Примечание ИЗПИ!
Порядок введения в действие см. п.2
Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые изменения и дополнения, которые вносятся в некоторые решения Правительства Республики Казахстан.
2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением абзаца пятидесятого пункта 5 прилагаемых изменений и дополнений, который вводится в действие с 1 января 2023 года.
|
Премьер-Министр Республики Казахстан |
А. Мамин |
| Утверждены постановлением Правительства Республики Казахстан от 18 января 2020 года № 12 |
Изменения и дополнения, которые вносятся в некоторые решения Правительства Республики Казахстан
1. В постановлении Правительства Республики Казахстан от 3 сентября 2013 года № 909 "Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных" (САПП Республики Казахстан, 2013 г., № 52, ст. 725):
Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденные указанным постановлением, изложить в новой редакции согласно приложению 1 к настоящим изменениям и дополнениям.
2. В постановлении Правительства Республики Казахстан от 12 ноября 2013 года № 1214 "Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач" (САПП Республики Казахстан, 2013 г., № 65, ст. 884):
Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденные указанным постановлением, изложить в новой редакции согласно приложению 2 к настоящим изменениям и дополнениям.
3. В постановлении Правительства Республики Казахстан от 8 сентября 2016 года № 529 "Об утверждении Правил и критериев отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры" (САПП Республики Казахстан, 2016 г., № 48, ст. 306):
в Правилах отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры, утвержденных указанным постановлением:
подпункт 4) пункта 2 изложить в следующей редакции:
"4) критически важные объекты информационно-коммуникационной инфраструктуры (далее – КВОИКИ) – объекты информационно-коммуникационной инфраструктуры, нарушение или прекращение функционирования которых приводят к чрезвычайной ситуации социального и (или) техногенного характера или значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, "электронного правительства".";
пункты 7 и 8 изложить в следующей редакции:
"7. Комиссия рассматривает представленные предложения, документы, материалы и выносит рекомендацию:
1) о включении объекта информационно-коммуникационной инфраструктуры в перечень;
2) об отклонении заявки о включении объекта информационно-коммуникационной инфраструктуры в перечень;
3) об исключении объекта информационно-коммуникационной инфраструктуры из перечня критически важной информационно-коммуникационной инфраструктуры в соответствии с пунктом 11 настоящих Правил.
8. Рекомендация комиссии оформляется протоколом, в котором должны содержаться следующие сведения:
1) дата и место проведения заседания;
2) состав комиссии;
3) количество рассмотренных заявок;
4) рекомендация комиссии по каждому объекту информационно-коммуникационной инфраструктуры с обоснованием соответствия либо несоответствия установленным критериям.";
пункт 10 изложить в следующей редакции:
"10. Уполномоченный орган на основании протокола комиссии принимает одно из трех решений:
1) о включении объекта информационно-коммуникационной инфраструктуры в перечень;
2) об отклонении заявки о включении объекта информационно-коммуникационной инфраструктуры в перечень;
3) об исключении объекта информационно-коммуникационной инфраструктуры из перечня критически важной информационно-коммуникационной инфраструктуры.
Уполномоченный орган формирует перечень и ежегодно не позднее 1 июля в установленном законодательством порядке вносит его на утверждение в Правительство Республики Казахстан. К перечню прикладываются протокол комиссии и заявки центральных государственных и местных исполнительных органов, собственников (владельцев) стратегических объектов, особо важных государственных объектов, объектов отраслей экономики, имеющих стратегическое значение.".
4. В постановлении Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности" (САПП Республики Казахстан, 2016 г., № 65, ст. 428):
в единых требованиях в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных указанным постановлением:
изменение вносится в текст на казахском языке, текст на русском языке не изменяется;
пункт 3 изложить в следующей редакции:
"3. Положения ЕТ не распространяются на:
1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры "электронного правительства", локальных сетей и сетей телекоммуникаций, а также проведении закупок товаров, работ и услуг в сфере информатизации;
2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или президентской, правительственной, засекреченной, шифрованной и кодированной связи;
3) отношения, возникающие при осуществлении уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций работ по созданию или развитию информационных систем, интегрируемых с информационными системами Национального Банка Республики Казахстан, которые не интегрируются с объектами информационно-коммуникационной инфраструктуры "электронного правительства";
4) организации в случаях, когда исполнение таких положений ведет к нарушению пункта 4 статьи 50 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан".";
подпункт 3) пункта 5 изложить в следующей редакции:
"3) установление требований по унификации компонентов объектов информационно-коммуникационной инфраструктуры;";
в пункте 6:
подпункт 17) изложить в следующей редакции:
"17) локальная сеть внешнего контура (далее – ЛС внешнего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внешнему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с Интернетом, доступ к которому для субъектов информатизации предоставляется операторами связи только через единый шлюз доступа к Интернету;";
подпункт 23) изложить в следующей редакции:
"23) локальная сеть внутреннего контура (далее – ЛС внутреннего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внутреннему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с единой транспортной средой государственных органов;";
дополнить подпунктами 26) и 27) следующего содержания:
"26) межсетевой экран – аппаратно-программный или программный комплекс, функционирующий в информационно-коммуникационной инфраструктуре, осуществляющий контроль и фильтрацию сетевого трафика в соответствии с заданными правилами;
27) субъекты информатизации, определенные уполномоченным органом, – государственные органы, их подведомственные организации и органы местного самоуправления, а также иные субъекты информатизации, использующие единую транспортную среду государственных органов для взаимодействия локальных (за исключением локальных сетей, имеющих доступ к Интернету), ведомственных и корпоративных сетей.";
пункт 7 дополнить подпунктом 18) следующего содержания:
"18) СИ – субъекты информатизации, определенные уполномоченным органом.";
пункт 8 изложить в следующей редакции:
"8. Информатизация ГО осуществляется в соответствии с архитектурой ГО, разрабатываемой и утверждаемой в порядке, предусмотренном статьями 23 и 24 Закона, а в случае ее отсутствия – на основании решения государственного органа о необходимости автоматизации, согласованного с уполномоченным органом в сфере информатизации (далее – уполномоченный орган).
Государственные органы обеспечивают публичное обсуждение планируемой автоматизации деятельности в целях привлечения потенциальных поставщиков, уточнения технико-экономических, эксплуатационных и иных характеристик объекта информатизации "электронного правительства".
Публичное обсуждение планируемой автоматизации деятельности осуществляется на архитектурном портале "электронного правительства" (далее – архитектурный портал).
Срок для публичного обсуждения планируемой автоматизации должен составлять не менее десяти календарных дней с даты размещения на архитектурном портале.
Государственные органы рассматривают предложения, поступившие в рамках публичного обсуждения планируемой автоматизации, и принимают решения о принятии предложений либо их отклонении с указанием оснований для отклонения.
По истечении срока публичного обсуждения планируемой автоматизации в соответствии с результатами рассмотрения поступивших предложений на архитектурном портале формируется и публикуется отчет о завершении публичного обсуждения планируемой автоматизации (далее – отчет).
Отчет является основанием для уточнения технико-экономических, эксплуатационных и иных характеристик объекта информатизации "электронного правительства", выбора механизма реализации автоматизации деятельности государственного органа.
Государственный орган направляет запрос о необходимости автоматизации деятельности (далее – запрос) с приложением отчета в уполномоченный орган на согласование.
Уполномоченный орган для проведения анализа запроса государственного органа привлекает сервисного интегратора "электронного правительства" (далее – сервисный интегратор).
На основании заключения сервисного интегратора уполномоченный орган согласовывает либо отказывает в согласовании автоматизации деятельности государственного органа.";
подпункт 1) пункта 13 изложить в следующей редакции:
"1) закупа, с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчетов расходов на государственные закупки товаров, работ и услуг в сфере информатизации;";
пункт 17 изложить в следующей редакции:
"17. Требования к унифицированному рабочему месту или терминальной системе ГО и МИО, а также компонентам объектов информационно-коммуникационной инфраструктуры утверждаются уполномоченным органом.";
дополнить пунктом 17-1 следующего содержания:
"17-1. Обеспечивается соответствие рабочего места или терминальной системы ГО и МИО требованиям к унифицированному рабочему месту или терминальной системе ГО и МИО, утвержденным уполномоченным органом.
Требования обновляются и актуализируются по мере необходимости.";
подпункт 2) пункта 20 изложить в следующей редакции:
"2) на регулярной основе проводится учет рабочих станций с проверкой конфигурации, а также электронных носителей информации с уникальными идентифицирующими данными;";
пункты 29 и 30 изложить в следующей редакции:
"29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ISO/IEC 27002-2015 "Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации".
30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.
Сотрудники, ответственные за обеспечение ИБ, проходят специализированные курсы в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата.";
дополнить пунктом 32-1 следующего содержания:
"32-1. Перечень внутренних документов финансовой организации, детализирующий требования политики ИБ, определяется в соответствии с нормативными правовыми актами уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций, регулирующими деятельность финансовых организаций по обеспечению информационной безопасности.";
подпункт 4) пункта 37 изложить в следующей редакции:
"4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 27005-2013 "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности".";
пункт 45 изложить в следующей редакции:
"45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее – классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 15408-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".";
дополнить пунктом 50-1 следующего содержания:
"50-1. Собственники или владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов, до интеграции с информационными системами государственных органов создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также взаимодействие его с Национальным координационным центром информационной безопасности.
Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение года со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.";
пункты 54 и 54-1 изложить в следующей редакции:
"54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:
обнаружения и предотвращения вредоносного кода;
мониторинга и управления инцидентами и событиями ИБ;
обнаружения и предотвращения вторжений;
мониторинга и управления информационной инфраструктурой.
54-1. Для защиты объектов информатизации допускается применение системы предотвращения утечки данных (DLP), в том числе отечественной разработки, соответствующих оценочным уровням доверия не ниже ОУД4, согласно СТ РК ISO/IEC 15408-2-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".
При этом, обеспечиваются:
визуальное уведомление пользователя о проводимом контроле действий;
получение письменного согласия пользователя на осуществление контроля его действий;
размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.";
дополнить пунктом 56-1 следующего содержания:
"56-1. Владелец критически важных объектов информационно-коммуникационной инфраструктуры, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раз в год. Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан.";
дополнить пунктами 62-1 и 62-2 следующего содержания:
"62-1. Интернет-ресурс с зарегистрированным доменным именем .KZ и (или) .ҚАЗ размещается на аппаратно-программном комплексе, который расположен на территории Республики Казахстан;
62-2. Использование доменных имен .KZ и (или) .ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных интернет-ресурсами осуществляется с применением сертификатов безопасности.";
пункт 85 изложить в следующей редакции:
"85. Опытная эксплуатация ИС ГО или МИО включает:
документирование процедур проведения опытной эксплуатации;
оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;
оформление акта о завершении опытной эксплуатации ИС;
срок проведения опытной эксплуатации не должен превышать один год.";
дополнить пунктом 85-1 следующего содержания:
"85-1. Внедрение объекта информатизации "электронного правительства" осуществляется в соответствии с действующими на территории Республики Казахстан стандартами.";
дополнить пунктом 92-3 следующего содержания:
"92-3. Собственники и владельцы информационных систем государственного органа создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.";
пункт 128 изложить в следующей редакции:
"128. В целях обеспечения ИБ:
1) при организации выделенного канала связи, объединяющего локальные сети, применяются программно-технические средства защиты информации, в том числе криптографического шифрования, с использованием СКЗИ;
2) выделенный канал связи подключается к локальной сети посредством пограничного шлюза с прописанными правилами маршрутизации и политиками безопасности. Пограничный шлюз обеспечивает следующий минимальный набор функций:
централизованную авторизацию узлов сети;
конфигурацию уровней привилегий администраторов;
протоколирование действий администраторов;
статическую трансляцию сетевых адресов;
защиту от сетевых атак;
контроль состояния физических и логических портов;
фильтрацию входящих и исходящих пакетов на каждом интерфейсе;
криптографическую защиту передаваемого трафика с использованием СКЗИ;
3) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей СИ между собой используются:
средства разделения и изоляции информационных потоков;
оборудование с компонентами, обеспечивающими ИБ и безопасное управление;
выделенные и интегрированные с оборудованием доступа межсетевые экраны, установленные в каждой точке подключения, с целью защиты периметра ЕТС ГО;
4) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ ГО, МИО, государственные юридические лица, субъекты квазигосударственного сектора, а также владельцы критически важных объектов ИКИ используют услуги оператора ИКИ или другого оператора связи, имеющего зарезервированные каналы связи на оборудовании ЕШДИ.
Подключение ведомственной (корпоративной) сети телекоммуникаций и локальных сетей к Интернету через ЕШДИ осуществляется в соответствии с правилами функционирования единого шлюза доступа к Интернету, утвержденными уполномоченным органом в сфере обеспечения информационной безопасности.
5) служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также владельцев критически важных объектов ИКИ для осуществления оперативного информационного обмена (служебной переписки) в электронной форме при исполнении ими служебных обязанностей используют:
ведомственную электронную почту, службу мгновенных сообщений и иные сервисы;
электронную почту, службу мгновенных сообщений и иные сервисы, центры управления и сервера которых физически размещены на территории Республики Казахстан, если иное не установлено уполномоченным органом;
6) взаимодействие ведомственной электронной почты ГО и МИО с внешними электронными почтовыми системами осуществляется только через единый шлюз электронной почты;
7) служащие ГО, МИО и работники государственных юридических лиц, субъектов квазигосударственного сектора, а также владельцев критически важных объектов ИКИ осуществляют доступ к ИР из ЛС внешнего конура только через ЕШДИ с использованием веб-обозревателя, являющегося СПО и соответствующего требованиям правил функционирования ЕШДИ, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности.";
пункт 129 изложить в следующей редакции:
"129. Подключение СИ к ЕТС ГО осуществляется в соответствии с правилами подключения к ЕТС ГО и предоставления доступа к интернет-ресурсу через ЕТС ГО, определяемыми уполномоченным органом.";
пункт 131 изложить в следующей редакции:
"131. Не допускается подключение к ЕТС ГО, локальной сети СИ, а также техническим средствам, входящим в состав ЕТС ГО, локальной сети СИ, устройств для организации удаленного доступа посредством беспроводных сетей, беспроводного доступа, модемов, радиомодемов, модемов сетей операторов сотовой связи, абонентских устройств сотовой связи и других беспроводных сетевых устройств, за исключением организованных оператором ИКИ ЭП беспроводных каналов связи ЕТС ГО, с использованием СКЗИ в соответствии с пунктом 48 настоящих ЕТ.";
дополнить пунктом 131-1 следующего содержания:
"131-1. Необходимо осуществлять контроль подключения абонентских устройств сотовой связи, модемов сетей операторов сотовой связи, а также электронных носителей информации, не разрешенных политикой ИБ, принятой в ГО или МИО.";
пункт 132 изложить в следующей редакции:
"132. Оператор ИКИ ЭП по заявкам СИ осуществляет:
распределение, регистрацию и перерегистрацию IP-адресов локальных сетей СИ, подключенных к ЕТС ГО, по заявкам СИ;
регистрацию доменных имен в доменных зонах Интернета gov.kz и мем.қаз по заявкам СИ;
регистрацию доменных имен в сети ЕТС ГО по заявкам СИ;
предоставление сервиса DNS в сети ЕТС ГО.";
пункт 133 дополнить подпунктом 4) следующего содержания:
"4) направляют в государственную техническую службу, в случае производственной необходимости организации VPN-каналов, техническую информацию по требуемым VPN-каналам (IP-адреса источника и назначения, порты, протокол), согласованную с уполномоченным органом в сфере обеспечения информационной безопасности.";
дополнить пунктом 133-1 следующего содержания:
"133-1. Не допускаются установка и применение на объектах информатизации, размещенных в ЛС внешнего контура ГО или МИО, программных или технических средств для удаленного управления ими извне ЛС внешнего контура ГО или МИО.";
пункт 134 исключить;
дополнить пунктами 134-1 и 134-2 следующего содержания:
"134-1. Государственная техническая служба применяет на оборудовании ЕШДИ политику блокировки следующих категорий ИР и ПО (по умолчанию):
- VPN;
- удаленный доступ;
- p2p;
- игровые ресурсы;
- неизвестные приложения, не входящие по умолчанию в перечень категорий ИР и ПО;
- вредоносные ИР и ПО.
134-2. Возможность разблокировки отдельных категорий ИР и ПО, указанных в пункте 134-1, рассматривается государственной технической службой на основании официального запроса, поступившего от ГО, МИО, государственных организаций, субъектов квазигосударственного сектора, а также владельцев критически важных объектов ИКИ.";
пункт 139 изложить в следующей редакции:
"139. Для обеспечения ИБ:
1) неиспользуемые порты кабельной системы локальной сети физически отключаются от активного оборудования;
2) разрабатывается и утверждается ТД ИБ, включающая правила:
использования сетей и сетевых услуг;
подключения к международным (территориальным) сетям передачи данных;
подключения к Интернету и (или) сетям телекоммуникаций, сетям связи, имеющим выход в международные (территориальные) сети передачи данных;
использования беспроводного доступа к сетевым ресурсам;
3) служебная информация ограниченного распространения, информация конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, не передается по незащищенным проводным каналам связи и радиоканалам, не оборудованным соответствующими СКЗИ.
Передача служебной информации ограниченного распространения производится с соблюдением специальных требований по защите информации ограниченного распространения в соответствии с Правилами отнесения сведений к служебной информации ограниченного распространения и работы с ней, установленными Правительством Республики Казахстан.
4) применяются средства:
идентификации, аутентификации и управления доступом пользователей;
идентификации оборудования;
защиты диагностических и конфигурационных портов;
физического сегментирования локальной сети;
логического сегментирования локальной сети;
управления сетевыми соединениями;
межсетевого экранирования;
сокрытия внутреннего адресного пространства локальной сети;
контроля целостности данных, сообщений и конфигураций;
криптографической защиты информации в соответствии с пунктом 48 настоящих ЕТ;
физической защиты каналов передачи данных и сетевого оборудования;
регистрации событий ИБ;
мониторинга и анализа сетевого трафика;
управления сетью;
5) осуществляется взаимодействие локальных сетей ГО, а также МИО между собой только через ЕТС ГО, за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;
6) осуществляется взаимодействие локальных сетей центрального исполнительного государственного органа и его территориальных подразделений между собой только через ЕТС ГО, за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;
7) исключаются сопряжения ЛС внутреннего контура и ЛС внешнего контура СИ между собой, за исключением организованных каналов связи с использованием СКЗИ, в соответствии с пунктом 48 настоящих ЕТ для учреждений Республики Казахстан, находящихся за границей;
8) исключается подключение ЛС внутреннего контура СИ к Интернету;
9) осуществляется соединение ЛС внешнего контура СИ с Интернетом только через ЕШДИ. Подключение к Интернету иным способом не допускается, за исключением специальных и правоохранительных ГО в оперативных целях. Взаимодействие ВШЭП с Интернетом осуществляется через ЕШДИ.
10) размещаются ИС СИ, реализующие информационное взаимодействие через Интернет, в выделенном сегменте ЛС внешнего контура СИ, и осуществляется взаимодействие с ИС СИ, размещенными в ЛС внутреннего контура СИ, через ВШЭП;
11) осуществляется информационное взаимодействие ИС, размещенных в Интернете, с ИС СИ, размещенными в ЛС внутреннего контура СИ, только через ВШЭП;
12) сервера инфраструктуры источника времени верхнего уровня синхронизируются с эталоном времени и частоты, воспроизводящим национальную шкалу всемирного координированного времени UTC(kz).
Сервера инфраструктуры точного времени синхронизируются с сервером инфраструктуры точного времени верхнего уровня.
Сервера инфраструктуры точного времени предоставляют доступ клиентам для синхронизации времени.
13) отключаются открытые неиспользуемые сетевые порты.".
5. В постановлении Правительства Республики Казахстан от 12 июля 2019 года № 501 "О мерах по реализации Указа Президента Республики Казахстан от 17 июня 2019 года № 24 "О мерах по дальнейшему совершенствованию системы государственного управления Республики Казахстан" (САПП Республики Казахстан, 2019 г., № 29 ст. 248):
в Положении о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденном указанным постановлением:
пункт 1 изложить в следующей редакции:
"1. Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – Министерство) является государственным органом Республики Казахстан, осуществляющим руководство в сферах аэрокосмической и электронной промышленности, в области инновационной деятельности, научно-технического развития страны, геодезии и картографии, обеспечения информационной безопасности в сфере информатизации, в сфере персональных данных и их защиты, руководство в области связи, информатизации, "электронного правительства", развития государственной политики в сфере оказания государственных услуг (далее – регулируемые сферы).";
пункт 14 изложить в следующей редакции:
"14. Миссия Министерства:
формирование и проведение эффективной государственной политики в регулируемых сферах, а также развитие конкурентоспособной аэрокосмической промышленности, отрасли геодезии и картографии, обеспечение информационной безопасности в сфере информатизации, в сфере персональных данных и их защиты, формирование и обеспечение развития информационно-коммуникационной инфраструктуры, инновационной деятельности, научно-технического развития страны, эффективное функционирование рынка услуг связи.";
в пункте 15:
подпункт 1) изложить в следующей редакции:
"1) формирование и проведение эффективной государственной политики в регулируемых сферах, а также развитие конкурентоспособной аэрокосмической промышленности и обеспечение информационной безопасности в сфере информатизации, реализации государственной политики в сфере персональных данных и их защиты, формирование и обеспечение развития информационно-коммуникационной инфраструктуры, отрасли геодезии и картографии, в сфере государственной поддержки инновационной деятельности, развития местного содержания в сфере инновационной деятельности, научно-технического развития страны, эффективное функционирование рынка услуг связи;";
дополнить подпунктами 18-1) и 18-2) следующего содержания:
"18-1) участие в реализации государственной политики в сфере персональных данных и их защиты;
18-2) участие в формировании и реализации государственной политики в сфере государственной поддержки инновационной деятельности;";
в пункте 16:
в подпункте 1):
абзацы сорок третий, сорок восьмой, пятидесятый, сто тридцать пятый, сто тридцать шестой, сто тридцать девятый изложить в следующей редакции:
"утверждение правил проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры по согласованию с Комитетом национальной безопасности Республики Казахстан;";
"утверждение правил функционирования единой национальной резервной платформы хранения электронных информационных ресурсов, периодичность резервного копирования электронных информационных ресурсов критически важных объектов информационно-коммуникационной инфраструктуры;";
"утверждение правил по подтверждению соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности;";
"утверждение перечня объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства";
"утверждение правил формирования перечня объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором;";
"утверждение правил интеграции объектов информатизации "электронного правительства" по согласованию с уполномоченным органом в сфере обеспечения информационной безопасности и Комитетом национальной безопасности Республики Казахстан;";
после абзаца двести сорок восьмого дополнить абзацами двести сорок девятым – двести семьдесят пятым следующего содержания:
"утверждение правил по сбору, обработке, хранению, передаче электронных информационных ресурсов для осуществления аналитики данных в целях реализации функций государственными органами по согласованию с уполномоченным органом в сфере защиты персональных данных;
обеспечение реализации государственной политики в сфере электронной промышленности;
обеспечение реализации проектов и программ в области электронной промышленности, включая проведение научно-исследовательских и опытно-конструкторских работ;
разработка и утверждение правил осуществления отраслевой экспертизы в сфере электронной промышленности;
осуществление отраслевой экспертизы проектов в сфере электронной промышленности;
осуществление международного сотрудничества в сфере электронной промышленности и представление интересов Республики Казахстан в международных организациях и иностранных государствах;
разработка и утверждение правил формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериев по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности;
утверждение требований к унифицированному рабочему месту или терминальной системе государственных органов и местных исполнительных органов, а также требований по унификации компонентов объектов информационно-коммуникационной инфраструктуры;
утверждение совместно с уполномоченным органом в области углеводородов и добычи урана правил финансирования проектов цифровизации в области углеводородов и добычи урана в размере одного процента от затрат на добычу, понесенных недропользователем в период добычи углеводородов и урана по итогам предыдущего года;
заключение с национальными управляющими холдингами, национальными холдингами, национальными компаниями и аффилированными с ними юридическими лицами технологических меморандумов и определение перечня закупаемых товаров, работ и услуг;
реализация государственной политики в области коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли;
утверждение отчетов по выполненным программам содействия коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли, финансируемым за счет бюджетных средств;
представление информации о реализации мер по коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли в уполномоченный орган;
методологическое обеспечение коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли;
планирование, реализация мер по стимулированию коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли;
участие в реализации программы по подготовке, переподготовке кадров и повышению квалификации в области коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли;
осуществление мониторинга реализации программ содействия коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли;
участие в разработке порядка финансирования проектов коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли;
участие в разработке порядка организации и проведения экспертизы проектов коммерциализации результатов научной и (или) научно-технической деятельности в соответствующей отрасли;
утверждение правил формирования, проверки и использования электронных документов с применением сервиса цифровых документов;
утверждение правил сбора, обработки и хранения биометрических данных физических лиц для биометрической аутентификации при оказании государственных услуг по согласованию с уполномоченным органом в сфере защиты персональных данных;
утверждение правил создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре по согласованию с уполномоченным органом в сфере обеспечения информационной безопасности;
определение порядка информирования о деятельности по осуществлению цифрового майнинга;
утверждение порядка выпуска и оборота обеспеченных цифровых активов;
утверждение правил функционирования единого шлюза доступа к Интернету и единого шлюза электронной почты "электронного правительства" по согласованию с Комитетом национальной безопасности Республики Казахстан;
утверждение правил сбора, обработки персональных данных;
утверждение совместно с органами внутренних дел, уполномоченными органами в области здравоохранения, социальной защиты населения и уполномоченным государственным органом по труду типового положения о единой дежурно-диспетчерской службе "112", а также правил координации деятельности единой дежурно-диспетчерской службы "112" и дежурных диспетчерских служб на территории Республики Казахстан;";
в подпункте 2):
абзацы сорок седьмой, пятьдесят второй, сто двадцать восьмой и сто двадцать девятый изложить в следующей редакции:
"разработка правил проведения мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры по согласованию с Комитетом национальной безопасности Республики Казахстан;";
"разработка правил функционирования единой национальной резервной платформы хранения электронных информационных ресурсов, периодичность резервного копирования электронных информационных ресурсов критически важных объектов информационно-коммуникационной инфраструктуры;";
"разработка правил формирования перечня объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства";
разработка правил интеграции объектов информатизации "электронного правительства" по согласованию с уполномоченным органом в сфере обеспечения информационной безопасности и Комитетом национальной безопасности Республики Казахстан;";
после абзаца сто шестьдесят восьмого дополнить абзацами сто шестьдесят девятым – сто восьмидесятым следующего содержания:
"разработка правил формирования, проверки и использования электронных документов с применением сервиса цифровых документов;
разработка правил создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре по согласованию с уполномоченным органом в сфере обеспечения информационной безопасности;
разработка правил по подтверждению соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности;
разработка порядка выпуска и оборота обеспеченных цифровых активов;
разработка правил функционирования единого шлюза доступа к Интернету и единого шлюза электронной почты "электронного правительства" по согласованию с Комитетом национальной безопасности Республики Казахстан;
разработка порядка осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
рассмотрение обращений субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принятие соответствующего решения;
принятие мер по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
требование от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
осуществление мер, направленных на совершенствование защиты прав субъектов;
разработка правил сбора, обработки персональных данных;
осуществление государственного контроля за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи;".
| Приложение 1 к изменениям и дополнениям, которые вносятся в некоторые решения Правительства Республики Казахстан |
|
| Утверждены постановлением Правительства Республики Казахстан от 3 сентября 2013 года № 909 |
Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
Глава 1. Общие положения
1. Настоящие Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (далее – Правила) разработаны в соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" (далее – Закон) и определяют порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.
2. В настоящих Правилах используются следующие основные понятия:
1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
3) сбор персональных данных – действия, направленные на получение персональных данных;
4) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;
5) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
6) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;
7) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
8) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
9) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;
10) уполномоченный орган в сфере защиты персональных данных – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
11) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
12) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;
13) общедоступные персональные данные – персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта;
14) персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан;
15) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных;
16) электронные информационные ресурсы – информация в электронно-цифровой форме, содержащаяся на электронном носителе и в объектах информатизации.
Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан от 24 ноября 2015 года "Об информатизации".
Глава 2. Порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
3. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных, обеспечивающие:
1) предотвращение несанкционированного доступа к персональным данным;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
4. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в том числе случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.
5. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
6. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
7. Для обеспечения защиты персональных данных необходимо:
1) выделение бизнес-процессов, содержащих персональные данные;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие подпункта 4) настоящего пункта не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным.
При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.
8. Иные особенности защиты персональных данных при их сборе и обработке в объектах информатизации устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.
9. Собственник и (или) оператор при обработке персональных данных ограниченного доступа:
1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.
2) определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
3) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.
Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:
1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
2) оповещают уполномоченный орган в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
4) обеспечивают ведение журнала событий систем управления базами;
5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
6) применяют средства контроля целостности персональных данных ограниченного доступа;
7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;
8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
10) применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.
10. Сбор и обработка персональных данных ограниченного доступа осуществляются посредством объектов информатизации, размещенных на территории Республики Казахстан.
Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования".
Требования данного пункта не распространяются на случаи трансграничной передачи данных.
| Приложение 2 к изменениям и дополнениям, которые вносятся в некоторые решения Правительства Республики Казахстан |
|
| Утверждены постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214 |
Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач
Глава 1. Общие положения
1. Настоящие Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (далее – Правила), разработаны в соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" (далее – Закон) и определяют порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.
2. В настоящих Правилах используются следующие основные понятия:
1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
2) сбор персональных данных – действия, направленные на получение персональных данных;
3) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
4) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
5) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
6) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
7) субъект персональных данных – физическое лицо, к которому относятся персональные данные.
Глава 2. Порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач
3. Собственник и (или) оператор до начала сбора и обработки персональных данных проводят анализ осуществляемых ими задач на предмет использования персональных данных.
При осуществлении текущей деятельности собственник и (или) оператор ежегодно проводят повторный анализ осуществляемых ими задач на предмет использования персональных данных, на основании которого вносятся изменения в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, в соответствии с пунктом 6 настоящих Правил.
4. На основании проведенного анализа собственник и (или) оператор по форме, согласно приложению к настоящим Правилам, определяют перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач с указанием целей их сбора и обработки в рамках задач.
Цели являются однозначными, законными и соответствуют осуществляемым собственником и (или) оператором задачам.
Персональные данные, содержание и объем которых являются избыточными по отношению к осуществляемым собственником и (или) оператором задач, не включаются в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач.
5. Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, утверждается собственником и (или) оператором.
Защита персональных данных осуществляется в соответствии с Правилами осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утверждаемых Правительством Республики Казахстан.
6. По результатам текущей деятельности собственником (или) оператором ежегодно вносятся изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, в порядке, предусмотренном пунктами 3, 4 и 5 настоящих Правил.
Изменения и дополнения, внесенные в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, действуют с момента их утверждения и не распространяются на отношения, возникшие до их введения в действие.
7. Собственник и (или) оператор обеспечивают доступ к перечню персональных данных, необходимому и достаточному для выполнения осуществляемых ими задач, способами, не запрещенными законодательством Республики Казахстан.
| Приложение к Правилам определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач |
Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач
№ п/п | Наименование задачи, в том числе функций, полномочий, обязанностей | Цели сбора и обработки в рамках осуществляемой задачи | Наименование персональных данных для определенной цели | Указание на документы или нормативные правовые акты, имеющие прямые указания на осуществляемые собственником и (или) оператором задачи |