Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:
1. "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына мынадай өзгерістер мен толықтырулар енгізілсін:
көрсетілген қаулымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарда:
6-тармақ мынадай редакцияда жазылсын:
"6. Осы БТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады:
1) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін генерациялауды, қалыптастыруды, таратуды немесе басқаруды іске асыратын бағдарламалық қамтылым немесе ақпараттық-бағдарламалық кешен;
2) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі – актив) – ақпарат болып табылатын немесе ақпаратты қамтитын немесе ақпаратты өңдеу, сақтау, беру үшін қызмет ететін және мақсаттарға қол жеткізу мен қызметінің үздіксіздігі мүддесінде ұйым үшін құндылығы бар материалдық немесе материалдық емес объект;
3) ақпаратты өңдеу құралдарымен байланысты активті таңбалау – активті кейіннен сәйкестендіру (тану), оның қасиеттері мен сипаттамаларын көрсету мақсатында оған шартты белгілерді, әріптерді, цифрларды, графикалық белгілерді немесе жазуларды түсіру;
4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ ТҚ) – ақпараттандыру объектілерінің және (немесе) ұйымның АҚ-ны қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;
5) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуына алғышарт жасайтын жағдайлар мен факторлар жиынтығы;
6) ақпараттық қауіпсіздік оқиғаларының мониторингі (бұдан әрі – АҚ оқиғаларының мониторингі) – ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін ұдайы байқауда ұстау;
7) ақпараттық қауіпсіздікті қамтамасыз ету мониторингінің жүйесі – ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану мониторингін жүргізуге бағытталған ұйымдастырушылық және техникалық іс-шаралар;
8) ақпараттық қауіпсіздіктің жедел орталығы – электрондық ақпараттық ресурстарды, ақпараттық жүйелерді, телекоммуникация желілері мен ақпараттандырудың басқа да объектілерін қорғау жөніндегі қызметті жүзеге асыратын заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;
9) ақпараттық қауіпсіздіктің ішкі аудиті – ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың объективті, құжатталған, өз мүдделерінде ұйымның өзі жүзеге асыратын процесі;
10) бағдарламалық робот – іздеу жүйесінің немесе мониторинг жүйесінің веб-парақтарды автоматты түрде және (немесе) берілген кесте бойынша қарап шығуды орындайтын, веб-парақтарда табылған сілтемелермен өтіп, олардың мазмұнын оқитын және индекстейтін бағдарламалық қамтылымы;
11) деректердің таралып кетуіне жол бермеу жүйесі (DLP) – қолжетімділігі шектеулі электрондық ақпараттық ресурстардың таралып кетуіне жол бермеуге арналған ақпаратты қорғау құралы;
12) жабдықты жүктелген (қызу) резервтеу – ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігі мен істен шығуға төзімділігін икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану және оларды белсенді режимде ұстау;
13) жабдықты жүктелмеген (суық) резервтеу – ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа дайындалған және белсенді емес режимде тұрған қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану;
14) желіаралық экран – ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылау мен сүзгілеуді жүзеге асыратын ақпараттық-бағдарламалық немесе бағдарламалық кешен;
15) жұмыс станциясы – қолданбалы міндеттерді шешуге арналған жергілікті желі құрамындағы стационарлық компьютер;
16) жүйелік бағдарламалық қамтылым – есептеу жабдығының жұмысын қамтамасыз етуге арналған бағдарламалық қамтылым жиынтығы;
17) интернет-браузер – интернет-ресурстардың мазмұнын көрнекі көрсетуге және онымен интерактивті өзара іс-қимыл жасауға арналған қолданбалы бағдарламалық қамтылым;
18) кодталған байланыс – кодтау құжаттары мен техникасы пайдаланылатын қорғалған байланыс;
19) көпфакторлы аутентификациялау – әртүрлі параметрлер комбинациясының, оның ішінде парольдерді немесе аутентификациялық белгілерді (цифрлық сертификаттарды, токендерді, смарт-карталарды, бірреттік парольдердің генераторларын және биометриялық сәйкестендіру құралдарын) генерациялаудың және енгізудің көмегімен пайдаланушының шынайылығын тексеру тәсілі;
20) кросстық үй-жай – қосу, тарату пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;
21) қолданбалы бағдарламалық қамтылым (бұдан әрі – ҚБҚ) – пәндік саланың белгілі бір сыныбындағы қолданбалы міндетін шешуге арналған бағдарламалық қамтылым кешені;
22) құпияландырылған байланыс – құпияландыру аппаратурасы пайдаланылатын қорғалған байланыс;
23) масштабталу – ақпараттандыру объектісінің өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай өзінің өнімділігін арттыру мүмкіндігін қамтамасыз ету қабілеті;
24) мемлекеттік органдардың серверлік орталығы (бұдан әрі – МО серверлік орталығы) – меншік иесі және иеленушісі "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымының операторы болып табылатын, "электрондық үкіметтің" ақпараттандыру объектілерін орналастыруға арналған серверлік үй-жай (деректерді өңдеу орталығы);
25) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;
26) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;
27) прокси-сервер – өзі арқылы ақпаратты желілік шабуылдардан қорғау мақсатында онымен алмасу жүретін компьютерлер/серверлер арасындағы интернет-байланысқа қатысатын аралық сервер;
28) серверлік үй-жай (деректерді өңдеу орталығы) – серверлік, активті және пассивті желілік (телекоммуникациялық) жабдықты және құрылымдалған кәбілдік жүйелердің жабдығын орналастыруға арналған үй-жай;
29) тіркеу куәлігі (бұдан әрі – цифрлық сертификат) – электрондық цифрлық қолтаңбаның "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының Заңында белгіленген талаптарға сәйкестігін растау үшін куәландырушы орталық беретін электрондық құжат;
30) сыртқы шеңбердің жергілікті желісі (бұдан әрі – сыртқы шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, ақпараттандыру субъектілері үшін қолжетімділікті байланыс операторлары Интернетке қол жеткізудің бірыңғай шлюзі арқылы ғана ұсынатын, Интернетке қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің сыртқы шеңберіне жатқызылған жергілікті желісі;
31) терминалдық жүйе – терминалдық ортада қосымшалармен не клиенттік-серверлік архитектурада талғампаз клиент-бағдарламалармен жұмыс істеуге арналған талғампаз немесе нөлдік клиент;
32) уақыт көзінің инфрақұрылымы – серверлердің, жұмыс станцияларының және телекоммуникациялық жабдықтың ішкі сағаттарын синхрондау міндетін орындайтын, уақытты синхрондаудың желілік хаттамасын пайдаланатын иерархиялық байланысқан серверлік жабдық;
33) уәкілетті орган айқындаған ақпараттандыру субъектілері – жергілікті (Интернетке қолжетімділігі бар жергілікті желілерді қоспағанда), ведомстволық және корпоративтік желілердің өзара іс-қимылын қамтамасыз ету үшін мемлекеттік органдардың бірыңғай көліктік ортасын пайдаланатын мемлекеттік органдар, олардың ведомстволық бағынысты ұйымдары мен жергілікті өзін-өзі басқару органдары, сондай-ақ өзге де ақпараттандыру субъектілері;
34) ұйым – мемлекеттік заңды тұлға, квазимемлекеттік сектор субъектісі, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иесі және иеленушісі, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иесі және иеленушісі;
35) үкіметтік байланыс – мемлекеттік басқару мұқтажына арналған арнайы қорғалған байланыс;
36) федеративті сәйкестендіру – сенімді қатынастар орнатқан жүйелердегі және желілердегі электрондық ақпараттық ресурстарға қол жеткізу үшін пайдаланушының бірыңғай атын және аутентификациялық сәйкестендіргішті пайдалануға мүмкіндік беретін технологиялар кешені;
37) шифрланған байланыс – қол шифрлары, шифрлау машиналары, желілік шифрлау аппаратурасы және есептеу техникасының арнаулы құралдары пайдаланылатын қорғалған байланыс;
38) ішкі шеңбердің жергілікті желісі (бұдан әрі – ішкі шеңбердің ЖЖ) – ақпараттандыру субъектілерінің уәкілетті орган айқындаған, мемлекеттік органдардың бірыңғай көліктік ортасына қосылған ақпараттандыру субъектілерінің телекоммуникациялық желісінің ішкі шеңберіне жатқызылған жергілікті желісі;
39) "электрондық үкіметтің" бірыңғай репозиторийі – "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтары мен олардан құрастырылған орындалатын кодтарды сақтау орны;
40) "электрондық үкіметтің" сыртқы шлюзі (бұдан әрі – ЭҮСШ) – МО БКО-да тұрған ақпараттық жүйелердің МО БКО-дан тыс тұрған ақпараттық жүйелермен өзара іс-қимылын қамтамасыз етуге арналған "электрондық үкімет" шлюзінің кіші жүйесі.";
13-тармақ мынадай редакцияда жазылсын:
"13. МО-ны және ЖАО-ны ақпараттандыру саласындағы тауарлармен, жұмыстармен және көрсетілетін қызметтермен қамтамасыз ету Қазақстан Республикасының арнаулы мемлекеттік органдарын қоспағанда, бюджеттік бағдарламалардың әкімшілері ұсынған ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді мемлекеттік сатып алуға арналған шығыстардың есеп-қисаптарын ақпараттандыру саласындағы уәкілетті органның қорытындысын ескере отырып сатып алу арқылы жүзеге асырылады.";
14-тармақтың 7) тармақшасы алып тасталсын;
14-1 және 15-тармақтар мынадай редакцияда жазылсын:
"14-1. Меншік иелері және (немесе) иеленушілер "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.
15. МО-дағы және ЖАО-дағы жұмыс кеңістігі Қазақстан Республикасы Денсаулық сақтау министрінің 2022 жылғы 16 маусымдағы № ҚР ДСМ-52 бұйрығымен бекітілген "Әкімшілік және тұрғын ғимараттарға қойылатын санитариялық-эпидемиологиялық талаптар" санитариялық қағидаларына сәйкес ұйымдастырылады (Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 20 маусымда № 28525 болып тіркелген).";
29, 29-1 және 30-тармақтар мынадай редакцияда жазылсын:
"29. МО-да, ЖАО-да немесе ұйымда АҚ-ны ұйымдастыру, қамтамасыз ету және басқару кезінде ҚР СТ ISO/IEC 27002-2023 "Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздікті басқару құралдары" Қазақстан Республикасы стандартының ережелерін басшылыққа алу қажет.
29-1. Елдің қорғанысы мен мемлекет қауіпсіздігі үшін ақпараттық қауіпсіздікті қамтамасыз ету талаптарын іске асыру мақсатында Заңға және Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес БҚ мен электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінен тауар және ақпараттық-коммуникациялық көрсетілетін қызмет түрінде сатып алу жүзеге асырылады.
Электрондық өнеркәсіп саласындағы уәкілетті орган Заңның 7-6-бабының 7-тармағына сәйкес бекіткен Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін қалыптастыру және жүргізу қағидаларына, сондай-ақ бағдарламалық қамтылымды және электрондық өнеркәсіп өнімін сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізу жөніндегі өлшемшарттарға сәйкес сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімін электрондық өнеркәсіп саласындағы уәкілетті орган жүргізеді.
Бұл ретте сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізілімінде қажетті өнім болмаған жағдайда оны Қазақстан Республикасының мемлекеттік сатып алу, квазимемлекеттік сектордың жекелеген субъектілерінің сатып алуы туралы заңнамасына сәйкес сатып алуға жол беріледі.
Сенім білдірілген бағдарламалық қамтылымның және электрондық өнеркәсіп өнімінің тізіліміне енгізілген бағдарламалық қамтылымның меншік иелері және иеленушілері "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып, "электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға енгізуді қамтамасыз етеді.
30. АҚ-ны қамтамасыз ету саласындағы жауапкершілік пен функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшауланған құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға айқындалады.
АҚ бөлімшесі немесе АҚ-ны қамтамасыз етуге жауапты лауазымды тұлға АҚ-ны қамтамасыз ету жөніндегі жұмыстарды үйлестіруді және АҚ бойынша ТҚ-да айқындалған АҚ талаптарының орындалуын бақылауды жүзеге асырады.
АҚ-ны қамтамасыз етуге жауапты қызметкерлер үш жылда бір реттен сиретпей АҚ-ны қамтамасыз ету саласындағы мамандандырылған курстардан өтіп, оларға сертификат беріледі.";
33, 34 және 35-тармақтар мынадай редакцияда жазылсын:
"33. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының талаптарын егжей-тегжейлі көрсететін құжаттар, оның ішінде:
1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;
2) ақпаратты өңдеу құралдарымен және оларды түгендеумен байланысты активтерді сәйкестендіру, сыныптау, таңбалау, паспорттау қағидалары;
3) АҚ ішкі аудитін жүргізу қағидалары;
4) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;
5) электрондық ақпараттық ресурстарға қол жеткізу құқықтарын аутентификациялау және олардың аражігін ажырату рәсімін ұйымдастыру қағидалары;
6) вирусқа қарсы бақылауды ұйымдастыру, мобильді құрылғыларды, ақпарат жеткізгіштерді, Интернетті және электрондық поштаны пайдалану қағидалары;
7) ақпаратты өңдеу құралдарымен байланысты активтердің физикалық қорғалуын, жұмыс істеуі мен үздіксіз жұмысын қамтамасыз етудің қауіпсіз ортасын ұйымдастыру қағидалары кіреді.
34. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің сипаттамасын, оның ішінде:
1) АҚ қауіп-қатерлер (тәуекелдер) каталогын;
2) АҚ қауіп-қатерлерін (тәуекелдерін) өңдеу жоспарын;
3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету және жұмысқа қабілеттілігін қалпына келтіру жөніндегі іс-шаралар жоспарын;
4) ақпараттандыру объектісін сүйемелдеу, ақпаратты резервтік көшіру және қалпына келтіру жөніндегі әкімшінің нұсқауын;
5) пайдаланушылардың АҚ оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда ден қою бойынша іс-қимыл тәртібі туралы нұсқаулықты қамтиды.
35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды, оның ішінде:
1) АҚ оқыс оқиғаларын тіркеу және штаттан тыс жағдайларды есепке алу журналын;
2) серверлік үй-жайларға бару журналын;
3) желілік ресурстардың осалдығына бағалау жүргізу туралы есепті;
4) кәбілдік қосылуларды есепке алу журналын;
5) резервтік көшірмелерді есепке алу (резервтік көшіру, қалпына келтіру), резервтік көшірмелерді тестілеу журналын қамтиды.";
1) тармақша мынадай редакцияда жазылсын:
"1) ҚР СТ 31010-2020 "Тәуекел менеджменті. Тәуекелді бағалау әдістері" Қазақстан Республикасы стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу;";
4) тармақша мынадай редакцияда жазылсын:
"4) ҚР СТ ISO/IEC 27005-2022 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын АҚ қауіп-қатерлері (тәуекелдері) каталогын қалыптастыру;";
38-тармақ мынадай мазмұндағы 5-1) тармақшамен толықтырылсын:
"5-1) мемлекеттік техникалық қызметтің сұратуы бойынша Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығының ақпараттық қауіпсіздікті қамтамасыз ету мониторингі жүйесінің техникалық құралдарына "электрондық үкіметтің" ақпараттандыру объектілерінің АҚ оқиғаларын журналдау жүйелерін қосу қамтамасыз етіледі;";
мынадай мазмұндағы 38-1-тармақпен толықтырылсын:
"38-1. МО және ЖАО ақпараттық қауіпсіздікті қамтамасыз ету мониторингі және ақпараттық қауіпсіздік оқиғаларының мониторингі жөніндегі жұмыстарды жүргізу мақсатында мемлекеттік техникалық қызметтің сұрау салуы бойынша Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығының жұмыскерлеріне жеке жұмыс орындарын ұсына отырып, "электрондық үкіметтің" ақпараттандыру объектілеріне физикалық қолжетімділікті тұрақты негізде қамтамасыз етеді.";
40-тармақ мынадай редакцияда жазылсын:
"40. АҚ-ны қамтамасыз ету жөніндегі функционалдық міндеттер және МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің АҚ ТҚ талаптарын орындау жөніндегі міндеттемелері лауазымдық нұсқаулықтарға енгізіледі.
Еңбек шартының қолданылуы тоқтатылғаннан кейін күшінде қалған АҚ-ны қамтамасыз ету саласындағы міндеттемелер ұйым жұмыскерімен жасалған еңбек шартында бекітіледі.";
43-тармақ мынадай редакцияда жазылсын:
"43. Ұйым жұмыскерінің еңбек шартының талаптарына өзгерістер енгізу, МО, ЖАО қызметшісін ротациялау немесе мемлекеттік қызмет бойынша ілгерілету, оларды жұмыстан шығару кезінде физикалық және логикалық қол жеткізуді, қол жеткізу идентификаторларын, жазылымдарды қамтитын, оны МО-ның, ЖАО-ның қазіргі қызметшісі немесе ұйымның жұмыскері ретінде сәйкестендіретін ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары жойылады.";
47-тармақ мынадай редакцияда жазылсын:
"47. Сыныптауышқа сәйкес бірінші және екінші сыныптардағы ақпараттандыру объектілеріне қол жеткізу кезінде көп факторлы, оның ішінде цифрлық сертификаттар пайдаланылатын аутентификация қолданылады.";
55-тармақ мынадай редакцияда жазылсын:
"55. Қазақстан Республикасының негізгі куәландырушы орталығының тіркеу куәліктері ҚР СТ ИСО/МЭК 14888-1-2017 "Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 1-бөлім. Жалпы ережелер", ҚР СТ ИСО/МЭК 14888-3-2017 "Ақпаратты қорғау әдістері. Қосымшасы бар цифрлық қолтаңбалар. 3-бөлім. Сертификатқа негізделген механизмдер", МемСТ Р ИСО/МЭК 9594-8-98 "Ақпараттық технология. Ашық желілердің өзара байланысы. Анықтамалық. 8-бөлім. Аутентификация негіздері" Қазақстан Республикасының стандарттарына сәйкес аутентификациялау мақсаттарында әлемдік БҚ өндірушілердің бағдарламалық өнімдерінің сенім білдірілген тізімдерінде танылуға жатады.";
60-тармақ мынадай редакцияда жазылсын:
"60. ИР-ды құру немесе дамыту ҚР СТ 2190-2012 "Ақпараттық технологиялар. Мемлекеттік органдар мен ұйымдардың интернет-ресурстары. Талаптар", ҚР СТ 2191-2023 "Ақпараттық технологиялар. Мүгедектігі бар адамдар үшін веб-контенттің қолжетімділігі", ҚР СТ 2192-2012 "Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. Жалпы сипаттамасы", ҚР СТ 2193-2012 "Ақпараттық технологиялар. Мобильдік веб-қосымшаларды әзірлеуге ұсынылатын тәжірибесі", ҚР СТ 2199-2012 "Ақпараттық технологиялар. Мемлекеттік органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар" Қазақстан Республикасы стандарттарының талаптарын ескере отырып жүзеге асырылады.";
63-1-тармақ мынадай редакцияда жазылсын:
"63-1. МО және ЖАО ИР-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.";
мынадай мазмұндағы 63-2-тармақпен толықтырылсын:
"63-2. МО-ның, ЖАО-ның және ұйымдардың ақпараттандыру объектілерінде дербес деректерді қамтитын және мемлекеттік функцияларды автоматтандыру мен олардан туындайтын мемлекеттік қызметтерді көрсету кезінде пайдаланылатын, меншік иелері немесе иеленушілері өзге ақпараттандыру субъектілері болып табылатын ЭАР-ны оларды жинау және өңдеу мақсаттарына қол жеткізу күні басталғаннан кейін сақтауға жол берілмейді.";
78-тармақтың 2) тармақшасы мынадай редакцияда жазылсын:
"2) әзірленетін немесе сатып алынатын қолданбалы БҚ-ға қойылатын талаптар:
пайдаланушыларды сәйкестендіру және аутентификациялау құралдарын, қажет болған жағдайда цифрлық сертификаттарды;
қол жеткізуді басқару;
тұтастықты бақылау;
пайдаланушылардың АҚ-ға әсер ететін іс-әрекеттерін журналдау;
онлайн транзакцияларды қорғау;
сақтау, өңдеу кезінде құпия АЖ-дың АКҚҚ пайдалана отырып, ақпаратты криптографиялық қорғау;
БҚ аса маңызды оқиғаларын журналдау құралдарын қолдануды көздейді.";
83-тармақ мынадай редакцияда жазылсын:
"83. "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерінде ЭАР-ны өңдеу, сақтау және резервтік көшіру құралдарына қойылатын міндетті талаптар Заңның 42-бабында айқындалады.";
87-тармақ мынадай редакцияда жазылсын:
"87. МО-ның, ЖАО-ның және ұйымдардың АЖ-ны өнеркәсіптік пайдалануға беру тәжірибелік пайдалану оң аяқталған, ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған, ақпараттандыру және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органдардың, мүдделі МО-ның, ЖАО-ның және ұйымдардың өкілдері қатысатын қабылдау комиссиясы АЖ-ны өнеркәсіптік пайдалануға беру туралы актіге қол қойған жағдайда техникалық құжаттама талаптарына сәйкес жүзеге асырылады.";
88-тармақ мынадай редакцияда жазылсын:
"88. "Электрондық үкіметтің" ақпараттандыру объектісін өнеркәсіптік пайдалануға беруді оның меншік иесі немесе иеленушісі "электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларына сәйкес өзіне мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды пайдалана отырып қана жүзеге асырады.";
95-тармақ мынадай редакцияда жазылсын:
"95."Электрондық үкіметтің" ақпараттандыру объектісі пайдаланудан алынғаннан кейін электрондық ақпараттық ресурстар, техникалық құжаттама және бастапқы бағдарламалық кодтар Қазақстан Республикасының заңнамасына сәйкес архивке берілуге тиіс.";
98-1-тармақ мынадай редакцияда жазылсын:
"98-1. АКИ-дің аса маңызды объектілерінің ақпараттық жүйесіне де ҚР СТ IEC/PAS 62443-3-2017 "Коммуникациялық өнеркәсіптік желілер". Желі мен жүйенің қорғалуы (киберқауіпсіздігі). 3-бөлім. Өнеркәсіптік өлшеу мен басқару процесінің қорғалуы (киберқауіпсіздігі)" Қазақстан Республикасы стандартының талаптары қолданылады.";
101 және 101-1-тармақтар мынадай редакцияда жазылсын:
"101. ЭҮ АКП МО-ның серверлік орталығында орналасқан жабдықтарда орналастырылады.
101-1. ЭҮ АКП-ны өнеркәсіптік пайдалануға ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар сынақ хаттамалары болған жағдайда жол беріледі.";
6) тармақша мынадай редакцияда жазылсын:
"6) мыналарды:
жарты жылда бір рет өзектілендіріп, АҚ оқыс оқиғаларын табудың, анықтаудың, бағалаудың және оларға ден қою тәртібінің формалды процесін айқындауды;
АҚ оқыс оқиғаларын табу, анықтау, бағалау және оларға ден қою нәтижелері бойынша АҚ ТҚ-да айқындалған кезеңділікпен есептер жасауды;
АҚ оқыс оқиғалары туралы МО-ның, ЖАО-ның немесе ұйымның жауапты тұлғаларын хабардар етуді;
Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығына АҚ оқыс оқиғалары туралы ақпарат беруді талап ететін АҚ оқыс оқиғаларын басқару;";
8) тармақша мынадай редакцияда жазылсын:
"8) әзірлеу және тестілеу орталарынан пайдалану орталарын бөлу;";
11) тармақша мынадай редакцияда жазылсын:
"11) мыналарды:
виртуалдау машиналары бейіндерінің сақталуын, операциялық жүйенің, қосымшалардың, желілік конфигурацияның тұтастығын, МО-ның немесе ұйымның БҚ-сын және деректерін зиянды сигнатуралардың болуы тұрғысынан бақылауды қамтамасыз етуді;
сыртқы пайдаланушылардың аппараттық бөлікке қол жеткізуін болғызбау мақсатында аппараттық платформаны виртуалды машинаның операциялық жүйесінен бөліп алуды;
виртуалдау ортасы инфрақұрылымының түрлі функционалдық салалары арасындағы логикалық оқшаулауды талап ететін желілік және жүйелік әкімшілендіру рәсімдерін орындау іске асырылады.";
4) тармақша мынадай редакцияда жазылсын:
"4) ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосқан кезде МО, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері оператордың немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының көрсетілетін қызметтерін пайдаланады.
Ведомстволық (корпоративтік) телекоммуникациялар желісін және жергілікті желілерді Интернетке ИҚБШ арқылы қосу ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен Интернетке қол жеткізудің бірыңғай шлюзінің жұмыс істеу қағидаларына сәйкес жүзеге асырылады;";
7) тармақша мынадай редакцияда жазылсын:
"7) МО-ның, ЖАО-ның қызметшілері және мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің жұмыскерлері, сондай-ақ Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін қоспағанда, АКИ-дің аса маңызды объектілерінің меншік иелері немесе иеленушілері сыртқы шеңбердің ЖЖ-нен ИР-ға ЕБҚ болып табылатын және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен ИҚБШ-ның жұмыс істеу қағидаларының талаптарына сәйкес келетін веб-шолғышты пайдалана отырып, ИҚБШ арқылы ғана қол жеткізуді жүзеге асырады;";
134-1-тармақша мынадай редакцияда жазылсын;
"134-1. Мемлекеттік техникалық қызмет ИҚБШ жабдықтарында мынадай ИР және БҚ санаттарын (әдепкі қалпы бойынша) бұғаттау саясатын қолданады:
VPN;
қашықтан қол жеткізу;
p2p;
ойын ресурстары;
әдепкі қалпы бойынша ИР және БҚ санаттарының тізіміне кірмейтін белгісіз қосымшалар;
зиянды ИР және БҚ.";
9) тармақша мынадай редакцияда жазылсын
"9) АС-ның сыртқы шеңберінің ЖЖ-ні Интернетке қосу ИҚБШ арқылы ғана жүзеге асырылады. Интернетке қол жеткізу үшін байланыстың спутниктік (ғарыштық) арналарын пайдаланатын ауылдық елді мекендердің орта білім беру объектілерін, жедел мақсаттарда арнаулы және құқық қорғау МО-ны қоспағанда, Интернетке өзге тәсілмен қосылуға жол берілмейді. ЭҮСШ-ның Интернетпен өзара іс-қимыл жасауы ИҚБШ арқылы жүзеге асырылады;";
мынадай мазмұндағы 10-1) тармақшамен толықтырылсын:
"10-1) ішкі контурдың ЖЖ-да Интернетте орналастырылған ақпараттандыру объектілерін немесе ЭҮСШ арқылы қосылмаған МО-ның, ЖАО-ның немесе ұйымның сыртқы контурының ЖЖ-ны пайдаланған кезде мынадай талаптарға сәйкес келетін экрандалған ішкі желі пайдаланылады:
ішкі желі Интернет және ішкі контурдың ЖЖ тарапынан басып кіруді табу және оған жол бермеу, сондай-ақ ішкі желілік мекенжайларды жасыру үшін сыртқы желілік мекенжайларды түрлендіру функциялары бар жеке желіаралық экрандармен шектелген;
сыртқы контурдың ЖЖ-дан, Интернеттен және ішкі контурдың ЖЖ-дан барлық қосылулар тек экрандалған ішкі желіден тыс орналасқан компьютерде жүзеге асырылады, ол желілік трафикті бастапқыдан ерекшеленетін өзге маршрут бойынша қайта бағыттау мүмкіндігі жоқ қолданбалы деңгейді қоса алғанда, желілік хаттамалардың барлық деңгейлерінде өңдеуді жүзеге асырады;
сұрау салулар мен жауаптарды, сондай-ақ жұмыс станцияларында прокси-сервер арқылы Интернеттің жалпыға қолжетімді ресурстарына қолжетімділікті еркін пайдалануға жол берілмейді;";
8-параграфтың тақырыбы мынадай редакцияда жазылсын:
"8-параграф. Техникалық құралдар мен ақпараттық қауіпсіздіктің үздіксіз жұмыс істеу жүйелеріне, сондай-ақ серверлік үй-жайларға (деректерді өңдеу орталықтарына) қойылатын талаптар";
145-тармақ мынадай редакцияда жазылсын:
"145. Серверлік үй-жай арқылы кез келген транзиттік коммуникациялардың өтуіне жол берілмейді. Кәдімгі және өртке қарсы сумен жабдықтау, жылыту және кәріз трассалары серверлік үй-жайдан тыс жерге шығарылады және бір қабат шегінде серверлік үй-жайдың үстіне орналастырылмайды.
Өрт сөндіру гидранттарын серверлік үй-жайдың үстіне орналастыру қажет болған жағдайда жабынды гидрооқшаулау құрылғысы бар құрғақ құбырлы өрт сөндіру жүйесі орнатылады және серверлік үй-жайдың үстінде субұрғыш ұйымдастырылады.";
162-тармақ мынадай редакцияда жазылсын:
"162. Серверлік үй-жайдың жұмыс бабында жерге тұйықтау жүйесі ғимараттың қорғаныш мақсатындағы жерге тұйықтауынан бөлек орындалады. Серверлік үй-жайдың барлық металл бөліктері мен конструкциялары ортақ жерге тұйықтау шинасымен жерге тұйықталады. Жабдығы бар әрбір шкаф (таған) ортақ жерге тұйықтау шинасымен жалғанатын жеке өткізгішпен жерге тұйықталады. Ақпаратты өңдеу жабдығының ашық ток өткізгіш бөліктері электр қондырғысының бас жерге тұйықтау қысқышына жалғануға тиіс.
Асқын кернеуден қорғау құрылғыларын бас жерге тұйықтау шинасымен жалғайтын жерге тұйықтау өткізгіштері ең қысқа және тік (бұрыштары жоқ) болуға тиіс.
Жерге тұйықтау жүйесін құру және пайдалану кезінде мыналарды:
Электр энергетикасы туралы заңның 5-бабының 19) тармақшасына сәйкес энергетика саласындағы уәкілетті органның бұйрығымен бекітілген Электр қондырғыларын орнату қағидаларын;
ҚР СТ МемСТ 50571.21-2009 "Ғимараттардың электр қондырғылары. 5-бөлім. Электр жабдығын таңдау және монтаждау". 548-бөлім. "Құрылғыларды және ақпаратты өңдеу жабдығы қамтылған электр қондырғыларындағы электр әлеуетін теңестіру жүйесін жерге тұйықтау" Қазақстан Республикасының стандартын;
ҚР СТ МемСТ Р 50571.22-2006 "Ғимараттардың электр қондырғылары. 7-бөлім. Арнайы электр қондырғыларына қойылатын талаптар". 707-бөлім. "Ақпаратты өңдеу жабдығын жерге тұйықтау" Қазақстан Республикасының стандартын;
ҚР СТ МемСТ 12.1.030-81 "Еңбек қауіпсіздігі стандарттарының жүйесі. Электр қауіпсіздігі. Қорғаныштық жерге тұйықтау, нөлге қою" Қазақстан Республикасының стандартын;
МемСТ 464-79 "Сымды байланыстың стационарлық құрылғыларына, радиорелелік станцияларға, сымды хабар таратудың радиотрансляциялық тораптарына және телевизияны ұжымдық қабылдау жүйесінің антенналарына арналған жерге тұйықтау. Қарсылық нормалары" Қазақстан Республикасының стандартын басшылыққа алу қажет.".
2. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Премьер-Министрі |
О. Бектенов |