Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832
Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности
(с изменениями и дополнениями по состоянию на 31.12.2019 г.)
Данная редакция действовала до внесения изменений от 18 января 2021 года
В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее - единые требования).
2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению.
3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Пункт 140 единых требований действует до 1 января 2018 года.
Премьер-Министр Республики Казахстан | Б. Сагинтаев |
Утверждены
постановлением Правительства
Республики Казахстан
от 20 декабря 2016 года № 832
Единые требования
в области информационно-коммуникационных технологий и обеспечения информационной безопасности
Глава 1. Общие положения
1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее - ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» (далее - Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности.
2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
См.: Правила проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности
3. Положения ЕТ не распространяются на:
1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры «электронного правительства», локальных сетей и сетей телекоммуникаций, а также при проведении закупок товаров, работ и услуг в сфере информатизации;
2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи.
4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
В пункт 5 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
5. Задачами ЕТ являются:
1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления;
2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации «электронного правительства»;
3) установление требований по унификации объектов информационно-коммуникационной инфраструктуры;
4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений;
5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации;
6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры.
В пункт 6 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
6. Для целей настоящих ЕТ в них используются следующие определения:
1) маркировка актива, связанного со средствами обработки информации, - нанесение условных знаков, букв, цифр, графических знаков или надписей на актив, с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;
2) средство криптографической защиты информации (далее - СКЗИ) - программное обеспечение или аппаратно-программный комплекс, реализующее алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;
3) активы, связанные со средствами обработки информации, (далее - актив) - материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеющий ценность для организации в интересах достижения целей и непрерывности ее деятельности;
4) техническая документация по информационной безопасности (далее - ТД ИБ) - документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации;
4-1) мониторинг событий информационной безопасности (далее - мониторинг событий ИБ) - постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;
5) программный робот - программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и/или по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным в веб-страницах;
6) не нагруженное (холодное) резервирование оборудования - использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса;
7) нагруженное (горячее) резервирование оборудования - использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса;
8) рабочая станция - стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач;
9) системное программное обеспечение - совокупность программного обеспечения для обеспечения работы вычислительного оборудования;
10) кодированная связь - защищенная связь с использованием документов и техники кодирования;
11) многофакторная аутентификация - способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);
11-1) кроссовое помещение - телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;
12) прикладное программное обеспечение (далее - ППО) - комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;
13) засекреченная связь - защищенная связь с использованием засекречивающей аппаратуры;
14) масштабируемость - способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;
14-1) серверный центр государственных органов (далее - серверный центр ГО) - серверное помещение (центр обработки данных), собственником или владельцем которого является оператор информационно-коммуникационной инфраструктуры «электронного правительства», предназначенное для размещения объектов информатизации «электронного правительства»;
15) журналирование событий - процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;
16) серверное помещение (центр обработки данных) - помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;
17) локальная сеть внешнего контура (далее - ЛС внешнего контура) - локальная сеть ГО, отнесенная к внешнему контуру телекоммуникационной сети ГО, имеющая соединение с Интернетом, доступ к которому для ГО предоставляется операторами связи только через единый шлюз доступа к Интернету;
18) терминальная система - тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами-тонкими клиентами в клиент-серверной архитектуре;
19) инфраструктура источника времени - иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;
20) правительственная связь - специальная защищенная связь для нужд государственного управления;
20-1) организация - государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры;
21) федеративная идентификация - комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения;
22) шифрованная связь - защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники;
23) локальная сеть внутреннего контура (далее - ЛС внутреннего контура) - локальная сеть ГО, отнесенная к внутреннему контуру телекоммуникационной сети ГО, имеющая соединение с единой транспортной средой государственных органов;
24) внешний шлюз «электронного правительства» (далее - ВШЭП) - подсистема шлюза «электронного правительства», предназначенная для обеспечения взаимодействия информационных систем, находящихся в ЕТС ГО с информационными системами, находящимися вне ЕТС ГО;
25) внутренний аудит информационной безопасности - объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах.
7. Для целей настоящих ЕТ в них используются следующие сокращения:
1) АПК - аппаратно-программный комплекс;
2) ИБ - информационная безопасность;
3) ИС - информационная система;
4) ИКИ - информационно-коммуникационная инфраструктура;
5) ИКТ - информационно-коммуникационные технологии;
6) ПО - программное обеспечение;
7) МИО - местные исполнительные органы;
8) СПО - свободное программное обеспечение;
9) ЕШДИ - единый шлюз доступа к Интернету;
10) ИР - интернет-ресурс;
11) ГО - центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориальные подразделения ведомства центрального исполнительного органа;
12) ЕТС ГО - единая транспортная среда государственных органов;
13) ЕПИР ГО - единая платформа интернет-ресурсов государственных органов;
14) СПП - сервисный программный продукт;
15) ЭИР - электронные информационные ресурсы;
16) ИКП ЭП - информационно-коммуникационная платформа «электронного правительства»;
17) ЭЦП - электронная цифровая подпись.
Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью
Параграф 1. Требования к информатизации государственного органа
8. Информатизация ГО осуществляется в соответствии с архитектурой ГО, разрабатываемой и утверждаемой в порядке, предусмотренном статьями 23 и 24 Закона, а в случае ее отсутствия - в соответствии с положительным заключением экспертного совета в сфере информатизации, вынесенным по итогам рассмотрения запроса ГО о потребностях, связанных с автоматизацией и оптимизацией деятельности ГО.
Правила дополнены пунктом 8-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
8-1. Сведения об архитектуре ГО передаются третьим лицам исключительно по согласованию с руководителями структурных подразделений по информационной безопасности и информационным технологиям ГО, либо лицами, их заменяющими, в соответствии с утвержденной политикой ИБ.
В пункт 9 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
9. ГО обеспечивает:
1) планирование затрат на информатизацию и информационную безопасность в соответствии с утвержденной архитектурой ГО, а в случае ее отсутствия - согласно решениям экспертного совета в сфере информатизации;
2) автоматизацию государственных функций и оказание вытекающих из них государственных услуг с соблюдением требований настоящих ЕТ;
3) размещение сведений об объектах информатизации на архитектурном портале «электронного правительства» в соответствии с правилами учета сведений об объектах информатизации «электронного правительства» и размещения электронных копий технической документации объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 30) статьи 7 Закона.
10. Развитие архитектуры «электронного правительства» осуществляется в соответствии с требованиями по развитию архитектуры «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 10) статьи 7 Закона.
11. При разработке типовой архитектуры «электронного акимата», утверждаемой в соответствии с подпунктом 18) статьи 7 Закона в части описания требований к информационно-коммуникационной инфраструктуре, МИО учитываются требования настоящих ЕТ.
12. При реализации сервисной модели информатизации в ГО и МИО руководствуются нормами правил реализации сервисной модели информатизации, требованиями по развитию архитектуры «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктами 4) и 10) статьи 7 Закона и требованиями настоящих ЕТ.
Пункт 13 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
13. Обеспечение ГО и МИО товарами, работами, услугами в сфере информатизации осуществляется путем:
1) закупа, при наличии положительного заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчеты расходов на государственные закупки товаров, работ и услуг в сфере информатизации;
2) приобретения информационно-коммуникационной услуги в соответствии с каталогом информационно-коммуникационных услуг.
В пункт 14 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
14. Реализацию задач в сфере информатизации в ГО или МИО обеспечивает подразделение информационных технологий, осуществляющее:
1) мониторинг и анализ применения ИКТ;
2) участие в мероприятиях по учету и анализу использования ИКТ-активов;
3) выработку предложений в стратегический план ГО по вопросам информатизации;
4) координацию работ по созданию, сопровождению и развитию объектов информатизации «электронного правительства»;
5) контроль за обеспечением поставщиками предусмотренного договорами уровня качества оказываемых услуг в сфере информатизации;
6) учет и актуализацию сведений об объектах информатизации «электронного правительства» и электронных копий технической документации объектов информатизации «электронного правительства» на архитектурном портале «электронного правительства»;
7) передачу сервисному интегратору «электронного правительства» для учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации «электронного правительства»;
8) взаимодействие с сервисным интегратором, оператором, ГО, МИО и организациями в части реализации проектов в сфере информатизации при создании архитектуры ГО и реализации сервисной модели информатизации;
9) реализацию требований по ИБ.
Пункт 15 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
15. Рабочее пространство в ГО и МИО организуется в соответствии с санитарными правилами «Санитарно-эпидемиологические требования к административным и жилым зданиям», утвержденными уполномоченным органом в сфере санитарно-эпидемиологического благополучия населения в соответствии с пунктом 6 статьи 144 Кодекса Республики Казахстан от 18 сентября 2009 года «О здоровье народа и системе здравоохранения».
16. Рабочее место служащего ГО и МИО оснащается с учетом его функциональных обязанностей и включает:
1) рабочую станцию или унифицированное рабочее место или терминальную систему с подключением к ЛС внутреннего контура ГО или МИО. Допускается оснащение рабочего места дополнительным монитором при необходимости;
2) комплект мультимедийного оборудования (наушники, микрофон и веб-камера) для работы с мультимедийными ЭИР или системой видеоконференц-связи при необходимости;
3) аппарат телефонной связи или IP-телефонии.
17. Требования к унифицированному рабочему месту или терминальной системе ГО и МИО утверждаются уполномоченным органом.
18. При выборе закупаемых моделей рабочих станций необходимо руководствоваться следующими положениями:
1) аппаратные характеристики рабочих станций соответствуют либо превосходят системные требования, рекомендуемые разработчиком (производителем) используемого ПО;
2) для обеспечения общего уровня услуг унифицируются конфигурации рабочих станций;
3) для рабочих станций организуется централизованное автоматизированное распространение обновлений ПО;
4) для повышения качества и скорости администрирования количество различных аппаратно-программных конфигураций рабочих станций ограничивается тремя типами:
рабочая станция для работы с прикладным ПО;
рабочая станция повышенной мощности для работы с графическими пакетами, пакетами ПО моделирования и прочими. Используется для приложений с развитой графикой, высокими требованиями к производительности процессора, объемам оперативной памяти и видеоподсистем;
ноутбук для работы мобильных пользователей.
19. Для спецификации технических требований выделяются следующие ключевые параметры рабочих станций:
1) производительность, включающая в себя:
параметры быстродействия процессора;
необходимый объем оперативной памяти;
скорости внутренних шин передачи данных;
быстродействие графической подсистемы;
быстродействие устройств ввода/вывода;
параметры матрицы монитора;
2) надежность, обеспечиваемая за счет использования отказоустойчивых аппаратных средств и ПО, и определяется исходя из среднего времени безотказной работы;
3) масштабируемость, обеспечиваемая архитектурой и конструкцией персонального компьютера за счет возможности наращивания:
числа и производительности процессоров;
объемов оперативной и внешней памяти;
емкости встроенных накопителей.
20. Для обеспечения ИБ:
1) в ТД ИБ определяются:
способы размещения рабочих станций служащих ГО или МИО;
способы защиты рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;
процедуры и периодичность технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности;
способы защиты рабочих станций мобильных пользователей, находящихся за пределами ГО или МИО, с учетом различных внешних рисков;
способы гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации;
правила выноса рабочих станций за пределы рабочего места;
2) на регулярной основе проводится учет рабочих станций с проверкой конфигураций;
3) установка и применение на рабочих станциях программных или аппаратных средств удаленного управления извне ЛС внутреннего контура исключается. Удаленное управление внутри ЛС внутреннего контура допускается в случаях, прямо предусмотренных в правовом акте ГО или МИО;
4) неиспользуемые порты ввода-вывода рабочих станций и мобильных компьютеров служащих ГО и МИО отключаются или блокируются, за исключением рабочих станций служащих подразделения ИБ.
21. Вопрос операций ввода-вывода с применением внешних электронных носителей информации на рабочих станциях служащих ГО и МИО регулируется в соответствии с политикой ИБ, принятой в ГО или МИО.
22. Для оптимизации размещения оборудования на рабочем месте служащего ГО и МИО допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов.
23. Для использования сервисов ИКП ЭП рабочая станция, подключенная к ЛС внутреннего контура ГО или МИО, обеспечивается сетевым подключением к инфраструктуре ИКП ЭП.
Пункт 24 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
24. Обработка и хранение служебной информации ГО и МИО осуществляются на рабочих станциях, подключенных к ЛС внутреннего контура и внешнего контура ГО или МИО.
Служебная информация ГО и МИО с ограниченным доступом обрабатывается и хранится на рабочих станциях, подключенных к ЛС внутреннего контура ГО или МИО и не имеющих подключения к Интернету.
25. Доступ к Интернету служащим ГО и МИО предоставляется с рабочих станций, подключенных к ЛС внешнего контура ГО и МИО, размещенных за пределами режимных помещений, определяемых в соответствии с Инструкцией по обеспечению режима секретности в Республике Казахстан.
Правила дополнены пунктом 25-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.
26. Сервис телефонной связи:
1) реализуется как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии;
2) обеспечивает коммутацию пользователя с абонентами телефонных сетей по следующим каналам:
использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных;
использование услуг связи оператора телефонной связи общего пользования по потоку Е1;
использование операторов сотовой связи;
использование услуг междугородних и международных вызовов.
27. Для проведения конференций, презентаций, совещаний, телемостов конференцзал ГО и МИО оснащается:
1) конференцсистемой звукового усиления, включающей размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника;
2) устройством ввода-вывода информации.
Для организации «телемоста» с географически распределенными участниками, находящимися в других городах или странах, конференцсистема по необходимости дополняется системой аудио- и видеоконференцсвязи оператора ИКИ ЭП.
28. Сервис печати:
1) реализуется посредством печатающего, копирующего и сканирующего оборудования, подключенного к локальной сети внутреннего контура ГО с использованием сетевого интерфейса либо прямого подключения к серверу печати;
2) обеспечивается программным обеспечением, реализующим:
централизованное управление пользователями и устройствами;
учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями;
систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования;
идентификацию пользователя до начала использования сервиса печати;
авторизацию служащего ГО на устройстве печати способами, регламентированными в ТД ИБ;
формирование очереди печати, осуществляющей печать посредством единой очереди печати с возможностью получения распечатанных документов на доступном устройстве печати.
Параграф 2. Требования к организации информационной безопасности
Пункт 29 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ИСО/МЭК 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасностью».
Правила дополнены пунктом 29-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047
29-1. Приобретение товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства осуществляется из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с законодательством Республики Казахстан о государственных закупках.
При этом, в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции, допускается приобретение товаров в соответствии с законодательством Республики Казахстан о государственных закупках.
Пункт 30 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.
Требование настоящего пункта по созданию отдельного подразделения ИБ не распространяется на специальные государственные органы.
Подразделение ИБ или должностное лицо, ответственное за обеспечение ИБ, осуществляет:
1) контроль исполнения требований ТД ИБ;
2) контроль за документальным оформлением по ИБ;
3) контроль за управлением активами в части обеспечения ИБ;
4) контроль правомерности использования ПО;
5) контроль за управлением рисками в сфере ИКТ;
6) контроль за регистрацией событий ИБ;
7) проведение внутреннего аудита ИБ;
8) контроль за организацией внешнего аудита ИБ;
9) контроль за обеспечением непрерывности бизнес-процессов, использующих ИКТ;
10) контроль соблюдения требований ИБ при управлении персоналом;
11) контроль за состоянием ИБ объекта информатизации «электронного правительства».
В пункт 31 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
31. ТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО, МИО или организация в своей деятельности.
ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.
ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.
32. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.
33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:
1) методика оценки рисков информационной безопасности;
2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
5) правила проведения внутреннего аудита ИБ;
6) правила использования средств криптографической защиты информации;
7) правила разграничения прав доступа к электронным информационным ресурсам;
8) правила использования Интернет и электронной почты;
9) правила организации процедуры аутентификации;
10) правила организации антивирусного контроля;
11) правила использования мобильных устройств и носителей информации;
12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.
34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:
1) каталог угроз (рисков) ИБ;
2) план обработки угроз (рисков) ИБ;
3) регламент резервного копирования и восстановления информации;
4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
5) руководство администратора по сопровождению объекта информатизации;
6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.
Пункт 35 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:
1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;
2) журнал посещения серверных помещений;
3) отчет о проведении оценки уязвимости сетевых ресурсов;
4) журнал учета кабельных соединений;
5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;
6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений СПО и ППО ИС, регистрации и устранения уязвимостей ПО;
7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;
8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.
36. Для обеспечения защиты активов проводятся:
1) инвентаризация активов;
2) классификация и маркировка активов в соответствии с системой классификации, принятой в ГО, МИО;
3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов;
4) регламентация в ТД ИБ порядка:
использования и возврата активов;
идентификации, классификации и маркировки активов.
В пункт 37 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
37. С целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:
1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2010 «Менеджмент риска. Методы оценки риска» и разработка процедуры анализа рисков;
2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая:
выявление угроз ИБ и их источников;
выявление уязвимостей, которые могут привести к реализации угроз;
определение каналов утечки информации;
формирование модели нарушителя;
3) выбор критериев принятия идентифицированных рисков;
4) формирование каталога угроз (рисков) ИБ, включающее:
оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ИСО/МЭК 27005-2013 «Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности»;
определение потенциального ущерба;
5) разработка и утверждение плана обработки угроз (рисков) ИБ, содержащего мероприятия по их нейтрализации или снижению.
В пункт 38 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
38. С целью контроля событий нарушений ИБ в ГО, МИО или организации:
1) проводится мониторинг событий, связанных с нарушением ИБ, и анализ результатов мониторинга;
2) регистрируются события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:
журналов событий операционных систем;
журналов событий систем управления базами данных;
журналов событий антивирусной защиты;
журналов событий прикладного ПО;
журналов событий телекоммуникационного оборудования;
журналов событий систем обнаружения и предотвращения атак;
журналов событий системы управления контентом;
3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени;
4) журналы регистрации событий хранятся в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;
5) ведутся журналы регистрации событий в соответствии с форматами и типами записей, определенными в правилах проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности по согласованию с органами национальной безопасности в соответствии с подпунктом 7) статьи 7-1 Закона;
6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;
7) обеспечивается внедрение формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ.
39. С целью защиты критически важных процессов ГО, МИО или организации от внутренних и внешних угроз:
1) разрабатывается, тестируется и реализуется план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
2) доводится до сведения служащих ГО, МИО или работников организации инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.
План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, подлежит регулярной актуализации.