Примечание ИЗПИ!
Вводится в действие с 01.01.2023
ПРИКАЗЫВАЕМ:
1. Внести в совместный приказ Заместителя Премьер – Министра Республики Казахстан – Министра оборонной и аэрокосмической промышленности Республики Казахстан от 29 января 2019 года №13/НҚ и Министра национальной экономики Республики Казахстан от 29 января 2019 года №12 "Об утверждении критериев оценки степени риска и проверочных листов сфере информатизации в части обеспечения информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 18269) следующие изменения:
исключить подпункты 1) и 2) пункта 1;
Проверочный лист в сфере информатизации в части обеспечения информационной безопасности в отношении государственных юридических лиц, субъектов квазигосударственного сектора, собственников и владельцев негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственников и владельцев критически важных объектов информационно-коммуникационной инфраструктуры, утвержденный совместным указанным приказом, изложить в новой редакции согласно приложению к настоящему совместному приказу.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательном порядке обеспечить:
1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего совместного приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий совместный приказ вводится в действие c 1 января 2023 года и подлежит официальному опубликованию.
Министр национальной экономики Республики Казахстан |
__________ А. Куантыров |
Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
__________ Б. Мусин |
"СОГЛАСОВАН"
Комитет по правовой статистике
и специальным учетам
Генеральной прокуратуры
Республики Казахстан
Проверочный лист в сфере информатизации в части обеспечения информационной безопасности
_________________________________________________________________
в соответствии со статьей 138
__________________________________________________________________
Предпринимательского кодекса Республики Казахстан
в отношении: государственных юридических лиц, субъектов
квазигосударственного сектора, собственников и владельцев негосударственных
информационных систем, интегрируемых с информационными системами
государственных органов или предназначенных для формирования государственных
электронных информационных ресурсов, а также собственников и владельцев
критически важных объектов информационно-коммуникационной инфраструктуры
____________________________________________________________________
наименование однородной группы субъектов (объектов) контроля
____________________________________________________________________
____________________________________________________________________
Государственный орган, назначивший проверку __________________________
____________________________________________________________________
Акт о назначении проверки ____________________________________________
№, дата
Наименование субъекта (объекта) контроля ______________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный номер
субъекта (объекта) контроля ___________________________________________
Адрес места нахождения ______________________________________________
№ | Перечень требований | Соответствует требованиям | Не соответствует требованиям |
1 | 2 | 3 | 4 |
1 | Соблюдение требования по осуществлению подключения локальных, ведомственных и корпоративных сетей телекоммуникаций государственных органов, местным исполнительным органом, государственных юридических лиц, субъектов квазигосударственного сектора, а также владельцев критически важных объектов информационно-коммуникационной инфраструктуры (далее - ИКИ) к Интернету операторами связи через единый шлюз доступа к Интернету | ||
2 | Соблюдение требования по оповещению владельцем критически важных объектов информационно-коммуникационной инфраструктуры Национального координационного центра информационной безопасности об инцидентах информационной безопасности и о результатах реагирования на них | ||
3 |
Соблюдение требования по применению средств: | ||
4 | Соблюдение требования мониторинга обеспечения ИБ, защиты и безопасного функционирования при эксплуатации объектов информатизации | ||
5 | Наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет при организации доступа к Интернету из локальных сетей внешнего контура | ||
6 | Наличие подразделения ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определение должностного лица, ответственного за обеспечение ИБ, с прохождением специализированных курсов в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата | ||
7 |
Наличие и соответствие нормативно-технической документации (далее – ТД) по обеспечению ИБ, в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется государственные органы (далее - ГО), местным исполнительным органом (далее - МИО) или организация в своей деятельности. | ||
8 | Соблюдение требования при доступе к объектам информатизации первого и второго классов в соответствии с классификатором по применению многофакторной аутентификации, в том числе с использованием электронной цифровой подписи | ||
9 | Соблюдение требования по внесению в должностные инструкции и (или) условия трудового договора функциональных обязанностей по обеспечению ИБ и обязательств по исполнению требований ТД ИБ служащих ГО, МИО или работников организации | ||
10 | Соблюдение требования по применению СКЗИ | ||
11 | Соблюдение требования по хранению, восстановлению государственных электронных информационных ресурсов, содержащихся в информационной системе, сохранности государственных электронных информационных ресурсов | ||
12 |
Соблюдение требования для обеспечения ИБ информационных ресурсов (далее – ИБ ИР) по применению | ||
13 | Соблюдение требования по применению регистрационных свидетельств для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ при обеспечении ИБ ИР | ||
14 |
Соблюдения требования по управлению идентификацией при использовании технологии виртуализации: | ||
15 |
Соблюдение требования по проведению аудита событий ИБ при использовании технологии виртуализации: | ||
16 |
Соблюдение требования регистрации событий ИБ при использовании технологии виртуализации: | ||
17 |
Соблюдение требования по исполнению процедур сетевого и системного администрирования: | ||
18 | Соблюдение требования по обеспечению системы хранения данных системой резервного копирования | ||
19 | Соблюдение требования по применению программно-технических средств защиты информации, в том числе криптографического шифрования, с использованием СКЗИ при организации выделенного канала связи, объединяющего локальные сети | ||
20 | Соблюдение требования по исключению сопряжения ЛС внутреннего контура и ЛС внешнего контура между собой, за исключением организованных каналов связи с использованием СКЗИ | ||
21 |
Соблюдение требовании по использованию | ||
22 | Наличие бесперебойного электропитания для активного оборудования локальных сетей | ||
23 | Соблюдение требования по физическому отключению неиспользуемых портов кабельной системы локальной сети от активного оборудования | ||
24 | Соблюдение требования по применению межсетевого экранирования | ||
25 |
Наличие документирования при техническом сопровождении оборудования, установленного в серверном помещении: | ||
26 |
Наличие системы контроля и управления доступом в серверном помещении обеспечивающие санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери. | ||
27 | Наличие в актуальном состоянии списка лиц, авторизованных для осуществления сопровождения объектов ИКИ, установленных в серверном помещении | ||
28 |
Наличие системы обеспечения микроклимата в серверном помещении: | ||
29 |
Наличие системы охранной сигнализации в серверном помещении: | ||
30 |
Наличие системы видеонаблюдения в серверном помещении: | ||
31 |
Наличие системы пожарной сигнализации в серверном помещении: | ||
32 |
Наличие системы пожаротушения в серверном помещении: | ||
33 |
Наличие системы гарантированного электропитания в серверном помещении: | ||
34 |
Наличие системы заземления в серверном помещении: | ||
35 | Отсутствие мощных источников электромагнитных помех (трансформаторов, электрических щитов, электродвигателей и прочее) в кроссовом помещении | ||
36 | Отсутствие труб и вентилей системы водоснабжения в кроссовом помещении | ||
37 | Наличие систем пожарной безопасности в кроссовом помещении | ||
38 | Отсутствие легко возгораемых материалов (деревянные стеллажи, картон, книги и прочее) в кроссовом помещении | ||
39 | Наличие в кроссовом помещении отдельной линии электропитания от отдельного автомата для подключения шкафа по проекту | ||
40 | Наличие в кроссовом помещении систем охранной сигнализации, контроля доступа | ||
41 | Наличие в кроссовом помещении системы кондиционирования | ||
42 |
На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы: | ||
43 | Соблюдение требований по созданию собственного оперативного центра информационной безопасности и обеспечению его функционирования или приобретению услуг оперативного центра информационной безопасности у третьих лиц, а также взаимодействие его с Национальным координационным центром информационной безопасности | ||
44 |
Соблюдение требования по размещению на Интернет-ресурсе с зарегистрированным доменным именем .KZ и (или) .ҚАЗ на аппаратно-программном комплексе, который расположен на территории Республики Казахстан. | ||
45 | Соблюдение требования по проведению на регулярной основе инвентаризации серверного оборудования с проверкой его конфигурации | ||
46 |
Соблюдение требований по приобретению товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства из реестра доверенного программного обеспечения и продукции электронной промышленности. | ||
47 |
Соблюдение требований по контролю событий нарушений ИБ в ГО, МИО или организации: | ||
48 | Наличие соглашения, в котором устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение при привлечении сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ | ||
49 | Соблюдение требований при увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора | ||
50 | Соблюдение требования кадровой службой организации и ведения учета прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ | ||
51 |
Соблюдение требования по регистрации в службе реагирования на компьютерные инциденты государственной технической службы событий, идентифицированных как критические для конфиденциальности, доступности и целостности | ||
52 | Соблюдение требования по проведению аудита ИБ не реже одного раз в год, владельцам критически важных объектов ИКИ, обрабатывающий данные, содержащие охраняемую законом тайну, за исключением банков второго уровня | ||
53 | Соблюдение требования при списании ИС, ПО или сервисного программного продукта по обеспечению сохранения структуры и содержания базы данных посредством встроенного функционала системы управления базы данных списываемой ИС с подготовкой инструкции по восстановлению ЭИР | ||
54 | Наличие акта с положительным результатом испытаний на соответствие требованиям ИБ | ||
55 |
Соблюдение требования по обеспечению разрабатываемого или приобретаемого готового прикладного ПО | ||
56 |
Соблюдение требования по осуществлению мониторинга: | ||
57 | Соблюдение требования по обеспечению разрабатываемого или приобретаемого готового прикладного ПО технической документацией по эксплуатации на казахском и русском языках | ||
58 |
Соблюдение требования по обеспечению высокой доступности сервера встроенных систем: | ||
59 | Наличие программного и аппаратного обеспечения гарантированного уничтожения информации при выводе из эксплуатации носителей информации, используемых в конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа | ||
60 | Наличие схемы локальной сети | ||
61 | Наличие в серверном помещении серверное оборудование аппаратно-программный комплекс и системы хранения данных | ||
62 |
Соблюдение требования по расположению серверного помещения в отдельных, непроходных помещениях без оконных проемов. В случае наличия оконных проемов, они закрываются или заделываются негорючими материалами. | ||
63 | Наличие в серверном помещений фальшпола и (или) фальшпотолка для размещения кабельных систем и инженерных коммуникаций | ||
64 | Соблюдение требования по исключению через серверное помещение прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением на верхних этажах | ||
65 | Соблюдение требования по расположению основных и резервных серверных помещений на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям | ||
66 | Соблюдение требования по исключению в серверном помещении размещения в одной виртуальной среде, одном серверном оборудовании, одном монтажном шкафу или стойке ЭИР, ИР, СПП, ИС, относящихся в соответствии с классификатором объектов информатизации первого класса с объектами информатизации второго и третьего класса |
Должностное (ые) лицо (а)
_________________________________ ____________
должность подпись
______________________________________________
фамилия, имя, отчество (при наличии)
Руководитель субъекта контроля
___________________________________ ___________
должность подпись
_______________________________________________
фамилия, имя, отчество (при наличии)