Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы

Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы.

Жаңартылған

      РҚАО-ның ескертпесі!
      Осы қаулының қолданысқа енгізілу тәртібін 3-тармақтан қараңыз.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – бірыңғай талаптар) бекітілсін.

      2. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасы Үкіметінің кейбір шешімдерінің күші жойылды деп танылсын.

      3. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Бірыңғай талаптардың 140-тармағы 2018 жылғы 1 қаңтарға дейін қолданылады.


      Қазақстан Республикасының
      Премьер-Министрі Б. Сағынтаев

  Қазақстан Республикасы
  Үкіметінің
  2016 жылғы 20 желтоқсандағы
  № 832 қаулысымен
  бекітілген

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар

      Ескерту. Бүкіл мәтін бойынша "локальдық желі", "локальдық желінің", "оқшау желі", "оқшау желісінің" деген сөздер тиісінше "жергілікті желі", "жергілікті желінің", "жергілікті желісінің" деген сөздермен ауыстырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      1. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – БТ) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 6-бабының 3) тармақшасына сәйкес әзірленді және ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы талаптарды айқындайды.

      2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына қатысты БТ ережелерін мемлекеттік органдар, жергілікті атқарушы органдар, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері міндетті түрде қолдануы тиіс.

      3. БТ ережелері:

      1) Қазақстан Республикасының Ұлттық Банкі мен оның құрылымына кіретін ұйымдар интернет-ресурстарды, "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерді, жергілікті желілерді және телекоммуникациялар желілерін құру немесе дамыту, пайдалану бойынша жұмыстарды жүзеге асырған кезде, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді сатып алуды жүргізген кезде туындайтын қатынастарға;

      2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалып орындалған ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе президенттік, үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілеріне;

      3) қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган Қазақстан Республикасы Ұлттық Банкінің "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерімен интеграцияланатын ақпараттық жүйелерді құру немесе дамыту жөніндегі жұмыстарды жүзеге асырған кезде туындайтын қатынастарға;

      4) осындай ережелерді орындау "Қазақстан Республикасындағы банктер және банк қызметі туралы" ҚР Заңының 50-бабының 4-тармағын бұзуға әкеп соғатын жағдайларда ұйымдарда қолданылмайды.

      Ескерту. 3-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      4. БТ мақсаты мемлекеттік органдар, жергілікті өзін-өзі басқару органдары, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласында міндетті түрде орындауға тиіс талаптарды белгілеу болып табылады.

      5. БТ міндеттері:

      1) мемлекеттік басқарудың ағымдағы және стратегиялық міндеттерін шешу үшін мемлекеттік органдарды ақпараттандыруды ұйымдастыру және басқару қағидаттарын айқындау;

      2) "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау;

      3) ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттерін біріздендіру жөніндегі талаптарды белгілеу;

      4) серверлік үй-жайлардың ақпараттық-коммуникациялық инфрақұрылымын құрылымдау мен ұйымдастыру жөніндегі талаптарды белгілеу;

      5) ақпараттандыру объектілерінің барлық өміршеңдік кезеңдерінде ақпараттық-коммуникациялық технологиялар мен ақпараттық қауіпсіздік саласындағы стандарттар ұсынымдарының міндетті қолданылуын белгілеу;

      6) мемлекеттік және мемлекеттік емес электрондық ақпараттық ресурстардың, бағдарламалық қамтылымның, ақпараттық жүйелердің және оларды қолдайтын ақпараттық-коммуникациялық инфрақұрылымның қорғалу деңгейін арттыру болып табылады.

      Ескерту. 5-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      6. Осы БТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады:

      1) ақпаратты өңдеу құралдарымен байланысты активті таңбалау – активті алдағы уақытта сәйкестендіру (танылуы), оның ерекшеліктерін және сипаттамаларын көрсету мақсатында оған шартты белгілер, әріптер, сандар, графикалық белгілер қою немесе жазбалар енгізу;

      2) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін құруды, қалыптастыруды, бөлуді немесе басқаруды іске асыратын бағдарламалық қамтылым немесе бағдарламалық- аппараттық кешен;

      3) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі – актив) – ақпарат болып табылатын немесе ақпарат қамтылған, немесе ақпаратты өңдеуге, сақтауға, беруге қызмет ететін және ұйымның мақсаттарына жету мен қызметінің үздіксіздігі мүддесі үшін құнды болып табылатын материалдық немесе материалдық емес объект;

      4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ ТҚ) – ақпараттандыру объектілерінің және (немесе) ұйымның АҚ қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;

      4-1) ақпараттық қауіпсіздік оқиғаларының мониторингі (бұдан әрі – АҚ оқиғаларының мониторингі) – ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін тұрақты бақылау;

      5) бағдарламалық робот – веб-парақтарды автоматты түрде және/немесе белгіленген кесте бойынша қарауды орындайтын, веб-парақтарда табылған сілтемелерге сүйене отырып, олардың мазмұнын оқитын және индекстеуді жүргізетін іздестіру жүйесінің немесе мониторингі жүйесінің бағдарламалық қамтылымы;

      6) жабдықты жүктемесіз (іске қосусыз) резервтеу – ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа әзірленген және белсенді емес режимдегі қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану;

      7) жабдықты жүктемелік (жедел) резервтеу – ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігі мен жұмыс істемей қалуы болмаушылығын икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану және оларды белсенді режимде ұстау;

      8) жұмыс станциясы – қолданбалы міндеттерді орындауға арналған жергілікті желінің құрамындағы стационарлық компьютер;

      9) жүйелік бағдарламалық қамтылым – есептеу жабдығының жұмысын қамтамасыз етуге арналған бағдарламалық қамтылым жиынтығы;

      10) кодталған байланыс – кодтау құжаттары мен техникаларын пайдалана отырып қорғалған байланыс;

      11) көп факторлы аутентификация – парольдерді немесе аутентификациялық белгілерді (цифрлық сертификаттарды, токендерді, смарт-карталарды, бір жолғы парольдердің генераторларын және биометриялық сәйкестендіру құралдарын) құру мен енгізуді қоса алғанда, түрлі параметрлер комбинациясының көмегімен пайдаланушының төлнұсқалығын тексеру тәсілі;

      11-1) кростық үй-жай – қосу, бөлу пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;

      12) қолданбалы бағдарламалық қамтылым (бұдан әрі – ҚБҚ) – нақты саладағы белгілі бір топтың қолданбалы міндеттерін орындауға арналған бағдарламалық қамтылым кешені;

      13) құпияландырылған байланыс – құпияландырушы аппаратураны пайдалана отырып қорғалған байланыс;

      14) масштабталу – өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай жүйенің өз өнімділігін ұлғайту мүмкіндігін қамтамасыз ету қабілеті;

      14-1) мемлекеттік органдардың серверлік орталығы (бұдан әрі – МO серверлік орталығы) – меншік иесі немесе иеленушісі "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторы болып табылатын және "электрондық үкіметтің" ақпараттық объектілерін орналастыруға арналған серверлік үй-жай (деректерді өңдеу орталығы);

      15) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;

      16) серверлік үй-жай (деректерді өңдеу орталығы) – серверлік, активті және пассивті желі жабдығын (телекоммуникациялық) және құрылымдалған кәбілдік жүйелердің жабдығын орналастыруға арналған үй-жай;

      17) сыртқы шеңбердің жергілікті желісі (бұдан әрі – сыртқы шеңбердің ЖЖ) – уәкілетті орган айқындаған ақпараттандыру субъектілерінің жергілікті желісі, ол ақпараттандыру субъектілерінің телекоммуникациялық желісінің сыртқы шеңберіне жатқызылған, байланыс операторлары ақпараттандыру субъектілері үшін қолжетімділікті Интернетке қолжетімділіктің бірыңғай шлюзі арқылы ғана ұсынатын Интернетке қосылған;

      18) терминалды жүйе – қосымшалармен терминалды ортада немесе жіңішке клиент бағдарламаларымен клиенттік-серверлік архитектурада жұмыс істеуге арналған жіңішке немесе нөлдік клиент;

      19) уақыт көзінің инфрақұрылымы – серверлердің, жұмыс станцияларының және телекоммуникациялық жабдықтың ішкі сағаттарын синхрондау міндеттерін орындайтын уақытты синхрондаудың желілік хаттамасын пайдаланатын иерархиялық байланысқан серверлік жабдық;

      20) үкіметтік байланыс – мемлекеттік басқару қажеттеріне арналған арнайы қорғалған байланыс;

      20-1) ұйымдар – мемлекеттік заңды тұлға, квазимемлекеттік сектор субъектісі, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иелісі мен иеленушісі;

      21) федеративті сәйкестендіру – сенімді қатынастар орнатылған жүйелердегі және желілердегі электрондық ақпараттық ресурстарға қол жеткізуге арналған пайдаланушының бірыңғай атауын және аутентификациялық сәйкестендіргішті пайдалануға мүмкіндік беретін технологиялар кешені;

      22) шифрланған байланыс – қол шифрларын, шифрлау машиналарын, желілік шифрлау аппаратураларын және есептеу техникасының арнаулы құралдарын пайдалана отырып қорғалған байланыс;

      23) ішкі шеңбердің жергілікті желісі (бұдан әрі – ішкі шеңбердің ЖЖ) – уәкілетті орган айқындаған ақпараттандыру субъектілерінің жергілікті желісі, ол ақпараттандыру субъектілерінің телекоммуникациялық желісінің ішкі шеңберіне жатқызылған, мемлекеттік органдардың бірыңғай көліктік ортасына қосылған;

      24) "электрондық үкіметтің" сыртқы шлюзі (бұдан әрі – ЭҮСШ) – МО БКО орналасқан ақпараттық жүйелердің МО БКО-дан тыс орналасқан ақпараттық жүйелермен өзара іс-қимылын қамтамасыз етуге арналған "электрондық үкімет" шлюзінің кіші жүйесі;

      25) ішкі ақпараттық қауіпсіздік аудиті – ұйым өзі, өз мүдделерінде жүзеге асыратын ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың әділ, құжатталған процесі;

      26) желіаралық экран – ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылау мен сүзуді жүзеге асыратын ақпараттық-бағдарламалық немесе бағдарламалық кешен;

      27) уәкілетті орган айқындаған ақпараттандыру субъектілері – жергілікті (Интернетке қолжетімділігі бар жергілікті желілерді қоспағанда), ведомстволық және корпоративтік желілердің өзара іс-қимыл жасауын қамтамасыз ету үшін мемлекеттік органдардың бірыңғай көліктік ортасын пайдаланатын мемлекеттік органдар, олардың ведомстволық бағынысты ұйымдары мен жергілікті өзін-өзі басқару органдары, сондай-ақ өзге де ақпараттандыру субъектілері.

      Ескерту. 6-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      7. Осы БТ мақсаттары үшін мынадай қысқартулар пайдаланылады:

      1) АБК – аппараттық-бағдарламалық кешен;

      2) АҚ – ақпараттық қауіпсіздік;

      3) АЖ – ақпараттық жүйе;

      4) АКИ – ақпараттық-коммуникациялық инфрақұрылым;

      5) АКТ – ақпараттық-коммуникациялық технологиялар;

      6) БҚ – бағдарламалық қамтылым;

      7) ЖАО – жергілікті атқарушы органдар;

      8) ЕБҚ – еркін бағдарламалық қамтылым;

      9) ИҚБШ – Интернетке қолжетімділіктің бірыңғай шлюзі;

      10) ИР – интернет-ресурс;

      11) МО – орталық атқарушы орган, Қазақстан Республикасының Президентіне тікелей бағынатын және есеп беретін мемлекеттік орган, орталық атқарушы орган ведомствосының аумақтық бөлімшелері;

      12) МО БКО – мемлекеттік органдардың бірыңғай көліктік ортасы;

      13) МО ИРБТ – мемлекеттік органдардың интернет-ресурстарының бірыңғай тұғырнамасы;

      14) СБӨ – сервистік бағдарламалық өнім;

      15) ЭАР – электрондық ақпараттық ресурстар;

      16) ЭҮ АКП – "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;

      17) ЭЦҚ – электрондық цифрлық қолтаңба;

      18) АС – уәкілетті орган айқындайтын ақпараттандыру субъектілері.

      Ескерту. 7-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

2-тарау. Ақпараттандыруды және ақпараттық қауіпсіздікті ұйымдастыру
мен басқаруға қойылатын талаптар
1-параграф. Мемлекеттік органды ақпараттандыруға қойылатын талаптар

      8. МО ақпараттандыру Заңның 23 және 24-баптарында көзделген тәртіппен әзірленетін және бекітілетін МО архитектурасына, ал ол болмаған жағдайда – ақпараттандыру саласындағы уәкілетті органмен (бұдан әрі – уәкілетті орган) келісілген автоматтандыру қажеттігі туралы мемлекеттік органның шешімі негізінде жүзеге асырылады.

      Мемлекеттік органдар әлеуетті өнім берушілерді тарту, "электрондық үкімет" ақпараттандыру объектісінің техникалық-экономикалық, пайдалану және өзге де сипаттамаларын нақтылау мақсатында жоспарланатын қызметті автоматтандыруды жария талқылауды қамтамасыз етеді.

      Жоспарланатын қызметті автоматтандыруды жария талқылау "электрондық үкіметтің" архитектуралық порталында (бұдан әрі – архитектуралық портал) жүзеге асырылады.

      Жоспарланатын автоматтандыруды жария талқылауға арналған мерзім олар архитектуралық порталда орналастырылған күннен бастап күнтізбелік он күннен кем болмауы тиіс.

      Мемлекеттік органдар жоспарланатын автоматтандыруды жария талқылау шеңберінде келіп түскен ұсыныстарды қарайды және ұсыныстарды қабылдау туралы не қабылдамау туралы негіздерді көрсетіп, оларды қабылдамау туралы шешім қабылдайды.

      Жоспарланатын автоматтандыруды жария талқылау мерзімі аяқталған соң келіп түскен ұсыныстарды қарау нәтижелеріне сәйкес архитектуралық порталда жоспарланатын автоматтандыруды жария талқылаудың аяқталуы туралы есеп (бұдан әрі – есеп) қалыптастырылады және жарияланады.

      Есеп "электрондық үкімет" ақпараттандыру объектісінің техникалық-экономикалық, пайдалану және өзге де сипаттамаларын нақтылау, мемлекеттік органның қызметін автоматтандыруды іске асыру тетігін таңдау үшін негіз болып табылады.

      Мемлекеттік орган есепті қоса бере отырып, қызметті автоматтандыру қажеттігі туралы сұрау салуды (бұдан әрі – сұрау салу) уәкілетті органға келісуге жібереді.

      Уәкілетті орган мемлекеттік органның сұрау салуына талдау жүргізу үшін "электрондық үкіметтің" сервистік интеграторын (бұдан әрі – сервистік интегратор) тартады.

      Сервистік интегратор қорытындысының негізінде уәкілетті орган мемлекеттік органның қызметін автоматтандыруды келіседі не келісуден бас тартады.

      Ескерту. 8-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      8-1. МО архитектурасы туралы мәліметтер үшінші тұлғаларға бекітілген АҚ саясатына сәйкес МО-ның ақпараттық қауіпсіздік және ақпараттық технологиялар бойынша құрылымдық бөлімшелерінің басшыларымен не оларды алмастыратын адамдармен келісу бойынша ғана беріледі.

      Ескерту. Талаптар 8-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      9. МО:

      1) МО-ның бекітілген архитектурасына, ал ол болмаған жағдайда –ақпараттандыру саласындағы сарапшылық кеңестің шешімдеріне сәйкес ақпараттандыруға және ақпараттық қауіпсіздікке шығындарды жоспарлауды;

      2) мемлекеттік функцияларды автоматтандыруды және олардан туындайтын мемлекеттік қызметтерді осы БТ талаптарын сақтай отырып көрсетуді;

      3) Заңның 7-бабының 30) тармақшасына сәйкес уәкілетті орган бекітетін "электрондық үкіметтің" ақпараттандыру объектілері туралы мәліметтерді есепке алу және "электрондық үкіметтің" ақпараттандыру объектілерінің техникалық құжаттамасының электрондық көшірмелерін орналастыру қағидаларына сәйкес ақпараттандыру объектілері туралы мәліметтерді "электрондық үкіметтің" архитектуралық порталында орналастыруды қамтамасыз етеді.

      Ескерту. 9-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      10. "Электрондық үкіметтің" архитектурасын дамыту Заңның 7-бабының 10) тармақшасына сәйкес уәкілетті орган бекітетін "электрондық үкіметтің" архитектурасын дамыту жөніндегі талаптарға сәйкес жүзеге асырылады.

      11. Заңның 7-бабының 18) тармақшасына сәйкес бекітілетін "электрондық әкімдіктің" үлгілік архитектурасын әзірлеген кезде ЖАО ақпараттық-коммуникациялық инфрақұрылымына қойылатын талаптардың сипаттамасы бөлігінде осы БТ талаптары ескеріледі.

      12. МО-да және ЖАО-да ақпараттандырудың сервистік моделін іске асырған кезде Заңның 7-бабының 4) және 10) тармақшаларына сәйкес уәкілетті орган бекітетін ақпараттандырудың сервистік моделін іске асыру қағидаларының нормалары, "электрондық үкіметтің" архитектурасын дамыту жөніндегі талаптар мен осы БТ талаптары басшылыққа алынады.

      13. МО-ны және ЖАО-ны ақпараттандыру саласындағы тауарлармен, жұмыстармен және көрсетілетін қызметтермен қамтамасыз ету:

      1) бюджеттік бағдарламалар әкімшілері ұсынған ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді мемлекеттік сатып алуға арналған шығыстардың есеп-қисабына ақпараттандыру саласындағы уәкілетті органның қорытындысы болған кезде сатып алу;

      2) ақпараттық-коммуникациялық көрсетілетін қызметтердің каталогына сәйкес ақпараттық-коммуникациялық көрсетілетін қызметті сатып алу жолдарымен жүзеге асырылады.

      Ескерту. 13-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; өзгеріс енгізілді - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      14. МО-да немесе ЖАО-да ақпараттандыру саласындағы міндеттерді жүзеге асыруды:

      1) АКТ қолданудың мониторингін және талдауды;

      2) АКТ-активтерінің пайдаланылуын есепке алу мен талдау жөніндегі іс-шараларға қатысуды;

      3) МО-ның стратегиялық жоспарына ақпараттандыру мәселелері жөнінде ұсыныстар әзірлеуді;

      4) "электрондық үкіметтің" ақпараттандыру объектілерін құру, сүйемелдеу және дамыту бойынша жұмыстарды үйлестіруді;

      5) өнім берушілердің ақпараттандыру саласындағы көрсетілетін қызметтердің шарттарда көзделген сапа деңгейін қамтамасыз етуін бақылауды;

      6) "электрондық үкіметтің" архитектуралық порталында "электрондық үкіметтің" ақпараттандыру объектілері туралы мәліметтерді және "электрондық үкіметтің" ақпараттандыру объектілерінің техникалық құжаттамаларының электрондық көшірмелерін есепке алуды және өзектілендіруді;";

      7) "электрондық үкіметтің" сервистік интеграторына әзірленген бағдарламалық қамтылымды, бастапқы бағдарламалық кодтарды (бар болса), "электрондық үкіметтің" ақпараттандыру объектілерінің лицензияланған бағдарламалық қамтылымының баптаулары кешенін есепке алу және сақтау үшін беруді;

      8) МО архитектурасын құрған және ақпараттандырудың сервистік моделін іске асырған кезде сервистік интегратормен, оператормен, МО-мен, ЖАО-мен және ұйымдармен ақпараттандыру саласындағы жобаларды іске асыру бөлігінде өзара іс-қимыл жасауды;

      9) АҚ жөніндегі талаптарды орындауды жүзеге асыратын ақпараттық технологиялар бөлімшесі қамтамасыз етеді.

      Ескерту. 14-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      15. МО-дағы және ЖАО-дағы жұмыс кеңістігі "Халық денсаулығы және денсаулық сақтау жүйесі туралы" 2009 жылғы 18 қыркүйектегі Қазақстан Республикасы Кодексінің 144-бабының 6-тармағына сәйкес халықтың санитариялық-эпидемиологиялық саламаттылығы саласындағы уәкілетті орган бекіткен "Әкімшілік және тұрғын үй ғимараттарына қойылатын санитариялық-эпидемиологиялық талаптар" санитариялық қағидаларына сәйкес ұйымдастырылады.

      Ескерту. 15-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      16. МО және ЖАО қызметшісінің жұмыс орны оның функционалдық міндеттеріне байланысты жабдықталады және мыналарды қамтиды:

      1) МО немесе ЖАО ішкі шеңберінің ЛЖ-сы қосылған жұмыс станциясы немесе үйлестірілген жұмыс орны не терминалды жүйе. Қажет болған кезде жұмыс орнын қосымша монитормен жабдықтауға жол беріледі;

      2) қажет болған кезде мультимедиялық ЭАР немесе бейне-конференциялық байланыс жүйесімен жұмыс істеуге арналған мультимедиялық жабдық (құлаққаптар, микрофон мен веб-камера) жиынтығы;

      3) телефон байланысы немесе IP-телефония аппараты.

      17. МО-ның және ЖАО-ның біріздендірілген жұмыс орнына немесе терминалды жүйесіне, сондай-ақ ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттеріне қойылатын талаптарды уәкілетті орган бекітеді.

      Ескерту. 17-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      17-1. МО-ның және ЖАО-ның жұмыс орнының немесе терминалды жүйесінің уәкілетті орган бекіткен МО-ның және ЖАО-ның үйлестірілген жұмыс орнына немесе терминалды жүйесіне қойылатын талаптарға сәйкес болуы қамтамасыз етіледі.

      Талаптар қажеттілігіне қарай жаңартылады және өзектілендіріледі.

      Ескерту. Талаптар 17-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      18. Жұмыс станцияларының сатып алынатын үлгілерін таңдау кезінде мынадай ережелерді басшылыққа алу қажет:

      1) жұмыс станцияларының аппараттық сипаттамалары пайдаланатын БҚ әзірлеуші (өндіруші) ұсынатын жүйелік талаптарға сәйкес не олардан артық;

      2) көрсетілетін қызметтердің жалпы деңгейін қамтамасыз ету үшін жұмыс станцияларының конфигурациялары біріздендіріледі;

      3) жұмыс станциялары үшін БҚ жаңартуларын орталықтандырылып автоматтандырылған тарату ұйымдастырылады;

      4) әкімшілендірудің сапасы мен жылдамдығын арттыру үшін жұмыс станцияларының әртүрлі аппараттық-бағдарламалық конфигурацияларының саны үш түрімен шектеледі:

      қолданбалы БҚ-мен жұмыс істеуге арналған жұмыс станциясы;

      графикалық пакеттермен, үлгілеудің БҚ пакеттерімен және өзгелермен жұмыс істеуге арналған қуаты жоғары жұмыс станциясы. Графикасы дамыған, процессордың өнімділігіне, жедел жады және кіші бейнежүйелерінің көлеміне қойылатын талаптары жоғары қосымшалар үшін қолданылады;

      мобильдік пайдаланушылардың жұмысына арналған ноутбук.

      19. Техникалық талаптардың ерекшелігі үшін жұмыс станцияларының мынадай басты параметрлері бөлінеді:

      1) мыналарды қамтитын өнімділік:

      процессордың тез әрекет ету параметрлері;

      жедел жадының қажетті көлемі;

      деректер таратудың ішкі шиналарының жылдамдығы;

      графикалық кіші жүйенің тез әрекет етуі;

      енгізу/шығару құрылғыларының тез әрекет етуі;

      монитор матрицасының параметрлері;

      2) тұрақты бас тартылған аппараттық құралдар мен БҚ пайдалану есебінен қамтамасыз етілетін және үздіксіз жұмыс істеуінің орташа уақытын ескере отырып анықталатын сенімділік;

      3) мыналарды:

      процессорлардың саны мен өнімділігін;

      жедел және сыртқы жады көлемін;

      кіріктірілген жинақтағыштардың сыйымдылығын арттыру мүмкіндігі есебінен дербес компьютердің архитектурасымен және құрылымымен қамтамасыз етілетін ауқымдау.

      20. АҚ-ны қамтамасыз ету үшін:

      1) АҚ ТҚ-да:

      МО немесе ЖАО қызметшілерінің жұмыс станцияларын орнату тәсілдері;

      электрмен жабдықтау жүйесіндегі істен шығулардан және коммуналдық қызметтер жұмысындағы кідірулерден туындайтын басқа да бұзылулардан жұмыс станцияларын қорғау тәсілдері;

      үздіксіз қолжетімділігін және тұтастығын қамтамасыз ету үшін жұмыс станцияларына техникалық қызмет көрсету рәсімдері мен мерзімділігі;

      түрлі сыртқы тәуекелдерді ескере отырып, МО-дан немесе ЖАО-дан тыс орналасқан мобильдік пайдаланушылардың жұмыс станцияларын қорғау тәсілдері;

      жұмыс станцияларын екінші рет пайдаланған немесе ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жою тәсілдері;

      жұмыс станцияларын жұмыс орнынан тыс шығару қағидалары айқындалады;

      2) тұрақты негізде конфигурацияларын, сондай-ақ бірегей сәйкестендіруші деректері бар электрондық ақпарат тасығыштарды тексере отырып, жұмыс станцияларын есепке алу жүргізіледі;

      3) жұмыс станцияларында ішкі шеңбердің ЛЖ-сында сырттан қашықтықтан басқарудың бағдарламалық немесе аппараттық құралдарын орнатуға және қолдануға жол берілмейді. Ішкі шеңбердің ЛЖ-сында қашықтықтан ішкі басқаруға МО немесе ЖАО құқықтық актісінде тікелей көзделген жағдайларда жол беріледі;

      4) АҚ бөлімшелері қызметшілерінің жұмыс станцияларын қоспағанда, МО және ЖАО қызметшілерінің жұмыс станциялары мен мобильдік компьютерлеріндегі қолданылмайтын енгізу-шығару порттары ажыратылады немесе бұғатталады.

      Ескерту. 20-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      21. МО және ЖАО қызметшілерінің жұмыс станцияларындағы сыртқы электрондық тасығыштарды қолдану арқылы ақпаратты енгізу-шығару операциялары мәселесі МО немесе ЖАО қабылдаған АҚ саясатына сәйкес реттеледі.

      22. МО және ЖАО қызметшісінің жұмыс орнындағы жабдықты орналастыруды оңтайландыру мақсатында бірнеше жұмыс станциясы үшін желілік интерфейстерді қолданусыз монитордың, қол манипуляторы (тінтуір) мен клавиатураның бір бірлігін пайдалануды қамтамасыз ететін арнайы жабдықты пайдалануға жол беріледі.

      23. ЭҮ АКП сервистерін пайдалану үшін МО немесе ЖАО ішкі шеңберінің ЛЖ-сына қосылған жұмыс станциясы ЭҮ АКП инфрақұрылымына желілік қосылумен қамтамасыз етіледі.

      24. МО және ЖАО қызметтік ақпаратын өңдеу мен сақтау МО немесе ЖАО ішкі шеңбері мен сыртқы шеңберінің ЛЖ-сына қосылған жұмыс станцияларында жүзеге асырылады.

      МО және ЖАО-ның қолжетімділігі шектеулі қызметтік ақпараты МО немесе ЖАО ішкі шеңберінің ЛЖ-сына қосылған және интернетке қосылмаған жұмыс станцияларында өңделеді және сақталады.

      Ескерту. 24-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      25. МО және ЖАО қызметшілеріне МО және ЖАО сыртқы шеңберінің ЛЖ-сына қосылған, Қазақстан Республикасында құпиялылық режимін қамтамасыз ету жөніндегі нұсқаулыққа сәйкес айқындалатын режимдік үй-жайлардан тыс орналасқан жұмыс станцияларынан Интернетке қол жеткізуге рұқсат беріледі.

      25-1. Сыртқы шеңбердің локальдық желілерінен интернетке қолжетімділікті ұйымдастырған кезде міндетті түрде вирустарға қарсы құралдардың болуы, интернет желісіне қосылған жұмыс станцияларындағы операциялық жүйелердің жаңартылуы қамтамасыз етіледі.

      Ескерту. Талаптар 25-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      26. Телефон байланысының сервисі:

      1) ортақ пайдаланудағы цифрлық телефон желілерінің базасымен қатар IP-телефония технологияларын пайдаланумен де іске асырылады;

      2) пайдаланушыны:

      абоненттерді ішкі және сыртқы шеңбердің қолданыстағы локальдық есептеу желісі мен ведомстволық деректерді беру желісі арқылы қосуды қолдану;

      ортақ пайдаланудағы телефон байланысы операторының байланыс қызметтерін Е1 ағыны бойынша пайдалану;

      ұялы байланыс операторларын пайдалану;

      қалааралық және халықаралық қоңырау шалу қызметін пайдалану арналары арқылы телефон желісі абоненттерімен қосуды қамтамасыз етеді.

      27. Конференциялар, тұсаукесерлер, мәжілістер, телекөпірлер өткізу үшін МО және ЖАО конференц-залы:

      1) қатысушы орнында микрофон, дауыс күшейткіш және сұрау салу мен қатысушының сөз сөйлеуінің жарық индикаторын орналастыруды қамтитын дауыс күшейткіш конференц-жүйесімен;

      2) ақпаратты жүктеу-көшіру құрылғысымен жарақталады.

      Басқа қалалардағы немесе елдердегі географиялық бөлінген қатысушылармен "телекөпір" ұйымдастыру үшін конференц-жүйе қажеттілігіне байланысты ЭҮ АКИ операторының аудио және бейнеконференцбайланыс жүйесімен толықтырылады.

      28. Басып шығару сервисі:

      1) МО ішкі шеңберінің локальдық желісіне желілік интерфейсті немесе басып шығару серверіне тікелей қосылуды пайдалана қосылған басып шығару, көшіру және сканерлеу жабдықтары арқылы іске асырылады;

      2) мыналарды:

      пайдаланушылар мен құрылғыларды орталықтан басқаруды;

      шығындарды бөлімшелер мен пайдаланушылар арасында бөлу мүмкіндігімен пайдаланушылардың сәйкестендіру нөмірлері бойынша басып шығарылатын құжаттарды, сондай-ақ электрондық пошта арқылы жіберілген көшірмелерді, факстарды және сканерлеулерді есепке алуды;

      басып шығару, көшіру және сканерлеу белсенділігін графикалық бейнелейтін есептер жүйесін;

      пайдаланушыны басып шығару сервисін пайдалануды бастағанға дейін сәйкестендіруді;

      АҚ ТҚ-да регламенттелген әдістермен МО қызметшісін басып шығару құрылғысында авторлауды;

      басып шығарылған құжаттарды қолжетімді басу құрылғысынан алу мүмкіндігімен басып шығарудың бірыңғай кезегі арқылы басуды жүзеге асыратын басу кезегін қалыптастыруды іске асыратын бағдарламалық қамтылыммен қамтамасыз етіледі.

2-параграф. Ақпараттық қауіпсіздікті ұйымдастыруға қойылатын талаптар

      29. МО-да, ЖАО-да немесе ұйымда АҚ ұйымдастыру, қамтамасыз ету және басқару кезінде "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпаратты қорғауды басқару құралдары бойынша ережелер жинағы" Қазақстан Республикасының ҚР СТ ISO/IEC 27005-2015 стандартының ережелерін басшылыққа алу қажет.

      Ескерту. 29-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      29-1. Елдің қорғанысы мен мемлекеттің қауіпсіздігі үшін АЖ-ны қамтамасыз ету талаптарын орындау мақсатында тауарларды сатып алу Қазақстан Республикасының мемлекеттік сатып алу туралы заңнамасына сәйкес сенім білдірілген бағдарламалық қамтылым мен электрондық өнеркәсіп өнімі тізілімінен жүзеге асырылады.

      Бұл ретте сенім білдірілген бағдарламалық қамтылым мен электрондық өнеркәсіп өнімі тізілімінде қажетті өнім болмаған жағдайда, тауарларды Қазақстан Республикасының мемлекеттік сатып алу туралы заңнамасына сәйкес сатып алуға жол беріледі.

      Ескерту. Талаптар 29-1-тармақпен толықтырылды – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      30. АҚ қамтамасыз ету саласындағы жауапкершіліктің және функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшау құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды адам белгіленеді.

      АҚ қамтамасыз етуге жауапты қызметкерлер АҚ қамтамасыз ету саласында сертификат берілетін мамандандырылған курстардан кемінде үш жылда бір рет өтеді.

      Ескерту. 30-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      31. АҚ ТҚ өз қызметінде МО, ЖАО немесе ұйым басшылыққа алатын құжатталған қағидалардың, рәсімдердің, практикалық тәсілдердің немесе басшылық қағидаттарының төрт деңгейлі жүйесі түрінде құрылады.

      АҚ ТҚ қазақ және орыс тілдерінде әзірленеді, МО-ның, ЖАО-ның немесе ұйымның құқықтық актісімен бекітіледі және МО, ЖАО барлық қызметшілерінің немесе ұйым қызметкерлерінің назарына жеткізіледі.

      АҚ ТҚ ондағы ақпаратты талдау және өзектілендіру мақсатында кемінде екі жылда бір рет қайта қаралады.

      Ескерту. 31-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      32. МО-ның, ЖАО-ның немесе ұйымның АҚ саясаты бірінші деңгейдегі құжат болып табылады және МО немесе ұйым күнделікті қызметінде басшылыққа алатын АҚ-ны қамтамасыз ету саласындағы мақсаттарды, міндеттерді, басшылық қағидаттары мен практикалық тәсілдерді айқындайды.

      32-1. АҚ саясатының талаптарын нақтылайтын қаржы ұйымының ішкі құжаттарының тізбесі қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның қаржы ұйымдарының ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметін реттейтін нормативтік құқықтық актілеріне сәйкес айқындалады.

      Ескерту. Талаптар 32-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      33. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының талаптарын нақтылайтын құжаттар кіреді, соның ішінде:

      1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

      2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидалары;

      3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету жөніндегі қағидалар;

      4) есептеу техникасы құралдарын, телекоммуникация жабдығын және бағдарламалық қамтылымды түгендеу мен паспорттау қағидалары;

      5) ішкі АҚ аудитін жүргізу қағидалары;

      6) ақпаратты криптографиялық қорғау құралдарын пайдалану тәртібі;

      7) электрондық ақпараттық ресурстарға қол жеткізу құқығының аражігін ажырату қағидалары;

      8) Интернет желісі мен электрондық поштаны пайдалану қағидалары;

      9) аутентификациялау рәсімін ұйымдастыру қағидалары;

      10) вирусқа қарсы бақылауды ұйымдастыру қағидалары;

      11) мобильдік қондырғыларды және ақпаратты тасығыштарды пайдалану қағидалары;

      12) ақпаратты өңдеу құралдарын нақты қорғауды және ақпараттық ресурстардың қауіпсіз қызмет ету ортасын ұйымдастыру қағидалары.

      34. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің сипаттамаларын қамтиды, соның ішінде:

      1) АҚ қатерлері (тәуекелдері) каталогы;

      2) АҚ қатерлерін (тәуекелдерін) өңдеу жоспары;

      3) ақпаратты резервтік көшіру және қалпына келтіру регламенті;

      4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету бойынша іс-шаралар жоспары;

      5) әкімшінің ақпараттандыру объектісін сүйемелдеу жөніндегі басшылығы;

      6) пайдаланушылардың АҚ инциденттеріне ден қою және штаттан тыс (дағдарысты) жағдайларда әрекет ету бойынша іс-қимыл тәртібі туралы нұсқаулық.

      35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдер мен жұмыстарды тіркеу және растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды қамтиды, соның ішінде:

      1) АҚ инциденттерін тіркеу және штаттан тыс оқиғаларды есепке алу журналы;

      2) серверлік үй-жайларға кіру журналы;

      3) желілік ресурстардың осалдықтарын бағалауды жүргізу туралы есеп;

      4) кабельдік қосылуларды есепке алу журналы;

      5) резервтік көшірмелерді (резервтік көшірме, қайта қалпына келтіру), резервтік көшірмелерді тестілеуді есепке алу журналы;

      6) жабдық конфигурациясының өзгеруін есепке алу, АЖ ЕБҚ мен ҚБҚ тестілеу және өзгерістерді есепке алу, БҚ осалдықтарын тіркеу және жою журналы;

      7) серверлік үй-жайларға арналған дизель-генераторлық қондырғыларды және үздіксіз қуат беру көздерін тестілеу журналы;

      8) серверлік үй-жайлардың микроклиматын, бейнебақылауды, өрт сөндіруді қамтамасыз ету жүйелерін тестілеу журналы.

      Ескерту. 35-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      36. Активтерді қорғауды қамтамасыз ету үшін:

      1) активтерді түгендеу;

      2) активтерді МО-да, ЖАО-да қабылданған сыныптау жүйесіне сәйкес сыныптау және таңбалау;

      3) активтерді лауазымды тұлғаларға бекіту мен активтердің АҚ-сын басқару жөніндегі іс-шараларды іске асыру үшін олардың жауапкершілік көлемін белгілеу;

      4) АҚ ТҚ-да:

      активтерді қолдану мен қайтару;

      активтерді сәйкестендіру, сыныптау мен таңбалау тәртібін реттеу жүргізіледі.

      37. МО-да немесе ЖАО-да АКТ саласындағы тәуекелдерді басқару мақсатында:

      1) ҚР СТ 31010-2010 "Тәуекел менеджменті. Тәуекелді бағалау әдістері" Қазақстан Республикасы стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу;

      2) сәйкестендірілген және сыныпталған активтердің тізбесіне қатысты тәуекелдерді сәйкестендіру жүзеге асырылады, ол мыналарды қамтиды:

      АҚ қатерлерін және олардың көздерін айқындау;

      қатерлердің іске асырылуына әкеп соғуы мүмкін осалдықтарды айқындау;

      ақпараттың таралу арналарын анықтау;

      бұзушы моделін қалыптастыру;

      3) сәйкестендірілген тәуекелдерді қабылдау өлшемшарттарын таңдау;

      4) ҚР СТ ISO/IEC 27005-2013 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын АҚ қатерлері (тәуекелдері) каталогын қалыптастыру;

      5) АҚ қатерлерін (тәуекелдерін) бейтараптандыру немесе төмендету жөніндегі іс-шараларды қамтитын оларды өңдеу жоспарын әзірлеу және бекіту жүзеге асырылады.

      Ескерту. 37-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      38. МО-да, ЖАО-да немесе ұйымда АҚ-ның бұзылу оқиғаларын бақылау мақсатында:

      1) АҚ-ны бұзуға байланысты оқиғалар мониторингі мен мониторинг нәтижелерін талдау жүргізіледі;

      2) АҚ-ның жай-күйіне байланысты оқиғалар тіркеліп, оқиғалар журналдарын, соның ішінде:

      операциялық жүйелердің оқиғалар журналдарын;

      дерекқорларды басқару жүйелерінің оқиғалар журналдарын;

      вирусқа қарсы қорғау оқиғаларының журналдарын;

      қолданбалы БҚ оқиғалар журналдарын;

      телекоммуникациялық жабдықтың оқиғалар журналдарын;

      шабуылдарды анықтау және алдын алу жүйелерінің оқиғалар журналдарын;

      контентті басқару жүйесі оқиғаларының журналын талдау арқылы бұзушылықтар анықталады;

      3) оқиғаларды тіркеу журналдарындағы уақытты уақыт көзінің инфрақұрылымымен үйлесімді ету қамтамасыз етіледі;

      4) оқиғаларды тіркеу журналдары АҚ ТҚ-да көрсетілген, бірақ үш жылдан кем емес мерзім бойы сақталады және кем дегенде екі ай жедел қолжетімді болады;

      5) Заңның 7-1-бабының 7) тармағына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган ұлттық қауіпсіздік органдарымен келісу бойынша бекітетін "электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингін жүргізу қағидаларында айқындалатын форматтар мен жазба түрлеріне сәйкес оқиғаларды тіркеу журналдары жүргізіледі;

      6) оқиғаларды тіркеу журналдарын араласудан және авторланбаған қолжетімділіктен қорғау қамтамасыз етіледі. Жүйе әкімшілеріне журналдарды өзгертуге, жоюға және ажыратуға өкілеттік беруге жол берілмейді. Құпия АЖ үшін журналдардың резервтік қоймасын құру және оны жүргізу талап етіледі;

      7) АҚ инциденттері туралы хабардар етудің және АҚ-ның инциденттеріне әрекет етудің формальді рәсімін енгізу қамтамасыз етіледі.

      Ескерту. 38-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      39. МО-ның, ЖАО-ның немесе ұйымның өте маңызды процестерін ішкі және сыртқы қатерлерден қорғау мақсатында:

      1) ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары әзірленеді, тестілеуден өтеді және іске асырылады;

      2) пайдаланушылардың АҚ инциденттеріне және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің назарына жеткізіледі.

      Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары үнемі өзектілендіруге жатады.

      40. МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің АҚ-ны қамтамасыз ету бойынша функционалдық міндеттері мен АҚ ТҚ талаптарын орындау бойынша міндеттемелері лауазымдық нұсқаулықтарға және (немесе) еңбек шартының талаптарына енгізіледі.

      Еңбек шарты аяқталғаннан кейін күшінде болатын АҚ-ны қамтамасыз ету саласындағы міндеттемелер МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің еңбек шартында белгіленеді.

      41. ЭАР, АЖ, АКИ ақпараттық қауіпсіздігін қамтамасыз етуге бөгде ұйымдарды тартқан жағдайда олардың иесі немесе иеленушісі аталған объектілермен жұмыс істеу, оларға қол жеткізу немесе пайдалану шарттары, сондай-ақ оларды бұзғаны үшін жауапкершілігі белгіленетін келісімдер жасайды.

      42. АҚ-ны қамтамасыз ету саласында міндеттемелері бар МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін жұмыстан босатқан кездегі рәсімдердің мазмұны АҚ ТҚ-да белгіленеді.

      43. Жұмыстан босатылған немесе еңбек шарты талаптарына өзгерістер енгізілген кезде МО, ЖАО қызметшісінің немесе ұйым қызметкерінің жеке және логикалық қолжетімділікті, қол жеткізу, қол қою сәйкестендіргіштерін және оны МО, ЖАО жұмыс істейтін қызметшісі немесе ұйым жұмыскері ретінде сәйкестендіретін құжаттаманы қамтитын ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары оның еңбек шарты тоқтатылғаннан кейін жойылады немесе еңбек шартының талаптарына өзгерістер енгізілген кезде өзгертіледі.

      Ескерту. 43-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      44. Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізеді.

      45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР СТ ISO/IEC 15408-2017 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан Республикасы стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.

      Ескерту. 45-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      46. Ақпараттандыру объектілерін пайдалану кезінде АҚ қамтамасыз ету мақсатында:

      1) аутентификация тәсілдеріне;

      2) қолданылатын АКҚҚ-ға;

      3) қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету тәсілдеріне;

      4) АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингіне;

      5) АҚ қамтамасыз ету құралдары мен жүйелерін қолдануға;

      6) куәландырушы орталықтардың тіркеу куәліктеріне қойылатын талаптар белгіленеді.

      Ескерту. 46-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      47. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ақпараттандыру объектілеріне қол жеткізу кезінде көп факторлы, соның ішінде ЭЦҚ пайдаланыла отырып аутентификация қолданылады.

      Ескерту. 47-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      48. Құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР қызметтік ақпаратын қорғау мақсатында ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының стандартына сәйкес АКҚҚ-ға қойылатын талаптарға сәйкес келетін мынадай параметрлері бар:

      бірінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – үшінші қауіпсіздік деңгейінің;

      екінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – екінші қауіпсіздік деңгейінің;

      үшінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – бірінші қауіпсіздік деңгейінің АКҚҚ (бағдарламалық және аппараттық) қолданылады.

      49. Қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету үшін ЭҮ ақпараттандыру объектілерінің иелері:

      1) сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілеріне арналған меншікті немесе жалға алынған резервті серверлік үй-жайдың болуын;

      2) аппараттық-бағдарламалық деректерді өңдеу құралдарын, деректерді сақтау жүйелерін, деректерді сақтау желілерінің компоненттері мен деректерді беру арналарын, соның ішінде сыныптауышқа сәйкес:

      бірінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда жүктемемен (жедел);

      екінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда жүктемесіз (іске қосылмаған);

      үшінші сыныптағы ЭҮ ақпараттандыру объектілерін – негізгі серверлік үй-жайға жақын орналасқан қоймада сақтаумен резервтеуді қамтамасыз етеді.

      50. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілері оларды өндірістік пайдалануға енгізгеннен кейін бір жылдан кешіктірмей АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингі жүйесіне қосылады.

      50-1. Мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын мемлекеттік емес ақпараттық жүйелердің меншік иелері немесе иеленушісі мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланғанға дейін ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардың ақпараттық қауіпсіздігінің жедел орталығының көрсетілетін қызметтерін сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Мемлекеттік органдарды, жергілікті өзін-өзі басқару органдарын, мемлекеттік заңды тұлғаларды, квазимемлекеттік сектор субъектілерін қоспағанда, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері немесе иеленушілері ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің тізбесіне енгізілген күннен бастап бір жыл ішінде ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес ақпараттық қауіпсіздіктің жедел орталығының көрсетілетін қызметтерін үшінші тұлғалардан сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ескерту. Талаптар 50-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      51. МО, ЖАО немесе ұйым:

      пайдаланушылар мен персоналдың іс-қимылы;

      ақпаратты өңдеу құралдарын қолдану мониторингін жүзеге асырады.

      Ескерту. 51-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      52. МО-да, ЖАО-да немесе ұйымда пайдаланушылар мен персонал іс-қимылының мониторингін жүзеге асыру шеңберінде:

      1) пайдаланушылардың аномальді белсенділігі мен қасақана іс-қимылдары айқындалған кезде, мұндай іс-әрекеттер:

      сыныптауышқа сәйкес бірінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі, бұғатталады және әкімшісі жедел хабардар етіледі;

      сыныптауышқа сәйкес екінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі және бұғатталады;

      сыныптауышқа сәйкес үшінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі;

      2) қызмет көрсетуші персоналдың іс-қимылдарын АҚ бөлімшесі тіркейді және бақылайды.

      Ескерту. 52-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53. АҚ оқиғалары мониторингін және оқиғалар журналын талдау нәтижелері бойынша құпиялылығы, қолжетімділігі мен тұтастығы үшін өте қатерлі болып сәйкестендірілген АҚ оқиғалары:

      1) АҚ инциденттері ретінде анықталады;

      2) АҚ қатерлері (тәуекелдері) каталогында есепке алынады;

      3) мемлекеттік техникалық қызметтің компьютерлік инциденттерге әрекет ету қызметінде тіркеледі.

      54. Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде:

      зиянды кодты анықтау мен алдын алу;

      АҚ инциденттері мен оқиғаларын мониторингтеу және басқару;

      басып кіруді анықтау және алдын алу;

      ақпараттық инфрақұрылымды мониторингтеу және басқару құралдары мен жүйелері пайдаланылады.

      Ескерту. 54-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      54-1. Ақпараттандыру объектілерін қорғау үшін деректердің тарап кетуінің алдын алу жүйелерін (DLP), оның ішінде "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" ҚР СТ ISO/IEC 15408-2-2017 стандартына сәйкес СДБ 4-тен төмен емес бағалық сенім деңгейіне сәйкес келетін, оның ішінде отандық әзірлемелерді қолдануға жол беріледі.

      Бұл ретте:

      іс-әрекеттерге жүргізілетін бақылау туралы пайдаланушыға визуалды хабарлау;

      пайдаланушының іс-әрекеттеріне бақылауды жүзеге асыру үшін оның жазбаша келісімін алу;

      басқару орталығын және деректердің таралуын болдырмау жүйесін жергілікті желі шегінде орналастыру қамтамасыз етіледі.

      Ескерту. Талаптар 54-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен; жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      55. Қазақстан Республикасы негізгі куәландырушы орталығының тіркеу куәліктері ҚР СТ ИСО/МЭК 14888-1-2006 "Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшалары бар цифрлық қолтаңбалар. 1-бөлім. Жалпы ережелер", ҚР СТ ИСО/МЭК 14888-3-2006 "Ақпаратты қорғау әдістері. Қосымшалары бар цифрлық қолтаңбалар. 3-бөлім. Сертификатқа негізделген механизмдер", ГОСТ Р ИСО/МЭК 9594-8-98 "Ақпараттық технология. Ашық желілердің өзара байланысы. Анықтамалық. 8-бөлім. Аутентификация негіздері" стандарттарына сәйкес аутентификация мақсаттарында әлемдік БҚ өндірушілер бағдарламалық өнімдерінің сенімді тізімдерінде тануға жатады.

      56. Қазақстан Республикасының негізгі куәландырушы орталығын қоспағанда, Қазақстан Республикасының куәландырушы орталықтары куәландырушы орталықтарды аккредиттеу қағидаларына сәйкес куәландырушы орталықты аккредиттеу жолымен әлемдік БҚ өндірушілер бағдарламалық өнімдерінің сенімді тізімдерінде танылады.

      Қазақстан Республикасының куәландырушы орталықтары шет елдердің аумағында Қазақстан Республикасы азаматтарының ЭЦҚ тексеруді қамтамасыз ету үшін өз тіркеу куәлігін Қазақстан Республикасының сенім білдірілген үшінші тарапында орналастырады.

      56-1. Заңмен қорғалатын құпияны қамтитын деректерді өңдейтін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иесі ақпараттық қауіпсіздікке жылына кемінде бір рет аудит жүргізеді. Екінші деңгейдегі банктердің ақпараттық қауіпсіздігінің аудиті Қазақстан Республикасының банк заңнамасының талаптарына сәйкес жүргізіледі.

      Ескерту. Талаптар 56-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

3-тарау. Ақпараттандыру объектілеріне қойылатын талаптар
1-параграф. Электрондық ақпараттық ресурстарға және Интернет ресурстарға қойылатын талаптар

      57. ЭАР иесі және (немесе) иеленушісі:

      1) қажет болған жағдайда МО-ның немесе ұйымның құқықтық актісімен бекітілген ҚР СТ ИСО 23081-2-2010 "Ақпарат және құжаттама. Жазбаларды басқаруға арналған метадеректер. 2-бөлім. Тұжырымдама және іске асыру мәселелері" Қазақстан Республикасының стандартына сәйкес ЭАР-ды сәйкестендіруді іске асырады, метадеректердің сипаттамасын (пайдалану, сипаттама, оқиғалар жоспары, оқиғалар, қатынастар хроникасы) қалыптастырады және ЭАР каталогында орналастырады;

      2) уәкілетті орган бекіткен ақпараттандыру объектілерін сыныптау қағидаларына және ақпараттандыру объектілерінің сыныптауышына сәйкес ЭАР сыныбын айқындайды және жобалық құжаттама мен ЭАР каталогында ЭАР сыныбын белгілейді;

      3) ЭАР каталогын өзекті күйде ұстайды;

      4) ЭАР-ды және оның метадеректерін сақтауды жүзеге асырады. Сақтау нысаны мен тәсілін өзі белгілейді.

      58. ИР құруға немесе дамытуға қойылатын талаптар ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      59. ИР иесі және (немесе) иеленушісі пайдаланушының кескін тілін таңдау мүмкіндігімен қазақ, орыс және қажет болған жағдайда басқа тілдерде көпшілікке қолжетімді ИР құруды қамтамасыз етеді.

      60. ИР құру немесе дамыту ҚР СТ 2190-2012 "Ақпараттық технологиялар. Мемлекеттік органдар мен ұйымдардың интернет-ресурстары. Талаптар", ҚР СТ 2191-2012 "Ақпараттық технологиялар. Интернет-ресурстың мүмкіндіктері шектеулі адамдар үшін қолжетімділігі", ҚР СТ 2192-2012 "Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. Жалпы сипаттамасы", ҚР СТ 2193-2012 "Ақпараттық технологиялар. Мобильдік веб-қосымшаларды әзірлеудің ұсынылатын тәжірибесі", ҚР СТ 2199-2012 "Ақпараттық технологиялар. Мемлекеттік органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар" Қазақстан Республикасы стандарттарының талаптарын ескере отырып жүзеге асырылады.

      61. МО немесе ЖАО ИР-нда ЭАР дайындау, орналастыру, өзектілендіру уәкілетті орган бекіткен МО ИР ақпараттық толықтыру қағидалары мен олардың мазмұнына қойылатын талаптарға сәйкес жүзеге асырылады.

      62. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық бөлімшелерінің, жергілікті атқарушы органның ИР gov.kz. және мем.қаз домендік аймақтарында тіркеледі және МО ИРБП-да орналастырылады.

      МО ИРБП ЭҮ АКП-да орналастырылады.

      62-1. .KZ және (немесе) .ҚАЗ домендік атымен тіркелген интернет-ресурс Қазақстан Республикасының аумағында орналасқан аппараттық-бағдарламалық кешенде орналастырылады.

      Ескерту. Талаптар 62-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      62-2. Интернет-ресурстармен деректерді беру кезінде Интернеттің қазақстандық сегментінің кеңістігінде .KZ және (немесе) .ҚАЗ домендік аттарын пайдалану қауіпсіздік сертификаттарын қолдану арқылы жүзеге асырылады.

      Ескерту. Талаптар 62-2-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      63. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық бөлімшелерінің, жергілікті атқарушы органның ИР басқаруды, ЭАР орналастыру мен өзектілендіруді оператор ИР иесінің және (немесе) иеленушінің өтінімі негізінде ЭҮ АКИ локальдық желісінің сыртқы шеңберінен жүзеге асырады.

      63-1. МО мен ЖАО АР ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар акт болған жағдайда оларды өнеркәсіптік пайдалануға жол беріледі.

      Ескерту. Талаптар 63-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      64. АЖ-ды, БҚ-ны немесе СБӨ-ні есептен шығарған кезде ЭАР иесі және (немесе) иеленушісі ЭАР қалпына келтіру бойынша нұсқаулық дайындау арқылы есептен шығарылатын АЖ дерекқорын басқару жүйесінің кіріктірілген функционалы арқылы дерекқорының құрылымын және мазмұнын сақтауды қамтамасыз етеді.

      Дерекқордың құрылымын және мазмұнын сақтау тәсілін иесі өзі белгілейді.

      65. ЭАР пайдаланылмаған кезде МО немесе ЖАО "Ұлттық архив қоры және архивтер туралы" 1998 жылғы 22 желтоқсандағы Қазақстан Республикасының Заңында белгіленген тәртіппен оны архивке тапсыруды қамтамасыз етеді.

      66. ИР-дің АҚ-сын қамтамасыз ету үшін:

      1) домендік атаудың төлнұсқалылығын және АКҚҚ пайдаланылатын байланыс сеансы мазмұнының криптографиялық шифрлануын тексеруге арналған тіркеу куәліктері;

      2) мыналарды:

      ЭАР-ды орналастыру, өзгерту және жою операцияларын санкциялауды;

      ЭАР-ды орналастыру, өзгерту және жою кезінде авторлықты тіркеуді;

      жүктелетін ЭАР-ды зиянды кодтың бар болуы тұрғысынан тексеруді;

      орындалатын код пен скрипттер қауіпсіздігінің аудитін;

      орналастырылған ЭАР тұтастығын бақылауды;

      ЭАР-ды өзгерту журналын жүргізуді;

      пайдаланушылар мен бағдарламалық роботтардың аномальді белсенділігін бақылауды орындайтын құрамын (контентті) басқару жүйесі қолданылады.

2- параграф. Әзірленетін немесе сатып алынатын қолданбалы бағдарламалық қамтылымға қойылатын талаптар

      67. Қолданбалы БҚ-ны әзірлеуге немесе сатып алуға бастамашылық ету кезеңінде Заңның 7-бабының 11) тармақшасына сәйкес уәкілетті орган бекіткен ақпараттандыру объектілерін сыныптау қағидаларына және ақпараттандыру объектілерінің сыныптауышына сәйкес БҚ сыныбы айқындалады және жобалау құжаттамасында тіркеледі.

      68. Жасалатын немесе дамытылатын қолданбалы АЖ-ның БҚ-на қойылатын талаптар ҚР СТ 34.015-2002 "Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені. Автоматтандырылған жүйелерді құруға арналған техникалық тапсырма" Қазақстан Республикасы стандартының талаптарына сәйкес жасалатын техникалық тапсырмаларда осы БТ мен Заңның 7-бабының 20) тармақшасына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекітетін "электрондық үкіметтің" ақпараттандыру объектілерін құруға және дамытуға арналған техникалық тапсырмаларды жасау және қарау қағидаларында айқындалады.

      Ескерту. 68-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      69. Құрылатын немесе дамытылатын СБӨ-ге қойылатын талаптар осы БТ мен уәкілетті орган бекітетін ақпараттандырудың сервистік моделін іске асыру қағидаларына сәйкес жасалатын ақпараттық-коммуникациялық қызметті жобалауға арналған тапсырмада айқындалады.

      Ескерту. 69-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      69-1. Сервистік бағдарламалық өнімді өнеркәсіптік пайдалануға, ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар акті, бағдарламалық құжаттама мен Қазақстан Республикасы аумағында қолданылатын ақпараттандыру саласындағы стандарттардың талаптарына сәйкес сапасын бағалау мақсатында сынақтан өткізу хаттамасы және бағдарламалық құжаттаманы сараптау хаттамасы болған кезде жол беріледі.

      Ескерту. Талаптар 69-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      70. Сатып алынатын қолданбалы БҚ-ға қойылатын талаптар осы БТ-ның талаптарын ескере отырып, ақпараттандыру саласында тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алудың техникалық ерекшеліктерінде айқындалады.

      71. Қолданбалы дайын БҚ сатып алу СБӨ басымдылығын ескере отырып, оның сипаттамалары коммерциялық БҚ сипаттамаларымен бірдей болған жағдайда жүзеге асырылады.

      72. БҚ әзірлеуге немесе сатып алуға қойылатын талаптарды қалыптастырған кезде ЭАР сыныбы және ЭАР каталогының мәліметтері ескеріледі.

      73. Әзірленетін немесе сатып алынатын дайын қолданбалы БҚ:

      1) пайдаланушы интерфейсін пайдаланушының тіл интерфейсін таңдау мүмкіндігімен, деректерді қазақ, орыс және қажет болған жағдайда басқа тілдерде енгізуді, өңдеу мен шығаруды қамтамасыз етеді;

      2) мынадай талаптарды ескереді:

      сенімділік;

      сүйемелденуі;

      пайдалану қолайлылығы;

      тиімділік;

      әмбебаптылық;

      функционалдық;

      кросс-платформалық;

      3) виртуалдау технологиясын көп функционалды қолдауды қамтамасыз етеді;

      4) кластерлеуді қолдайды;

      5) қазақ және орыс тілдерінде пайдалану жөніндегі техникалық құжаттамамен қамтамасыз етіледі.

      74. БҚ жасау және дамыту немесе сатып алу техникалық қолдаумен және сүйемелдеумен қамтамасыз етіледі.

      БҚ жоспарлау, жүзеге асыру және техникалық қолдау мен сүйемелдеуді құжаттандыру әзірлеушінің, өнім берушінің ерекшеліктеріне немесе АҚ ТҚ талаптарына сәйкес жүргізіледі.

      Ескерту. 74-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      75. Қолданбалы БҚ жасау және дамыту процесі:

      1) мыналарды:

      алгоритмдердің, бастапқы мәтіндер мен бағдарламалық құралдардың ақпараттық базасын құруды;

      бағдарламалық модульдерді сынақтан өткізуді және тестілеуді;

      ақпараттық, технологиялық және бағдарламалық үйлесімділікті қамтамасыз ететін АҚ алгоритмдерін, бағдарламалары мен құралдарын типтеуді;

      лицензияланған аспаптық әзірлеу құралдарын пайдалануды көздейді;

      2) қолданбалы БҚ қабылдаудың мыналарды көздейтін рәсімдерін қамтиды:

      әзірлеушінің қолданбалы БҚ құру үшін қажетті бағдарламалардың бастапқы мәтіндері мен басқа объектілерді иесіне және (немесе) иеленушіге беру;

      қолданбалы БҚ-ның толығымен жұмысқа қабілетті нұсқасын жасай отырып, берілген бастапқы мәтіндерді бақылауды орнату;

      БҚ-ның осы нұсқасы бойынша бақылау үлгісін орындау.

      Ескерту. 75-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      76. БҚ-ның авторланған өзгерістерін және оған қол жеткізу құқықтарын бақылау МО, ЖАО немесе ұйым ақпараттық технологиялар бөлімшесі жұмыскерлерінің қатысуымен жүзеге асырылады.

      Ескерту. 76-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      77. Қолданбалы БҚ-ны әзірлеу:

      ақпараттандырудың сервистік моделін іске асыру қағидаларында көзделген ерекшеліктерді есепке алуды;

      БҚ-ны әзірлеу келісімдерінде АҚ мәселелерін регламенттеуді;

      қолданбалы БҚ-ны әзірлеу процесінде тәуекелдерді басқаруды талап етеді.

      78. АҚ-ны қамтамасыз ету мақсатында:

      1) БҚ-ны әзірлеу кезеңінде ҚР МЕМ СТ Р 50739-2006 "Есептеу техникасы құралдары. Ақпаратты рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" Қазақстан Республикасы стандартының ұсынымдары ескеріледі;

      2) әзірленетін немесе сатып алынатын қолданбалы БҚ-ға қойылатын талаптар:

      пайдаланушыларды, қажет болған кезде ЭЦҚ және тіркеу куәліктерін сәйкестендіру және аутентификациялау;

      қолжетімділікті басқару;

      тұтастықты бақылау;

      АҚ-ға ықпал ететін пайдаланушылардың іс-қимылдарын журналға жазу;

      онлайн транзакцияларды қорғау;

      сақтау, өңдеу кезінде құпия АЖ ақпаратын АКҚҚ-ны пайдалана отырып криптографиялық шифрлау;

      БҚ-ның өте қатерлі оқиғаларын журналға жазу құралдарын қолдануды көздейді;

      3) пайдалану кезінде АҚ ТҚ-да мыналар айқындалады және қолданылады:

      серверлерде және жұмыс станцияларында БҚ-ны орнату, жаңарту және жою қағидалары;

      жүйелік БҚ өзгертілген жағдайда қолданбалы БҚ өзгерістері мен оны талдауды басқару рәсімдері;

      4) лицензияланатын БҚ тек қана лицензия болған жағдайда ғана қолданылады және сатып алынады.

      79. БҚ пайдалану заңдылығын бақылау бойынша іс-шаралар АҚ ТҚ-да айқындалады, жылына бір реттен жиі емес жүргізіледі және мыналарды:

      нақты пайдаланылатын БҚ айқындауды;

      БҚ пайдалануға құқықтарды айқындауды;

      нақты пайдаланылатын БҚ мен қолда бар лицензияларды салыстыруды қамтиды.

      80. Қолданбалы БҚ "Электрондық құжат және электрондық цифрлық қолтаңба туралы" 2003 жылғы 7 қаңтардағы Қазақстан Республикасы Заңының 5-бабы 1-тармағының 10) тармақшасына сәйкес уәкілетті орган бекіткен электрондық цифрлық қолтаңбаның төлнұсқалылығын тексеру қағидаларына сәйкес электрондық құжатқа қол қойған тұлғаның ЭЦҚ ашық кілтінің және тіркеу куәлігінің тиесілігі мен жарамдылығын растауды тексеруді орындайды.

3-параграф. Ақпараттық-коммуникациялық инфрақұрылымға қойылатын талаптар

      81. АКИ-ға қойылатын талаптар Заңның 1-бабының 25) тармақшасына сәйкес оның құрамына кіретін объектілер ескеріле отырып қалыптастырылады.

      82. БТ АКИ-дің мынадай объектілеріне қойылатын талаптарды белгілейді:

      1) ақпараттық жүйе;

      2) технологиялық платформа;

      3) аппараттық-бағдарламалық кешен;

      4) телекоммуникация желілері;

      5) ақпараттық қауіпсіздік және техникалық құралдардың үздіксіз жұмыс істеу жүйелері;

      6) серверлік үй-жай (деректерді өңдеу орталығы).

      Ескерту. 82-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

4-параграф. Ақпараттық жүйеге қойылатын талаптар

      83. МО-ның немесе ЖАО-ның АЖ Заңның 39-бабының 1-тармағында айқындалған тәртіппен құрылып дамиды, сондай-ақ Заңның 38-бабының талаптары ескеріледі.

      МО-ның немесе ЖАО-ның АЖ-сында ЭАР-ды өңдеу, сақтау және резервті көшіру құралдарына қойылатын міндетті талаптар Заңның 42-бабында айқындалады.

      84. Тәжірибелік пайдалануды бастау алдында әзірлеуші:

      1) АЖ-ның барлық функционалдық компоненттері үшін тестілер жинағын, тестілеу сценарийлерін және тестілеуді жүргізу үшін сынақ әдістемелерін әзірлейді;

      2) АЖ стендтік сынақтан өткізуді жүзеге асырады;

      3) сыныптауышқа сәйкес:

      МО немесе ЖАО бірінші сыныптағы АЖ персоналы үшін міндетті түрде оқытуды;

      МО немесе ЖАО екінші сыныптағы АЖ персоналы үшін бейне,-мультимедиа оқыту материалдарын жасауды;

      МО немесе ЖАО үшінші сыныптағы АЖ персоналы үшін анықтама жүйесін және (немесе) пайдалану жөнінде нұсқаулық жасауды жүзеге асырады.

      85. МО немесе ЖАО АЖ тәжірибелік пайдалану мыналарды қамтиды:

      тәжірибелік пайдалануды жүргізу рәсімдерін құжаттау;

      анықталған ақаулар мен кемшіліктерді кейіннен түзете отырып, оларды оңтайландыру және жою;

      АЖ тәжірибелік пайдалануды аяқтау актісін ресімдеу;

      тәжірибелік пайдалануды жүргізу мерзімі бір жылдан аспауға тиіс.

      Ескерту. 85-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      85-1. "Электрондық үкімет" ақпараттандыру объектісін ендіру Қазақстан Республикасының аумағында қолданылатын стандарттарға сәйкес іске асырылады.

      Ескерту. Талаптар 85-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      86. АЖ-ны МО-да, ЖАО-да немесе ұйымда өнеркәсіптік пайдалануға енгізу алдында құрылған АЖ немесе АЖ-ның жаңа нұсқалары мен жаңартуларын қабылдау өлшемшарттары айқындалады, келісіледі, құжат жүзінде ресімделеді.

      Ескерту. 86-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      87. МО-ның немесе ЖАО-ның АЖ өнеркәсіптік пайдалануға енгізу тәжірибелік пайдалану оң аяқталған, АҚ талаптарына сәйкестігі тұрғысынан сынақтан өткізудің оң нәтижелері бар акт болған және уәкілетті органның, мүдделі МО, ЖАО және ұйымдардың өкілдері қатысатын қабылдау комиссиясы АЖ-ны өнеркәсіптік пайдалануға енгізу туралы актісіне қол қойған жағдайда техникалық құжаттама талаптарына сәйкес жүзеге асырылады.

      Ескерту. 87-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      88. Әзірленген БҚ-ны, бастапқы бағдарламалық кодтарды (болған кезде), МО-ның немесе ЖАО-ның АЖ-сының лицензияланған БҚ-ның теңшеу кешенін есепке алу және сақтау үшін "электрондық үкіметтің" сервистік интеграторына ұсыну міндетті болып табылады және уәкілетті орган белгілеген тәртіпке сәйкес жүзеге асырылады.

      Бастапқы бағдарламалық кодтарды, бағдарламалық өнімдерді және БҚ түрлендіру, жариялау және (немесе) пайдалану оның иесінің рұқсаты бойынша жүзеге асырылады.

      89. МО-ның немесе ЖАО-ның АЖ-сын өнеркәсіптік пайдалану кезінде:

      1) ақаулық немесе бұзылған жағдайда ЭАР-ды сақтау, қорғау, оны қайта қалпына келтіру;

      2) ЭАР резервті көшіру және уақтылы өзектілендіруді бақылау;

      3) МО-ның немесе ЖАО-ның АЖ-сына жүгіну туралы мәліметтерді автоматтандырылған есепке алу, сақтау және мерзімді архивтеу;

      4) МО-ның немесе ЖАО-ның АЖ-сындағы АҚ оқиғаларының мониторингі және оның нәтижелерін мемлекеттік техникалық қызметтің ақпараттық қауіпсіздігін қамтамасыз ету мониторингі жүйесіне беру;

      5) БҚ, серверлік және телекоммуникациялық жабдықтың конфигурациялық теңшеулеріндегі өзгерістерді тіркеу;

      6) өнімділіктің функционалдық сипаттамаларын бақылау және реттеу;

      7) АЖ сүйемелдеу;

      8) АЖ-ның пайдаланылатын лицензиялық БҚ-сын техникалық қолдау;

      9) кепілді мерзім кезеңінде анықталған АЖ қателері мен кемшіліктерін жоюды қамтитын әзірлеушінің АЖ-ға кепілдікті қызмет көрсетуі қамтамасыз етіледі. Кепілдікті қызмет көрсету АЖ-ны өнеркәсіптік пайдалануға енгізген күннен бастап кемінде бір жыл мерзімге қамтамасыз етіледі;

      10) пайдаланушыларды АЖ-ға қосу, сондай-ақ АЖ-мен өзара іс-қимылы домендік атауларды пайдалану арқылы жүзеге асырылады.

      90. МО-ның және ЖАО-ның АЖ-сын, оның ішінде МО-ның немесе ЖАО-ның тәжірибелік пайдалануға енгізілген АЖ-сымен интеграциялау Заңның 43-бабында айқындалған талаптарға сәйкес жүзеге асырылады.

      Мемлекеттік емес АЖ-ны МО-ның немесе ЖАО-ның АЖ-сымен интеграциялау Заңның 44-бабында айқындалған талаптарға сәйкес жүзеге асыралады.

      90-1. Ақпараттандыру объектілерінің немесе ақпарат объектілері компоненттерінің интеграциялық өзара іс-қимыл функцияларын шлюз, интеграциялау шинасы, интеграциялау компоненті немесе интеграциялау модулі арқылы іске асырған кезде:

      1) сұрау салулардың көздерін (қосылу нүктелерін) тіркеу және заңдылығын тексеру;

      2) мыналар:

      паролі немесе ЭЦҚ;

      қосылу нүктесі;

      қосылу бұғаттауының болуы;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген түрлері;

      интеграциялық өзара іс-қимыл регламентінде айқындалған сұрау салулардың рұқсат етілген жиілігі;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілерінің болуы;

      сигнатуралар бойынша зиянды кодтың болуы бойынша сұрау салулардың заңдылығын тексеру;

      3) мынадай:

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақыт ішінде қосылу болмаған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған уақытта сұрау салулардың рұқсат етілген жиілігінен асырған;

      сұрау салуларда ақпараттық қауіпсіздікті бұзу белгілері болған;

      интеграциялық өзара іс-қимыл регламентінде айқындалған аутентификация қателерінің санынан асырған;

      пайдаланушылардың аномальды белсенділігі айқындалған;

      деректер массивтерін көшіру әрекеттері анықталған кезде хабарлама алмасу хаттамаларында бұзушылықтар анықталған кезде қосылуды бұғаттау;

      4) интеграциялық өзара іс-қимыл регламентінде айқындалған іс-қимыл жасау уақыты бойынша қосылу парольдерін үнемі ауыстыру;

      5) АҚ инциденттері айқындалған кезде қосылу логинін ауыстыру;

      6) ішкі шеңбердің ЛЖ адрестеуін жасыру;

      7) мыналар:

      ақпараттық хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      файлдарды беру/қабылдау оқиғаларын тіркеу;

      қызметтік хабарламаларды беру/қабылдау оқиғаларын тіркеу;

      оқиғалар журналдарының мониторингі үшін инциденттерді және АҚ оқиғаларын басқару жүйесін қолдану;

      оқиғалар журналдарын АҚ оқиғаларының орын алуы тұрғысынан талдау рәсімдерін автоматтандыру;

      оқиғалар журналдарын әкімшілерге қарау үшін ғана қолжетімді мамандандырылған логтар серверінде сақтау;

      оқиғалар журналдарын (қажет болған кезде):

      а) ағымдағы тәулік;

      б) қосылу (байланыс арнасы);

      в) мемлекеттік орган (заңды тұлға);

      г) интеграцияланатын ақпараттандыру объектілері бойынша бөлек жүргізу қамтылған оқиғалар журналын жүргізу;

      8) интеграцияланатын ақпараттандыру объектілеріне уақытты синхрондау сервисін ұсыну;

      9) деректерді беру жүйелері арқылы жүзеге асырылатын қосылуларды бағдарламалық-аппараттық криптографиялық қорғау;

      10) қосылулар парольдерін шифрланған түрде сақтау және беру;

      11) интеграцияланатын ақпараттандыру объектілерінің жауапты адамдарын АҚ инциденттері туралы хабарландыруды автоматтандыру қамтамасыз етіледі.

      Ескерту. Талаптар 90-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      91. Бөгде ұйымдарды тарта отырып, өнеркәсіптік пайдалану кезеңінде АЖ-ға кепілдікті қызмет көрсету:

      кепілдікті қызмет көрсетуге арналған келісімдерде АҚ мәселелерін регламенттеуді;

      кепілдікті қызмет көрсету процесінде АКТ тәуекелдерін басқаруды талап етеді.

      92. МО-ның және ЖАО-ның АЖ-сын бағдарламалық-аппараттық қамтамасыз етуді басқару АЖ иеленушісі ішкі шеңберінің ЛЖ жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын және МО-ның немесе ЖАО-ның АЖ-сымен интеграцияланатын мемлекеттік емес АЖ-ны бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасы ратификациялаған халықаралық шарттардың шеңберінде ұлттық шлюзді пайдалана отырып жүзеге асырылатын мемлекетаралық ақпарат алмасуға байланысты жағдайларды қоспағанда, Қазақстан Республикасының аумағында орналастырылады.

      Ескерту. 92-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-1. МО мен ЖАО-ның АҚ жұмысын ұйымдастыру үшін Қазақстан Республикасының аумағында физикалық түрде орналасқан бұлтты сервистерді (виртуалдау технологиясын пайдалана отырып ресурстарды ұсынатын аппараттық-бағдарламалық кешендер, АЖ), басқару орталықтарын және серверлерді қолдануға жол беріледі.

      Ескерту. Талаптар 92-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-2. Қазақстан Республикасы азаматтарының дербес деректері қамтылған ақпараттық-коммуникациялық инфрақұрылымдардың аса маңызды объектілерінің АҚ бағдарламалық-аппараттық қамтамасыз ету Қазақстан Республикасының аумағында орналастырылады.

      Ескерту. Талаптар 92-2-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      92-3. Мемлекеттік органдардың ақпараттық жүйелерінің меншік иелері мен иеленушілері ақпараттық қауіпсіздіктің жеке жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардың ақпараттық қауіпсіздігінің жедел орталығының қызметтерін сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

      Ескерту. Талаптар 92-3-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      93. МО-ның немесе ЖАО-ның АЖ меншік иесі немесе иесі АЖ-ны бұдан әрі пайдаланудың қажеттілігі болмаған жағдайда оны пайдалануды тоқтату туралы шешім қабылдайды.

      МО-ның немесе ЖАО-ның АЖ-сын пайдалануды тоқтату туралы сервистік интеграторды, "электрондық үкіметтің" архитектуралық порталында жариялау арқылы АЖ-лары МО-ның немесе ЖАО-ның пайдалануынан алынатын АЖ-сымен интеграцияланған ақпараттандыру субъектілерін және осы АЖ-ны пайдаланушы болып табылатын ГО-ны немесе ЖАО-ны хабардар ету қажет.

      94. МО немесе ЖАО МО-ның немесе ЖАО-ның АЖ-сын пайдаланудан алу жоспарын құрады және оны МО-ның немесе ЖАО-ның АЖ-сының пайдаланушысы болып табылатын МО-мен немесе ЖАО-мен келіседі.

      95. АЖ пайдаланудан шығарғаннан кейін МО немесе ЖАО "Ұлттық архив қоры және архивтер туралы" 1998 жылғы 22 желтоқсандағы Қазақстан Республикасы Заңының 18-бабы 1-1-тармағының 3) тармақшасына сәйкес Қазақстан Республикасы Үкіметінің қаулысымен бекітілген Ұлттық архив қорының құжаттарын және басқа да архивтік құжаттарды ведомстволық және жеке меншік архивтердің қабылдауы, сақтауы, есепке алуы мен пайдалануы қағидаларына сәйкес пайдаланудан шығарылған МО-ның немесе ЖАО-ның АЖ-сының электрондық құжаттарын, техникалық құжаттамасын, журналдары мен архивтелген дерекқорын ведомстволық архивке тапсырады.

      Ескерту. 95-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      96. МО-ның немесе ЖАО-ның АЖ-сын пайдаланудан алуға өтінім келіп түскен кезде сервистік интегратор МО-ның немесе ЖАО-ның АЖ-сын тіркеу туралы электрондық куәлікті жояды және "электрондық үкіметтің" архитектуралық порталына тиісті мәліметтер орналастырады.

      97. МО-ның немесе ЖАО-ның пайдаланудан алынған АЖ-сын есептен шығару және (немесе) кәдеге жарату Қазақстан Республикасының бухгалтерлік есеп және қаржылық есептілік туралы заңнамасына сәйкес жүзеге асырылады.

      МО-ның немесе ЖАО-ның АЖ-сын пайдалану тоқтатылған, бірақ МО-ның немесе ЖАО-ның АЖ-сы белгіленген тәртіппен есептен шығарылмаған жағдайда, МО-ның немесе ЖАО-ның АЖ-сы консервациялауда деп саналады.

      МО-ның немесе ЖАО-ның АЖ-сы есептен шығарылғаннан кейін пайдаланылмайды.

      98. АҚ-ны қамтамасыз ету үшін:

      1) стендтік, қабылдау-тапсыру сынақтары мен тестілік пайдалану кезеңдерінде:

      бағдарламалардың нақты сыныптарына арналып әзірленген тестілер кешені негізінде АЖ-ның БҚ-сын тестілеу;

      белсенді ақаулардың әсеріне ұқсата отырып, бағдарламаларға экстремалды жүктемелер кезінде (стрес-тестілеу) табиғи сынақтар жүргізу;

      ықтимал ақауларды айқындау мақсатында АЖ-ның БҚ-сын тестілеу;

      жобалаудағы абайсызда жасалған бағдарламалық қателерді айқындау, өнімділіктің ықтимал проблемаларын айқындау үшін АЖ-ның БҚ-сына стендтік сынақтар жүргізу;

      бағдарламалық және аппараттық қамтылымның осалдықтарын айқындау және жою;

      қорғау құралдарын заңсыз әсерлерден пысықтау жүзеге асырылады;

      2) АЖ-ны тәжірибелік пайдалануға енгізу алдында:

      жұмыс істеп тұрған АЖ-ларға және ЭҮ АКИ компоненттеріне жаңа

      АЖ-ның, әсіресе ең жоғары жүктемелер уақытындағы жағымсыз әсерін бақылауды;

      ЭҮ АКИ АҚ-сының жай-күйіне жаңа АЖ-ның әсерін талдауды;

      персоналды жаңа АЖ-ны пайдалануға дайындауды ұйымдастыруды көздеу талап етіледі;

      3) АЖ-ны тәжірибелік немесе өнеркәсіптік пайдалану орталары мен әзірлеу, тестілеу немесе стендтік сынақтан өткізу орталарының аражігін ажырату жүзеге асырылады. Бұл ретте мынадай талаптар іске асырылады:

      АЖ-ны әзірлеу фазасынан тестілеу фазасына ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      АЖ-ны тестілеу фазасынан тәжірибелік пайдалану фазасына ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      АЖ-ны тәжірибелік пайдалану фазасынан өнеркәсіптік пайдалану кезеңіне ауыстыру тіркеледі және құжат жүзінде ресімделеді;

      аспаптық әзірлеу құралдары мен АЖ-ның сынақтан өткізу үстіндегі БҚ-сы әртүрлі домендерде орналастырылады;

      комиляторлар, редакторлар және басқа аспаптық әзірлеу құралдары пайдалану ортасына орналастырылмайды немесе пайдалану ортасынан пайдалану үшін қолжетімсіз болады;

      АЖ-ны сынақтан өткізу ортасы аппараттық-бағдарламалық қамтылым мен архитектурасы бөлігінде пайдалану ортасына сәйкес келеді;

      сынақтан өткізу үстіндегі АЖ-лар үшін өнеркәсіптік пайдаланудағы жүйелерді пайдаланушылардың нақты есеп жазбаларын қолдануға жол берілмейді;

      өнеркәсіптік пайдаланудағы АЖ-лардағы деректер сынақтан өткізу ортасына көшіруге жатпайды;

      4) АЖ-ны пайдаланудан шығарған кезде:

      АЖ-дағы ақпаратты архивтеу;

      ақпаратты машиналық тасығыштардан деректерді және қалған ақпаратты жою (өшіру) және (немесе) ақпаратты машиналық тасығыштарды жою қамтамасыз етіледі. Ақпаратты сақтау және өңдеу жүзеге асырылған ақпаратты машиналық тасығыштарды пайдаланудан шығарған кезде аталған машиналық тасығыштарды тиісті акті ресімдей отырып, физикалық жою жүзеге асырылады.

      98-1. АКИ-дің аса маңызды объектілерінің ақпараттық жүйесіне сондай-ақ IEC/PAS 62443-3- 2017 "Коммуникациялық өнеркәсіптік желілер". Желі мен жүйенің қорғалуы (киберқауіпсіздігі). 3-бөлім. Өнеркәсіптік өлшеу мен басқару процесінің қорғалуы (Киберқауіпсіздігі)" Қазақстан Республикасы стандартының талаптары қолданылады.

      Ескерту. Талаптар 98-1-тармақпен толықтырылды – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

5-параграф. Технологиялық платформаға қойылатын талаптар

      99. Технологиялық платформаны таңдау виртуалдандыру технологиясын қолдауға мүмкіндік беретін жабдықтың басымдылығын ескере отырып жүзеге асырылады.

      Ескерту. 99-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      100. Виртуалдау технологиясын іске асыратын жабдықты таңдау кезінде мынадай функционалдықты қамтамасыз ету қажеттілігі ескеріледі:

      1) декомпозиция:

      есептеуіш ресурстар виртуалды машиналар арасында бөлінеді;

      көптеген қосымшалар мен операциялық жүйелер бір физикалық есептеуіш жүйеде орналастырылады;

      2) оқшаулау:

      виртуалды машиналар бір-бірінен толығымен оқшауланған, ал біреуінің авариялық істен шығуы қалғанына әсер етпейді;

      ортақ желілік қосылуларды пайдалану жағдайларын қоспағанда, виртуалды машиналар мен қосымшалардың арасында деректер берілмейді;

      3) үйлесімділік:

      қосымшалар мен ОЖ-ға виртуалдау технологиясын іске асыратын жабдықтың есептеу ресурстары ұсынылады.

      101. ЭҮ АКП МО-ның серверлік орталығында орналасқан жабдықта орналастырылады.

      ЭҮ АКП:

      көрсетілетін АК-қызметтерді оларды басқаруға арналған бірыңғай кіру нүктесімен автоматты түрде ұсынуды;

      түрлі технологияларды пайдалана отырып, серверлік жабдықтың есептеу ресурстарын виртуалдауды;

      көрсетілетін АК-қызметтерінің 98,7% кем емес пайдалану коэффициентімен үздіксіз және істен шықпай жұмыс істеуін;

      пайдаланылатын жабдықтың, телекоммуникация және бағдарламалық қамтылым құралдарымен логикалық және физикалық деңгейлерде бірыңғай істен шығу нүктесін жоюды;

      аппараттық және бағдарламалық деңгейлерде есептеу ресурстарының аражігін ажыратуды қамтамасыз етеді.

      Виртуалды инфрақұрылымның сенімділігі виртуалдау технологиясы мен виртуалды ортаны басқару БҚ-сының кіріктірілген құралдарымен қамтамасыз етіледі.

      101-1. АКП ақпараттық қауіпсіздік талаптарына сәйкестігі тұрғысынан сынақтардың оң нәтижелері бар акт болған жағдайда оны өнеркәсіптік пайдалануға жол беріледі.

      Ескерту. Талаптар 101-1-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); жаңа редакцияда - ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      102. Виртуалдау технологиясын пайдалану кезінде АҚ-ны қамтамасыз ету үшін:

      1) мыналарды:

      көрсетілетін АК-қызметтерінің клиенттерін және ерекшеленген пайдаланушыларды аутентификациялауды;

      пайдаланушыларды бір технологиялық платформа шегінде федеративтік сәйкестендіруді;

      пайдаланушыны сәйкестендіргішті жойғаннан кейін аутентификация туралы ақпаратты сақтауды;

      пайдаланушы өкілеттерінің бейіндерін тағайындау рәсімдерін бақылау құралдарын қолдануды талап ететін сәйкестендіруді басқару;

      2) мыналарды:

      АЖ-ның әкімшісі мен виртуалдау ортасы әкімшісінің өкілеттіктерінің аражігін ажыратуды;

      АК-қызметтерін пайдаланушының деректеріне виртуалдау ортасы әкімшісінің қол жеткізу құқығын шектеуді. Қолжетімділік құқығы АҚ ТҚ және қызмет көрсету туралы сервистік келісімде айқындалған нақты рәсімдермен шектеледі және тұрақты өзектілендірілуі тиіс;

      артықшылық берілген және қатерлі операцияларға арналған көп факторлық аутентификацияны қолдануды;

      рөлдерді барлық өкілеттіктермен пайдалануды шектеуді. АЖ әкімшісінің бейінін теңшеулер виртуалдау ортасының компоненттеріне қолжетімділікті алуға жол бермейді;

      ең төменгі артықшылықтарды айқындауды және қолжетімділікті рөлдік басқару үлгісін іске асыруды;

      қорғалған шлюз немесе жіберушілердің рұқсат етілген желілік мекенжайларының тізімі арқылы қашықтықтан қол жеткізуді талап ететін қолжетімділікті басқару;

      3) мыналарды:

      АКҚҚ шифрлау кілттері туралы деректерге қолжетімділікті шектеуді бақылауды;

      негізгі каталогты және кілттерге жазба енгізуді ұйымдастыруды бақылауды;

      жария етілген кілттерді бұғаттауды және оларды сенімді жоюды талап ететін шифрлау кілттерін басқару;

      4) мыналарды:

      АҚ ТҚ-да айқындалатын рәсімдердің міндеттілігі мен тұрақтылығын;

      барлық операциялық жүйелерге, клиенттік виртуалды машиналарға, желілік компоненттердің инфрақұрылымына арналған аудит рәсімдерін жүргізуді;

      оқиғаларды тіркеу журналын жүргізуді және әкімшіге қолжетімсіз сақтау жүйесінде сақтауды;

      оқиғаларды тіркеу журналын жүргізу жүйесі жұмысының дұрыстығын тексеруді;

      оқиғаларды тіркеу журналдарын АҚ ТҚ-да сақтау ұзақтығын айқындауды талап ететін АҚ оқиғалары аудитін жүргізу;

      5) мыналарды:

      әкімшілердің іс-қимылын журналға енгізуді;

      АҚ инциденттері мен оқиғалар мониторингі жүйесін қолдануды;

      қатерлі оқиғаны немесе АҚ инцидентін автоматты тану негізінде хабарландыруды талап ететін АҚ оқиғаларын тіркеу;

      6) мыналарды:

      жартыжылдықта бір рет өзектілендіре отырып, АҚ инциденттерін айқындаудың, анықтаудың, бағалаудың формальді процесін және ден қою тәртібін айқындауды;

      АҚ инциденттерін айқындау, анықтау, бағалау және ден қою нәтижелері бойынша АҚ НТҚ-да белгіленген мерзімділікпен есептер құруды;

      АҚ инциденттері туралы МО-ны, ЖАО-ны немесе ұйымның жауапты адамдарын хабардар етуді;

      АҚ инциденттерін Мемлекеттік техникалық қызметтің Компьютерлік инциденттерге әрекет ету қызметінде тіркеуді талап ететін АҚ инциденттерін басқару;

      7) мыналарды:

      пайдаланылмайтын жеке құрылғыларды (алмалы-салмалы жинақтағыштарды, желілік интерфейстерді) физикалық ажыратуды немесе бұғаттауды;

      пайдаланылмайтын виртуалды құрылғылар мен сервистерді ажыратуды;

      мүмкіндігі шектеулі операциялық жүйелер арасындағы өзара іс-қимыл жасау мониторингін;

      виртуалды құрылғыларды физикалық құрылғылармен салыстыруды бақылауды;

      сертификатталған гипервизорларды пайдалануды жүзеге асыратын виртуалды ортасы инфрақұрылымының аппараттық және бағдарламалық компоненттерін қорғау шараларын қолдану;

      8) пайдалану орталары мен әзірлеу және тестілеу орталарының аражігін физикалық ажырату;

      9) АҚ ТҚ-да ақпараттандыру объектілеріне арналған өзгерістерді басқару рәсімдерін айқындау;

      10) АҚ ТҚ-да жабдықты және БҚ-ны кідірулері мен істен шығулардан кейін қалпына келтіру рәсімдерін белгілеу;

      11) мыналарды:

      виртуалдау машиналарының бейіндерін сақтауды қамтамасыз етуді, операциялық жүйенің, қосымшалардың, желілік конфигурацияның тұтастығын, МО-ның немесе ұйымның БҚ-сын және деректерін зиянды сигнатуралардың бар болуы тұрғысынан бақылауды;

      сыртқы пайдаланушылардың аппараттық бөлікке қол жеткізуіне жол бермеу мақсатында виртуалды машинаның аппараттық платформасын операциялық жүйесінен бөлуді;

      виртуалдау ортасы инфрақұрылымының түрлі функционалдық салалары арасындағы логикалық оқшаулауды;

      АҚ деңгейі бойынша әртүрлі сыныпқа жататын ЭАР мен АЖ виртуалдау орталары арасындағы физикалық оқшаулауды талап ететін желілік және жүйелік әкімшілендіру рәсімдерін орындау іске асырылады.

6-параграф. Аппараттық-бағдарламалық кешенге қойылатын талаптар

      103. АБК-ның серверлік жабдығының конфигурациясына қойылатын талаптар АЖ-ны құруға немесе дамытуға арналған техникалық тапсырмада және (немесе) ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      104. АБК-ның серверлік жабдығының үлгілік конфигурациясын таңдау:

      1) көп процессорлық архитектурасы бар;

      2) ресурстарды масштабтауға және өнімділігін арттыруға мүмкіндік беретін;

      3) виртуалдау технологиясын қолдайтын;

      4) ресурстарды басқару, өзгерту және қайта бөлу құралдарын қамтитын;

      5) қолданыстағы ақпараттық-коммуникациялық инфрақұрылыммен үйлесімді серверлерінің басымдылығын қамтамасыз етуді ескере отырып жүзеге асырылады.

      105. Сервердің жоғары қолжетімдігін қамтамасыз ету үшін:

      1) резервтік желдеткіштерді, қуаттау блоктарын, енгізу-шығару дискілері мен адаптерлерін жедел ауыстырудың;

      2) жады парақшаларын динамикалық тазалаудың және қайта бөлудің;

      3) процессорларды динамикалық қайта бөлудің;

      4) қатерлі оқиғалар туралы хабарлаудың;

      5) қатерлі компоненттердің жай-күйін үздіксіз бақылауды қолдау мен бақылаудағы көрсеткіштерді өлшеудің кіріктірілген жүйелері қолданылады.

      106. Сатып алынатын серверлік жабдық өндірушінің техникалық қолдауымен қамтамасыз етіледі. Өндірістен алынатын серверлік жабдық сатып алынбайды.

      107. АҚ-ның НТҚ-да айқындалған АҚ-ны тұрақты негізде қамтамасыз ету мақсатында серверлік жабдықтың конфигурациясын тексере отырып, оны түгендеу жүзеге асырылады.

      108. Қызмет көрсетудің қауіпсіздігін және сапасын қамтамасыз ету үшін, Қазақстан Республикасының заңнамасында белгіленген тәртіппен АҚ бойынша бірлескен жұмыстар шартын ресімдей отырып:

      бірінші сыныптағы МО және ЖАО-ның ақпараттандыру объектілерінің АБК серверлік жабдығы МО-ның серверлік орталығында ғана орналастырылады;

      екінші және үшінші сыныптағы МО және ЖАО-ның ақпараттандыру объектілерінің АБК серверлік жабдығы МО-ның серверлік орталығында, не Заңның 13-бабының 3) тармақшасына сәйкес "электрондық үкіметтің" АКИ операторы тартқан серверлік үй-жайда (деректеді өңдеу орталығы), не осы БТ-да белгіленген серверлік үй-жайларға қойылатын талаптарға сәйкес МО-ның немесе ЖАО-ның жабдықталған серверлік үй-жайында орналастырылады.

      Ескерту. 108-тармақ жаңа редакцияда – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      109. Деректерді сақтау жүйелеріне қойылатын талаптар АЖ-ны құруға немесе дамытуға арналған техникалық тапсырмада және (немесе) ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      110. Деректерді сақтау жүйесі:

      деректерді репликациялауға арналған бірыңғай құралдарды;

      деректерді сақтау көлемі бойынша масштабталуды қолдауды қамтамасыз етеді.

      111. Жоғары қолжетімдікті талап ететін жүктемесі жоғары АЖ-лар үшін:

      1) деректерді сақтау желілері;

      2) виртуалдау және (немесе) деректерді сатылап сақтау жүйесін қолдайтын деректерді сақтау жүйелері пайдаланылады.

      112. Деректерді сақтау жүйесінің жоғары қолжетімділігін қамтамасыз ету үшін мынадай кіріктірілген жүйелер енгізіледі:

      1) резервтік желдеткіштер мен қуат беру блоктарын жедел ауыстыру;

      2) енгізу-шығару дискілері мен адаптерлерін жедел ауыстыру;

      3) қатерлі оқиғалар туралы хабарлау;

      4) белсенді контроллерлер (екеуден кем емес);

      5) деректерді сақтау желісінің интерфейстері (бір контроллерге екі порттан кем емес);

      6) қатерлі компоненттердің жай-күйін үздіксіз бақылауды қолдау және бақылаудағы көрсеткіштерді өлшеу.

      113. Деректерді сақтау жүйесі резервтік көшіру жүйесімен қамтамасыз етіледі.

      114. АҚ-ны, деректерді сенімді сақтауды және қалпына келтіру мүмкіндігін қамтамасыз ету үшін:

      1) осы БТ-ның 48-тармағына сәйкес АКҚҚ-ны пайдалана отырып, сақтаудағы таратылуы шектелген қызметтік ақпаратты, құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР ақпаратын криптографиялық қорғау қолданылады;

      2) қауіпсіздік деңгейі бойынша пайдаланылатын АКҚҚ-ның ақпаратты криптографиялық қорғау құралдарын пайдалану қағидаларында криптографиялық кілттерге арналып белгіленген қауіпсіздік деңгейінен төмен емес қорғалған шифрлау кілттерін сақтауға бөлінген сервер пайдаланылады;

      3) АҚ-ның НТҚ-сында айқындалған резервтік көшіру регламентіне сәйкес резервтік көшірмені жазу және сынақтан өткізу қамтамасыз етіледі.

      115. Құпия АЖ-да, құпия ЭАР-да және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР-да пайдаланылатын ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жоюдың бағдарламалық және аппараттық қамтылымы қолданылады.

      116. Серверлік жабдықтың және жұмыс станцияларының жүйелік БҚ-сын таңдаған кезде:

      1) АЖ-ның қолданбалы БҚ-сын әзірлеуге (дамытуға) арналған техникалық тапсырмада немесе "электрондық үкімет" сервистік интеграторы әзірлеген ақпараттық-коммуникациялық қызметтерді жобалауға арналған тапсырмада ұсынылатын талаптар;

      2) операциялық жүйелер типіне (клиенттік немесе серверлік) сәйкес келуі;

      3) пайдаланылатын қолданбалы БҚ-мен үйлесімділігі;

      4) телекоммуникация желілерінде жұмыс істейтін желілік сервистерді қолдауы;

      5) көпміндеттілікті қолдауы;

      6) операциялық жүйелерді өндіруші шығаратын маңызды жаңартуларды және қауіпсіздік жаңартуларын алу мен орнатудың штаттық құралдарының болуы;

      7) диагностикалау, аудит және оқиғалар журналын жүргізу құралдарының болуы;

      8) виртуалдау технологияларын қолдауы ескеріледі.

      Ескерту. 116-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      117. Жүйелік БҚ-ны сатып алу мынадай басымдық ескеріле отырып жүзеге асырылады:

      1) сатып алу құнын, сондай-ақ пайдалану кезеңінде лицензиялаудың жиынтық құнын төмендетуді қамтамасыз ететін лицензиялау моделі;

      2) техникалық қолдаумен және сүйемелдеумен қамтамасыз етілген БҚ.

      118. АҚ-ны қамтамасыз ету мақсатында жүйелік БҚ:

      1) мыналарды:

      пайдаланушыларды сәйкестендіруді, аутентификациялауды және парольдерін басқаруды;

      сәтті және сәтсіз қол жеткізулерді тіркеуді;

      жүйелік артықшылықтардың пайдаланылуын тіркеуді;

      қосылу уақытын шектеуді, қажет болған кезде уақыт лимитін асыру бойынша сеансты бұғаттауды пайдалана отырып, қолжетімділікті бақылауды;

      2) операциялық жүйені бақылау құралын айналып өту қабілеті бар жүйелік утилиталарды пайдаланушылардың пайдалануына жол бермеу және әкімшілер үшін шектеу мүмкіндігін қамтамасыз етеді.

      119. ЕБҚ авторлық құқық туралы заңнама талаптарын сақтай отырып, өтеусіз, МО-да пайдалануға кедергі жасайтын лицензиялық шектеулерсіз таратылады.

      120. ЕБҚ ашық бастапқы кодымен ұсынылады.

      121. МО-да пайдаланатын ЕБҚ ақпараттық өзара іс-қимылды ЭҮШ арқылы жасау форматтарын қолдауды ескере отырып пысықталады.

      122. ЕБҚ-ны пайдаланған кезде АҚ-ны қамтамасыз ету үшін:

      ЕБҚ-ны әзірлеушілер қоғамдастығы қолдайтын немесе бағдарламалық коды сараптаудан және сертификаттаудан өткен ЕБҚ-ны пайдалануға жол беріледі;

      ЕБҚ-ның пайдаланылған нұсқалары сақталады.

7-параграф. Телекоммуникация желілеріне қойылатын талаптар

      123. Ведомстволық (корпоративтік) телекоммуникация желілері бір меншік иесіне тиесілі бөлінген меншікті немесе жалға алынған байланыс арналары арқылы локальдық желілерді біріктіре отырып ұйымдастырылады.

      Локальдық желілерді біріктіруге арналған бөлінген байланыс арналары арналық және желілік деңгейлердегі хаттамаларды пайдалана отырып ұйымдастырылады.

      124. Ведомстволық (корпоративтік) желіні бірнеше локальдық желіні біріктіру арқылы ұйымдастырған кезде желінің радиалдық немесе тораптық-радиалдық топологиясы қолданылады. Бөлінген арналар тораптық нүктелерде бір шектес шлюзге қосылады. Локальдық желілерді каскадты (жүйелі) қосуға жол берілмейді.

      125. Ведомстволық (корпоративтік) телекоммуникация желісін жобалау кезінде оның құжат жүзіндегі схемасы құрылады, ал пайдалану кезінде өзектілендірілген күйде ұсталады.

      126. Байланыс арналарын ұйымдастыру үшін бөлінген байланыс арнасына қызмет көрсететін персоналға жабдыққа қол жеткізуге рұқсат беріледі.

      Жабдықты басқаруды бөлінген арнаны ұсынып отырған ЭҮ АКИ операторы жүзеге асырады.

      Пайдаланылмайтын порттар жабдықтың теңшеулерінде бұғатталады.

      127. Ғимаратқа байланыс арнасының желілерін енгізу және оны ғимарат ішінде өткізу ҚР ҚН 3.02-17-2011 "Құрылымдалған кабельдік желілер. Жобалау нормалары" мемлекеттік нормативіне сәйкес жүзеге асырылады.

      128. АҚ-ны қамтамасыз ету мақсатында:

      1) жергілікті желілерді біріктіретін бөлінген байланыс арнасын ұйымдастырған кезде ақпаратты АКҚҚ-ны пайдалана отырып, ақпаратты қорғаудың бағдарламалық-техникалық, оның ішінде криптографиялық шифрлау құралдары пайдаланылады;

      2) бөлінген байланыс арнасы жергілікті желіге жазылған маршруттау қағидалары мен қауіпсіздік саясаттары бар шектес шлюз арқылы қосылады. Шектес шлюз мынадай ең аз функциялар жинағын қамтамасыз етеді:

      желі тораптарын орталықтан авторландыру;

      әкімшілердің артықшылық деңгейлерін конфигурациялау;

      әкімшілердің іс-қимылын хаттамалау;

      желілік мекенжайларды статикалық трансляциялау;

      желілік шабуылдардан қорғау;

      физикалық және логикалық порттардың жай-күйін бақылау;

      әрбір интерфейстегі кіріс және шығыс пакеттерді фильтрлеу;

      АКҚҚ пайдалана отырып жіберілетін трафикті криптографиялық қорғау;

      3) ведомстволық (корпоративтік) телекоммуникациялар желісін және АС-тің жергілікті желілерін өзара қосқан кезде мыналар пайдаланылады:

      ақпараттық ағындарды бөлу және оқшаулау құралдары;

      АҚ-ны және қауіпсіз басқаруды қамтамасыз ететін компоненттері бар жабдық;

      бөлінген және МО БКО периметрін қорғау мақсатында әрбір қосылу нүктесінде орнатылған және қол жеткізу жабдығымен интеграцияланған желіаралық экрандар;

      4) ведомстволық (корпоративтік) телекоммуникациялық және жергілікті желілерді ИҚБШ арқылы Интернетке қосқан кезде МО, ЖАО, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілерінің, сондай-ақ ИКИ аса маңызды объектілерінің иелері АКИ операторының немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының көрсетілетін қызметтерін пайдаланады.

      Ведомстволық (корпоративтік) телекоммуникация желісін және жергілікті желілерді ИҚБШ арқылы Интернетке қосу ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен Интернетке қолжетімділіктің бірыңғай шлюзінің жұмыс істеу қағидаларына сәйкес жүзеге асырылады;

      5) МО-ның, ЖАО-ның қызметшілері мен мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, сондай-ақ АКИ өте маңызды объектілері иелерінің жұмыскерлері өздерінің қызметтік міндеттерін орындаған кезде жедел ақпарат алмасуды (қызметтік хат алмасуды) электрондық нысанда жүзеге асыру үшін:

      ведомстволық электрондық поштаны, лездік хабарламалар қызметін және өзге де сервистерді;

      егер уәкілетті орган өзгеше белгілемесе, басқару орталықтары мен серверлері физикалық тұрғыдан Қазақстан Республикасының аумағында орналасқан электрондық поштаны, лездік хабарламалар қызметін және өзге де сервистерді пайдаланады;

      6) МО-ның және ЖАО-ның ведомстволық электрондық поштасының сыртқы электрондық пошта жүйелерімен өзара іс-қимыл жасауы электрондық поштаның бірыңғай шлюзі арқылы ғана жүзеге асырылады;

      7) МО-ның, ЖАО-ның қызметшілері мен мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, сондай-ақ АКИ аса маңызды объектілері иелерінің жұмыскерлері сыртқы шеңбердің ЖЖ-дан ИР-ға қол жеткізуді ЕБҚ болып табылатын және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен ИҚБШ жұмыс істеу қағидаларының талаптарына сәйкес келетін веб-шолушыны пайдалана отырып, ИҚБШ арқылы ғана жүзеге асырады.

      Ескерту. 128-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      129. АС-ні МО БКО-ға қосу уәкілетті орган айқындайтын МО БКО-ға қосу және интернет-ресурсқа МО БКО арқылы қол жеткізуге рұқсат беру қағидаларына сәйкес жүзеге асырылады.

      Ескерту. 129-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      130. МО-да немесе ЖАО-да "электрондық үкіметтің" тек жалпыға қолжетімді ЭАР-ға және МО-ның немесе ЖАО-ның келушілерінің болуына рұқсат берілген "қонақтарға арналған орында" сымсыз қолжетімділікті ұйымдастыруға арналған құрылғыларды пайдалануға ғана жол беріледі.

      131. Осы БТ-ның 48-тармағына сәйкес ЭҮ АКИ операторы ұйымдастырған АКҚҚ пайдаланылатын МО БКО сымсыз байланыс арналарын қоспағанда, МО БКО-ға, АС-нің жергілікті желісіне, сондай-ақ МО БКО, АС-нің жергілікті желісінің құрамына кіретін техникалық құралдарға сымсыз желілер арқылы қашықтан қол жеткізуді, сымсыз қолжетімділікті ұйымдастыруға арналған құралдарды, модемдерді, радиомодемдерді, ұялы байланыс операторларының желілік модемдерін, ұялы байланыстың абоненттік құрылғыларын және басқа да сымсыз желілік құрылғыларды қосуға жол берілмейді.

      Ескерту. 131-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      131-1. МО немесе ЖАО қабылдаған АҚ саясатымен рұқсат етілмеген ұялы байланыстың абоненттік құрылғыларын, ұялы байланыс операторлары желілерінің модемдерін, сондай-ақ ақпараттың электрондық жеткізгіштерін қосуды бақылауды жүзеге асыру қажет.

      Ескерту. Талаптар 131-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      132. ЭҮ АКИ операторы АС өтінімдері бойынша:

      МО БКО-ға қосылған АС жергілікті желілерінің IP-мекенжайларын АС өтінімдері бойынша бөлуді, тіркеуді және қайта тіркеуді;

      АС өтінімдері бойынша Интернеттің домендік аймақтарында gov.kz және мем.қаз домендік аттарын тіркеуді;

      АС өтінімдері бойынша домендік аттарды МО БКО-да тіркеуді;

      МО БКО желісінде DNS сервисін ұсынуды жүзеге асырады.

      Ескерту. 132-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      133. МО және ЖАО жыл сайын:

      1) мемлекеттік техникалық қызметтен ИҚБШ жабдығында пайдаланылатын интернет-ресурстар санаттарының тізбесін сұратады;

      2) жоғарыда аталған тізбеден МО және ЖАО қызметшілерінің оларға қолжетімділігі ИҚБШ құралдарымен рұқсат етілетін интернет-ресурстардың санаттарын іріктейді және олардың тізімін жасайды;

      3) жоғарыда аталған тізімді және Интернетке қол жеткізуге рұқсат алатын МО мен олардың аумақтық бөлімшелерінің, ЖАО-ның ақпараттық-коммуникациялық желілерінің желілік мекенжайларының тізімдерін мемлекеттік техникалық қызметке ИҚБШ жабдығында қолдану үшін;

      4) VPN-арналарды ұйымдастыруға өндірістік қажеттілік болған жағдайда мемлекеттік техникалық қызметке ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісілген, талап етілетін VPN-арналар бойынша техникалық ақпаратты (дереккөздің және тағайындаудың IP-мекенжайлары, порттар, хаттама) жібереді.

      Ескерту. 133-тармаққа өзгерістер енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      133-1. МО немесе ЖАО ЖЖ-ның сыртқы шеңберінде орналасқан ақпараттандыру объектілерінде МО немесе ЖАО ЖЖ-ның сыртқы шеңберінен тыс қашықтан басқару үшін бағдарламалық немесе техникалық құралдарды орнатуға және қолдануға жол берілмейді.

      Ескерту. Талаптар 133-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      134. Алып тасталды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      134-1. Мемлекеттік техникалық қызмет ИҚБШ жабдықтарында ИР мен БҚ-ның мына санаттарын бұғаттау саясатын қолданады (әдеттегідей):

      - VPN;

      - қашықтан кіру;

      - p2p;

      - ойын ресурстары;

      - ИР және БҚ санаттарының тізбесіне әдеттегідей кірмейтін белгісіз қосымшалар;

      - зиян келтіретін ИР және БҚ.

      Ескерту. Талаптар 134-1-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      134-2. 134-1-тармақта көрсетілген ИР және БЖ жекелеген санаттарын бұғатталудан босату мүмкіндігін мемлекеттік техникалық қызмет МО-дан, ЖАО-дан, мемлекеттік ұйымдардан, квазимемлекеттік сектор субъектілерінен, сондай-ақ АКИ аса маңызды объектілерінің иелерінен түскен ресми сұрау салу негізінде қарайды.

      Ескерту. Талаптар 134-2-тармақпен толықтырылды - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      135. Құрылатын немесе дамытылатын локальдық желіге қойылатын талаптар ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте айқындалады.

      Жергілікті желінің кабельдік жүйесін жобалау кезінде ҚР ҚН 3.02-17-2011 "Құрылымдалған кабельдік желілер. Жобалау нормалары" мемлекеттік нормативінің талаптарын сақтау қажет.

      136. Жобалау кезінде жергілікті желінің құжат жүзіндегі схемасы құрылып, оны пайдаланған кезде өзектілендірілген күйде ұсталады.

      137. Кабельдік жүйенің барлық элементтері ҚР ҚН 3.02-17-2011 "Құрылымдалған кабельдік желілер. Жобалау нормалары" мемлекеттік нормативінің 13.1.5-тармағының талаптарына сәйкес таңбалауға жатады.

      Барлық кабельдік қосылулар кабельдік қосылуларды есепке алу журналында тіркеледі.

      138. Локальдық желілердің белсенді жабдығы үздіксіз қоректендіру көздерінен электр қуатын берумен қамтамасыз етіледі.

      139. АҚ-ны қамтамасыз ету үшін:

      1) жергілікті желінің кабельдік жүйесінің пайдаланылмайтын порттары белсенді жабдықтан физикалық ажыратылады;

      2) мынадай қағидалар қамтылған АҚ ТҚ әзірленеді және бекітіледі:

      желілер мен көрсетілетін желі қызметтерін пайдалану;

      халықаралық (аумақтық) деректерді беру желілеріне қосылу;

      Интернетке және (немесе) телекоммуникация желілеріне, халықаралық (аумақтық) деректерді беру желілеріне шығатын байланыс желілеріне қосылу;

      желілік ресурстарға сымсыз қолжетімділікті пайдалану;

      3) таратылуы шектелген қызметтік ақпарат, құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР ақпараты қорғалмаған сымды байланыс арналары мен тиісті АКҚҚ-мен жабдықталмаған радиоарналар арқылы берілмейді.

      Таратылуы шектелген қызметтік ақпаратты беру Қазақстан Республикасының Үкіметі белгілеген Мәліметтерді таратылуы шектелген қызметтік ақпаратқа жатқызу және олармен жұмыс істеу қағидаларына сәйкес таратылуы шектелген ақпаратты қорғау жөніндегі арнайы талаптарды сақтай отырып жүргізіледі;

      4) мынадай құралдар пайдаланылады:

      пайдаланушыларды сәйкестендіру, аутентификациялау мен қолжетімділікті басқару;

      жабдықты сәйкестендіру;

      диагностикалық және конфигурациялық порттарды қорғау;

      жергілікті желіні физикалық сегменттеу;

      жергілікті желіні логикалық сегменттеу;

      желілік қосылуды басқару;

      желіаралық экрандау;

      жергілікті желінің ішкі мекенжайлық кеңістігін жасыру;

      деректердің, хабарламалар мен конфигурациялардың тұтастығын бақылау;

      осы БТ-ның 48-тармағына сәйкес ақпаратты криптографиялық қорғау;

      деректерді беру арналарын және желілік жабдықты физикалық қорғау;

      АҚ оқиғаларын тіркеу;

      желілік трафикті мониторингтеу мен талдау;

      желіні басқару;

      5) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, МО-ның, сондай-ақ ЖАО-ның жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;

      6) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, орталық атқарушы мемлекеттік орган мен оның аумақтық бөлімшелерінің жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;

      7) шетелде орналасқан Қазақстан Республикасының мекемелері үшін осы БТ 48-тармағына сәйкес АКҚҚ-ны пайдалана отырып ұйымдастырылған байланыс арналарын қоспағанда, АС ішкі шеңберінің ЛЖ және сыртқы шеңберінің ЖЖ өзара түйіндесуіне жол берілмейді;

      8) АС-нің ішкі шеңберінің ЖЖ Интернетке қосуға жол берілмейді;

      9) АС-нің сыртқы шеңберінің ЖЖ Интернетке қосу ИҚБШ арқылы ғана жүзеге асырылады. Арнаулы және құқық қорғау МО-лардың жедел мақсаттарда қосылуын қоспағанда, Интернетке өзге тәсілмен қосылуға жол берілмейді. ЭҮСШ-ның Интернетпен өзара іс-қимыл жасауы ИҚБШ арқылы жүзеге асырылады;

      10) ақпараттық өзара іс-қимылды Интернет арқылы іске асыратын АС АЖ АС-нің сыртқы шеңберінің бөлінген ЖЖ сегментінде орналастырылады және АС-нің ішкі шеңберінің ЖЖ орналастырылған АС-нің АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы жүзеге асырылады;

      11) Интернетте орналастырылған АЖ-лардың АС-нің ішкі шеңберінің ЖЖ орналастырылған АС-нің АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы ғана жүзеге асырылады;

      12) жоғары деңгейдегі уақыт көзі инфрақұрылымының серверлері үйлестірілген әлемдік UTC (kz) уақытының ұлттық шәкілін білдіретін уақыт пен жиілік эталонымен үндестіріледі.

      Дәл уақыт инфрақұрылымының серверлері жоғары деңгейдегі дәл уақыт инфрақұрылымының серверімен үндестіріледі.

      Дәл уақыт инфрақұрылымының серверлері клиенттерге уақытты үндестіру үшін қол жеткізуге мүмкіндік береді;

      13) пайдаланылмайтын ашық желілік порттар ажыратылады.

      Ескерту. 139-тармақ жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      140. БТ-ның 139-тармағының 10), 11) тармақшаларында көзделген талаптар 2016 жылғы 1 қаңтарға дейін өнеркәсіптік пайдалануға енгізілген және 2018 жылғы 1 қаңтарға дейін дамуға жатпайтын МО-ның немесе ЖАО-ның АЖ-ларына қолданылмайды.

      МО АЖ және ЖАО деректерінің мемлекеттік емес АЖ-мен ақпараттық өзара іс-қимыл тәртібі Заңның 7-бабының 13) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен "Электрондық үкіметтің" ақпараттандыру объектілерін интеграциялау қағидаларында айқындалады.

      Ескерту. 140-тармақ жаңа редакцияда – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

8-параграф. Техникалық құралдардың үздіксіз жұмыс істеу жүйелеріне және ақпараттық қауіпсіздікке қойылатын талаптар

      141. АБК-ның және деректерді сақтау жүйесінің серверлік жабдығы серверлік үй-жайда орналастырылады.

      142. Серверлік үй-жай өте алмайтын, терезе ойықтары жоқ бөлек үй-жайларда орналастырылады. Терезе ойықтары болған жағдайда, олар жабылады немесе жанбайтын материалдармен бекітіледі.

      Қабырға, төбе мен еден сырттары үшін шаң шығармайтын және жинамайтын материалдар пайдаланылады. Еден жабыны үшін антистатикалық қасиеті бар материалдар пайдаланылады. Серверлік үй-жай ластайтын заттардың кіруінен қорғалады.

      Серверлік үй-жайдың қабырғалары, есіктері, төбесі, едені және аралықтары үй-жайдың герметикалығын қамтамасыз етеді.

      143. Серверлік үй-жай есіктерінің ені 1,2 метрден және биіктігі 2,2 метрден кем болмайды, сыртқа қарай ашылады немесе екі жаққа жылжымалы болады. Есік жақтауының құрылысында табалдырық пен орталық тірегі болмайды.

      144. Серверлік үй-жай кабельдік жүйелер мен инженерлік коммуникацияларды орналастыруға арналған фальшеденмен және (немесе) фальштөбемен жабдықталады.

      145. Серверлік үй-жай арқылы қандай да бір транзиттік коммуникациялардың өтуіне жол берілмейді. Әдеттегі және өрт сөндіру суымен жабдықтау, жылу және кәріз трассалары серверлік үй-жайдың аумағынан шығарылып, серверлік үй-жайдың үстіндегі жоғары қабаттарда орналастырылмайды.

      146. Ғимараттың қуатты және нашар қуатты кабельдік желілерін өткізуге арналған коммуникация арналары өзара қалыптандырылған бөлек немесе аралықтармен бөлінген кабельдік ұяшықтарда, қораптарда немесе құбырларда орындалады. Нашар қуатты және күштік шкафтар бөлек орнатылады және құлыппен жабылады.

      Кабельдерді жабулар, қабырғалар, аралықтар арқылы өткізу жанбайтын материалдармен герметикаланған жанбайтын құбырлар бөліктерінде жүзеге асырылады.

      147. Серверлік үй-жай сыртқы электрмагнитті сәулеленуден сенімді қорғалады.

      148. Жабдықты орналастырған кезде:

      1) "Электр энергетикасы туралы" 2004 жылғы 9 шілдедегі Қазақстан Республикасының Заңы 5-бабының 27) тармақшасына сәйкес энергетика саласындағы уәкілетті орган бекіткен тұтынушылардың электр қондырғыларын техникалық пайдалану қағидаларын орындау қамтамасыз етіледі;

      2) жабдықты жеткізушілердің және (немесе) өндірушінің жабдықтың және коммуникацияның салмағын ескере отырып, орнатуға (монтаждауға), жабулар мен фальшедендердің жүктемесіне (құрастыруға) қойылатын талаптарын орындау қамтамасыз етіледі;

      3) жабдыққа қызмет көрсету үшін қызметтік бөгеуілсіз өтулердің болуы қамтамасыз етіледі;

      4) микроклиматты қамтамасыз ету жүйесінің ауа ағынын ұйымдастыру ескеріледі;

      5) фальшедендер мен фальштөбелер жүйесін ұйымдастыру ескеріледі.

      149. Серверлік үй-жайда орнатылған жабдықты техникалық сүйемелдеу кезінде:

      1) жабдыққа қызмет көрсету;

      2) аппараттық-бағдарламалық қамтылымның жұмысында пайда болатын проблемаларды жою;

      3) кідірулер мен істен шығу фактілері, сондай-ақ қалпына келтіру жұмыстарының нәтижелері;

      4) өте маңызды жабдыққа кепілдікті қызмет көрсету мерзімі аяқталған соң кепілдікті мерзімнен кейінгі қызмет көрсету құжатталады.

      Құжаттау нысаны мен тәсілі өздігінен айқындалады.

      150. Өте маңызды жабдыққа қызмет көрсетуді сертификатталған техникалық персонал орындайды.

      151. Серверлік үй-жайға тікелей жақын жерде жөндеу-қалпына келтіру жұмыстарын жүргізген кезде жедел ауыстыруды орындау үшін жинақтауыштар мен жабдық қоры қамтылған өте маңызды объектіге арналған қосалқы бөлшектер қоймасы жасалады.

      152. Пайдаланудағы жабдықтың жұмысына тек қана ақпараттық технологиялар бөлімшесі басшысының немесе оның міндетін атқарушы тұлғаның рұқсатымен ғана араласуға болады.

      153. Негізгі және резервтік серверлік үй-жайлар бір-бірінен алыс тұрған ғимараттарда қауіпсіз қашықтықта орналастырылады. Резервтік серверлік үй-жайларға қойылатын талаптар негізгі серверлік үй-жайларға қойылатын талаптарға ұқсас болады.

      154. АҚ-ны, істен шығуының болмаушылығын және сенімді жұмыс істеуін қамтамасыз ету мақсатында:

      1) серверлік үй-жайда қатерлердің, қауіптердің орын алу тәуекелдерін және рұқсатсыз қол жеткізу мүмкіндіктерін төмендетуді қамтамасыз ететін жабдықты орналастыру тәсілдері қолданылады;

      2) серверлік үй-жайда ақпараттандыру объектілерінің сыныптауышына сәйкес бірінші сыныптағы ақпараттандыру объектілеріне жататын ЭАР, АР, СБӨ, АЖ мен екінші және үшінші сыныптағы ақпараттандыру объектілерін бір виртуалды ортада, бір серверлік жабдықта, бір құрастыру шкафында немесе тіреулерінде орналастыруға жол берілмейді;

      3) серверлік үй-жайда орнатылған АКИ объектілерін сүйемелдеуді жүзеге асыру үшін авторландырылған тұлғалардың тізімі өзектілендірілген күйде ұсталады;

      4) серверлік үй-жай:

      кіруді бақылау және басқару;

      микроклиматты қамтамасыз ету;

      күзет дабылы;

      бейнебақылау;

      өрт дабылы;

      өрт сөндіру;

      кепілді электрмен қоректендіру;

      жерге тұйықтау жүйелерімен жабдықталады;

      5) серверлік үй-жай инфрақұрылымының істен шығуының болмаушылығы 99,7 % кем болмайды.

      Ескерту. 154-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      155. Кіруді бақылау және басқару жүйесі серверлік үй-жайға рұқсатпен кіруді және одан рұқсатпен шығуды қамтамасыз етеді. Кіретін есіктің бөгеу құрылғылары мен құрылысы кіруді сәйкестендіргіштерді кіретін есіктің тамбуры арқылы кері бағытта тапсыру мүмкіндігіне жол бермеуге тиіс.

      Кіруді бақылау және басқару жүйесінің орталық басқару құрылғысы бөгде адамдардың кіруінен қорғалған жеке қызметтік үй-жайларда, күзет постының үй-жайында орнатылады. Жүйе жұмысының режимдеріне ықпал ететін кіруді бақылау және басқару жүйесінің бағдарламалық құралдарына күзет персоналы тарапынан қол жеткізуге жол берілмейді.

      Кіруді бақылау және басқару жүйесін электрмен жабдықтау кезекші жарықтандыру қалқанының бос тобынан жүзеге асырылады. Кіруді бақылау және басқару жүйесі резервтік электр қоректендірумен қамтамасыз етіледі.

      156. Микроклиматты қамтамасыз ету жүйесі ауаны баптау, желдету және микроклиматтың мониторингі жүйелерін қамтиды. Серверлік үй-жайдың микроклиматын қамтамасыз ету жүйесі ғимаратта орнатылған басқа микроклимат жүйелерімен біріктірілмейді.

      Серверлік үй-жайдағы температура 45 %-дан 55 %-ға дейінгі салыстырмалы ылғалдығы кезінде 20 0С-дан 25 0С дейінгі диапазонда ұсталады.

      Ауаны баптау жүйесінің қуаты барлық жабдықтар мен жүйелердің жылу шығару жинағынан артық болу керек. Ауаны баптау жүйесі резервтеумен қамтамасыз етіледі. Серверлік үй-жайдағы ауа баптағыштарды кепілді электрмен қоректендіру жүйесінен немесе үздіксіз электрмен қоректендіру жүйесінен электрмен қоректендіру жүзеге асырылады.

      Желдету жүйесі таза ауаның фильтр арқылы кіруін және қысқы уақытта кіретін ауаны жылытуды қамтамасыз етеді. Серверлік үй-жайдағы ауа қысымы көрші үй-жайлардан ластанған ауаның кіруін болдырмау үшін артық ауамен жасалады. Ауаны тарту және шығару желдету жүйесінің ауа өткізгіштеріне өрт сөндіру жүйесімен басқарылатын қорғау клапандары орнатылады.

      Ауаны баптау және желдету жүйелері өрт дабылының сигналы бойынша автоматты түрде ажыратылады.

      Микроклиматтың мониторингі жүйесі серверлік шкафтардағы және телекоммуникациялық тіреулердегі мынадай климаттық параметрлерді бақылайды:

      ауа температурасы;

      ауа ылғалдығы;

      ауаның тозаңдылығы;

      ауада түтіннің болуы;

      шкафтар есіктерінің ашылуы (жабылуы).

      Ескерту. 156-тармаққа өзгеріс енгізілді – ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      157. Серверлік үй-жайдың күзет дабылы жүйесі ғимараттың қауіпсіздік жүйелерінен бөлек орындалады. Хабарландыру сигналдары тәуліктік күзет үй-жайына жеке пульт түрінде шығарылады. Серверлік үй-жайдың барлық кіру мен шығулары, сондай-ақ серверлік үй-жайдың ішкі көлемі бақылануы және күзетілуі тиіс. Күзет дабылы жүйесінің жеке резервтік қоректендіру көзі болады.

      158. Бейнебақылау жүйесінің камераларын орналастыру барлық серверлік үй-жайға барлық кірулер мен шығулардың, жабдық жанындағы кеңістіктің және өтулердің бақылануын қамтамасыз етуді ескере отырып таңдалады. Камералардың көру бұрышы мен мүмкіндігі адамдарды тануды қамтамасыз етуге тиіс. Камералардағы бейнелер тәуліктік күзет үй-жайына жеке пультқа шығарылады.

      159. Серверлік үй-жайдың өрт дабылы жүйесі ғимараттың өрт дабылынан бөлек орындалады. Серверлік үй-жайда датчиктердің екі түрі орнатылады: температуралық және түтіндік.

      Датчиктер серверлік үй-жайдың жалпы кеңістігін және фальшеденмен және (немесе) фальштөбемен құрылған көлемдерді бақылайды. Өрт дабылы жүйесінің хабарландыру сигналдары тәуліктік күзет үй-жайындағы пультқа шығарылады.

      160. Серверлік үй-жайдың өрт сөндіру жүйесі ғимараттың өрт сөндіру жүйесіне тәуелсіз өртті газбен сөндірудің автоматты қондырғысымен жабдықталады. Өртті газбен сөндірудің автоматты қондырғысында от сөндіргіш ретінде арнайы уытсыз газ пайдаланылады. Ұнтақты және сұйықтық өрт сөндіргіштер пайдаланылмайды. Өртті газбен сөндіру қондырғысы нақты серверлік үй-жайда немесе оның жанында осы мақсатта арнайы жабдықталған шкафта орналастырылады. Өрт сөндіру жүйесі түтін шыққанда іске қосылатын, өртті ерте айқындау датчиктерінен, сондай-ақ үй-жайдан шығу есігінің жанында орналасқан қол датчиктерден іске қосылады. От сөндіргішті шығаруды кешіктіру уақыты 30 с аспайтын уақытты құрайды. Өрт сөндіру жүйесінің іске қосылуы туралы хабарландыру үй-жайдың ішінде және сыртында орнатылатын таблоға шығарылады. Өрт сөндіру жүйесі желдету жүйесінің қорғау клапандарын жабу және жабдықты қоректендіруді ажырату командаларын береді. Өрт сөндіру жүйесімен жабдықталған серверлік үй-жай отты сөндіретін газды жоюға арналған тартып шығару желдетуімен жабдықталады.

      161. Кепілді электрмен қоректендіру жүйесі сыртқы электрмен қоректендірудің түрлі көздерінен ~400/230В кернеуге 50 Гц жиілігімен және дербес генератордан электрмен қоректендірудің екі жолының болуын көздейді. Барлық электр энергиясы көздері негізгі кіру жолында электрмен қоректендіру тоқтатылған, уақытша тоқтатылған кезде электрмен қоректендіру автоматты резервтік кіру жолына ауыстыруды орындайтын резервті енгізу автоматына беріледі. Электрмен қоректендіру желілерінің параметрлері мен тарауларының бөлінуі сервер үй-жайының жабдығы және ішкі жүйелері тұтынатын қуаттың жоспарлы жинағына сүйене отырып айқындалады. Электрмен қоректендіру желілері бес сымды схема бойынша орындалады.

      Кепілді электрмен қоректендіру жүйесі сервер үй-жайының жабдығы мен жүйелерін үздіксіз қоректендіру көздері арқылы электрмен қамтамасыз етуді көздейді. Үздіксіз қоректендіру көздерінің қуаты мен конфигурациясы барлық қоректендірілетін жабдық пен алдағы уақытта дамуға арналған қорды ескере отырып есептеледі. Үздіксіз қоректендіру көздерінен дербес жұмыс істеу уақыты қажеттіліктерді, сондай-ақ резервтік желілерге ауысу үшін қажет уақытты және генераторды жұмыс режиміне қосу уақытын ескере отырып есептеледі.

      162. Серверлік үй-жайдың жерге тұйықтау жүйесі ғимараттың жерге тұйықтау қорғау жүйесінен бөлек орындалады. Серверлік үй-жайдың барлық металл бөліктері мен құрылыстары жерге тұйықтаудың ортақ шинасымен жерге тұйықталады. Жабдығы бар әрбір шкаф (тіреу) ортақ жерге тұйықтау шинасымен қосылатын жеке өткізгішпен жерге тұйықталады. Ақпаратты өңдеу жабдығының ашық ток өткізу бөліктері электр қондырғының басты жерге тұйықтау қысқышына қосылған болуы тиіс.

      Ток кернеуінің ұлғаюынан қорғау құрылғыларын басты жерге тұйықтау шинасымен қосатын жерге тұйықтау өткізгіштері ең қысқа және тік (бұрышы жоқ) болуы тиіс.

      Жерге тұйықтау жүйесін құрған және пайдаланған кезде:

      "Электр энергетикасы туралы" 2004 жылғы 9 шілдедегі Қазақстан Республикасының Заңы 5-бабының 19) тармақшасына сәйкес энергетика саласындағы уәкілетті орган бекіткен Электр қондырғыларын орнату қағидаларын;

      ҚР СТ МЭК 60364-5-548-96 "Ғимараттардың электр қондырғылары. 5-бөлім. Электр жабдығын таңдау және монтаждау". 548-бөлім "Құрылғыларды және ақпаратты өңдеу жабдығы қамтылған электр қондырғыларындағы электр әлеуетін теңестіру жүйелерін жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МЭК 60364-7-707-84 "Ғимараттардың электр қондырғылары. 7-бөлім. Арнайы электр қондырғыларына қойылатын талаптар". 707-бөлім "Ақпаратты өңдеу жабдығын жерге тұйықтау" Қазақстан Республикасының стандартын;

      ҚР СТ МЕМСТ 12.1.030-81 "ЕҚСЖ. Электр қауіпсіздігі. Қорғау жерге тұйықтау, нөлге қою" Қазақстан Республикасының стандартын;

      ҚР СТ МЕМСТ 464-79 "Сымды байланыстың стационарлық құрылғыларына, радиорелелік станцияларға, сымды хабар таратудың радиохабар тарату тораптарына және теледидарды ұжымдық қабылдау антенна жүйелеріне арналған жерге тұйықтау. Кедергі нормалары" Қазақстан Республикасының стандартын басшылыққа алу қажет.

      163. Телекоммуникациялық желілердің бөлу құрылғылары кростық үй-жайда орналастырылады. Кростық үй-жай ол қызмет көрсететін жұмыс аумағының ортасына жақын орналастырылады.

      Кростық үй-жайдың көлемі қызмет көрсетілетін жұмыс аумағы мен орнатылатын жабдықтың көлеміне қарай таңдалады.

      Кростық үй-жайлар мынадай талаптарға сәйкес болуы қажет:

      жабдыққа қызмет көрсету үшін бос қызметтік өтетін жолдың болуы;

      электромагниттік кедергілердің қуатты көздерінің (трансформаторлар, электр қалқандары, электр қозғалтқыштар және басқалары) болмауы;

      сумен жабдықтау жүйесінің бұрандалары мен құбырларының болмауы;

      өрт қауіпсіздігі жүйесінің болуы;

      жеңіл жанатын материалдардың (ағаш сөрелер, картон, кітаптар және басқалары) болмауы;

      жоба бойынша шкафты қосу үшін автоматтан бөлек жеке электр қуатталу желісінің болуы;

      сигнализациялық күзет жүйесінің, кіруді бақылау жүйесінің болуы;

      ауа баптау жүйесінің болуы.

      Ескерту. Талаптар 163-тармақпен толықтырылды – ҚР Үкіметінің 18.06.2018 № 355 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

  Қазақстан Республикасы
  Үкiметiнiң
  2016 жылғы 20 желтоқсандағы
  № 832 қаулысына қосымша

Қазақстан Республикасы Үкiметiнiң күшi жойылған кейбiр шешiмдерiнiң тiзбесi

      1. "Қазақстан Республикасында ақпараттық қауіпсiздiкті қамтамасыз ету жөнiндегi кейбiр шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысының 1-тармағының 5) және 6) тармақшалары, 2-1 және 2-2-тармақтары.

      2. "Қазақстан Республикасында ақпараттық қауіпсiздiкті қамтамасыз ету жөнiндегi кейбiр шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысына толықтырулар енгізу туралы" Қазақстан Республикасы Үкіметінің 2013 жылғы 14 наурыздағы № 244 қаулысы.

      3. "Қазақстан Республикасында ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі кейбір шаралар туралы" Қазақстан Республикасы Үкіметінің 2004 жылғы 14 қыркүйектегі № 965 қаулысына өзгеріс енгізу туралы" Қазақстан Республикасы Үкіметінің 2014 жылғы 26 маусымдағы № 706 қаулысы.