Об утверждении Правил осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 апреля 2021 года № 156/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 4 мая 2021 года № 22689.

      В соответствии с подпунктом 7-1) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" и подпунктом 269) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 12 июля 2019 года № 501, ПРИКАЗЫВАЮ:

      Сноска. Преамбула – в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 16.04.2025 № 154/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

Б. Мусин

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан

      "СОГЛАСОВАН"
Министерство национальной экономики
Республики Казахстан

Утверждены приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 апреля 2021 года № 156/НҚ

Правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах

Глава 1. Общие положения

      1. Настоящие Правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах (далее – Правила) разработаны в соответствии с подпунктом 7-1) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 269) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 12 июля 2019 года № 501 и определяют порядок интеграции с государственным сервисом контроля доступа к персональным данным и определяют порядок осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах.

      Сноска. Пункт 1 – в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 16.04.2025 № 154/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В настоящих Правилах используются следующие основные понятия:

      1) собственник базы, содержащей персональные данные (далее – собственник) – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      2) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      3) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;

      4) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      5) распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе посредством масс-медиа, или предоставление доступа к персональным данным каким-либо иным способом;

      6) персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан;

      7) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

      8) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

      9) обследование обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах (далее – обследование) – оценка применяемых мер безопасности и защитных действий при осуществлении обработки, хранения, распространения и защите персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах.

      10) субъекты обследования – собственники и (или) операторы, а также третьи лица, осуществляющие обработку персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах.

      Сноска. Пункт 2 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 16.04.2025 № 154/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Порядок осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах

      3. Для обследования субъекты обследования предоставляют доступ государственной технической службе к объектам информатизации, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных информационных ресурсах.

      4. При проведении обследования проводится анализ правовых, организационных и технических мер, установленных Правилами осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденных приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 32810).

      Сноска. Пункт 4 – в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 16.04.2025 № 154/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      5. Государственная техническая служба по результатам проведенного обследования объекта информатизации формирует отчет по проведенному обследованию, а также рекомендации по устранению выявленных несоответствий (при наличии).

Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2021 жылғы 30 сәуірдегі № 156/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2021 жылғы 4 мамырда № 22689 болып тіркелді.

      "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының Заңының 27-1 бабы 1-тармағының 7-1) тармақшасына және Қазақстан Республикасы Үкіметінің 2019 жылғы 12 шілдедегі № 501 қаулысымен бекітілген Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ереженің 15-тармағының 269) тармақшасына сәйкес БҰЙЫРАМЫН:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 16.04.2025 № 154/НҚ (алғашқы ресми жарияланған күнінен кейінгі он күнтізбелік күн өткен соң күшіне енеді) бұйрығымен.

      1. Қоса беріліп отырған Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсына орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгiзiледi.

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі

Б. Мусин

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық экономика министрлігі

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2021 жылғы 30 сәуірдегі № 156/НҚ бұйрығымен бекітілген

Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидалары

1-тарау. Жалпы ережелер

      1. Осы Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7-1) тармақшасына, Қазақстан Республикасы Үкіметінің 2019 жылғы 12 шілдедегі № 501 қаулысымен бекітілген Республиканың цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы Ереженің 15-тармағының 269) тармақшасына сәйкес әзірленді және электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру тәртібін айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 16.04.2025 № 154/НҚ (алғашқы ресми жарияланған күнінен кейінгі он күнтізбелік күн өткен соң күшіне енеді) бұйрығымен.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      2) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      3) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;

      4) дербес деректерді өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

      5) дербес деректердi тарату – жасалуы нәтижесінде дербес деректер берілетін, оның ішінде масс-медиа арқылы берілетін немесе қандай да бiр өзгеше тәсiлмен дербес деректерге қол жеткізу ұсынылатын іс-әрекеттер;

      6) қолжетімділігі шектеулі дербес деректер – Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер;

      7) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      8) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;

      9) электрондық ақпараттық ресурстарда қамтылған, қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуді зерттеп-қарау (бұдан әрі – зерттеп-қарау) – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді, сақтауды, таратуды және қорғауды жүзеге асырған кезде қолданылатын қауіпсіздік шаралары мен қорғау әрекеттерін бағалау;

      10) зерттеп-қарау субъектілері – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді жүзеге асыратын меншік иелері және (немесе) операторлар, сондай-ақ үшінші тұлғалар.

      Ескерту. 2-тармаққа өзгеріс енгізілді - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 16.04.2025 № 154/НҚ (алғашқы ресми жарияланған күнінен кейінгі он күнтізбелік күн өткен соң күшіне енеді) бұйрығымен.

2-тарау. Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру тәртібі

      3. Зерттеп-қарау субъектілері мемлекеттік техникалық қызметке зерттеп-қарау үшін электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді пайдаланатын, сақтайтын, өңдейтін және тарататын ақпараттандыру объектілеріне қолжетімділік береді.

      4. Зерттеп-қарауды жүргізу кезінде Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2023 жылғы 12 маусымдағы № 179/НҚ бұйрығымен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларында белгіленген құқықтық, ұйымдастырушылық және техникалық шараларға талдау жүргізіледі (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 32810 болып тіркелген).

      Ескерту. 4-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 16.04.2025 № 154/НҚ (алғашқы ресми жарияланған күнінен кейінгі он күнтізбелік күн өткен соң күшіне енеді) бұйрығымен.

      5. Мемлекеттік техникалық қызмет ақпараттандыру объектісіне жүргізілген зерттеп-қарау нәтижелері бойынша жүргізілген зерттеп-қарау жөніндегі есепті, сондай-ақ анықталған сәйкессіздіктерді (болған кезде) жою жөніндегі ұсынымдарды қалыптастырады.