"Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына толықтырулар мен өзгерістер енгізу туралы

Қазақстан Республикасы Үкіметінің 2018 жылғы 18 маусымдағы № 355 қаулысы.

      Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына (Қазақстан Республикасының ПҮАЖ-ы, 2016 ж., № 65, 428-құжат) мынадай толықтырулар мен өзгерістер енгізілсін:

      көрсетілген қаулымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарда:

      6-тармақ мынадай мазмұндағы 11-1) және 20-1) тармақшалармен толықтырылсын:

      "11-1) кростық үй-жай – қосу, бөлу пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;";

      "20-1) ұйымдар – мемлекеттік заңды тұлға, квазимемлекеттік сектор субъектісі, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иелісі мен иеленушісі;";

      мынадай мазмұндағы 8-1-тармақпен толықтырылсын:

      "8-1. МО архитектурасы туралы мәліметтер үшінші тұлғаларға бекітілген АҚ саясатына сәйкес МО-ның ақпараттық қауіпсіздік және ақпараттық технологиялар бойынша құрылымдық бөлімшелерінің басшыларымен не оларды алмастыратын адамдармен келісу бойынша ғана беріледі.";

      9-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) МО-ның бекітілген архитектурасына, ал ол болмаған жағдайда –ақпараттандыру саласындағы сарапшылық кеңестің шешімдеріне сәйкес ақпараттандыруға және ақпараттық қауіпсіздікке шығындарды жоспарлауды;";

      мынадай мазмұндағы 25-1-тармақпен толықтырылсын:

      "25-1. Сыртқы шеңбердің локальдық желілерінен интернетке қолжетімділікті ұйымдастырған кезде міндетті түрде вирустарға қарсы құралдардың болуы, интернет желісіне қосылған жұмыс станцияларындағы операциялық жүйелердің жаңартылуы қамтамасыз етіледі.";

      29, 30-тармақтар мынадай редакцияда жазылсын:

      "29. МО-да, ЖАО-да немесе ұйымда АҚ ұйымдастыру, қамтамасыз ету және басқару кезінде "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару құралдары туралы ережелер жиынтығы" Қазақстан Республикасының ҚР СТ ИСО/МЭК 27002-2015 стандартының ережелерін басшылыққа алу қажет.

      30. АҚ қамтамасыз ету саласындағы жауапкершіліктің және функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшау құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды адам белгіленеді.

      АҚ жеке құрылымдық бөлімшесін құру бойынша осы тармақтың талаптары арнаулы мемлекеттік органдарға қолданылмайды.

      АҚ бөлімшелері немесе АҚ қамтамасыз етуге жауапты лауазымды адам:

      1) АҚ ТҚ талаптарының орындалуын бақылауды;

      2) АҚ құжаттық ресімделуін бақылауды;

      3) АҚ қамтамасыз ету бөлігінде активтердің басқарылуын бақылауды;

      4) БҚ пайдаланудың заңдылығын бақылауды;

      5) АКТ саласындағы тәуекелдердің басқарылуын бақылауды;

      6) АҚ оқиғаларының тіркелуін бақылауды;

      7) АҚ ішкі аудитін жүргізуді;

      8) АҚ сыртқы аудитінің ұйымдастырылуын бақылауды;

      9) АКТ пайдаланатын бизнес-процестер үздіксіздігінің қамтамасыз етілуін бақылауды;

      10) персоналды басқару кезінде АҚ талаптарының сақталуын бақылауды;

      11) "электрондық үкіметтің" ақпараттандыру объектісі АҚ-сының жай-күйін бақылауды жүзеге асырады.";

      31-тармақтың екінші бөлігі мынадай редакцияда жазылсын:

      "АҚ ТҚ қазақ және орыс тілдерінде әзірленеді, МО-ның, ЖАО-ның немесе ұйымның құқықтық актісімен бекітіледі және МО, ЖАО барлық қызметшілерінің немесе ұйым қызметкерлерінің назарына жеткізіледі.";

      35-тармақ мынадай редакцияда жазылсын:

      "35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды қамтиды, соның ішінде:

      1) АҚ инциденттерін тіркеу және штаттан тыс оқиғаларды есепке алу журналы;

      2) серверлік үй-жайларға кіру журналы;

      3) желілік ресурстардың осалдықтарын бағалауды жүргізу туралы есеп;

      4) кабельдік қосылуларды есепке алу журналы;

      5) резервтік көшірмелерді (резервтік көшірме, қайта қалпына келтіру), резервтік көшірмелерді тестілеуді есепке алу журналы;

      6) жабдық конфигурациясының өзгеруін есепке алу, АЖ ЕБҚ мен ҚБҚ тестілеу және өзгерістерді есепке алу, БҚ осалдықтарын тіркеу және жою журналы;

      7) серверлік үй-жайларға арналған дизель-генераторлық қондырғыларды және үздіксіз қуат беру көздерін тестілеу журналы;

      8) серверлік үй-жайлардың микроклиматын, бейнебақылауды, өрт сөндіруді қамтамасыз ету жүйелерін тестілеу журналы.";

      37-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:

      "4) мыналарды:

      ҚР СТ ИСО/МЭК 27005-2013 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды);

      ықтимал нұқсанды айқындауды қамтитын АҚ қатерлері (тәуекелдері) каталогын қалыптастыру; ";

      38-тармақтың 4) және 5) тармақшалары мынадай редакцияда жазылсын:

      "4) оқиғаларды тіркеу журналдары АҚ ТҚ-да көрсетілген, бірақ үш жылдан кем емес мерзім бойы сақталады және кем дегенде екі ай жедел қолжетімді болады;

      5) уәкілетті орган бекітетін "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингін жүргізу қағидаларында айқындалатын форматтар мен жазба түрлеріне сәйкес құрылатын БҚ оқиғаларын тіркеу журналдары жүргізіледі;";

      43-тармақ мынадай редакцияда жазылсын:

      "43. Жұмыстан босатылған немесе еңбек шарты талаптарына өзгерістер енгізілген кезде МО, ЖАО қызметшісінің немесе ұйым қызметкерінің жеке және логикалық қолжетімділікті, қол жеткізу, қол қою сәйкестендіргіштерін және оны МО, ЖАО жұмыс істейтін қызметшісі немесе ұйым жұмыскері ретінде сәйкестендіретін құжаттаманы қамтитын ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары оның еңбек шарты тоқтатылғаннан кейін жойылады немесе еңбек шартының талаптарына өзгерістер енгізілген кезде өзгертіледі.";

      45-тармақ мынадай редакцияда жазылсын:

      "45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР МЕМ СТ Р ИСО/МЭК 15408-2006 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан Республикасы стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.";

      46-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) аутентификация тәсілдеріне;";

      47-тармақ мынадай редакцияда жазылсын:

      "47. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ақпараттандыру объектілеріне қол жеткізу кезінде көп факторлы, соның ішінде ЭЦҚ пайдаланыла отырып аутентификация қолданылады.";

      мынадай мазмұндағы 54-1-тармақпен толықтырылсын:

      "54-1. Локальды желілерде деректердің таралуын болдырмау жүйелерін (DLP) қолдануға жол беріледі. Бұл ретте:

      іс-әрекеттерге жүргізілетін бақылау туралы пайдаланушыға визуалды хабарлау;

      пайдаланушының іс-әрекеттеріне бақылауды жүзеге асыру үшін оның жазбаша келісімін алу;

      басқару орталығын және деректердің таралуын болдырмау жүйесін локальды желі шегінде орналастыру қамтамасыз етіледі.";

      мынадай мазмұндағы 63-1-тармақпен толықтырылсын:

      "63-1. МО мен ЖАО АР өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар акті және "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 66-бабында көзделген жағдайлардан басқа, ақпараттық қауіпсіздік талаптарына сәйкестік аттестаты болған жағдайда жол беріледі.";

      68 және 69-тармақтар мынадай редакцияда жазылсын:

      "68. Құрылатын немесе дамытылатын қолданбалы АЖ-ның БҚ-сына қойылатын талаптар ҚР СТ 34.015-2002 "Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені. Автоматтандырылған жүйелерді құруға арналған техникалық тапсырма" Қазақстан Республикасы стандартының талаптарына сәйкес құрылатын техникалық тапсырмаларда осы БТ мен ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісу бойынша уәкілетті орган бекітетін мемлекеттік органдардың ақпараттық жүйелерін құруға немесе дамытуға арналған техникалық тапсырмаларды жасау және қарау қағидаларында айқындалады.

      69. Құрылатын немесе дамытылатын СБӨ-ге қойылатын талаптар осы БТ мен уәкілетті орган бекітетін ақпараттандырудың сервистік моделін іске асыру қағидаларына сәйкес жасалатын ақпараттық-коммуникациялық қызметті жобалауға арналған тапсырмада айқындалады.";

      мынадай мазмұндағы 69-1-тармақпен толықтырылсын:

      "69-1. Сервистік бағдарламалық өнімді өнеркәсіптік пайдалануға "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 66-бабында көзделген жағдайларды қоспағанда, ақпараттық қауіпсіздік талаптарына сәйкестік тұрғысынан сынақтардың оң нәтижелері бар акті, бағдарламалық құжаттама мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкес сапасын бағалау мақсатында сынақтан өткізу хаттамасы және бағдарламалық құжаттаманы сараптау хаттамасы болған кезде жол беріледі.";

      мынадай мазмұндағы 90-1- тармақпен толықтырылсын:

      "90-1. Ақпараттандыру объектілерінің немесе ақпарат объектілері компоненттерінің интеграциялық өзара іс-қимыл функцияларын шлюз, интеграциялау шинасы, интеграциялау компоненті немесе интеграциялау модулі арқылы іске асырған кезде:

      1) сұрау салулардың көздерін (қосылу нүктелерін) тіркеу және заңдылығын тексеру;

      2) мыналар:

      паролі немесе ЭЦҚ;

      қосылу нүктесі;

      қосылу бұғаттауының болуы;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген түрлері;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген жиілігі;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілерінің болуы;

      сигнатуралар бойынша зиянды кодтың болуы бойынша сұрау салулардың заңдылығын тексеру;

      3) мынадай:

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақыт ішінде қосылу болмаған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақытта сұрау салулардың рұқсат етілген жиілігінен асырған;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілері болған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған аутентификация қателерінің санынан асырған;

      пайдаланушылардың аномальды белсенділігі айқындалған;

      деректер массивтерін көшіру әрекеттері анықталған кезде хабарлама алмасу хаттамаларында бұзушылықтар анықталған кезде қосылуды бұғаттау;

      4) интеграциялық өзара іс-қимыл регламентінде айқындалған іс-қимыл жасау уақыты бойынша қосылу парольдерін үнемі ауыстыру;

      5) АҚ инциденттері айқындалған кезде қосылу логинін ауыстыру;

      6) ішкі шеңбердің ЛЖ адрестеуін жасыру;

      7) мыналар:

      ақпараттық хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      файлдарды беру/қабылдау оқиғаларын тіркеу;

      қызметтік хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      оқиғалар журналдарының мониторингі үшін инциденттерді және АҚ оқиғаларын басқару жүйесін қолдану;

      оқиғалар журналдарын АҚ оқиғаларының орын алуы тұрғысынан талдау рәсімдерін автоматтандыру;

      оқиғалар журналдарын әкімшілерге қарау үшін ғана қолжетімді мамандандырылған логтар серверінде сақтау;

      оқиғалар журналдарын (қажет болған кезде):

      а) ағымдағы тәулік;

      б) қосылу (байланыс арнасы);

      в) мемлекеттік орган (заңды тұлға);

      г) интеграцияланатын ақпараттандыру объектілері бойынша бөлек жүргізу қамтылған оқиғалар журналын жүргізу;

      8) интеграцияланатын ақпараттандыру объектілеріне уақытты синхрондау сервисін ұсыну;

      9) деректерді беру жүйелері арқылы жүзеге асырылатын қосылуларды бағдарламалық-аппараттық криптографиялық қорғау;

      10) қосылулар парольдерін шифрланған түрде сақтау және беру;

      11) интеграцияланатын ақпараттандыру объектілерінің жауапты адамдарын АҚ инциденттері туралы хабарландыруды автоматтандыру қамтамасыз етіледі.";

      92-тармақ мынадай редакцияда жазылсын:

      "92. МО-ның және ЖАО-ның АЖ-сын бағдарламалық-аппараттық қамтамасыз етуді басқару АЖ иеленушісі ішкі шеңберінің ЛЖ жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын және МО-ның немесе ЖАО-ның АЖ-сымен интеграцияланатын мемлекеттік емес АЖ-ны бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасы ратификациялаған халықаралық шарттардың шеңберінде ұлттық шлюзді пайдалана отырып жүзеге асырылатын мемлекетаралық ақпарат алмасуға байланысты жағдайларды қоспағанда, Қазақстан Республикасының аумағында орналастырылады.";

      мынадай мазмұндағы 92-1 және 92-2-тармақтармен толықтырылсын:

      "92-1. МО мен ЖАО-ның АҚ жұмысын ұйымдастыру үшін Қазақстан Республикасының аумағында физикалық түрде орналасқан бұлтты сервистерді (виртуалдау технологиясын пайдалана отырып ресурстарды ұсынатын аппараттық-бағдарламалық кешендер, АЖ), басқару орталықтарын және серверлерді қолдануға жол беріледі.

      92-2. Қазақстан Республикасы азаматтарының дербес деректері қамтылған ақпараттық-коммуникациялық инфрақұрылымдардың аса маңызды объектілерінің АҚ бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасының аумағында орналастырылады.";

      99-тармақ мынадай редакцияда жазылсын:

      "99. Технологиялық платформаны таңдау виртуалдандыру технологиясын қолдауға мүмкіндік беретін жабдықтың басымдылығын ескере отырып жүзеге асырылады.";

      мынадай мазмұндағы 101-1-тармақпен толықтырылсын:

      "101-1. АКП өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар акті және "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 66-бабында көзделген жағдайларды қоспағанда ақпараттық қауіпсіздік талаптарына сәйкестік аттестаты болған кезде жол беріледі.";

      116-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

      "1) АЖ-ның қолданбалы БҚ-сын әзірлеуге (дамытуға) арналған техникалық тапсырмада немесе "электрондық үкімет" сервистік интеграторы әзірлеген ақпараттық-коммуникациялық қызметтерді жобалауға арналған тапсырмада ұсынылатын талаптар;";

      128-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:

      "4) ведомстволық (корпоративтік) телекоммуникациялық және локальдік желілерді интернетке МО-ның, ЖАО-ның немесе ұйымның ИҚБШ арқылы қосқан кезде АКИ операторының немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының қызметтерін пайдаланады;";

      131-тармақ мынадай редакцияда жазылсын:

      "131. МО БКО-ға, МО-ның немесе ЖАО-ның локальдық желісіне, сондай-ақ МО БКО құрамына кіретін, МО-ның немесе ЖАО-ның локальдық желісінің құрамына кіретін техникалық құралдарға сымсыз желілер арқылы қашықтықтан қол жеткізуді, сымсыз қолжетімділікті ұйымдастыруға арналған құралдарды, модемдерді, радиомодемдерді, ұялы байланыс операторларының желілік модемдерін, ұялы байланыстың абоненттік құрылғыларына және басқа да сымсыз желілік құрылғыларды қосуға жол берілмейді.".

      140-тармақ мынадай редакцияда жазылсын:

      "140 БТ-ның 139-тармағының 10), 11) тармақшаларында көзделген талаптар 2016 жылғы 1 қаңтарға дейін өнеркәсіптік пайдалануға енгізілген және 2018 жылғы 1 қаңтарға дейін дамуға жатпайтын МО-ның немесе ЖАО-ның АЖ-ларына қолданылмайды.

      МО АЖ және ЖАО деректерінің мемлекеттік емес АЖ-мен ақпараттық өзара іс-қимыл тәртібі Заңның 7-бабының 13) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен "Электрондық үкіметтің" ақпараттандыру объектілерін интеграциялау қағидаларында айқындалады.";

      мынадай мазмұндағы 163-тармақпен толықтырылсын:

      "163. Телекоммуникациялық желілердің бөлу құрылғылары кростық үй-жайда орналастырылады. Кростық үй-жай ол қызмет көрсететін жұмыс аумағының ортасына жақын орналастырылады.

      Кростық үй-жайдың көлемі қызмет көрсетілетін жұмыс аумағы мен орнатылатын жабдықтың көлеміне қарай таңдалады.

      Кростық үй-жайлар мынадай талаптарға сәйкес болуы қажет:

      жабдыққа қызмет көрсету үшін бос қызметтік өтетін жолдың болуы;

      электромагниттік кедергілердің қуатты көздерінің (трансформаторлар, электр қалқандары, электр қозғалтқыштар және басқалары) болмауы;

      сумен жабдықтау жүйесінің бұрандалары мен құбырларының болмауы;

      өрт қауіпсіздігі жүйесінің болуы;

      жеңіл жанатын материалдардың (ағаш сөрелер, картон, кітаптар және басқалары) болмауы;

      жоба бойынша шкафты қосу үшін автоматтан бөлек жеке электр қуатталу желісінің болуы;

      сигнализациялық күзет жүйесінің, кіруді бақылау жүйесінің болуы;

      ауа баптау жүйесінің болуы.".

      2. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Премьер-Министрі
Б. Сағынтаев