Об утверждении Правил для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения

Приказ Министра промышленности и строительства Республики Казахстан от 16 сентября 2025 года № 370. Зарегистрирован в Министерстве юстиции Республики Казахстан 17 сентября 2025 года № 36869

      В соответствии с подпунктом 10-43) статьи 10-2 Закона Республики Казахстан "О жилищных отношениях" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения.

      2. Департаменту цифровой трансформации Министерства промышленности и строительства Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства промышленности и строительства Республики Казахстан после его официального опубликования.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра промышленности и строительства Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр промышленности и строительства Республики Казахстан

Е. Нагаспаев

      "СОГЛАСОВАН"
Министерство финансов
Республики Казахстан

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан

      "СОГЛАСОВАН"
Министерство национальной экономики
Республики Казахстан

      "СОГЛАСОВАН"
Министерство цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан

      "СОГЛАСОВАН"
Министерство энергетики
Республики Казахстан

Утвержден приказом Министра промышленности и строительства Республики Казахстан от 16 сентября 2025 года № 370

Правила для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения

Глава 1. Общие положения

      1. Настоящие Правила для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения (далее – Правила) разработан в соответствии с подпунктом 10-43) статьи 10-2 Закона Республики Казахстан "О жилищных отношениях" и устанавливает требования к обеспечению информационной безопасности критически важных объектов информационной коммуникационной инфраструктуры сферы водоснабжения и (или) водоотведения.

      2. Объектами информационной безопасности отраслевого центра в сфере водоснабжения и (или) водоотведения (далее – Отраслевой центр) являются промышленные системы управления, которые представляют основу технологических процессов субъектов водоснабжения и (или) водоотведения.

      3. В целях обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения функционирует Отраслевой центр, осуществляющий координацию и методологическое руководство, создание единого защищенного информационного пространства и повышение устойчивости критически важных объектов к угрозам информационной безопасности.

      4. Целями обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения являются:

      1) обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой в информационных системах, включая интеграционные шлюзы, прикладные сервисы, пользовательские интерфейсы и инфраструктуру;

      2) обеспечение непрерывности основных бизнес-процессов;

      3) обеспечение единого подхода к управлению информационной безопасности, включая централизованное управление рисками, доступом, инцидентами и мерами защиты;

      4) эффективное реагирование на современные угрозы и риски в области информационной безопасности;

      5) минимизация рисков, возникающих при эксплуатации, разработке, сопровождении и интеграции информационных систем в части передачи и обработки данных;

      6) обеспечение выполнения требований законодательства, нормативных актов и стандартов в сфере информатизации.

      5. Задачами обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения являются:

      1) включить Правила информационной безопасности на всех этапах жизненного цикла информационных систем и ее компонентов: проектирование, разработка, тестирование, ввод в эксплуатацию, сопровождение и вывод из эксплуатации;

      2) разграничить доступы сотрудников к аппаратным, программным и информационным ресурсам;

      3) внедрить процедуры регулярной идентификации, анализа, оценки и управления рисками информационной безопасности, связанными с эксплуатацией и интеграцией информационных систем;

      4) осуществлять регулярную проверку путем проведения внутренних аудитов информационной безопасности на соблюдения требований политики и эффективности реализованных мер защиты информации;

      5) обеспечить выполнение требований законодательства, нормативных актов и стандартов в сфере информатизации.

      6. Отраслевой центр при осуществлении своей деятельности руководствуется Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.

      Подразделение информационной безопасности отраслевого центра при необходимости запрашивают у субъектов водоснабжения и (или) водоотведения информацию, необходимую для анализа и оценки угроз информационной безопасности, разрабатывают обязательные для исполнения методические документы, проводят проверки состояния защищенности информационно-коммуникационных систем, а также формируют планы устранения выявленных нарушений с указанием сроков их исполнения.

      7. В настоящем Порядке используются термины и определения, предусмотренные законодательством в сфере информатизации.

Глава 2. Порядок для обеспечения информационной безопасности в сфере водоснабжения и (или) водоотведения

      8. Для обеспечения информационной безопасности Отраслевой центр осуществляет мониторинг угроз информационной безопасности с использованием современных систем, осуществляющие сбор данных от подключенных к Отраслевому центру организаций водоснабжения и (или) водоотведения.

      9. Все поступающие данные анализируются с применением методов машинного обучения и поведенческого анализа для выявления аномальной активности. Особое внимание уделяется обнаружению целевых атак на промышленные системы управления, которые могут привести к нарушениям технологических процессов.

      10. Для оперативного реагирования на инциденты информационной безопасности в Отраслевом центре действует трехуровневая система классификации угроз, из которых:

      1) критические инциденты, создающие непосредственную угрозу устойчивой работе объектов водоснабжения и (или) водоотведения, требующие немедленного реагирования в течении 1 часа с момента его обнаружения;

      2) инциденты высокого риска срок реагирования по которым составляет 4 часа с момента его обнаружения;

      3) инциденты низкого уровня срок реагирования по которым составляет 24 часа с момента его обнаружения.

      11. В каждом инциденте группа реагирования Отраслевого центра разрабатывает индивидуальный план мероприятий по локализации и устранению последствий инцидента.

      12. Субъекты водоснабжения и (или) водоотведения обеспечивают интеграцию своих систем мониторинга с платформой Отраслевого центра, предоставляя данные в форматах и объемах, установленных регламентом Отраслевого центра.

      13. В случае самостоятельного выявления угроз информационной безопасности организации водоснабжения и (или) водоотведения незамедлительно информируют Отраслевой центр по установленным каналам связи, используя защищенные протоколы передачи данных.

      14. Отраслевой центр взаимодействует с Министерством промышленности и строительства Республики Казахстан через регулярные отчеты об угрозах информационной безопасности, участвует в разработке государственных программ и совершенствовании нормативной базы, а также осуществляет техническое взаимодействие с Национальным координационным центром информационной безопасности через защищенные каналы связи с использованием сертифицированных средств криптографической защиты.

      15. Все данные, поступающие в Отраслевой центр от субъектов водоснабжения и (или) водоотведения, подлежат защите в соответствии с требованиями законодательства Республики Казахстан об информатизации.

      16. Отраслевой центр использует сертифицированные средства криптографической защиты информации, системы контроля доступа и другие средства защиты информации.

      17. Особые требования предъявляются к защите информации о критически важных объектах водоснабжения и (или) водоотведения и уязвимостях их информационных систем. Такая информация хранится в специально выделенных защищенных сегментах информационной системы Отраслевого центра. Передача информации с ограниченным доступом третьим лицам, включая международные организации, осуществляется только с санкции уполномоченных государственных органов.

Сумен жабдықтау және (немесе) су бұру саласындағы ақпараттық қауіпсіздікті қамтамасыз етуге арналған қағидаларды бекіту туралы

Қазақстан Республикасы Өнеркәсіп және құрылыс министрінің 2025 жылғы 16 қыркүйектегі № 370 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2025 жылғы 17 қыркүйекте № 36869 болып тіркелді

      "Тұрғын үй қатынастары туралы" Қазақстан Республикасы Заңының 10-2-бабының 10-43) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Сумен жабдықтау және (немесе) су бұру саласындағы ақпараттық қауіпсіздікті қамтамасыз етуге арналған қағидалар бекітілсін.

      2. Қазақстан Республикасы Өнеркәсіп және құрылыс министрлігінің Цифрлық трансформация департаменті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеу;

      2) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Өнеркәсіп және құрылыс министрлігінің интернет-ресурсында орналастыру.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Өнеркәсіп және құрылыс вице-министріне жүктелсін.

      Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Өнеркәсіп және құрылыс министрі

Е. Нагаспаев

      "КЕЛІСІЛДІ"
Қазақстан Республикасының
Қаржы министрлігі

      "КЕЛІСІЛДІ"
Қазақстан Республикасының
Ұлттық қауіпсіздік комитеті

      "КЕЛІСІЛДІ"
Қазақстан Республикасының
Ұлттық экономика министрлігі

      "КЕЛІСІЛДІ"
Қазақстан Республикасы Цифрлық даму,
инновациялар және аэроғарыш
өнеркәсібі министрлігі

      "КЕЛІСІЛДІ"
Қазақстан Республикасының
энергетика министрлігі

Қазақстан Республикасының Өнеркәсіп және құрылыс министрінің 2025 жылғы 16 қыркүйектегі № 370 бұйрығымен бекітілген

Сумен жабдықтау және (немесе) су бұру саласындағы ақпараттық қауіпсіздікті қамтамасыз етуге арналған қағидалар

1-тарау. Жалпы ережелер

      1. Осы Сумен жабдықтау және (немесе) су бұру саласындағы ақпараттық қауіпсіздікті қамтамасыз етуге арналған қағидалар (бұдан әрі - Қағидалар) "Тұрғын үй қатынастары туралы" Қазақстан Республикасы Заңының 10-2-бабының 10-43) тармақшасына сәйкес әзірленді және сумен жабдықтау және (немесе) су бұру саласындағы ақпараттық коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды белгілейді.

      2. Сумен жабдықтау және (немесе) су бұру саласындағы ақпараттық қауіпсіздіктің салалық орталығы (бұдан әрі - Салалық орталығы) сумен жабдықтау және (немесе) су бұру субъектілерінің технологиялық процестерінің негізі болып табылатын өнеркәсіптік басқару жүйелері болып табылады.

      3. Сумен жабдықтау және (немесе) су бұру саласында ақпараттық қауіпсіздікті қамтамасыз ету мақсатында ақпараттық қауіпсіздік жөніндегі Салалық орталық жұмыс істейді, ол үйлестіру мен әдістемелік басшылықты, бірыңғай қорғалған ақпараттық кеңістікті құруды, сондай-ақ аса маңызды объектілердің ақпараттық қауіпсіздік қатерлеріне төзімділігін арттыруды жүзеге асырады.

      4. Сумен жабдықтау және (немесе) су бұру саласында ақпараттық қауіпсіздікті қамтамасыз етудің мақсаттары мыналар болып табылады:

      1) ақпараттық жүйелерде, соның ішінде интеграциялық шлюздерде, қолданбалы сервистерде, пайдаланушы интерфейстерінде және инфрақұрылымда өңделетін ақпараттың құпиялылығын, тұтастығын және қолжетімділігін қамтамасыз ету;

      2) негізгі бизнес-процестердің үздіксіздігін қамтамасыз ету;

      3) тәуекелдерді, қолжетімділікті, инциденттерді және қорғау шараларын орталықтандырылған басқаруды қоса алғанда, ақпараттық қауіпсіздікті басқаруға бірыңғай тәсілді қамтамасыз ету;

      4) ақпараттық қауіпсіздік саласындағы заманауи қатерлер мен тәуекелдерге тиімді ден қою;

      5) деректерді беру және өңдеу бөлігінде ақпараттық жүйелерді пайдалану, әзірлеу, сүйемелдеу және интеграциялау кезінде туындайтын тәуекелдерді барынша азайту;

      6) ақпараттандыру саласындағы заңнама, нормативтік құқықтық актілер мен стандарттар талаптарының орындалуын қамтамасыз ету.

      5. Сумен жабдықтау және (немесе) су бұру саласында ақпараттық қауіпсіздікті қамтамасыз етудің міндеттері мыналар болып табылады:

      1) ақпараттық жүйелердің және олардың құрамдас бөліктерінің өмірлік циклі кезеңдерінің барлығында: жобалау, әзірлеу, тестілеу, пайдалануға енгізу, сүйемелдеу және пайдаланудан шығару барысында ақпараттық қауіпсіздік тәртібін енгізу;

      2) қызметкерлердің аппараттық, бағдарламалық және ақпараттық ресурстарға қолжетімділігін шектеу;

      3) ақпараттық жүйелерді пайдалану және интеграциялау барысында туындайтын ақпараттық қауіпсіздік тәуекелдерін тұрақты түрде айқындау, талдау, бағалау және басқару рәсімдерін енгізу;

      4) ақпараттық қауіпсіздік саясатының талаптарын сақтау мен енгізілген ақпаратты қорғау шараларының тиімділігін бағалау мақсатында ішкі аудиттер жүргізу арқылы тұрақты тексерулерді жүзеге асыру;

      5) информатизация саласындағы заңнама, нормативтік құқықтық актілер мен стандарттар талаптарының орындалуын қамтамасыз ету.

      6. Салалық орталық өз қызметін жүзеге асыру барысында 2016 жылғы 20 желтоқсандағы № 832 Қазақстан Республикасы Үкіметінің қаулысымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздік саласындағы бірыңғай талаптарды басшылыққа алады.

      Салалық орталықтың ақпараттық қауіпсіздік жөніндегі бөлімшесі қажет болған жағдайда сумен жабдықтау және (немесе) су бұру субъектілерінен ақпараттық қауіпсіздік қатерлерін талдау мен бағалау үшін қажетті ақпаратты сұратуға, орындалуы міндетті әдістемелік құжаттарды әзірлеуге, ақпараттық-коммуникациялық жүйелердің қорғалу жағдайына тексеру жүргізуге, сондай-ақ анықталған бұзушылықтарды жою жөніндегі жоспарларды оларды орындау мерзімдерін көрсете отырып қалыптастыруға құқылы.

      7. Осы Тәртіпте ақпараттандыру саласындағы заңнамада көзделген терминдер мен анықтамалар қолданылады.

2-тарау. Сумен жабдықтау және (немесе) су бұру саласындағы ақпараттық қауіпсіздікті қамтамасыз ету тәртібі

      8. Ақпараттық қауіпсіздікті қамтамасыз ету мақсатында Салалық орталығы сумен жабдықтау және (немесе) су бұру саласындағы Салалық орталығына қосылған ұйымдардан деректерді жинауды жүзеге асыратын заманауи жүйелерді пайдалана отырып, ақпараттық қауіпсіздік қатерлеріне мониторинг жүргізеді.

      9. Барлық келіп түсетін деректерде аномалиялық белсенділікті анықтау үшін машиналық оқыту әдістері мен мінез-құлықтық талдау қолданылады. Әсіресе технологиялық үдерістердің бұзылуына әкелуі мүмкін өнеркәсіптік басқару жүйелеріне бағытталған мақсатты шабуылдарды анықтауға ерекше назар аударылады.

      10. Ақпараттық қауіпсіздік инциденттеріне жедел ден қою мақсатында Салалық орталығында қауіп-қатерлерді жіктеудің үш деңгейлі жүйесі қолданылады, оған мыналар жатады:

      1) аса маңызды инциденттер – сумен жабдықтау және (немесе) су бұру объектілерінің тұрақты жұмысына тікелей қауіп төндіретін, анықталған сәттен бастап 1 сағат ішінде дереу ден қоюды талап ететін инциденттер;

      2) жоғары тәуекелді инциденттер – анықталған сәттен бастап 4 сағат ішінде ден қоюды талап етеді;

      3) төмен деңгейлі инциденттер – анықталған сәттен бастап 24 сағат ішінде ден қоюды көздейді.

      11. Әрбір инцидент бойынша Салалық орталығының ден қою тобы инцидентті оқшаулау және оның салдарын жою бойынша жеке іс-шаралар жоспарын әзірлейді.

      12. Сумен жабдықтау және (немесе) су бұру субъектілері өздерінің мониторинг жүйелерін Салалық орталығы платформасымен интеграциялауды қамтамасыз етеді, бұл ретте деректер Салалық орталығы регламентінде белгіленген форматтар мен көлемде ұсынылады.

      13. Сумен жабдықтау және (немесе) су бұру ұйымдары ақпараттық қауіпсіздік қатерлерін өздері анықтаған жағдайда, белгіленген байланыс арналары арқылы деректерді қорғау хаттамаларын пайдалана отырып, дереу Салалық орталығын хабардар етеді.

      14. Салалық орталығы (ақпараттық қауіпсіздік салалық орталығы) Қазақстан Республикасының Өнеркәсіп және құрылыс министрлігімен ақпараттық қауіпсіздік қатерлері туралы тұрақты есептер арқылы өзара әрекеттеседі, мемлекеттік бағдарламаларды әзірлеуге және нормативтік-құқықтық базаны жетілдіруге қатысады, сондай-ақ Ұлттық ақпараттық қауіпсіздік координациялық орталымен сертификатталған криптографиялық қорғау құралдарын пайдалана отырып, қорғалған байланыс арналары арқылы техникалық өзара әрекеттестікті жүзеге асырады.

      15. Сумен жабдықтау және (немесе) су бұру субъектілерінен Салалық орталыққа келіп түсетін барлық деректер Қазақстан Республикасының ақпараттандыру саласындағы заңнамасының талаптарына сәйкес қорғалуға жатады.

      16. Салалық орталық ақпаратты қорғаудың сертификатталған криптографиялық құралдарын, қолжетімділікті бақылау жүйелерін және өзге де ақпаратты қорғау құралдарын пайдаланады.

      17. Сумен жабдықтау және (немесе) су бұрудың аса маңызды объектілері туралы, сондай-ақ олардың ақпараттық жүйелерінің осалдықтары жөніндегі ақпаратты қорғауға ерекше талаптар қойылады. Мұндай ақпарат Салалық орталықтың ақпараттық жүйесінің арнайы бөлінген қорғалған сегменттерінде сақталады. Шектеулі қолжетімділігі бар ақпаратты үшінші тұлғаларға, оның ішінде халықаралық ұйымдарға беру тек уәкілетті мемлекеттік органдардың рұқсатымен жүзеге асырылады.