В соответствии с подпунктом 10-43) статьи 10-2 Закона Республики Казахстан "О жилищных отношениях" ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения.
2. Департаменту цифровой трансформации Министерства промышленности и строительства Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства промышленности и строительства Республики Казахстан после его официального опубликования.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра промышленности и строительства Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
|
Министр промышленности и строительства Республики Казахстан |
Е. Нагаспаев |
"СОГЛАСОВАН"
Министерство финансов
Республики Казахстан
"СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
"СОГЛАСОВАН"
Министерство национальной экономики
Республики Казахстан
"СОГЛАСОВАН"
Министерство цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
"СОГЛАСОВАН"
Министерство энергетики
Республики Казахстан
| Утвержден приказом Министра промышленности и строительства Республики Казахстан от 16 сентября 2025 года № 370 |
Правила для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения
Глава 1. Общие положения
1. Настоящие Правила для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения (далее – Правила) разработан в соответствии с подпунктом 10-43) статьи 10-2 Закона Республики Казахстан "О жилищных отношениях" и устанавливает требования к обеспечению информационной безопасности критически важных объектов информационной коммуникационной инфраструктуры сферы водоснабжения и (или) водоотведения.
2. Объектами информационной безопасности отраслевого центра в сфере водоснабжения и (или) водоотведения (далее – Отраслевой центр) являются промышленные системы управления, которые представляют основу технологических процессов субъектов водоснабжения и (или) водоотведения.
3. В целях обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения функционирует Отраслевой центр, осуществляющий координацию и методологическое руководство, создание единого защищенного информационного пространства и повышение устойчивости критически важных объектов к угрозам информационной безопасности.
4. Целями обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения являются:
1) обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой в информационных системах, включая интеграционные шлюзы, прикладные сервисы, пользовательские интерфейсы и инфраструктуру;
2) обеспечение непрерывности основных бизнес-процессов;
3) обеспечение единого подхода к управлению информационной безопасности, включая централизованное управление рисками, доступом, инцидентами и мерами защиты;
4) эффективное реагирование на современные угрозы и риски в области информационной безопасности;
5) минимизация рисков, возникающих при эксплуатации, разработке, сопровождении и интеграции информационных систем в части передачи и обработки данных;
6) обеспечение выполнения требований законодательства, нормативных актов и стандартов в сфере информатизации.
5. Задачами обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения являются:
1) включить Правила информационной безопасности на всех этапах жизненного цикла информационных систем и ее компонентов: проектирование, разработка, тестирование, ввод в эксплуатацию, сопровождение и вывод из эксплуатации;
2) разграничить доступы сотрудников к аппаратным, программным и информационным ресурсам;
3) внедрить процедуры регулярной идентификации, анализа, оценки и управления рисками информационной безопасности, связанными с эксплуатацией и интеграцией информационных систем;
4) осуществлять регулярную проверку путем проведения внутренних аудитов информационной безопасности на соблюдения требований политики и эффективности реализованных мер защиты информации;
5) обеспечить выполнение требований законодательства, нормативных актов и стандартов в сфере информатизации.
6. Отраслевой центр при осуществлении своей деятельности руководствуется Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.
Подразделение информационной безопасности отраслевого центра при необходимости запрашивают у субъектов водоснабжения и (или) водоотведения информацию, необходимую для анализа и оценки угроз информационной безопасности, разрабатывают обязательные для исполнения методические документы, проводят проверки состояния защищенности информационно-коммуникационных систем, а также формируют планы устранения выявленных нарушений с указанием сроков их исполнения.
7. В настоящем Порядке используются термины и определения, предусмотренные законодательством в сфере информатизации.
Глава 2. Порядок для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения
8. Для обеспечения информационной безопасности Отраслевой центр осуществляет мониторинг угроз информационной безопасности с использованием современных систем, осуществляющие сбор данных от подключенных к Отраслевому центру организаций водоснабжения и (или) водоотведения.
9. Все поступающие данные анализируются с применением методов машинного обучения и поведенческого анализа для выявления аномальной активности. Особое внимание уделяется обнаружению целевых атак на промышленные системы управления, которые могут привести к нарушениям технологических процессов.
10. Для оперативного реагирования на инциденты информационной безопасности в Отраслевом центре действует трехуровневая система классификации угроз, из которых:
1) критические инциденты, создающие непосредственную угрозу устойчивой работе объектов водоснабжения и (или) водоотведения, требующие немедленного реагирования в течении 1 часа с момента его обнаружения;
2) инциденты высокого риска срок реагирования по которым составляет 4 часа с момента его обнаружения;
3) инциденты низкого уровня срок реагирования по которым составляет 24 часа с момента его обнаружения.
11. В каждом инциденте группа реагирования Отраслевого центра разрабатывает индивидуальный план мероприятий по локализации и устранению последствий инцидента.
12. Субъекты водоснабжения и (или) водоотведения обеспечивают интеграцию своих систем мониторинга с платформой Отраслевого центра, предоставляя данные в форматах и объемах, установленных регламентом Отраслевого центра.
13. В случае самостоятельного выявления угроз информационной безопасности организации водоснабжения и (или) водоотведения незамедлительно информируют Отраслевой центр по установленным каналам связи, используя защищенные протоколы передачи данных.
14. Отраслевой центр взаимодействует с Министерством промышленности и строительства Республики Казахстан через регулярные отчеты об угрозах информационной безопасности, участвует в разработке государственных программ и совершенствовании нормативной базы, а также осуществляет техническое взаимодействие с Национальным координационным центром информационной безопасности через защищенные каналы связи с использованием сертифицированных средств криптографической защиты.
15. Все данные, поступающие в Отраслевой центр от субъектов водоснабжения и (или) водоотведения, подлежат защите в соответствии с требованиями законодательства Республики Казахстан об информатизации.
16. Отраслевой центр использует сертифицированные средства криптографической защиты информации, системы контроля доступа и другие средства защиты информации.
17. Особые требования предъявляются к защите информации о критически важных объектах водоснабжения и (или) водоотведения и уязвимостях их информационных систем. Такая информация хранится в специально выделенных защищенных сегментах информационной системы Отраслевого центра. Передача информации с ограниченным доступом третьим лицам, включая международные организации, осуществляется только с санкции уполномоченных государственных органов.
