ИПС "Әділет"

Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Внести в постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности" следующие изменения и дополнения:

преамбулу изложить в следующей редакции:

"В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:";

в единых требованиях в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных указанным постановлением:

пункт 2 изложить в следующей редакции:

"2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры, а также оперативными центрами информационной безопасности.";

пункт 5 дополнить подпунктом 7) следующего содержания:

"7) определение единых принципов обеспечения и управления информационной безопасностью автоматизированных систем управления технологическими процессами.";

пункт 6 дополнить подпунктами 41), 42), 43), 44) и 45) следующего содержания:

"41) пользователь – субъект информатизации, использующий объекты информатизации для выполнения конкретной функции и (или) задачи;

42) автоматизированная система управления технологическими процессами (далее – АСУ ТП) – объект цифровой инфраструктуры, предназначенный для автоматизации, управления, контроля и мониторинга производственных процессов в режиме реального времени;

43) искусственный интеллект (далее – ИИ) – функциональная способность к имитации когнитивных функций, характерных для человека, обеспечивающая результаты, сопоставимые с результатами интеллектуальной деятельности человека или превосходящие их;

44) система искусственного интеллекта – объект информатизации, функционирующий на основе одной или нескольких моделей искусственного интеллекта;

45) национальная платформа искусственного интеллекта –технологическая платформа, предназначенная для сбора, обработки, хранения и распространения библиотек данных и предоставления услуг в сфере искусственного интеллекта.";

пункт 7-1 изложить в следующей редакции:

"7-1. Платформенность основывается на выполнении следующих требований:

1) осуществление создания и развитие решений на базе технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства", национальной платформы искусственного интеллекта и (или) использование функциональных возможностей технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта;

2) исключение компонентов, дублирующих функциональные возможности технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта;

3) обеспечение автоматизации процессов выполнения государственных функций и вытекающих из них услуг с использованием технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта.";

пункт 8-2 изложить в следующей редакции:

"8-2. Универсальность решений основывается на выполнении следующих требований:

1) использование готового программного обеспечения и сервисных программных продуктов, платформенных программных продуктов для автоматизации процессов выполнения типовых прикладных задач, обеспечивающих государственные функции;

2) адаптация особенностей выполнения государственных функций государственного органа к процессам, реализованным в готовом программном обеспечении и сервисных программных продуктах, платформенных программных продуктах, без необходимости настройки и доработки программного обеспечения в процессе внедрения;

3) отсутствие дополнительных затрат государственных органов на внедрение, обучение пользователей, приобретение программного обеспечения и компонентов информационно-коммуникационной инфраструктуры при использовании сервисных программных продуктов, платформенных программных продуктов.";

пункт 29 изложить в следующей редакции:

"29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями национального стандарта Республики Казахстан СТ РК ISO/IEC 27002-2023 "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".";

в пункте 37:

подпункт 1) изложить в следующей редакции:

"1) выбор методики оценки рисков в соответствии с рекомендациями национального стандарта Республики Казахстан СТ РК 31010-2020 "Менеджмент риска. Методы оценки риска" и разработка процедуры анализа рисков;";

подпункт 4) изложить в следующей редакции:

"4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями национального стандарта Республики Казахстан СТ РК ISO/IEC 27005-2022 "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности";";

дополнить пунктом 37-1 следующего содержания:

"37-1. С целью управления рисками в сфере ИИ в ГО или МИО осуществляется управление рисками систем искусственного интеллекта в соответствии с национальным стандартом Республики Казахстан СТ РК 23894-2025 "Руководство по управлению рисками.";

пункт 44 изложить в следующей редакции:

"44. Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ с выдачей электронного сертификата, обеспечением хранения в материалах личного дела.";

пункт 45 изложить в следующей редакции:

"45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее – классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями национального стандарта Республики Казахстан СТ РК ISO/IEC 15408-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".";

пункт 48 изложить в следующей редакции:

"48. C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии с национальным стандартом Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования" для объектов информатизации:

первого класса в соответствии с классификатором – третьего уровня безопасности;

второго класса в соответствии с классификатором – второго уровня безопасности;

третьего класса в соответствии с классификатором – первого уровня безопасности.";

пункт 50-1 изложить в следующей редакции:

"50-1. Собственники или владельцы негосударственных информационных систем, предназначенных для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг, до интеграции с информационными системами государственных органов создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

Владельцы критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан.

Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение шести месяцев со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.";

пункт 54 изложить в следующей редакции:

"54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства защиты информации, обеспечивающие возможность:

обнаружения и предотвращения вредоносного кода;

мониторинга и управления инцидентами и событиями ИБ;

обнаружения и предотвращения вторжений;

мониторинга и управления информационной инфраструктурой.";

пункт 55 изложить в следующей редакции:

"55. Для подписания электронных документов информационная система использует регистрационные свидетельства, выданные аккредитованными удостоверяющими центрами.";

пункт 60 изложить в следующей редакции:

"60. Создание или развитие ИР осуществляются с учетом требований национальных стандартов Республики Казахстан СТ РК 2190-2012 "Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования", СТ РК 2191-2023 "Информационные технологии. Доступность веб-контента для лиц с инвалидностью", СТ РК 2192-2012 "Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания", СТ РК 2193-2012 "Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений", СТ РК 2199-2012 "Информационные технологии. Требования к безопасности веб-приложений в государственных органах".";

пункт 68 изложить в следующей редакции:

"68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями национального стандарта Республики Казахстан СТ РК 34.015-2002 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации "электронного правительства", утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с пунктом 3 статьи 39 Закона.";

подпункт 1) пункта 78 изложить в следующей редакции:

"1) на этапе разработки ПО учитываются рекомендации национального стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";";

пункт 98-1 изложить в следующей редакции:

"98-1. На информационную систему критически важных объектов ИКИ также распространяются требования национального стандарта Республики Казахстан СТ РК IEC/PAS 62443-3-2017 "Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления.";

пункт 130 изложить в следующей редакции:

"130. В ГО или МИО допускается организация пунктов общественного доступа к Интернету для посетителей.

Организация пунктов общественного доступа допускается при условии использования отдельных каналов связи, не подключҰнных к ЕШДИ и исключающих соединения с ЕТС ГО и локальными сетями ГО или МИО.

Владелец пунктов общественного доступа обеспечивает безопасность подключения посетителей с применением технических средств защиты информации от сетевых атак, в соответствии с Правилами оказания услуг связи, утвержденными приказом исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 24 февраля 2015 года № 171 (зарегистрирован в реестре государственной регистрации нормативных правовых актов за № 10999).";

в пункте 139:

подпункт 4) изложить в следующей редакции:

"4) применяются средства:

идентификации, аутентификации и управления доступом пользователей;

идентификации оборудования;

защиты диагностических и конфигурационных портов;

физического сегментирования локальной сети;

логического сегментирования локальной сети;

управления сетевыми соединениями;

межсетевого экранирования;

сокрытия внутреннего адресного пространства локальной сети;

контроля целостности данных, сообщений и конфигураций;

криптографической защиты информации в соответствии с пунктом 48 настоящих ЕТ;

физической защиты каналов передачи данных и сетевого оборудования;

регистрации событий ИБ;

мониторинга и анализа сетевого трафика;

управления сетью;";

подпункт 10-1) изложить в следующей редакции:

"10-1) при использовании в ЛС внутреннего контура объектов информатизации, размещенных в Интернете, или ЛС внешнего контура ГО, МИО или организации, которые не подключены посредством ВШЭП, используют экранированную подсеть, соответствующую следующим требованиям:

подсеть ограничена со стороны ЛС внутреннего контура и ЛС внешнего контура отдельными межсетевыми экранами с функциями обнаружения и предотвращения вторжений, а также преобразования внешних сетевых адресов для сокрытия адресного пространства сетей внутреннего и внешнего контура;

все подключения из ЛС внешнего контура в ЛС внутреннего контура, а также из ЛС внутреннего контура в ЛС внешнего контура осуществляются исключительно на сервер или маршрутизатор с функцией перенаправления запросов, находящийся внутри экранированной подсети, без возможности перенаправления сетевого трафика по иному маршруту, отличающемуся от изначального;

не допускаются сохранение запросов и ответов, а также свободное использование на рабочих станциях доступов к общедоступным ресурсам Интернета или ЕТС через экранированную подсеть;";

подпункт 1) пункта 148 изложить в следующей редакции:

"1) обеспечивается исполнение Правил технической эксплуатации электроустановок потребителей, утвержденных приказом Министра энергетики Республики Казахстан от 30 марта 2015 года № 246 (зарегистрирован в реестре государственной регистрации нормативных правовых актов под № 10949);";

дополнить главой 4 следующего содержания:

"Глава 4. Требования к автоматизированным системам управления технологическими процессами

Параграф 1. Требования к организации автоматизированных систем управления технологическими процессами

164. Собственники и владельцы КВОИКИ, которыми обеспечивается функционирование АСУ ТП, разрабатывают и поддерживают в актуальном состоянии перечень документов по информационной безопасности:

1. Политику информационной безопасности АСУ ТП, определяющую цели, принципы и распределение ответственности, согласованную с отраслевым центром информационной безопасности.

2. Паспорт технологической сети АСУ ТП, содержащий ее архитектурное и техническое описание.

3. Документ по анализу и оценке рисков информационной безопасности для активов АСУ ТП.

4. Карту (модель) сети АСУ ТП, классифицирующую активы (оборудование, данные, каналы связи) по уровням критичности с учетом их роли в обеспечении непрерывности технологических процессов. Карта актуализируется при изменении конфигурации сети или профиля угроз.

5. Регламенты и инструкции по информационной безопасности, включающие (но не ограничиваясь):

регламент управления доступом пользователей и учетными записями;

инструкции по обнаружению, реагированию и расследованию инцидентов информационной безопасности;

6. План обеспечения непрерывности и восстановления АСУ ТП после сбоев и аварий, который должен содержать:

установленные целевые показатели восстановления: допустимое время простоя и допустимый объем утраченных данных для критических технологических процессов и систем управления;

процедуры резервного копирования, восстановления данных и конфигураций;

порядок регулярных проверок работоспособности резервных систем и процедур восстановления;

описание взаимодействия и порядка интеграции с иными связанными информационными системами в процессе восстановления.

Указанные документы должны:

быть детализированы с учетом конкретных выявленных рисков АСУ ТП;

обеспечивать возможность их оперативного практического применения персоналом в аварийных ситуациях;

предусматривать ведение журналов аудита и мониторинга событий информационной безопасности для контроля их эффективности.

165. В целях обеспечения защиты от несанкционированного доступа собственниками или владельцами АСУ ТП реализуются:

1) идентификация и аутентификация всех пользователей и устройств;

2) использование многофакторной аутентификации (MFA) для критических систем (определяется собственником и владельцем КВОИКИ самостоятельно);

3) применение ролевой модели доступа (RBAC) с минимальными привилегиями;

4) ограничение использования в АСУ ТП учетных записей по умолчанию и общих паролей;

5) использование систем кибербезопасности для защиты промышленных сетей и систем управления;

6) ограничение доступа в серверные помещения и зоны размещения оборудования АСУ ТП.".

2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Премьер-Министр
Республики Казахстан

О. Бектенов

Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

1. "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына мынадай өзгерістер мен толықтырулар енгізілсін:

кіріспе мынадай редакцияда жазылсын:

"Ақпараттандыру туралы" Қазақстан Республикасының Заңы 6-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:";

көрсетілген қаулымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарда:

2-тармақ мынадай редакцияда жазылсын:

"2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына қатысты БТ ережелерін мемлекеттік органдардың, жергілікті атқарушы органдардың, мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері мен иеленушілерінің, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері мен иеленушілерінің, сондай-ақ ақпараттық қауіпсіздіктің жедел орталықтарының қолдануы міндетті болып табылады.";

5-тармақтың 6) тармақшасындағы "арттыру болып табылады." деген сөздер "арттыру;" деген сөзбен ауыстырылып, мынадай мазмұндағы 7) тармақшамен толықтырылсын:

"7) технологиялық процестерді басқарудың автоматтандырылған жүйелерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау болып табылады.";

6-тармақ мынадай мазмұндағы 41), 42), 43), 44) және 45) тармақшалармен толықтырылсын:

"41) пайдаланушы – нақты функцияны және (немесе) міндетті орындау үшін ақпараттандыру объектілерін пайдаланатын ақпараттандыру субъектісі;

42) технологиялық процестерді басқарудың автоматтандырылған жүйесі (бұдан әрі – ТПБ АЖ) – нақты уақыт режимінде өндірістік процестерді автоматтандыруға, басқаруға, бақылауға және мониторингілеуге арналған цифрлық инфрақұрылым объектісі;

43) жасанды интеллект (бұдан әрі – ЖИ) – адамның интеллектуалды қызметінің нәтижесімен салыстыруға болатын немесе одан асып түсетін нәтижені қамтамасыз ететін, адамға тән когнитивті функцияларды имитациялай алатын функционалдық қабілет;

44) жасанды интеллект жүйесі – жасанды интеллектінің бір немесе бірнеше моделі негізінде жұмыс істейтін ақпараттандыру объектісі;

45) ұлттық жасанды интеллект платформасы – дерекнамаларды жинауға, өңдеуге, сақтау мен таратуға және жасанды интеллект саласында көрсетілетін қызметтерді ұсынуға арналған технологиялық платформа.";

7-1-тармақ мынадай редакцияда жазылсын:

"7-1. Платформалылық мынадай талаптарды орындауға негізделеді:

1) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформалары, ұлттық жасанды интеллект платформасы базасында шешімдер құруды және оларды дамытуды жүзеге асыру және (немесе) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларының және ұлттық жасанды интеллект платформасының функционалдық мүмкіндіктерін пайдалану;

2) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы технологиялық платформаларының және ұлттық жасанды интеллект платформасының функционалдық мүмкіндіктерін қайталайтын компоненттерді жоққа шығару;

3) "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларын және ұлттық жасанды интеллект платформасы пайдаланылатын мемлекеттік функцияларды орындау процестерін және олардан туындайтын көрсетілетін қызметтерді автоматтандыруды қамтамасыз ету.";

8-2-тармақ мынадай редакцияда жазылсын:

"8-2. Шешімдердің әмбебаптығы мынадай талаптарды орындауға негізделеді:

1) мемлекеттік функцияларды қамтамасыз ететін үлгілік қолданбалы міндеттерді орындау процестерін автоматтандыру үшін дайын бағдарламалық қамтылым мен сервистік бағдарламалық өнімдерді, платформалық бағдарламалық өнімдерді пайдалану;

2) мемлекеттік органның мемлекеттік функцияларын орындау ерекшеліктерін дайын бағдарламалық қамтылымда және сервистік бағдарламалық өнімдерде, платформалық бағдарламалық өнімдерде іске асырылған процестерге ендіру процесінде бағдарламалық қамтылымды теңшеу және пысықтау қажеттігінсіз бейімдеу;

3) сервистік бағдарламалық өнімдерді, платформалық бағдарламалық өнімдерді пайдаланған кезде мемлекеттік органдардың ендіруге, пайдаланушыларды оқытуға, бағдарламалық қамтылымды және ақпараттық-коммуникациялық инфрақұрылым компоненттерін сатып алуға қосымша шығындарының болмауы.";

29-тармақ мынадай редакцияда жазылсын:

"29. МО-да, ЖАО-да немесе ұйымда АҚ-ны ұйымдастыру, қамтамасыз ету және басқару кезінде ҚР СТ ISO/IEC 27002-2023 "Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздікті басқару құралдары" Қазақстан Республикасы ұлттық стандартының ережелерін басшылыққа алу қажет.";

37-тармақта:

1) тармақша мынадай редакцияда жазылсын:

"1) ҚР СТ 31010-2020 "Тәуекел менеджменті. Тәуекелді бағалау әдістері" Қазақстан Республикасы ұлттық стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу;";

4) тармақша мынадай редакцияда жазылсын:

"4) ҚР СТ ISO/IEC 27005-2022 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы ұлттық стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын АҚ қауіп-қатерлері (тәуекелдері) каталогын қалыптастыру;";

мынадай мазмұндағы 37-1-тармақпен толықтырылсын:

"37-1. "ҚР СТ 23894-2025 Тәуекелдерді басқару жөніндегі басшылық" Қазақстан Республикасының ұлттық стандартына сәйкес МО-да немесе ЖАО-да ЖИ саласындағы тәуекелдерді басқару мақсатында жасанды интеллект жүйелерінің тәуекелдерін басқару жүзеге асырылады.";

44-тармақ мынадай редакцияда жазылсын:

"44. Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізеді, электрондық сертификат береді, жеке іс материалдарында сақтауды қамтамасыз етеді.";

45-тармақ мынадай редакцияда жазылсын:

"45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР СТ ISO/IEC 15408-2017 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан Республикасы ұлттық стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.";

48-тармақ мынадай редакцияда жазылсын:

"48. Таратылуы шектелген қызметік ақпаратты, жасырын АЖ-ны, жасырын ЭАР-ны және таратылуы шектелген дербес деректерді қамтитын ЭАР-ны қорғау мақсатында ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының ұлттық стандартына сәйкес параметрлері АКҚҚ-ға қойылатын талаптарға сәйкес келетін:

бірінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес үшінші қауіпсіздік деңгейінің;

екінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес екінші қауіпсіздік деңгейінің;

үшінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес бірінші қауіпсіздік деңгейінің АКҚҚ (бағдарламалық және аппараттық) қолданылады.";

50-1-тармақ мынадай редакцияда жазылсын:

"50-1. Мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтер көрсетуге арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері немесе иеленушілері мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланғанға дейін ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады.

Мемлекеттік органдарды, жергілікті өзін-өзі басқару органдарын, мемлекеттік заңды тұлғаларды, квазимемлекеттік сектор субъектілерін қоспағанда, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері немесе иеленушілері ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің тізбесіне енгізілген күннен бастап алты ай ішінде ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.";

54-тармақ мынадай редакцияда жазылсын:

"54. Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде:

зиянды кодты анықтау мен оның алдын алу;

АҚ оқыс оқиғалары мен оқиғаларын мониторингілеу және басқару;

басып кіруді анықтау және алдын алу;

ақпараттық инфрақұрылымды мониторингілеу және басқару мүмкіндіктерін қамтамасыз ететін ақпаратты қорғау құралдары пайдаланылады.";

55-тармақ мынадай редакцияда жазылсын:

"55. Электрондық құжаттарға қол қою үшін ақпараттық жүйе аккредиттелген куәландырушы орталықтар берген тіркеу куәліктерін пайдаланады.";

60-тармақ мынадай редакцияда жазылсын:

"60. ИР-ны құру немесе дамыту ҚР СТ 2190-2012 "Ақпараттық технологиялар. Мемлекеттік органдар мен ұйымдардың интернет-ресурстары. Талаптар", ҚР СТ 2191-2023 "Ақпараттық технологиялар. Мүгедектігі бар адамдар үшін веб-контенттің қолжетімділігі", ҚР СТ 2192-2012 "Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. Жалпы сипаттамасы", ҚР СТ 2193-2012 "Ақпараттық технологиялар. Мобильдік веб-қосымшаларды әзірлеуге ұсынылатын тәжірибесі", ҚР СТ 2199-2012 "Ақпараттық технологиялар. Мемлекеттік органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар" Қазақстан Республикасы ұлттық стандарттарының талаптары ескеріліп жүзеге асырылады.";

68-тармақ мынадай редакцияда жазылсын:

"68. Жасалатын немесе дамытылатын қолданбалы АЖ-ның БҚ-на қойылатын талаптар ҚР СТ 34.015-2002 "Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені. Автоматтандырылған жүйелерді құруға арналған техникалық тапсырма" Қазақстан Республикасы ұлттық стандартының талаптарына сәйкес жасалатын техникалық тапсырмаларда осы БТ мен Заңның 39-бабының 3-тармағына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекітетін "электрондық үкіметтің" ақпараттандыру объектілерін құруға және дамытуға арналған техникалық тапсырмаларды жасау және қарау қағидаларында айқындалады.";

78-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

"1) БҚ-ны әзірлеу кезеңінде ҚР МемСТ Р 50739-2006 "Есептеу техникасы құралдары. Ақпаратты рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" Қазақстан Республикасы ұлттық стандартының ұсынымдары ескеріледі;";

98-1-тармақ мынадай редакцияда жазылсын:

"98-1. АКИ-дің аса маңызды объектілерінің ақпараттық жүйесіне де ҚР СТ IEC/PAS 62443-3-2017 "Коммуникациялық өнеркәсіптік желілер". Желі мен жүйенің қорғалуы (киберқауіпсіздігі). 3-бөлім. Өнеркәсіптік өлшеу мен басқару процесінің қорғалуы (киберқауіпсіздігі)" Қазақстан Республикасы ұлттық стандартының талаптары қолданылады.";

130-тармақ мынадай редакцияда жазылсын:

"130. МО-да немесе ЖАО-да келушілер үшін Интернетке қоғамдық қол жеткізу пункттерін ұйымдастыруға жол беріледі.

Қоғамдық қол жеткізу пункттерін ұйымдастыруға ИҚБШ-ға қосылмаған және МО БКО-мен және МО немесе ЖАО жергілікті желілерімен қосылысты жоққа шығаратын жеке байланыс арналарын пайдалану шартымен жол беріледі.

Қоғамдық қол жеткізу пункттерінің иеленушісі Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2015 жылғы 24 ақпандағы № 171 бұйрығымен (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10999 болып тіркелген) бекітілген Байланыс қызметтерін көрсету қағидаларына сәйкес ақпаратты желілік шабуылдардан қорғаудың техникалық құралдарын қолдану арқылы келушілерді қосу қауіпсіздігін қамтамасыз етеді.";

139-тармақта:

4) тармақша мынадай редакцияда жазылсын:

"4) мынадай құралдар пайдаланылады:

пайдаланушыларды сәйкестендіру, аутентификациялау мен қолжетімділікті басқару;

жабдықты сәйкестендіру;

диагностикалық және конфигурациялық порттарды қорғау;

жергілікті желіні физикалық сегменттеу;

жергілікті желіні логикалық сегменттеу;

желілік қосылуды басқару;

желіаралық экрандау;

жергілікті желінің ішкі мекенжайлық кеңістігін жасыру;

деректердің, хабарлар мен конфигурациялардың тұтастығын бақылау;

осы БТ-ның 48-тармағына сәйкес ақпаратты криптографиялық қорғау;

деректерді беру арналарын және желілік жабдықты физикалық қорғау;

АҚ оқиғаларын тіркеу;

желілік трафикті мониторингтеу және талдау;

желіні басқару;";

10-1) тармақша мынадай редакцияда жазылсын:

"10-1) ішкі контурдың ЖЖ-да Интернетте орналастырылған ақпараттандыру объектілерін немесе ЭҮСШ арқылы қосылмаған МО-ның, ЖАО-ның немесе ұйымның сыртқы контурының ЖЖ пайдаланылған кезде мынадай талаптарға сәйкес келетін экрандалған ішкі желі пайдаланылады:

ішкі желі ішкі контурдың ЖЖ және сыртқы контурдың ЖЖ тарапынан басып кіруді табу және оған жол бермеу, сондай-ақ ішкі және сыртқы контур желілерінің мекенжай кеңістігін жасыру үшін сыртқы желілік мекенжайларды түрлендіру функциялары бар жеке желіаралық экрандармен шектелген;

сыртқы контурдың ЖЖ-нан ішкі контурдың ЖЖ-на, сондай-ақ ішкі контурдың ЖЖ-нан сыртқы контурдың ЖЖ-на барлық қосылу серверде немесе бастапқыдан ерекшеленетін өзге маршрут бойынша қайта бағыттау мүмкіндігі жоқ экрандалған ішкі желінің ішінде орналасқан, сұрау салуларды қайта бағыттау функциясы бар маршрутизаторда ғана жүзеге асырылады;

сұрау салулар мен жауаптарды, сондай-ақ жұмыс станцияларында немесе экрандалған ішкі желі арқылы Интернеттің жалпыға қолжетімді ресурстарына немесе БКО-ға қолжетімділікті еркін пайдалануға жол берілмейді;";

148-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

"1) Қазақстан Республикасы Энергетика министрінің 2015 жылғы 30 наурыздағы № 246 бұйрығымен (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10949 болып тіркелген) бекітілген Тұтынушылардың электр қондырғыларын техникалық пайдалану қағидаларын орындау қамтамасыз етіледі;";

мынадай мазмұндағы 4-тараумен толықтырылсын:

"4-тарау. Технологиялық процестерді басқарудың автоматтандырылған жүйелеріне қойылатын талаптар

1-параграф. Технологиялық процестерді басқарудың автоматтандырылған жүйелерін ұйымдастыруға қойылатын талаптар

164. ТП БАЖ жұмыс істеуін қамтамасыз ететін АКИАМО меншік иелері мен иеленушілері ақпараттық қауіпсіздік жөніндегі құжаттардың мынадай тізбесін әзірлейді және өзекті күйде ұстайды:

1. Ақпараттық қауіпсіздіктің салалық орталығымен келісілген жауапкершіліктің мақсаттарын, қағидаттарын және бөлінуін айқындайтын ТП БАЖ ақпараттық қауіпсіздік саясаты.

2. ТП БАЖ технологиялық желісінің архитектуралық және техникалық сипаттамасын қамтитын паспорты.

3. ТП БАЖ активтері үшін ақпараттық қауіпсіздік тәуекелдерін талдау және бағалау жөніндегі құжат.

4. Технологиялық процестердің үздіксіздігін қамтамасыз етудегі рөлін ескере отырып, активтерді (жабдықты, деректерді, байланыс арналарын) сыни деңгейлер бойынша жіктейтін ТП БАЖ желісінің картасы (моделі). Желі конфигурациясы немесе қауіп профилі өзгерген кезде карта жаңартылады.

5. Ақпараттық қауіпсіздік жөніндегі регламенттер мен нұсқаулықтар (бірақ бұлармен шектелмейді):

пайдаланушылардың қол жеткізуін және есептік жазбаларды басқару регламенті;

ақпараттық қауіпсіздіктің оқыс оқиғаларын анықтау, ден қою және тергеу жөніндегі нұсқаулықтар.

6. Істен шығу мен авариялардан кейін ТП БАЖ үздіксіздігі мен қалпына келтірілуін қамтамасыз ету жоспары:

қалпына келтірудің белгіленген нысаналы көрсеткіштері: аса маңызды технологиялық процестер мен басқару жүйелері үшін рұқсат етілген тоқтап қалудың жол берілетін уақыты және деректерді жоғалтудың жол берілетін көлемі;

резервті көшірме жасау, деректерді қалпына келтіру және конфигурация рәсімдері;

резервтік жүйелер мен қалпына келтіру рәсімдерінің жұмысқа қабілеттілігін ұдайы тексеру тәртібі;

қалпына келтіру процесінде басқа байланысты ақпараттық жүйелермен өзара әрекеттесу және интеграция тәртібін сипаттау.

Көрсетілген құжаттар:

ТП БАЖ-дың нақты анықталған тәуекелдері ескеріліп, нақтылануға;

авариялық жағдайларда персоналдың оларды жедел практикада қолдану мүмкіндігін қамтамасыз етуге;

ақпараттық қауіпсіздік оқиғаларының тиімділігін бақылау үшін аудит және мониторинг журналдарының жүргізілуін көздеуге тиіс.

165. ТП БАЖ меншік иелері немесе иеленушілері рұқсатсыз кіруден қорғауды қамтамасыз ету мақсатында:

1) барлық пайдаланушылар мен құрылғыларды сәйкестендіру мен аутентификациялауды;

2) аса маңызды жүйелер үшін көпфакторлы аутентификацияны (MFA) пайдалануды (АКИАМО меншік иесі мен иеленушісі өздері айқындайды);

3) артықшылығы мейлінше аз рөлдік қол жеткізу моделін (RBAC) қолдануды;

4) ТП АБЖ-да әдепкі есептік жазбалар мен жалпы парольдерді пайдалануды шектеуді;

5) өнеркәсіптік желілер мен басқару жүйелерін қорғау үшін киберқауіпсіздік жүйелерін пайдалануды;

6) серверлік үй-жайларға және ТП БАЖ жабдықтарын орналастыру аймақтарына кіруді шектеуді жүзеге асырады.".

2. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының
Премьер-Министрі

О. Бектенов