ЗҚАИ-ның ескертпесі!
Қолданысқа енгізілу тәртібін 2-тармақтан қараңыз
Қазақстан Республикасының Үкіметi ҚАУЛЫ ЕТЕДІ:
1. Қоса беріліп отырған Қазақстан Республикасы Үкіметінің кейбір шешімдеріне енгізілетін өзгерістер мен толықтырулар бекітілсін.
2. Осы қаулы қоса берілген өзгерістер мен толықтырулардың 5-тармағының 2023 жылғы 1 қаңтардан бастап қолданысқа енгізілетін елуінші абзацын қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
|
Қазақстан Республикасының Премьер-Министрі |
А. Мамин |
| Қазақстан Республикасы Үкіметінің 2020 жылғы 18 қаңтардағы № 12 қаулысымен бекітілген |
Қазақстан Республикасы Үкіметінің кейбір шешімдеріне енгізілетін өзгерістер мен толықтырулар
1. "Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы" Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысында (Қазақстан Республикасының ПҮАЖ-ы, 2013 ж., № 52, 725-құжат):
көрсетілген қаулымен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары осы өзгерiстер мен толықтыруларға 1-қосымшаға сәйкес жаңа редакцияда жазылсын.
2. "Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларын бекіту туралы" Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 қаулысында (Қазақстан Республикасының ПҮАЖ-ы, 2013 ж., № 65, 884-құжат):
көрсетілген қаулымен бекітілген Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары осы өзгерiстер мен толықтыруларға 2-қосымшаға сәйкес жаңа редакцияда жазылсын.
3. "Ақпараттық-коммуникациялық инфрақұрылым объектілерін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызу қағидалары мен өлшемшарттарын бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 8 қыркүйектегі № 529 қаулысында (Қазақстан Республикасының ПҮАЖ-ы, 2016 ж., № 48, 306-құжат):
көрсетілген қаулымен бекітілген Ақпараттық-коммуникациялық инфрақұрылым объектілерін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызу қағидаларында:
2-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:
"4) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері (бұдан әрі – АҚИАМО) – жұмыс істеуінің бұзылуы немесе тоқтауы әлеуметтік және (немесе) техногендік сипаттағы төтенше жағдайға немесе қорғаныс, қауіпсіздік, халықаралық қатынастар, экономика, шаруашылықтың жекелеген салалары үшін немесе тиісті аумақта тұратын халықтың тыныс-тіршілігі үшін, оның ішінде: жылумен жабдықтау, электрмен жабдықтау, газбен жабдықтау, сумен жабдықтау, өнеркәсіп, денсаулық сақтау, байланыс, банк саласы, көлік, гидротехникалық құрылыстар, құқық қорғау қызметі, "электрондық үкімет" инфрақұрылымы үшін едәуір теріс салдарға алып келетін ақпараттық-коммуникациялық инфрақұрылым объектілері.";
7 және 8-тармақтар мынадай редакцияда жазылсын:
"7. Комиссия ұсынылған ұсыныстарды, құжаттар мен материалдарды қарап, мынадай:
1) ақпараттық-коммуникациялық инфрақұрылым объектісін тізбеге енгізу туралы;
2) ақпараттық-коммуникациялық инфрақұрылым объектісін тізбеге енгізу туралы өтінімді қабылдамау туралы;
3) осы Қағидалардың 11-тармағында көзделген ақпараттық-коммуникациялық инфрақұрылым объектісін аса маңызды ақпараттық-коммуникациялық инфрақұрылым тізбесінен алып тастау туралы ұсыным шығарады.
8. Комиссияның ұсынымы мынадай мәліметтерді қамтуға тиіс хаттамамен ресімделеді:
1) отырыстың өткізілген күні мен орны;
2) комиссияның құрамы;
3) қаралған өтінімдердің саны;
4) белгіленген өлшемшарттарға сәйкестігі не сәйкессіздігі негізделген әрбір ақпараттық-коммуникациялық инфрақұрылым объектісі бойынша комиссияның ұсынымы.";
10-тармақ мынадай редакцияда жазылсын:
"10. Уәкілетті орган комиссия хаттамасының негізінде мына үш шешімнің бірін қабылдайды:
1) ақпараттық-коммуникациялық инфрақұрылым объектісін тізбеге енгізу туралы;
2) ақпараттық-коммуникациялық инфрақұрылым объектісін тізбеге енгізу туралы өтінімді қабылдамау туралы;
3) ақпараттық-коммуникациялық инфрақұрылым объектісін аса маңызды ақпараттық-коммуникациялық инфрақұрылым тізбесінен алып тастау туралы.
Уәкілетті орган тізбені қалыптастырады және жыл сайын, 1 шілдеден кешіктірмей заңнамада белгіленген тәртіппен Қазақстан Республикасының Үкіметіне бекітуге енгізеді. Тізбеге комиссияның хаттамасы және орталық мемлекеттік және жергілікті атқарушы органдардың, стратегиялық объектілер, аса маңызды мемлекеттік объектілер, стратегиялық маңызы бар экономика салаларының объектілері иелерінің (иеленушілерінің) өтінімдері қоса беріледі.".
4. "Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы" Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысында (Қазақстан Республикасының ПҮАЖ-ы, 2016 ж., № 65, 428-құжат):
көрсетілген қаулымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарда:
бүкіл мәтін бойынша "локальдық желі", "локальдық желінің", "оқшау желі", "оқшау желісінің" деген сөздер тиісінше "жергілікті желі", "жергілікті желінің", "жергілікті желісінің" деген сөздермен ауыстырылсын;
3-тармақ мынадай редакцияда жазылсын:
"3. БТ ережелері:
1) Қазақстан Республикасының Ұлттық Банкі мен оның құрылымына кіретін ұйымдар интернет-ресурстарды, "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерді, жергілікті желілерді және телекоммуникациялар желілерін құру немесе дамыту, пайдалану бойынша жұмыстарды жүзеге асырған кезде, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді сатып алуды жүргізген кезде туындайтын қатынастарға;
2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалып орындалған ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе президенттік, үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілеріне;
3) қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган Қазақстан Республикасы Ұлттық Банкінің "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерімен интеграцияланатын ақпараттық жүйелерді құру немесе дамыту жөніндегі жұмыстарды жүзеге асырған кезде туындайтын қатынастарға;
4) осындай ережелерді орындау "Қазақстан Республикасындағы банктер және банк қызметі туралы" ҚР Заңының 50-бабының 4-тармағын бұзуға әкеп соғатын жағдайларда ұйымдарда қолданылмайды.";
5-тармақтың 3) тармақшасы мынадай редакцияда жазылсын:
"3) ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттерін біріздендіру жөніндегі талаптарды белгілеу;";
17) тармақша мынадай редакцияда жазылсын:
"17) сыртқы шеңбердің жергілікті желісі (бұдан әрі – сыртқы шеңбердің ЖЖ) – уәкілетті орган айқындаған ақпараттандыру субъектілерінің жергілікті желісі, ол ақпараттандыру субъектілерінің телекоммуникациялық желісінің сыртқы шеңберіне жатқызылған, байланыс операторлары ақпараттандыру субъектілері үшін қолжетімділікті Интернетке қолжетімділіктің бірыңғай шлюзі арқылы ғана ұсынатын Интернетке қосылған;";
23) тармақша мынадай редакцияда жазылсын:
"23) ішкі шеңбердің жергілікті желісі (бұдан әрі – ішкі шеңбердің ЖЖ) – уәкілетті орган айқындаған ақпараттандыру субъектілерінің жергілікті желісі, ол ақпараттандыру субъектілерінің телекоммуникациялық желісінің ішкі шеңберіне жатқызылған, мемлекеттік органдардың бірыңғай көліктік ортасына қосылған;";
мынадай мазмұндағы 26) және 27) тармақшалармен толықтырылсын:
"26) желіаралық экран – ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылау мен сүзуді жүзеге асыратын ақпараттық-бағдарламалық немесе бағдарламалық кешен;
27) уәкілетті орган айқындаған ақпараттандыру субъектілері – жергілікті (Интернетке қолжетімділігі бар жергілікті желілерді қоспағанда), ведомстволық және корпоративтік желілердің өзара іс-қимыл жасауын қамтамасыз ету үшін мемлекеттік органдардың бірыңғай көліктік ортасын пайдаланатын мемлекеттік органдар, олардың ведомстволық бағынысты ұйымдары мен жергілікті өзін-өзі басқару органдары, сондай-ақ өзге де ақпараттандыру субъектілері.";
7-тармақ мынадай мазмұндағы 18) тармақшамен толықтырылсын:
"18) АС – уәкілетті орган айқындайтын ақпараттандыру субъектілері.";
8-тармақ мынадай редакцияда жазылсын:
"8. МО ақпараттандыру Заңның 23 және 24-баптарында көзделген тәртіппен әзірленетін және бекітілетін МО архитектурасына, ал ол болмаған жағдайда – ақпараттандыру саласындағы уәкілетті органмен (бұдан әрі – уәкілетті орган) келісілген автоматтандыру қажеттігі туралы мемлекеттік органның шешімі негізінде жүзеге асырылады.
Мемлекеттік органдар әлеуетті өнім берушілерді тарту, "электрондық үкімет" ақпараттандыру объектісінің техникалық-экономикалық, пайдалану және өзге де сипаттамаларын нақтылау мақсатында жоспарланатын қызметті автоматтандыруды жария талқылауды қамтамасыз етеді.
Жоспарланатын қызметті автоматтандыруды жария талқылау "электрондық үкіметтің" архитектуралық порталында (бұдан әрі – архитектуралық портал) жүзеге асырылады.
Жоспарланатын автоматтандыруды жария талқылауға арналған мерзім олар архитектуралық порталда орналастырылған күннен бастап күнтізбелік он күннен кем болмауы тиіс.
Мемлекеттік органдар жоспарланатын автоматтандыруды жария талқылау шеңберінде келіп түскен ұсыныстарды қарайды және ұсыныстарды қабылдау туралы не қабылдамау туралы негіздерді көрсетіп, оларды қабылдамау туралы шешім қабылдайды.
Жоспарланатын автоматтандыруды жария талқылау мерзімі аяқталған соң келіп түскен ұсыныстарды қарау нәтижелеріне сәйкес архитектуралық порталда жоспарланатын автоматтандыруды жария талқылаудың аяқталуы туралы есеп (бұдан әрі – есеп) қалыптастырылады және жарияланады.
Есеп "электрондық үкімет" ақпараттандыру объектісінің техникалық-экономикалық, пайдалану және өзге де сипаттамаларын нақтылау, мемлекеттік органның қызметін автоматтандыруды іске асыру тетігін таңдау үшін негіз болып табылады.
Мемлекеттік орган есепті қоса бере отырып, қызметті автоматтандыру қажеттігі туралы сұрау салуды (бұдан әрі – сұрау салу) уәкілетті органға келісуге жібереді.
Уәкілетті орган мемлекеттік органның сұрау салуына талдау жүргізу үшін "электрондық үкіметтің" сервистік интеграторын (бұдан әрі – сервистік интегратор) тартады.
Сервистік интегратор қорытындысының негізінде уәкілетті орган мемлекеттік органның қызметін автоматтандыруды келіседі не келісуден бас тартады.";
13-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:
"1) бюджеттік бағдарламалар әкімшілері ұсынған ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді мемлекеттік сатып алуға арналған шығыстардың есеп-қисабына ақпараттандыру саласындағы уәкілетті органның қорытындысы болған кезде сатып алу;";
17-тармақ мынадай редакцияда жазылсын:
"17. МО-ның және ЖАО-ның біріздендірілген жұмыс орнына немесе терминалды жүйесіне, сондай-ақ ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттеріне қойылатын талаптарды уәкілетті орган бекітеді.";
мынадай мазмұндағы 17-1-тармақпен толықтырылсын:
"17-1. МО-ның және ЖАО-ның жұмыс орнының немесе терминалды жүйесінің уәкілетті орган бекіткен МО-ның және ЖАО-ның үйлестірілген жұмыс орнына немесе терминалды жүйесіне қойылатын талаптарға сәйкес болуы қамтамасыз етіледі.
Талаптар қажеттілігіне қарай жаңартылады және өзектілендіріледі.";
20-тармақтың 2) тармақшасы мынадай редакцияда жазылсын:
"2) тұрақты негізде конфигурацияларын, сондай-ақ бірегей сәйкестендіруші деректері бар электрондық ақпарат тасығыштарды тексере отырып, жұмыс станцияларын есепке алу жүргізіледі;";
29 және 30-тармақтар мынадай редакцияда жазылсын:
"29. МО-да, ЖАО-да немесе ұйымда АҚ ұйымдастыру, қамтамасыз ету және басқару кезінде "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпаратты қорғауды басқару құралдары бойынша ережелер жинағы" Қазақстан Республикасының ҚР СТ ISO/IEC 27005-2015 стандартының ережелерін басшылыққа алу қажет.
30. АҚ қамтамасыз ету саласындағы жауапкершіліктің және функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшау құрылымдық бөлімше болып табылатын АҚ бөлімшесі құрылады немесе АҚ-ны қамтамасыз етуге жауапты лауазымды адам белгіленеді.
АҚ қамтамасыз етуге жауапты қызметкерлер АҚ қамтамасыз ету саласында сертификат берілетін мамандандырылған курстардан кемінде үш жылда бір рет өтеді.";
мынадай мазмұндағы 32-1-тармақпен толықтырылсын:
"32-1. АҚ саясатының талаптарын нақтылайтын қаржы ұйымының ішкі құжаттарының тізбесі қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның қаржы ұйымдарының ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметін реттейтін нормативтік құқықтық актілеріне сәйкес айқындалады.";
37-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:
"4) ҚР СТ ISO/IEC 27005-2013 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті" Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын АҚ қатерлері (тәуекелдері) каталогын қалыптастыру;";
45-тармақ мынадай редакцияда жазылсын:
"45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР СТ ISO/IEC 15408-2017 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан Республикасы стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.";
мынадай мазмұндағы 50-1-тармақпен толықтырылсын:
"50-1. Мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын мемлекеттік емес ақпараттық жүйелердің меншік иелері немесе иеленушісі мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланғанға дейін ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардың ақпараттық қауіпсіздігінің жедел орталығының көрсетілетін қызметтерін сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.
Мемлекеттік органдарды, жергілікті өзін-өзі басқару органдарын, мемлекеттік заңды тұлғаларды, квазимемлекеттік сектор субъектілерін қоспағанда, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері немесе иеленушілері ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің тізбесіне енгізілген күннен бастап бір жыл ішінде ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес ақпараттық қауіпсіздіктің жедел орталығының көрсетілетін қызметтерін үшінші тұлғалардан сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.";
54 және 54-1-тармақтар мынадай редакцияда жазылсын:
"54. Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде:
зиянды кодты анықтау мен алдын алу;
АҚ инциденттері мен оқиғаларын мониторингтеу және басқару;
басып кіруді анықтау және алдын алу;
ақпараттық инфрақұрылымды мониторингтеу және басқару құралдары мен жүйелері пайдаланылады.
54-1. Ақпараттандыру объектілерін қорғау үшін деректердің тарап кетуінің алдын алу жүйелерін (DLP), оның ішінде "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" ҚР СТ ISO/IEC 15408-2-2017 стандартына сәйкес СДБ 4-тен төмен емес бағалық сенім деңгейіне сәйкес келетін, оның ішінде отандық әзірлемелерді қолдануға жол беріледі.
Бұл ретте:
іс-әрекеттерге жүргізілетін бақылау туралы пайдаланушыға визуалды хабарлау;
пайдаланушының іс-әрекеттеріне бақылауды жүзеге асыру үшін оның жазбаша келісімін алу;
басқару орталығын және деректердің таралуын болдырмау жүйесін жергілікті желі шегінде орналастыру қамтамасыз етіледі.";
мынадай мазмұндағы 56-1-тармақпен толықтырылсын:
"56-1. Заңмен қорғалатын құпияны қамтитын деректерді өңдейтін ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің иесі ақпараттық қауіпсіздікке жылына кемінде бір рет аудит жүргізеді. Екінші деңгейдегі банктердің ақпараттық қауіпсіздігінің аудиті Қазақстан Республикасының банк заңнамасының талаптарына сәйкес жүргізіледі.";
мынадай мазмұндағы 62-1 және 62-2-тармақтармен толықтырылсын:
"62-1. .KZ және (немесе) .ҚАЗ домендік атымен тіркелген интернет-ресурс Қазақстан Республикасының аумағында орналасқан аппараттық-бағдарламалық кешенде орналастырылады.
62-2. Интернет-ресурстармен деректерді беру кезінде Интернеттің қазақстандық сегментінің кеңістігінде .KZ және (немесе) .ҚАЗ домендік аттарын пайдалану қауіпсіздік сертификаттарын қолдану арқылы жүзеге асырылады.";
85-тармақ мынадай редакцияда жазылсын:
"85. МО немесе ЖАО АЖ тәжірибелік пайдалану мыналарды қамтиды:
тәжірибелік пайдалануды жүргізу рәсімдерін құжаттау;
анықталған ақаулар мен кемшіліктерді кейіннен түзете отырып, оларды оңтайландыру және жою;
АЖ тәжірибелік пайдалануды аяқтау актісін ресімдеу;
тәжірибелік пайдалануды жүргізу мерзімі бір жылдан аспауға тиіс.";
мынадай мазмұндағы 85-1-тармақпен толықтырылсын:
"85-1. "Электрондық үкімет" ақпараттандыру объектісін ендіру Қазақстан Республикасының аумағында қолданылатын стандарттарға сәйкес іске асырылады.";
мынадай мазмұндағы 92-3-тармақпен толықтырылсын:
"92-3. Мемлекеттік органдардың ақпараттық жүйелерінің меншік иелері мен иеленушілері ақпараттық қауіпсіздіктің жеке жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардың ақпараттық қауіпсіздігінің жедел орталығының қызметтерін сатып алады, сондай-ақ оның Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.";
128-тармақ мынадай редакцияда жазылсын:
"128. АҚ-ны қамтамасыз ету мақсатында:
1) жергілікті желілерді біріктіретін бөлінген байланыс арнасын ұйымдастырған кезде ақпаратты АКҚҚ-ны пайдалана отырып, ақпаратты қорғаудың бағдарламалық-техникалық, оның ішінде криптографиялық шифрлау құралдары пайдаланылады;
2) бөлінген байланыс арнасы жергілікті желіге жазылған маршруттау қағидалары мен қауіпсіздік саясаттары бар шектес шлюз арқылы қосылады. Шектес шлюз мынадай ең аз функциялар жинағын қамтамасыз етеді:
желі тораптарын орталықтан авторландыру;
әкімшілердің артықшылық деңгейлерін конфигурациялау;
әкімшілердің іс-қимылын хаттамалау;
желілік мекенжайларды статикалық трансляциялау;
желілік шабуылдардан қорғау;
физикалық және логикалық порттардың жай-күйін бақылау;
әрбір интерфейстегі кіріс және шығыс пакеттерді фильтрлеу;
АКҚҚ пайдалана отырып жіберілетін трафикті криптографиялық қорғау;
3) ведомстволық (корпоративтік) телекоммуникациялар желісін және АС-тің жергілікті желілерін өзара қосқан кезде мыналар пайдаланылады:
ақпараттық ағындарды бөлу және оқшаулау құралдары;
АҚ-ны және қауіпсіз басқаруды қамтамасыз ететін компоненттері бар жабдық;
бөлінген және МО БКО периметрін қорғау мақсатында әрбір қосылу нүктесінде орнатылған және қол жеткізу жабдығымен интеграцияланған желіаралық экрандар;
4) ведомстволық (корпоративтік) телекоммуникациялық және жергілікті желілерді ИҚБШ арқылы Интернетке қосқан кезде МО, ЖАО, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілерінің, сондай-ақ ИКИ аса маңызды объектілерінің иелері АКИ операторының немесе ИҚБШ жабдығында резервтелген байланыс арналары бар басқа байланыс операторының көрсетілетін қызметтерін пайдаланады.
Ведомстволық (корпоративтік) телекоммуникация желісін және жергілікті желілерді ИҚБШ арқылы Интернетке қосу ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен Интернетке қолжетімділіктің бірыңғай шлюзінің жұмыс істеу қағидаларына сәйкес жүзеге асырылады;
5) МО-ның, ЖАО-ның қызметшілері мен мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, сондай-ақ АКИ өте маңызды объектілері иелерінің жұмыскерлері өздерінің қызметтік міндеттерін орындаған кезде жедел ақпарат алмасуды (қызметтік хат алмасуды) электрондық нысанда жүзеге асыру үшін:
ведомстволық электрондық поштаны, лездік хабарламалар қызметін және өзге де сервистерді;
егер уәкілетті орган өзгеше белгілемесе, басқару орталықтары мен серверлері физикалық тұрғыдан Қазақстан Республикасының аумағында орналасқан электрондық поштаны, лездік хабарламалар қызметін және өзге де сервистерді пайдаланады;
6) МО-ның және ЖАО-ның ведомстволық электрондық поштасының сыртқы электрондық пошта жүйелерімен өзара іс-қимыл жасауы электрондық поштаның бірыңғай шлюзі арқылы ғана жүзеге асырылады;
7) МО-ның, ЖАО-ның қызметшілері мен мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, сондай-ақ АКИ аса маңызды объектілері иелерінің жұмыскерлері сыртқы шеңбердің ЖЖ-дан ИР-ға қол жеткізуді ЕБҚ болып табылатын және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекіткен ИҚБШ жұмыс істеу қағидаларының талаптарына сәйкес келетін веб-шолушыны пайдалана отырып, ИҚБШ арқылы ғана жүзеге асырады.";
129-тармақ мынадай редакцияда жазылсын:
"129. АС-ні МО БКО-ға қосу уәкілетті орган айқындайтын МО БКО-ға қосу және интернет-ресурсқа МО БКО арқылы қол жеткізуге рұқсат беру қағидаларына сәйкес жүзеге асырылады.";
131-тармақ мынадай редакцияда жазылсын:
"131. Осы БТ-ның 48-тармағына сәйкес ЭҮ АКИ операторы ұйымдастырған АКҚҚ пайдаланылатын МО БКО сымсыз байланыс арналарын қоспағанда, МО БКО-ға, АС-нің жергілікті желісіне, сондай-ақ МО БКО, АС-нің жергілікті желісінің құрамына кіретін техникалық құралдарға сымсыз желілер арқылы қашықтан қол жеткізуді, сымсыз қолжетімділікті ұйымдастыруға арналған құралдарды, модемдерді, радиомодемдерді, ұялы байланыс операторларының желілік модемдерін, ұялы байланыстың абоненттік құрылғыларын және басқа да сымсыз желілік құрылғыларды қосуға жол берілмейді.";
мынадай мазмұндағы 131-1-тармақпен толықтырылсын:
"131-1. МО немесе ЖАО қабылдаған АҚ саясатымен рұқсат етілмеген ұялы байланыстың абоненттік құрылғыларын, ұялы байланыс операторлары желілерінің модемдерін, сондай-ақ ақпараттың электрондық жеткізгіштерін қосуды бақылауды жүзеге асыру қажет.";
132-тармақ мынадай редакцияда жазылсын:
"132. ЭҮ АКИ операторы АС өтінімдері бойынша:
МО БКО-ға қосылған АС жергілікті желілерінің IP-мекенжайларын АС өтінімдері бойынша бөлуді, тіркеуді және қайта тіркеуді;
АС өтінімдері бойынша Интернеттің домендік аймақтарында gov.kz және мем.қаз домендік аттарын тіркеуді;
АС өтінімдері бойынша домендік аттарды МО БКО-да тіркеуді;
МО БКО желісінде DNS сервисін ұсынуды жүзеге асырады.";
133-тармақтың 3) тармақшасындағы "қолдану үшін жібереді." деген сөздер "қолдану үшін;" деген сөздермен ауыстырылып, мынадай мазмұндағы 4) тармақшамен толықтырылсын:
"4) VPN-арналарды ұйымдастыруға өндірістік қажеттілік болған жағдайда мемлекеттік техникалық қызметке ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісілген, талап етілетін VPN-арналар бойынша техникалық ақпаратты (дереккөздің және тағайындаудың IP-мекенжайлары, порттар, хаттама) жібереді.";
мынадай мазмұндағы 133-1-тармақпен толықтырылсын:
"133-1. МО немесе ЖАО ЖЖ-ның сыртқы шеңберінде орналасқан ақпараттандыру объектілерінде МО немесе ЖАО ЖЖ-ның сыртқы шеңберінен тыс қашықтан басқару үшін бағдарламалық немесе техникалық құралдарды орнатуға және қолдануға жол берілмейді.";
134-тармақ алып тасталсын;
мынадай мазмұндағы 134-1 және 134-2-тармақтармен толықтырылсын:
"134-1. Мемлекеттік техникалық қызмет ИҚБШ жабдықтарында ИР мен БҚ-ның мына санаттарын бұғаттау саясатын қолданады (әдеттегідей):
- VPN;
- қашықтан кіру;
- p2p;
- ойын ресурстары;
- ИР және БҚ санаттарының тізбесіне әдеттегідей кірмейтін белгісіз қосымшалар;
- зиян келтіретін ИР және БҚ.
134-2. 134-1-тармақта көрсетілген ИР және БЖ жекелеген санаттарын бұғатталудан босату мүмкіндігін мемлекеттік техникалық қызмет МО-дан, ЖАО-дан, мемлекеттік ұйымдардан, квазимемлекеттік сектор субъектілерінен, сондай-ақ АКИ аса маңызды объектілерінің иелерінен түскен ресми сұрау салу негізінде қарайды.";
139-тармақ мынадай редакцияда жазылсын:
"139. АҚ-ны қамтамасыз ету үшін:
1) жергілікті желінің кабельдік жүйесінің пайдаланылмайтын порттары белсенді жабдықтан физикалық ажыратылады;
2) мынадай қағидалар қамтылған АҚ ТҚ әзірленеді және бекітіледі:
желілер мен көрсетілетін желі қызметтерін пайдалану;
халықаралық (аумақтық) деректерді беру желілеріне қосылу;
Интернетке және (немесе) телекоммуникация желілеріне, халықаралық (аумақтық) деректерді беру желілеріне шығатын байланыс желілеріне қосылу;
желілік ресурстарға сымсыз қолжетімділікті пайдалану;
3) таратылуы шектелген қызметтік ақпарат, құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР ақпараты қорғалмаған сымды байланыс арналары мен тиісті АКҚҚ-мен жабдықталмаған радиоарналар арқылы берілмейді.
Таратылуы шектелген қызметтік ақпаратты беру Қазақстан Республикасының Үкіметі белгілеген Мәліметтерді таратылуы шектелген қызметтік ақпаратқа жатқызу және олармен жұмыс істеу қағидаларына сәйкес таратылуы шектелген ақпаратты қорғау жөніндегі арнайы талаптарды сақтай отырып жүргізіледі;
4) мынадай құралдар пайдаланылады:
пайдаланушыларды сәйкестендіру, аутентификациялау мен қолжетімділікті басқару;
жабдықты сәйкестендіру;
диагностикалық және конфигурациялық порттарды қорғау;
жергілікті желіні физикалық сегменттеу;
жергілікті желіні логикалық сегменттеу;
желілік қосылуды басқару;
желіаралық экрандау;
жергілікті желінің ішкі мекенжайлық кеңістігін жасыру;
деректердің, хабарламалар мен конфигурациялардың тұтастығын бақылау;
осы БТ-ның 48-тармағына сәйкес ақпаратты криптографиялық қорғау;
деректерді беру арналарын және желілік жабдықты физикалық қорғау;
АҚ оқиғаларын тіркеу;
желілік трафикті мониторингтеу мен талдау;
желіні басқару;
5) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, МО-ның, сондай-ақ ЖАО-ның жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;
6) арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілерін қоспағанда, орталық атқарушы мемлекеттік орган мен оның аумақтық бөлімшелерінің жергілікті желілерінің өзара іс-қимыл жасауы МО БКО арқылы ғана жүзеге асырылады;
7) шетелде орналасқан Қазақстан Республикасының мекемелері үшін осы БТ 48-тармағына сәйкес АКҚҚ-ны пайдалана отырып ұйымдастырылған байланыс арналарын қоспағанда, АС ішкі шеңберінің ЛЖ және сыртқы шеңберінің ЖЖ өзара түйіндесуіне жол берілмейді;
8) АС-нің ішкі шеңберінің ЖЖ Интернетке қосуға жол берілмейді;
9) АС-нің сыртқы шеңберінің ЖЖ Интернетке қосу ИҚБШ арқылы ғана жүзеге асырылады. Арнаулы және құқық қорғау МО-лардың жедел мақсаттарда қосылуын қоспағанда, Интернетке өзге тәсілмен қосылуға жол берілмейді. ЭҮСШ-ның Интернетпен өзара іс-қимыл жасауы ИҚБШ арқылы жүзеге асырылады;
10) ақпараттық өзара іс-қимылды Интернет арқылы іске асыратын АС АЖ АС-нің сыртқы шеңберінің бөлінген ЖЖ сегментінде орналастырылады және АС-нің ішкі шеңберінің ЖЖ орналастырылған АС-нің АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы жүзеге асырылады;
11) Интернетте орналастырылған АЖ-лардың АС-нің ішкі шеңберінің ЖЖ орналастырылған АС-нің АЖ-мен өзара іс-қимыл жасауы ЭҮСШ арқылы ғана жүзеге асырылады;
12) жоғары деңгейдегі уақыт көзі инфрақұрылымының серверлері үйлестірілген әлемдік UTC (kz) уақытының ұлттық шәкілін білдіретін уақыт пен жиілік эталонымен үндестіріледі.
Дәл уақыт инфрақұрылымының серверлері жоғары деңгейдегі дәл уақыт инфрақұрылымының серверімен үндестіріледі.
Дәл уақыт инфрақұрылымының серверлері клиенттерге уақытты үндестіру үшін қол жеткізуге мүмкіндік береді;
13) пайдаланылмайтын ашық желілік порттар ажыратылады.".
5. "Қазақстан Республикасының мемлекеттік басқару жүйесін одан әрі жетілдіру жөніндегі шаралар туралы" Қазақстан Республикасы Президентінің 2019 жылғы 17 маусымдағы № 24 Жарлығын іске асыру жөніндегі шаралар туралы" Қазақстан Республикасы Үкіметінің 2019 жылғы 12 шілдедегі № 501 қаулысында (Қазақстан Республикасының ПҮАЖ-ы, 2019 ж., № 29, 248-құжат):
көрсетілген қаулымен бекітілген Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ережеде:
1-тармақ мынадай редакцияда жазылсын:
"1. Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі (бұдан әрі – Министрлік) аэроғарыш және электрондық өнеркәсіп салаларында, инновациялық қызмет, елдің ғылыми-техникалық дамуы, геодезия және картография, ақпараттандыру саласындағы ақпараттық қауіпсіздікті қамтамасыз ету саласында, дербес деректер және оларды қорғау саласында басшылық етуді, байланыс, ақпараттандыру, "электрондық үкімет", мемлекеттік қызметтер көрсету аясында мемлекеттік саясатты дамыту салаларында (бұдан әрi – реттелетiн салалар) басшылық етуді жүзеге асыратын Қазақстан Республикасының мемлекеттік органы болып табылады.";
14-тармақ мынадай редакцияда жазылсын:
"14. Министрліктің миссиясы:
реттелетін салаларда тиімді мемлекеттік саясатты қалыптастыру мен жүргізу, сондай-ақ бәсекеге қабілетті аэроғарыш өнеркәсібін, геодезия және картография саласын дамыту, ақпараттандыру саласындағы, дербес деректер және оларды қорғау саласындағы ақпараттық қауіпсіздікті қамтамасыз ету, ақпараттық-коммуникациялық инфрақұрылымды, инновациялық қызметті қалыптастыру және дамуын қамтамасыз ету, елдің ғылыми-техникалық дамуы, байланыс қызметтері нарығының тиімді жұмыс істеуі.";
1) тармақша мынадай редакцияда жазылсын:
"1) реттелетін салаларда тиімді мемлекеттік саясатты қалыптастыру мен жүргізу, сондай-ақ бәсекеге қабілетті аэроғарыш өнеркәсібін дамыту және ақпараттандыру саласындағы ақпараттық қауіпсіздікті қамтамасыз ету, дербес деректер және оларды қорғау саласындағы мемлекеттік саясатты іске асыру, ақпараттық-коммуникациялық инфрақұрылымды, геодезия және картография салаларын қалыптастыру және дамуын қамтамасыз ету, инновациялық қызметті мемлекеттік қолдау, инновациялық қызмет саласындағы жергілікті қамтуды дамыту, елді ғылыми-техникалық дамыту, байланыс қызметтері нарығының тиімді жұмыс істеуі;";
мынадай мазмұндағы 18-1) және 18-2) тармақшалармен толықтырылсын:
"18-1) дербес деректер және оларды қорғау саласындағы мемлекеттік саясатты іске асыруға қатысу;
18-2) инновациялық қызметті мемлекеттік қолдау саласындағы мемлекеттік саясатты қалыптастыруға және іске асыруға қатысу;";
қырық үшінші, қырық сегізінші, елуінші, жүз отыз бесінші, жүз отыз алтыншы, жүз отыз тоғызыншы абзацтар мынадай редакцияда жазылсын:
"Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісу бойынша "электрондық үкімет" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігінің қамтамасыз етілуіне мониторинг жүргізу қағидаларын бекіту;";
"электрондық ақпараттық ресурстарды сақтаудың бірыңғай ұлттық резервтік платформасының жұмыс істеу қағидаларын, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің электрондық ақпараттық ресурстарын резервтік көшірудің мерзімділігін бекіту;";
"ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі қағидаларды бекіту;";
"электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылым операторына бекітілетін "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылым объектілерінің тізбесін бекіту;";
"операторға бекітілетін "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылым объектілерінің тізбесін қалыптастыру қағидаларын бекіту;";
"ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен және Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісу бойынша "электрондық үкімет" ақпараттандыру объектілерін интеграциялау қағидаларын бекіту;";
екі жүз қырық сегізінші абзацтан кейін мынадай мазмұндағы екі жүз қырық тоғызыншы – екі жүз жетпіс бесінші абзацтармен толықтырылсын:
"дербес деректерді қорғау саласындағы уәкілетті органмен келісу бойынша мемлекеттік органдардың функцияларын іске асыруы мақсатында деректерді талдауды жүзеге асыру үшін электрондық ақпараттық ресурстарды жинау, өңдеу, сақтау, беру жөніндегі қағидаларды бекіту;
электрондық өнеркәсіп саласындағы мемлекеттік саясаттың іске асырылуын қамтамасыз ету;
ғылыми-зерттеу және тәжірибелік-конструкторлық жұмыстарды жүргізуді қоса алғанда, электрондық өнеркәсіп саласындағы жобалар мен бағдарламалардың іске асырылуын қамтамасыз ету;
электрондық өнеркәсіп саласындағы салалық сараптаманы жүзеге асыру қағидаларын әзірлеу және бекіту;
электрондық өнеркәсіп саласындағы жобалардың салалық сараптамасын жүзеге асыру;
электрондық өнеркәсіп саласында халықаралық ынтымақтастықты жүзеге асыру және халықаралық ұйымдар мен шет мемлекеттерде Қазақстан Республикасының мүдделерін білдіру;
электрондық өнеркәсіптің сенім білдірілген бағдарламалық қамтылымының және өнімінің тізілімін қалыптастыру және жүргізу қағидаларын, сондай-ақ электрондық өнеркәсіптің сенім білдірілген бағдарламалық қамтылымының және өнімінің тізіліміне электрондық өнеркәсіптің сенім білдірілген бағдарламалық қамтылымын және өнімін енгізу жөніндегі өлшемшарттарды әзірлеу және бекіту;
мемлекеттік органдар мен жергілікті атқарушы органдардың біріздендірілген жұмыс орнына немесе терминалды жүйесіне қойылатын талаптарды, сондай-ақ ақпараттық-коммуникациялық инфрақұрылым объектілерінің құрауыштарын біріздендіру жөніндегі талаптарды бекіту;
көмірсутектерді және уранды өндіру саласындағы уәкілетті органмен бірлесіп, көмірсутектерді және уран өндіру саласындағы цифрландыру жобаларын алдыңғы жылдың қорытындылары бойынша жер қойнауын пайдаланушының көмірсутектерді және уранды өндіру кезеңінде өндіру үшін шеккен шығындарының бір пайызы мөлшерінде қаржыландыру қағидаларын бекіту;
ұлттық басқарушы холдингтермен, ұлттық холдингтермен, ұлттық компаниялармен және олармен үлестес заңды тұлғалармен технологиялық меморандумдар жасасу және сатып алынатын тауарлардың, жұмыстар мен көрсетілетін қызметтердің тізбесін айқындау;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыру саласындағы мемлекеттік саясатты іске асыру;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыруға жәрдемдесудің бюджет қаражаты есебінен қаржыландырылатын, орындалған бағдарламалары бойынша есептерді бекіту;
уәкілетті органға тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыру жөніндегі шараларды іске асыру туралы ақпаратты ұсыну;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыруды әдіснамалық қамтамасыз ету;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыруды ынталандыру жөніндегі шараларды жоспарлау, іске асыру;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыру саласында кадрларды даярлау, қайта даярлау және олардың біліктілігін арттыру жөніндегі бағдарламаны іске асыруға қатысу;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыруға жәрдемдесу бағдарламаларының іске асырылу мониторингін жүзеге асыру;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыру жобаларын қаржыландыру тәртібін әзірлеуге қатысу;
тиісті саладағы ғылыми және (немесе) ғылыми-техникалық қызмет нәтижелерін коммерцияландыру жобаларына сараптама ұйымдастыру және жүргізу тәртібін әзірлеуге қатысу;
цифрлық құжаттар сервисін қолдана отырып, электрондық құжаттарды қалыптастыру, тексеру және пайдалану қағидаларын бекіту;
дербес деректерді қорғау саласындағы уәкілетті органмен келісу бойынша мемлекеттік қызметтер көрсету кезінде биометриялық сәйкестендіру үшін жеке тұлғалардың биометриялық деректерін жинау, өңдеу және сақтау қағидаларын бекіту;
ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісу бойынша куәландырушы орталықта электрондық цифрлық қолтаңбаның жабық кілттерін жасау, пайдалану және сақтау қағидаларын бекіту;
цифрлық майнингті жүзеге асыру жөніндегі қызмет туралы ақпарат беру тәртібін айқындау;
қамтамасыз етілген цифрлық активтерді шығару және олардың айналымы тәртібін айқындау;
Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісу бойынша Интернетке қол жеткізудің бірыңғай шлюзінің және "электрондық үкіметтің" электрондық поштасының бірыңғай шлюзінің жұмыс істеу қағидаларын әзірлеу;
Дербес деректерді жинау, өңдеу қағидаларын бекіту;
ішкі істер органдарымен, денсаулық сақтау, халықты әлеуметтік қорғау саласындағы уәкілетті органдармен және еңбек жөніндегі уәкілетті мемлекеттік органмен бірге Бірыңғай кезекшілік-диспетчерлік "112" қызметі туралы үлгілік ережені, сондай-ақ Бірыңғай кезекшілік-диспетчерлік "112" қызметі мен Қазақстан Республикасының аумағындағы кезекшілік диспетчерлік қызметтердің жұмысын үйлестіру қағидаларын бекіту.";
қырық жетінші, елу екінші, жүз жиырма сегізінші, жүз жиырма тоғызыншы абзацтар мынадай редакцияда жазылсын:
"Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісу бойынша "электрондық үкімет" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мониторингін жүргізу қағидаларын әзірлеу;";
"электрондық ақпараттық ресурстарды сақтаудың бірыңғай ұлттық резервтік платформасының жұмыс істеу қағидаларын, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің электрондық ақпараттық ресурстарын резервтік көшірудің мерзімділігін әзірлеу;";
"электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылым операторына бекітіп берілетін "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымы объектілерінің тізбесін қалыптастыру қағидаларын әзірлеу;
ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен және Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісу бойынша "электрондық үкімет" ақпараттандыру объектілерін интеграциялау қағидаларын әзірлеу;";
жүз алпыс сегізінші абзацтан кейін мынадай мазмұндағы жүз алпыс тоғызыншы – жүз сексенінші абзацтармен толықтырылсын:
"цифрлық құжаттар сервисін қолдана отырып, электрондық құжаттарды қалыптастыру, тексеру және пайдалану қағидаларын әзірлеу;
ақпараттық қауіпсіздік саласындағы уәкілетті органмен келісу бойынша куәландырушы орталықта электрондық цифрлық қолтаңбаның жабық кілттерін жасау, пайдалану және сақтау қағидаларын әзірлеу;
ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі қағидаларды әзірлеу;
қамтамасыз етілген цифрлық активтерді шығару және олардың айналымы тәртібін әзірлеу;
Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісу бойынша Интернетке қол жеткізудің бірыңғай шлюзінің және "электрондық үкімет" электрондық поштасының бірыңғай шлюзінің жұмыс істеу қағидаларын әзірлеу;
меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін әзірлеу;
дербес деректер субъектісі дербес деректер мазмұнының және оларды өңдеу тәсілдерінің оларды өңдеу мақсаттарына сәйкестігі туралы өтініштерін қарау және тиісті шешім қабылдау;
Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын бұзуға жол берген тұлғаларды Қазақстан Республикасының заңдарында белгіленген жауаптылыққа тарту бойынша шаралар қабылдау;
меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан анық емес немесе заңсыз жолмен алынған дербес деректерді нақтылауды, бұғаттауды немесе жоюды талап ету;
субъектілер құқықтарын қорғауды жетілдіруге бағытталған шараларды жүзеге асыру;
дербес деректерді жинау, өңдеу қағидаларын әзірлеу;
Қазақстан Республикасының электрондық құжат және электрондық цифрлық қолтаңба туралы заңнамасының сақталуын мемлекеттік бақылауды жүзеге асыру.".
| Қазақстан Республикасы Үкіметінің кейбір шешімдеріне енгізілетін өзгерістер мен толықтыруларға 1-қосымша |
|
| Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысымен бекітілген |
Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары
1-тарау. Жалпы ережелер
1. Осы Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды іске асыру қағидалары (бұдан әрі – Қағидалар) "Дербес деректер мен оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 4) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін айқындайды.
2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:
1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;
2) дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;
3) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;
4) дербес деректердi жою – жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;
5) дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;
6) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;
7) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
8) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
9) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;
10) дербес деректерді қорғау саласында уәкілетті орган – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;
11) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;
12) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;
13) жалпыға бірдей қолжетімді дербес деректер – Қазақстан Республикасының заңнамасына сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер;
14) қолжетімділігі шектеулі дербес деректер – Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер;
15) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;
16) электрондық ақпараттық ресурстар – электрондық жеткізгіште және ақпараттандыру объектілерінде қамтылған электрондық-цифрлық нысандағы ақпарат.
Осы Қағидаларда пайдаланылатын өзге ұғымдар Заңға және "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңына сәйкес қолданылады.
2-тарау. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібі
3. Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға:
1) дербес деректерге рұқсатсыз қол жеткізудің алдын алуды;
2) егер дербес деректерге рұқсатсыз қол жеткізудің алдын алу мүмкін болмаса, дербес деректерге мұндай рұқсатсыз қол жеткізу фактілерін уақтылы анықтауды;
3) дербес деректерге рұқсатсыз қол жеткізудің қолайсыз салдарын барынша азайтуды қамтамасыз ететін дербес деректерді қорғау жөніндегі қажетті шараларды қолдануға міндетті.
4. Дербес деректерді жинау және өңдеу кезінде оларға рұқсатсыз, оның ішінде кездейсоқ қол жеткізуге мүмкіндік беретін, нәтижесінде дербес деректерді жою, өзгерту, бұғаттау, көшіру, үшінші тұлғаларға рұқсатсыз беру, рұқсатсыз тарату орын алуы мүмкін шарттар мен факторлардың жиынтығы, сондай-ақ өзге де заңсыз іс-әрекеттер дербес деректердің қауіпсіздігіне төнетін қауіп-қатерлер деп түсініледі.
5. Дербес деректерді қорғау:
1) жеке өмірге қолсұғылмаушылық, жеке және отбасы құпиясы құқықтарын іске асыру;
2) олардың тұтастығын және сақталуын қамтамасыз ету;
3) олардың құпиялылығын сақтау;
4) оларға қол жеткізу құқығын іске асыру;
5) оларды заңсыз жинаудың және өңдеудің алдын алу мақсатында шаралар кешенін, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешенін қолдану арқылы жүзеге асырылады.
6. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі міндеттері дербес деректерді жинаған кезден бастап туындайды және олар жойылған не иесіздендірілген кезге дейін күшінде болады.
7. Дербес деректерді қорғауды қамтамасыз ету үшін:
1) дербес деректер қамтылған бизнес-процестерді бөлу;
2) дербес деректерді жалпыға қолжетімді және қолжетімділігі шектеулі деп бөлу;
3) дербес деректерді жинауды және өңдеуді жүзеге асыратын не оларға рұқсаты бар тұлғалардың тізбесін айқындау;
4) егер меншік иесі және (немесе) оператор заңды тұлғалар болып табылған жағдайда, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындау. Дербес деректерді өңдеуді ұйымдастыруға жауапты адамның міндеттері Заңның 25-бабының 3-тармағында көрсетілген. Осы тармақтың 4) тармақшасының күші соттар қызметінде дербес деректерді өңдеуге қолданылмайды;
5) дербес деректерге ол жеткізудің тәртібін белгілеу қажет.
Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде дербес деректерді жеткізгіштердің сақталуында қамтамасыз ету қажет.
8. Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде оларды қорғаудың өзге ерекшеліктері Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.
9. Қолжетімділігі шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор:
1) қолжетімділік шектеулі дербес деректерді өңдеу мақсаттарын белгілейді. Қолжетімділік шектелген дербес деректер декларацияланатын мақсаттарға сәйкес пайдаланылады;
2) қолжетімділік шектеулі дербес деректерді өңдеу, тарату және оларға қол жеткізу тәртібін айқындайды;
3) субъект өтініш берген кезде субъектіге қатысты қолжетімділік шектеулі дербес деректерді бұғаттау тәртібін айқындайды.
Қолжетімділік шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға:
1) қолжетімділік шектеулі дербес деректерге рұқсаты бар адамдардың тізбесін айқындайды;
2) қолжетімділік шектеулі дербес деректерге заңсыз қол жеткізуге байланысты ақпараттық қауіпсіздік инциденттері туралы дербес деректерді қорғау саласындағы уәкілетті органды хабардар етеді;
3) қолжетімділік шектеулі дербес деректерді өңдеуді жүзеге асыратын техникалық құралдарға ақпаратты қорғау құралдарын, бағдарламалық қамтылымның жаңартуларын орнатуды қамтамасыз етеді;
4) базаларды басқару жүйелерінің оқиғаларын журналдауды қамтамасыз етеді;
5) қолжетімділік шектеулі дербес деректерге рұқсаты бар пайдаланушылардың іс-қимылдарын журналдауды қамтамасыз етеді;
6) қолжетімділік шектеулі дербес деректердің тұтастығын бақылау құралдарын қолданады;
7) егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, қолжетімділік шектеулі дербес деректерді өзге тұлғаларға қорғалған байланыс арналары бойынша және (немесе) шифрлауды қолдана отырып және дербес деректер субъектісінің келісімі болған кезде беруді қамтамасыз етеді;
8) қолжетімділік шектеулі дербес деректер қамтылған бизнес-процестерді бөледі;
9) қолжетімділік шектеулі дербес деректердің сенімді сақталуын қамтамасыз ету үшін ақпаратты криптографиялық қорғау құралдарын қолдануды қамтамасыз етеді;
10) қолжетімділік шектеулі дербес деректермен жұмыс жасаған кезде пайдаланушыларды сәйкестендіру және (немесе) аутентификациялау құралдарын қолданады.
10. Қолжетімділік шектеулі дербес деректерді жинау және өңдеу Қазақстан Республикасының аумағында орналасқан ақпараттандыру объектілері арқылы жүзеге асырылады.
Қолжетімділік шектеулі дербес деректерді сақтау және беру ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының стандартына сәйкес қауіпсіздіктің үшінші деңгейінен төмен емес параметрлері бар ақпаратты криптографиялық қорғау құралдарын пайдалану арқылы жүзеге асырылады.
Осы тармақтың талаптары деректерді трансшекаралық беру жағдайларына қолданылмайды.
| Қазақстан Республикасы Үкіметінің кейбір шешімдеріне енгізілетін өзгерістер мен толықтыруларға 2-қосымша |
|
| Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 қаулысымен бекітілген |
Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары
1-тарау. Жалпы ережелер
1. Осы Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 3) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібін белгілейді.
2. Осы Қағидаларда мынадай негiзгi ұғымдар пайдаланылады:
1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;
2) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;
3) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
4) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
5) дербес деректерді қорғау саласында уәкілетті орган – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;
6) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;
7) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға.
2-тарау. Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібі
3. Меншік иесі және (немесе) оператор дербес деректерді жинау және өңдеу басталғанға дейін дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге талдау жүргізеді.
Ағымдағы қызметті жүзеге асыру кезінде меншік иесі және (немесе) оператор дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге жыл сайын қайта талдау жүргізеді, оның негізінде осы Қағидалардың 6-тармағына сәйкес өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне өзгерістер енгізіледі.
4. Жүргізілген талдау негізінде меншік иесі және (немесе) оператор осы Қағидаларға қосымшаға сәйкес нысан бойынша міндеттер шеңберінде оларды жинау және өңдеу мақсаттарын көрсете отырып, өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындайды.
Мақсаттар бірмәнді, заңды болып табылады және меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге сәйкес келеді.
Меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге қатысты мазмұны мен көлемі артық болып табылатын дербес деректер олар жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне енгізілмейді.
5. Өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін меншік иесі және (немесе) оператор бекітеді.
Дербес деректерді қорғау Қазақстан Республикасының Үкіметі бекітетін Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларына сәйкес жүзеге асырылады.
6. Меншік иесі (немесе) оператор ағымдағы қызмет нәтижелері бойынша өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне осы Қағидалардың 3, 4, және 5-тармақтарында көзделген тәртіпке сәйкес өзгерістер мен толықтырулар енгізе алады.
Өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне енгізілген өзгерістер мен толықтырулар олар бекітілген сәттен бастап қолданылады және олар қолданысқа енгізілгенге дейін туындаған қатынастарға қолданылмайды.
7. Меншік иесі және (немесе) оператор өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне қол жеткізуді Қазақстан Республикасының заңнамасында тыйым салынбаған тәсілдермен қамтамасыз етеді.
| Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларына қосымша |
Жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесі
| Р/с № | Міндеттер, оның ішінде функциялар, өкілеттіктер, міндеттер атауы | Жүзеге асырылатын міндет шеңберінде жинау және өңдеу мақсаттары | Белгілі бір мақсат үшін дербес деректердің атауы | Меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге тікелей нұсқаулары бар құжаттарды немесе нормативтік құқықтық актілерді көрсету |
|---|---|---|---|---|