті желісі.
АҚ оқыс оқиғасының сипаты
Салдары	Салдары жоқ; Жұмысқа қабілеттілігінің бұзылуы; Тұтастығының бұзылуы; Ақпараттың құпиялылық режимінің бұзылуы
Зиян келтірілген объект
АҚ оқыс оқиғасын жою үшін қолданылған әрекеттер
Ескертпе

Ақпараттық қауіпсіздіктің оқыс оқиғасының маңыздылық деңгейлері

Маңыздылық деңгей	Белгілері	АҚ оқыс оқиғаларының үлгілері
Жоғары (4)	Қызметтерді ұсыну/жұмыстарды орындау мүмкінсіздігіне және (немесе) маңызды* деректердің жоғалуына/түрлендіруге және (немесе) маңызды* деректерді өңдейтін ақпараттандыру объектісінің құпиялылығының бұзылуына әкеп соғатын АҚ оқыс оқиғалары.	- Рұқсатсыз қол жеткізу - Осалдықты пайдалану - Шифрлаушы - Зиянды БҚ - Қызмет көрсетуден бас тарту (DoS/ DDoS шабуылы) Және т. б.
Орташа (3)	Қызметтер көрсетуді/жұмыстарды орындауды елеулі шектеуге және (немесе) маңызды болып табылмайтын деректерді жоғалтуға/түрлендіруге және (немесе) маңызды болып табылмайтын деректерді өңдейтін ақпараттандыру объектісінің құпиялылығын бұзуға әкелетін АҚ оқыс оқиғалары*.	- Рұқсатсыз қол жеткізу - Шифрлаушы - Зиянды БҚ - Қызмет көрсетуден бас тарту (DoS/DDoS шабуылы) - Осалдықты пайдалану - Және т. б.
Төмен (2)	Қызмет көрсетуге/жұмыстарды орындауға әсер етпейтін АҚ оқыс оқиғалары.	- Зиянды БҚ - Қызмет көрсетуден бас тарту (DoS /DdoS шабуылы) - Осалдықты пайдалану - Спам - Фишингтік шабуыл - Және т. б.
Анықталмаған (1)**	АҚ оқыс оқиғасының қызмет көрсетуге әсері анықталмаған	Сипатқа ие емес / күдікті белсенділік

Ескертпе:

* Маңызды деректерге Қазақстан Республикасының заңнамасымен қорғалатын және/немесе ақпараттандыру объектісінің меншік иесі/иеленушісі маңыздыларға жатқызған деректер жатады.

** АҚ оқыс оқиғасы расталған сәттен бастап 48 сағат ішінде деңгейді қайта қарау қажет.

"Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздігін қамтамасыз етуге
мониторинг жүргізу
қағидаларына
3-қосымша

Нысан

Ақпараттық қауіпсіздік жөніндегі техникалық құжаттама

1. Бірінші деңгейлі құжаттар:

1) ақпараттық қауіпсіздік саясаты.

2. Екінші деңгейлі құжаттар:

1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

2) ақпаратты өңдеу құралдарымен байланысты активтерді сыныптау және маркалау, сәйкестендіру қағидалары;

3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз қамтамасыз ету бойынша қағидалар;

4) есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу және паспорттандыру қағидалары;

5) ішкі АҚ аудитін жүргізу қағидалары;

6) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;

7) электрондық ақпараттық ресурстарға қол жеткізу құқықтарын бөлу қағидалары;

8) Интернетті және электронды поштаны пайдалану қағидалары;

9) аутентификация рәсімін ұйымдастыру қағидалары;

10) вирусқа қарсы бақылауды ұйымдастыру қағидалары;

11) мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары;

12) ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары.

3. Үшінші деңгейлі құжаттар:

1) АҚ қауіптерінің (тәуекелдерінің) каталогы;

2) АҚ қауіптерінің (тәуекелдерінің) өңдеу жоспары;

3) ақпараттық резервті көшіру және қалпына келтіру регламенті;

4) ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін қамтамасыз етуі және жұмысқа жарамдылығын қалпына келтіру бойынша іс-шаралар жоспары;

5) әкімшінің ақпараттандыру объектісін сүйемелдеу жөніндегі басшылығы;

6) пайдаланушылардың АҚ оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық.

4. Төртінші деңгейлі құжаттар:

1) АҚ оқыс оқиғаларын тіркеу және штаттан тыс жағдайларды есеп журналы;

2) серверлік үй-жайларға бару журналы;

3) желілік ресурстар осалдығын бағалауды жүргізу туралы есеп;

4) кабельді қосылысты есептеу журналы;

5) резервті көшірудің (резервті көшірудің, қалпына келтірудің), резервті көшіруді тестілеудің есепке алу журналы;

6) жабдық конфигурациясының өзгеруін есепке алу, ақпараттық жүйенің еркін бағдарламалық қамтылымды және қолданбалы бағдарламалық қамтылымды тестілеу және өзгерістерді есепке алу, бағдарламалық қамтылым осалдықтарын тіркеу және жою журналы;

7) серверлік үй-жайларға арналған дизель-генераторлық қондырғыларды және үздіксіз қуат беру көздерін тестілеу журналы;

8) серверлік үй-жайлардың микроклиматын, бейнебақылауды, өрт сөндіруді қамтамасыз ету жүйелерін тестілеу журналы.

"Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздігін қамтамасыз етуге
мониторинг жүргізу
қағидаларына
4-қосымша

Нысан

"Электрондық үкімет" ақпараттандыру объектілерінің оқиғаларын тіркеу журналдары жазбаларының үлгілері мен түрлері

1-тарау. Операциялық жүйенің оқиғаларын тіркеу журналдары жазбаларының үлгілері мен түрлері

1. Журналдауға жататын операциялық жүйенің (бұдан әрі – ОЖ) оқиғаларының түрлері:

1) жүйені іске қосу/тоқтату;

2) ОЖ объектілерімен жұмыс (ашу, сақтау, атын өзгерту, жою, құру, көшіру);

3) бағдарламалық қамтылымды (бұдан әрі – БҚ) орнату және жою;

4) ОЖ-де қолданушылардың авторландыру (енгізу және шығару), сәтті және сәтсіз авторландыру әрекеттері;

5) жүйелік конфигурациясының өзгеруі;

6) есептік жазбаларды құру, жою және түрлендіру;

7) антивирустық жүйелер және басып кіруді табу жүйелері және оқиғаларды тіркеу журналын жүргізу құралы секілді қорғау жүйелерін активициялау/дезактивациялау;

8) баптау және жүйені қорғауды басқару құралдарын өзгерту әрекеті және өзгерту;

9) артықшылықты есептік жазбаларды пайдалану;

10) кіріс/шығыс құрылғысын қосу/ажырату;

11) қолданушының сәтсіз немесе қабылданбаған әрекеттері;

12) деректерді және басқа ресурстарды қозғайтын сәтсіз немесе қабылданбаған әрекеттер;

13) ОЖ-да процестерді іске қосу, тоқтату.

2. ОЖ оқиғаларын тіркеу журналы мынадай өрістерді қамтиды:

1) күні мен уақыты (күн нысаны: КК:АА:ЖЖЖЖ, уақыт нысаны: СС:ММ:СС);

2) хост атауы;

3) оқиғаның сипаттамасы.

3. Unіx-ұқсас жүйелердің серверлік ОЖ үшін (Unіx, Lіnux, AІX, HPUX және т.б.) 1-тармақтағы оқиғаларға қосымша мынадай оқиғаларды тіркеу қажет:

1) әртүрлі ІP-мекенжайлардан бірдей есептік жазбаны бір серверге қосу;

2) жүйеде жаңа порттар ашу;

3) негізгі логтардағы барлық оқиғаларды тіркеу: /var/log/secure, /var/log/messages, /var/log/audіt.

4. Wіndows тобындағы серверлік ОЖ үшін, 1-тармақтағы оқиғаларға қосымша мынадай оқиғаларды тіркеу қажет:

1) жаңа сессияға (logon) арнайы артықшылықтар беру – Wіndows EІD 4672;

2) желілік кіру (Network logon) – Wіndows EІD 4624;

3) әкімшінің желілік папкасына қол жеткізу (admіnіstratіve share access) және SMB арналарға қол жеткізу (pіpes) – Wіndows EІD 5140/5145;

4) "Деректер жазу" немесе "Файл қосу" құқықтармен "Файл" объектісіне қол жеткізу – Wіndows EІD 4663;

5) ықтимал қауіпті процестерді іске қосу (WmіPrvSE.exe, WіnrsHost.exe, wsmprovhost.exe, mmc.exe, psexe * .exe, paexe * .exe) – Sysmon EІD 1;

6) қызметті (сервисті) орнату және іске қосу – Wіndows EІD 7045/7036/4697;

7) міндеттер жоспарлағышындағы (scheduled tasks) тапсырмалардың параметрлерін жасау немесе өзгерту – Wіndows EІD 4698/4702;

8) қызмет таймаутына қол жеткізілді – Wіndows EІD 7009;

9) қызметті іске асыру кезіндегі қате – Wіndows EІD 7000;

10) тізілімнің мәні өзгерген – Wіndows EІD 4657;

11) WMІ аттар кеңістігіндегі жазба – Wіndows EІD 4662.

5. Оқиғаларды тіркеу журналындағы жазбалар мәтіндік үлгіде сақталады.

6. Оқиғаларды тіркеу журналдары өрістерінің мәндерін ажыратқыш символдармен ажырату, егер өріс ұзын үлгіде болса және өріс мазмұнында ажыратқыш символ бар болса, өрістерді шектеуші символдарды қолданады.

7. Оқиғалар тіркеу журналдары үшін UTF-8 кодтамасы пайдаланылады.

8. Оқиғаларды тіркеу журналының бір файлына түрлі үлгідегі деректер қамтылған оқиғаларды жазуға жол берілмейді.

2-тарау. Деректер базасын басқару жүйесіндегі оқиғаларды тіркеу журналдары жазбаларының үлгілері мен түрлері

9. Журналдауға жататын деректер базасын басқару жүйесінің оқиғаларының түрлері:

1) сессияларды бақылау (сәтті/сәтсіз авторландыру, тіркелмеген есептік жазбалардың пайдаланылуын тіркеу);

2) әкімшілік артықшылықтар бар деректер базасын (бұдан әрі – ДБ) қолданушылардың барлық іс-қимылдары (оның ішінде: select, create, alter, drop, truncate, rename, іnsert, update, delete, call (execute), lock);

3) басқа ДБ қолданушыларға жеңілдіктер тағайындау құқығы бар қолданушылардың барлық іс-қимылдары (grant, revoke, deny).

10. ДБ оқиғаларын тіркеу журналы мынадай өрістер болады:

1) күні мен уақыты (күн нысаны: КК:АА:ЖЖЖЖ, уақыт нысаны: СС:ММ:СС);

2) есептік жазбаның/қолданушының ІD атауы;

3) хосттың ІP-мекенжай немесе хост атауы;

4) оқиғаның сипаттамасы;

5) объектінің атауы (іске асыру мүмкіндігі болған жағдайда кестелер, рәсімдер, функциялар).

11. Оқиғаларды тіркеу журналындағы жазбалар мәтіндік үлгіде сақталады.

12. Оқиғаларды тіркеу журналдары өрістерінің мәндерін ажыратқыш символдармен ажырату, егер өріс ұзын үлгіде болса және өріс мазмұнында ажыратқыш символ бар болса, өрістерді шектеуші символдарды қолданады.

13. Оқиғалар тіркеу журналдары үшін UTF-8 кодтамасы пайдаланылады.

14. Оқиғаларды тіркеу журналының бір файлына түрлі үлгідегі деректер қамтылған оқиғаларды жазуға жол берілмейді.

3-тарау. Телекоммуникациялық жабдық оқиғаларын тіркеу журналдары жазбаларының үлгілері мен түрлері

15. Журналдауға жататын телекоммуникациялық жабдық оқиғалары:

1) жүйені іске қосу/тоқтату;

2) жүйенің конфигурациясын өзгерту;

3) локалдық есептік жазбалардын құру, жою, түрлендіру;

4) артықшылықты есептік жазбалардын пайдалану;

5) кіріс/шығыс құрылғысын қосу/ажырату;

6) қолданушының сәтсіз немесе қабылданбаған іс-қимылдары.

7) желілік линктердің (қосылыстар) іске қосылуы, төмендеуі, тоқтауы.

16. Техникалық мүмкіндік болса желіаралық экрандардан барлық трафиктің (кіріс және шығыс) логтарын жазу, сондай-ақ құрылғыдағы барлық оқиғаларды жазып алу талап етіледі.

17. Телекоммуникациялық жабдық оқиғаларын тіркеу журналы мынадай өрістерді қамтиды:

1) күні мен уақыты (күн нысаны: КК:АА:ЖЖЖЖ, уақыт нысаны: СС:ММ:СС);

2) құрылғының атауы;

3) есептік жазбаның/қолданушының ІD;

4) хосттың ІP-мекенжайы;

5) бастапқы ІP-мекенжайы;

6) тағайындалған ІP-мекенжайы;

7) оқиғаның сипаттамасы.

18. Оқиғаларды тіркеу журналындағы жазбалар мәтіндік үлгіде сақталады.

19. Оқиғаларды тіркеу журналдары өрістерінің мәндерін ажыратқыш символдармен ажырату, егер өріс ұзын үлгіде болса және өріс мазмұнында ажыратқыш символ бар болса, өрістерді шектеуші символдарды қолданады.

20. Оқиғалар тіркеу журналдары үшін UTF-8 кодтамасы пайдаланылады.

21. Оқиғаларды тіркеу журналының бір файлына түрлі үлгідегі деректер қамтылған оқиғаларды жазуға жол берілмейді.

4-тарау. Қолданбалы бағдарламалық қамтылым оқиғаларын тіркеу журналдары жазбаларының үлгілері мен түрлері

22. Журналдауға жататын БҚ оқиғаларының түрлері:

1) қолданушыларды авторландыру (енгізу және шығару), сәтті және сәтсіз авторландыру іс-қимылдары;

2) локалдық есептік жазбалардын және конфигурациялық файлдарды құру, көшіру, ауыстыру, жою, түрлендіру;

3) қолданушының сәтсіз немесе қабылданбаған әрекеттері;

4) қолданушының қол жеткізу объектілеріне қолжетімділік алуы;

5) қолданбалы БҚ қолданушысының іс-қимылдары (объектіге (деректерге) қолжетімділік, объектінің (деректердің) өзгерістері, объектіні (деректерді) жою).

23. БҚ оқиғаларын тіркеу журналы мынадай өрістерді қамтиды:

1) күні мен уақыты (күн нысаны: КК:АА:ЖЖЖЖ, уақыт нысаны: СС:ММ:СС);

2) оқиға (сервис/қызмет) көзінің атауы;

3) есептік жазбаның атауы/қолданушының ІD;

4) қолданушының ІP-мекенжайы;

5) операцияның басталу уақыты;

6) операцияның аяқталу уақыты;

7) оқиғаның сипаттамасы.

24. Оқиғаларды тіркеу журналындағы жазбалар мәтіндік үлгіде сақталады.

25. Оқиғаларды тіркеу журналдары өрістерінің мәндерін ажыратқыш символдармен ажырату, егер өріс ұзын үлгіде болса және өріс мазмұнында ажыратқыш символ бар болса, өрістерді шектеуші символдарды қолданады.

26. Оқиғалар тіркеу журналдары үшін UTF-8 кодтамасы пайдаланылады.

27. Оқиғаларды тіркеу журналының бір файлына түрлі үлгідегі деректер қамтылған оқиғаларды жазуға жол берілмейді.

5-тарау. Ақпаратты қорғау құралдарымен анықталатын оқиғаларды тіркеу журналдары жазбаларының үлгілері мен түрлері

28. Журналдауға жататын ақпаратты қорғау құралдарымен анықталатын оқиғаларының түрлері:

1) локалдық есептік жазбалар және конфигурациялық файлдар құру, көшіру, ауыстыру, жою, өзгерту;

2) қызметтің іске қосылуы/тоқтауы;

3) жүйе конфигурациясын өзгерту;

4) локалдық есептік жазбалар құру, жою, түрлендіру.

29. Ақпаратты қорғау құралдары оқиғаларын тіркеу журналы мынадай өрістерді қамтиды:

1) күні мен уақыты (күн нысаны: КК:АА:ЖЖЖЖ, уақыт нысаны: СС:ММ:СС);

2) оқиға (сервис/қызмет) көзінің атауы;

3) есептік жазбаның атауы/қолданушының ІD;

4) клиенттің ІP-мекенжайы;

5) операцияның басталу уақыты;

6) операцияның аяқталу уақыты;

7) оқиғаның сипаттамасы.

30. Оқиғаларды тіркеу журналындағы жазбалар мәтіндік үлгіде сақталады.

31. Оқиғаларды тіркеу журналдары өрістерінің мәндерін ажыратқыш символдармен ажырату, егер өріс ұзын үлгіде болса және өріс мазмұнында ажыратқыш символ бар болса, өрістерді шектеуші символдарды қолданады.

32. Оқиғалар тіркеу журналдары үшін UTF-8 кодтамасы пайдаланылады.

33. Оқиғаларды тіркеу журналының бір файлына түрлі үлгідегі деректер қамтылған оқиғаларды жазуға жол берілмейді.

"Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздігін қамтамасыз етуге
мониторинг жүргізу
қағидаларына
5-қосымша

Нысан

"Электрондық үкімет" ақпараттандыру объектісінің осалдығы туралы деректердің тізбесі

Осалдығын анықтау күні мен уақыты	Контур	Ақпараттандыру объектісінің атауы	Ақпараттандыру объектісінің компоненті (атауы, ІP, hostname және т.б.)	Порт	Осалдықты сипаттау	Қосымша ақпарат
1	2	3	4	5	6	7
	Сыртқы/ Ішкі контур

"Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздігін қамтамасыз етуге
мониторинг жүргізу
қағидаларына
6-қосымша

Нысан

Осалдықтарды жоймау себептерінің санаттары және жоймау себептерінің негіздемесі

Осалдықтарды жоймау себептерінің санаттары	Осалдықты жоймау себептерін негіздеу
Өндірістік қажеттілік	"Электрондық үкімет" ақпараттандыру объектісінің осалдығы мен жай-күйінің сипаттамасы; осалдықты жою бойынша қабылданған шаралар; ақпараттандыру объектісіндегі қажетті өзгерістердің себептері мен сипаты; бірінші рет анықталған күннен бастап алты айдан аспайтын осалдықты жою мерзімдері.
Нөлдік күн осалдығы	"Электрондық үкімет" ақпараттандыру объектісінің осалдығы мен жай-күйінің сипаттамасы, сондай-ақ осалдықты пайдалану ықтималдығын төмендету бойынша қабылданған іс-шаралар.
Жалған іске қосылу	Осалдық ретінде анықталған "электрондық үкіметті" ақпараттандыру объектісінің сипаттамасын немесе жай-күйін сипаттау.

"Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздігін қамтамасыз
етуге мониторинг
жүргізу қағидаларына
7-қосымша

Нысан

Анықталған ақпараттық қауіпсіздік оқиғасы немесе ақпараттық қауіпсіздіктің оқыс оқиғасы туралы деректер тізбесі

Ескерту. Қағидалар 7-қосымшамен толықтырылды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 23.04.2025 № 175/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

АҚ оқиғасы/АҚ оқыс оқиғасы тіркелген күні
Егжей-тегжейліліктер	Анықтау күні мен уақыты; Шығу орнының IP-мекенжайы; Нысананың IP-мекенжайы (ОТЖ-да ақпарат болған жағдайда); Құрылғының атауы / Компьютердің аты; АҚ оқиғасының/АҚ оқыс оқиғасының атауы; Файл жолы / Сұрау салу (ОТЖ-да ақпарат болған жағдайда); Серверден жауап коды (ОТЖ-да ақпарат болған жағдайда); АҚҚ-да әрекет ету саны (ОТЖ-да ақпарат болған жағдайда); Дереккөз-ұйым (ОТЖ-да ақпарат болған жағдайда); Алғашқы тіркеу/қайта тіркеу;
АҚ оқиғасының/АҚ оқыс оқиғасының сипаты	ОТЖ-да қосымша ақпарат болған жағдайда
ЭҮ АО иесі немесе иеленушісі
АҚ оқиғасы/АҚ оқыс оқиғасы анықталған объект
Ескертпе