40. Функциональные обязанности по обеспечению ИБ и обязательства по исполнению требований ТД ИБ служащих ГО, МИО или работников организации вносятся в должностные инструкции и (или) условия трудового договора.
Обязательства в области обеспечения ИБ, имеющие силу после прекращения действий трудового договора, закрепляются в трудовом договоре служащих ГО, МИО или работников организации.
41. В случае привлечения сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ, их собственник или владелец заключает соглашения, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение.
42. В ТД ИБ определяется содержание процедур при увольнении служащих ГО, МИО или работников организации, имеющих обязательства в области обеспечения ИБ.
Пункт 43 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
43. При увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора.
44. Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ.
Пункт 45 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее - классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ГОСТ Р ИСО/МЭК 15408-2006 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
В пункт 46 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
46. В целях обеспечения ИБ при эксплуатации объектов информатизации устанавливаются требования к:
1) способам аутентификации;
2) применяемым СКЗИ;
3) способам обеспечения доступности и отказоустойчивости;
4) мониторингу обеспечения ИБ, защиты и безопасного функционирования;
5) применению средств и систем обеспечения ИБ;
6) регистрационным свидетельствам удостоверяющих центров.
Пункт 47 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
47. При доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием ЭЦП.
48. C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» для объектов информатизации:
первого класса в соответствии с классификатором - третьего уровня безопасности;
второго класса в соответствии с классификатором - второго уровня безопасности;
третьего класса в соответствии с классификатором - первого уровня безопасности.
49. Для обеспечения доступности и отказоустойчивости владельцами объектов информатизации ЭП обеспечиваются:
1) наличие резервного собственного или арендованного серверного помещения для объектов информатизации ЭП первого и второго классов в соответствии с классификатором;
2) резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных, в том числе для объектов информатизации ЭП:
первого класса в соответствии с классификатором - нагруженное (горячее) в резервном серверном помещении;
второго класса в соответствии с классификатором - не нагруженное (холодное) в резервном серверном помещении;
третьего класса в соответствии с классификатором - хранение на складе в непосредственной близости от основного серверного помещения.
50. Объекты информатизации ЭП первого и второго классов в соответствии с классификатором подключаются к системе мониторинга обеспечения ИБ, защиты и безопасного функционирования не позднее одного года после их введения в промышленную эксплуатацию.
В пункт 51 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
51. ГО, МИО или организация осуществляют мониторинг:
действий пользователей и персонала;
использования средств обработки информации.
В пункт 52 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
52. В ГО, МИО или организации в рамках осуществления мониторинга действий пользователей и персонала:
1) при выявлении аномальной активности и злоумышленных действий пользователей эти действия:
регистрируются, блокируются и оперативно оповещается администратор для объектов информатизации ЭП первого класса в соответствии с классификатором;
регистрируются и блокируются для объектов информатизации ЭП второго класса в соответствии с классификатором;
регистрируются для объектов информатизации ЭП третьего класса в соответствии с классификатором;
2) регистрируются и контролируются подразделением ИБ действия обслуживающего персонала.
53. События ИБ, идентифицированные как критические для конфиденциальности, доступности и целостности, по результатам анализа мониторинга событий ИБ и анализа журнала событий:
1) определяются как инциденты ИБ;
2) учитываются в каталоге угроз (рисков) ИБ;
3) регистрируются в службе реагирования на компьютерные инциденты государственной технической службы.
54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:
обнаружения и предотвращения вредоносного кода;
управления инцидентами и событиями ИБ;
обнаружения и предотвращения вторжений;
мониторинга и управления информационной инфраструктурой.
Правила дополнены пунктом 54-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
54-1. Допускается применение в локальных сетях систем предотвращения утечки данных (DLP). При этом обеспечиваются:
визуальное уведомление пользователя о проводимом контроле действий;
получение письменного согласия пользователя на осуществление контроля его действий;
размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.
55. Регистрационные свидетельства Корневого удостоверяющего центра Республики Казахстан подлежат признанию в доверенных списках программных продуктов мировых производителей ПО для целей аутентификации в соответствии со стандартами СТ РК ИСО/МЭК 14888-1-2006 «Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения», СТ РК ИСО/МЭК 14888-3-2006 «Методы защиты информации цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате», ГОСТ Р ИСО/МЭК 9594-8-98 «Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации».
56. Удостоверяющие центры Республики Казахстан, за исключением Корневого удостоверяющего центра Республики Казахстан, признаются в доверенных списках программных продуктов мировых производителей ПО путем аккредитации удостоверяющего центра в соответствии с правилами аккредитации удостоверяющих центров.
Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств.
Глава 3. Требования к объектам информатизации
Параграф 1. Требования к электронным информационным ресурсам и интернет-ресурсам
57. Собственник и (или) владелец ЭИР:
1) осуществляют идентификацию ЭИР, формируют и размещают описание метаданных (использования, описания, плана событий, хроники событий, отношений) при необходимости, в соответствии со стандартом Республики Казахстан СТ РК ИСО 23081-2-2010 «Информация и документация. Метаданные для управления записями. Часть 2. Вопросы концепции и реализации» в каталоге ЭИР, утверждаемом правовым актом ГО или организации;
2) определяют класс ЭИР в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом, и фиксируют класс ЭИР в технической документации и каталоге ЭИР;
3) поддерживают каталог ЭИР в актуальном состоянии;
4) осуществляют хранение ЭИР и его метаданных. Форму и способ хранения определяют самостоятельно.
58. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.
59. Собственник и (или) владелец ИР обеспечивают создание общедоступных ИР на казахском, русском и, по необходимости, на других языках, с возможностью выбора пользователем языка интерфейса.
60. Создание или развитие ИР осуществляется с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 «Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования», СТ РК 2191-2012 «Информационные технологии. Доступность Интернет-ресурса для людей с ограниченными возможностями», СТ РК 2192-2012 «Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания», СТ РК 2193-2012 «Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений», СТ РК 2199-2012 «Информационные технологии. Требования к безопасности веб-приложений в государственных органах».
61. Подготовка, размещение, актуализация ЭИР на ИР ГО или МИО осуществляются в соответствии с правилами информационного наполнения и требованиями к содержанию ИР ГО, утвержденными уполномоченным органом.
62. ИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз.
ЕПИР ГО размещается на ИКП ЭП.
63. Управление ИР, размещение и актуализация ЭИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа осуществляются из внешнего контура локальной сети ИКИ ЭП оператором на основании заявки собственника и (или) владельца ИР.
Правила дополнены пунктом 63-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности.
64. При списании ИС, ПО или СПП собственник и (или) владелец ЭИР обеспечивают сохранение структуры и содержания базы данных посредством встроенного функционала системы управления базы данных списываемой ИС с подготовкой инструкции по восстановлению ЭИР.
Способ хранения структуры и содержания базы данных определяется собственником самостоятельно.
65. ГО или МИО при неиспользовании ЭИР обеспечивает его передачу в архив в порядке, установленном Законом Республики Казахстан от 22 декабря 1998 года «О национальном архивном фонде и архивах».
66. Для обеспечения ИБ ИР применяются:
1) регистрационные свидетельства для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ;
2) система управления содержимым (контентом), выполняющая:
санкционирование операций размещения, изменения и удаления ЭИР;
регистрацию авторства при размещении, изменении и удалении ЭИР;
проверку загружаемого ЭИР на наличие вредоносного кода;
аудит безопасности исполняемого кода и скриптов;
контроль целостности размещенного ЭИР;
ведение журнала изменений ЭИР;
мониторинг аномальной активности пользователей и программных роботов.
Параграф 2. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению
67. На стадии инициирования создания или развития прикладного ПО определяется и фиксируется в проектной документации класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона.
Пункт 68 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями стандарта Республики Казахстан СТ РК 34.015-2002 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с подпунктом 20) статьи 7 Закона.
Пункт 69 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
69. Требования к создаваемому или развиваемому СПП определяются в задании на проектирование информационно-коммуникационной услуги, создаваемом в соответствии с настоящими ЕТ и правилами реализации сервисной модели информатизации, утверждаемыми уполномоченным органом.
Правила дополнены пунктом 69-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
69-1. Промышленная эксплуатация сервисного программного продукта допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности, протокола испытаний с целью оценки качества в соответствии с требованиями программной документации и действующих на территории Республики Казахстан стандартов в сфере информатизации и протокола экспертизы программной документации.
70. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом требований настоящих ЕТ.
71. Приобретение готового прикладного ПО осуществляется с учетом приоритета СПО при условии идентичности его характеристик с коммерческим ПО.
72. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР.
73. Разрабатываемое или приобретаемое готовое прикладное ПО:
1) обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса;
2) учитывает требования:
надежности;
сопровождаемости;
удобства использования;
эффективности;
универсальности;
функциональности;
кроссплатформенности;
3) обеспечивает полнофункциональную поддержку технологии виртуализации;
4) поддерживает кластеризацию;
5) обеспечивается технической документацией по эксплуатации на казахском и русском языках.
В пункт 74 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
74. Создание и развитие или приобретение ПО обеспечиваются технической поддержкой и сопровождением.
Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями ТД ИБ.
В пункт 75 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
75. Процесс создания и развития прикладного ПО:
1) предусматривает:
создание информационной базы алгоритмов, исходных текстов и программных средств;
испытание и тестирование программных модулей;
типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость;
использование лицензионных инструментальных средств разработки;
2) включает процедуры приемки прикладного ПО, предусматривающие:
передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу;
контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО;
выполнение контрольного примера на данной версии ПО.
Пункт 76 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
76. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников подразделения информационных технологий ГО, МИО или организаций.
77. Разработка прикладного ПО требует:
учета особенностей, предусмотренных правилами реализации сервисной модели информатизации;
регламентации вопросов ИБ в соглашениях на разработку ПО;
управления рисками в процессе разработки прикладного ПО.
78. С целью обеспечения ИБ:
1) на этапе разработки ПО учитываются рекомендации стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»;
2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:
идентификации и аутентификации пользователей, при необходимости ЭЦП и регистрационных свидетельств;
управления доступом;
контроля целостности;
журналирования действий пользователей, влияющих на ИБ;
защиты онлайновых транзакций;
криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;
журналирования критичных событий ПО;
3) в ТД ИБ определяются и применяются при эксплуатации:
правила установки, обновления и удаления ПО на серверах и рабочих станциях;
процедуры управления изменениями и анализа прикладного ПО, в случае изменения системного ПО;
4) лицензируемое ПО используется и приобретается только при условии наличия лицензии.
79. Мероприятия по контролю правомерности использования ПО определяются в ТД ИБ, проводятся не реже одного раза в год и включают в себя:
определение фактически используемого ПО;
определение прав на использование ПО;
сравнение фактически используемого ПО и имеющихся лицензий.
80. Прикладное ПО выполняет проверки подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ в соответствии с правилами проверки подлинности электронной цифровой подписи, утвержденными уполномоченным органом в соответствии с подпунктом 10) пункта 1 статьи 5 Закона Республики Казахстан от 7 января 2003 года «Об электронном документе и электронной цифровой подписи».
Параграф 3. Требования к информационно-коммуникационной инфраструктуре
81. Требования к ИКИ формируются с учетом объектов, входящих в ее состав, согласно подпункту 25) статьи 1 Закона.
Пункт 82 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
82. ЕТ устанавливает требования к следующим объектам ИКИ:
1) информационная система;
2) технологическая платформа;
3) аппаратно-программный комплекс;
4) сети телекоммуникаций;
5) системы бесперебойного функционирования технических средств и информационной безопасности;
6) серверное помещение (центр обработки данных).
Параграф 4. Требования к информационной системе
83. ИС ГО или МИО создается и развивается в порядке, определенном пунктом 1 статьи 39 Закона, а также учитываются требования статьи 38 Закона.
Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в ИС ГО или МИО определяются статьей 42 Закона.
84. Перед началом опытной эксплуатации разработчиком:
1) для всех функциональных компонентов ИС создается набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;
2) осуществляются стендовые испытания ИС;
3) осуществляется для персонала:
ИС ГО или МИО первого класса в соответствии с классификатором обязательное обучение;
ИС ГО или МИО второго класса в соответствии с классификатором создание видео,- мультимедиа обучающих материалов;
ИС ГО или МИО третьего класса в соответствии с классификатором создание справочной системы и (или) инструкций по эксплуатации.
85. Опытная эксплуатация ИС ГО или МИО включает:
документирование процедур проведения опытной эксплуатации;
испытание на соответствие требованиям информационной безопасности;
оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;
оформление акта о завершении опытной эксплуатации ИС.
Пункт 86 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
86. Перед вводом в промышленную эксплуатацию ИС в ГО, МИО или организации определяются, согласовываются, документально оформляются критерии приемки созданной ИС или новых версий и обновлений ИС.
Пункт 87 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
87. Ввод в промышленную эксплуатацию ИС ГО или МИО осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия акта с положительным результатом испытаний на соответствие требованиям ИБ, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченного органа, заинтересованных ГО, МИО и организаций.
88. Предоставление сервисному интегратору «электронного правительства» для учета и хранения разработанного ПО, исходных программных кодов (при наличии) и комплекса настроек лицензионного ПО ИС ГО или МИО является обязательным и осуществляется в соответствии с порядком, определенным уполномоченным органом.
Модифицирование, разглашение и (или) использование исходных программных кодов, программных продуктов и ПО осуществляются по разрешению его собственника.
89. При промышленной эксплуатации ИС ГО или МИО обеспечиваются:
1) сохранность, защита, восстановление ЭИР в случае сбоя или повреждения;
2) резервное копирование и контроль за своевременной актуализацией ЭИР;
3) автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к ИС ГО или МИО;
4) мониторинг событий ИБ ИС ГО или МИО и передача его результатов в систему мониторинга обеспечения информационной безопасности государственной технической службы;
5) фиксация изменений в конфигурационных настройках ПО, серверного и телекоммуникационного оборудования;
6) контроль и регулирование функциональных характеристик производительности;
7) сопровождение ИС;
8) техническая поддержка используемого лицензионного ПО ИС;
9) гарантийное обслуживание разработчиком ИС, включающее устранение ошибок и недочетов ИС, выявленных в период гарантийного срока. Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию ИС;
10) подключение пользователей к ИС, а также взаимодействие ИС осуществляется с использованием доменных имен.
90. Интеграция ИС ГО или МИО, в том числе с ИС ГО и МИО, находящейся в опытной эксплуатации, осуществляется в соответствии с требованиями, определенными статьей 43 Закона.
Интеграция негосударственной ИС с ИС ГО или МИО осуществляется в соответствии с требованиями, определенными статьей 44 Закона.
Правила дополнены пунктом 90-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:
1) регистрация и проверка источников (точек подключений) запросов на легитимность;
2) проверка легитимности запросов по:
паролю или ЭЦП;
точке подключения;
наличию блокировки соединения;
разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;
разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;
наличию в запросах признаков нарушений информационной безопасности;
наличию вредоносного кода по сигнатурам;
3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:
отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;
превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;
наличии в запросах признаков нарушений информационной безопасности;
превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;
выявлении аномальной активности пользователей;
выявлении попыток выгрузки массивов данных;
4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;
5) замена логина соединения при выявлении инцидентов ИБ;
6) сокрытие адресации ЛС внутреннего контура;
7) журналирование событий, включающее:
регистрацию событий передачи/приема информационных сообщений;
регистрацию событий передачи/ получения файлов;
регистрацию событий передачи/получения служебных сообщений;
применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;
автоматизацию процедур анализа журналов событий на наличие событий ИБ;
хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;
раздельное ведение журналов событий (при необходимости) по:
а) текущим суткам;
б) соединению (каналу связи);
в) государственному органу (юридическому лицу);
г) интегрируемым объектам информатизации;
8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;
9) программно-аппаратная криптографическая защита соединений, осуществляемых через сети передачи данных;
10) хранение и передача паролей соединений в зашифрованном виде;
11) автоматизация оповещения об инцидентах ИБ ответственных лиц интегрируемых объектов информатизации.
91. Гарантийное обслуживание ИС на этапе промышленной эксплуатации с привлечением сторонних организаций требует:
регламентации вопросов ИБ в соглашениях на гарантийное обслуживание;
управления рисками ИКТ в процессе гарантийного обслуживания.
Пункт 92 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
92. Управление программно-аппаратным обеспечением ИС ГО и МИО осуществляется из ЛС внутреннего контура владельца ИС.
Программно-аппаратное обеспечение ИС ГО или МИО и негосударственных ИС, интегрируемых с ИС ГО или МИО, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом, осуществляемым с использованием национального шлюза, в рамках международных договоров, ратифицированных Республикой Казахстан.
Правила дополнены пунктом 92-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-1. Для организации работы ИС ГО и МИО допускается использование облачных сервисов (аппаратно-программные комплексы, ИС, предоставляющие ресурсы с использованием технологии виртуализации), центры управления и сервера которых физически размещены на территории Республики Казахстан.
Правила дополнены пунктом 92-2 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-2. Программно-аппаратное обеспечение ИС критически важных объектов информационно-коммуникационной инфраструктуры, содержащее персональные данные граждан Республики Казахстана, размещается на территории Республики Казахстан.
93. Собственник или владелец ИС ГО или МИО принимает решение о прекращении эксплуатации ИС в случае отсутствия необходимости ее дальнейшего использования.
О прекращении эксплуатации ИС ГО или МИО необходимо уведомить сервисного интегратора, с публикацией на архитектурном портале «электронного правительства» субъектов информатизации, чьи ИС интегрированы со снимаемой с эксплуатации ИС ГО или МИО, и ГО или МИО, являющихся пользователями данной ИС.
94. ГО или МИО составляет план снятия ИС ГО или МИО с эксплуатации и согласовывает его с ГО или МИО, являющимися пользователями ИС ГО или МИО.
Пункт 95 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
95. После снятия ИС с эксплуатации ГО или МИО сдают в ведомственный архив электронные документы, техническую документацию, журналы и архивированную базу данных снятой с эксплуатации ИС ГО или МИО в соответствии с правилами приема, хранения, учета и использования документов Национального архивного фонда и других архивных документов ведомственными и частными архивами, утвержденными постановлением Правительства Республики Казахстан, в соответствии с подпунктом 3) пункта 1-1 статьи 18 Закона Республики Казахстан от 22 декабря 1998 года «О Национальном архивном фонде и архивах».
96. При поступлении заявки на прекращение эксплуатации ИС ГО или МИО сервисный интегратор аннулирует электронное свидетельство о регистрации ИС ГО или МИО и размещает соответствующие сведения на архитектурном портале «электронного правительства».
97. Списание и (или) утилизация снятой с эксплуатации ИС ГО или МИО осуществляются в соответствии с законодательством Республики Казахстан о бухгалтерском учете и финансовой отчетности.
В случае, если эксплуатация ИС ГО или МИО прекращена, но ИС ГО или МИО не списана в установленном порядке, то ИС ГО или МИО считается находящейся в консервации.
После списания ИС ГО или МИО не используется.
98. Для обеспечения ИБ:
1) на стадиях стендовых, приемо-сдаточных испытаний и тестовой эксплуатации осуществляются:
тестирование ПО ИС на основе разработанных комплексов тестов, настроенных на конкретные классы программ;
натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование);
тестирование ПО ИС с целью выявления возможных дефектов;
стендовые испытания ПО ИС для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности;
выявление и устранение уязвимостей программного и аппаратного обеспечения;
отработка средств защиты от несанкционированного воздействия.
2) перед вводом ИС в опытную эксплуатацию требуется предусмотреть:
контроль неблагоприятного влияния новой ИС на функционирующие ИС и компоненты ИКИ ЭП, особенно во время максимальных нагрузок;
анализ влияния новой ИС на состояние ИБ ИКИ ЭП;
организацию подготовки персонала к эксплуатации новой ИС;
3) осуществляется разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования:
перевод ИС из фазы разработки в фазу тестирования фиксируется и документально оформляется;
перевод ИС из фазы тестирования в фазу опытной эксплуатации фиксируется и документально оформляется;
перевод ИС из фазы опытной эксплуатации в этап промышленной эксплуатации фиксируется и документально оформляется;
инструментальные средства разработки и испытываемое ПО ИС размещаются в разных доменах;
компиляторы, редакторы и другие инструментальные средства разработки в среде эксплуатации не размещаются или недоступны для использования из среды эксплуатации;
среда испытаний ИС соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры;
для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации;
не подлежат копированию данные из ИС, находящихся в промышленной эксплуатации, в испытательную среду;
4) при выводе из эксплуатации ИС обеспечиваются:
архивирование информации, содержащейся в ИС;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей с оформлением соответствующего акта.
Правила дополнены пунктом 98-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047
98-1. На информационную систему критически важных объектов ИКИ также распространяются требования стандарта Республики Казахстан IEC/PAS 62443-3-2017 «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (Кибербезопасность) промышленного процесса измерения и управления».
Параграф 5. Требования к технологической платформе
Пункт 99 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
99. Выбор технологической платформы осуществляется с учетом приоритета оборудования с возможностью поддержки технологии виртуализации.
100. При выборе оборудования, реализующего технологию виртуализации, учитывается необходимость обеспечения следующей функциональности:
1) декомпозиции:
вычислительные ресурсы распределяются между виртуальными машинами;
множество приложений и операционных систем сосуществуют на одной физической вычислительной системе;
2) изоляции:
виртуальные машины полностью изолированы друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные;
данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений;
3) совместимости:
приложениям и ОС предоставляются вычислительные ресурсы оборудования, реализующего технологию виртуализации.
101. ИКП ЭП размещается на оборудовании, расположенном в серверном центре ГО.
ИКП ЭП обеспечивает:
автоматизированное предоставление ИК-услуг с единой точкой входа для их управления;
виртуализацию вычислительных ресурсов серверного оборудования с использованием различных технологий;
бесперебойное и отказоустойчивое функционирование предоставляемых ИК-услуг с коэффициентом использования не менее 98,7 %;
исключение единой точки отказа на логическом и физическом уровнях средствами используемого оборудования, телекоммуникаций и программного обеспечения;
разделение вычислительных ресурсов на аппаратном и программном уровнях.
Надежность виртуальной инфраструктуры обеспечивается встроенными средствами ПО технологии виртуализации и управления виртуальной средой.
Правила дополнены пунктом 101-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
101-1. Промышленная эксплуатация ИКП допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности.
102. Для обеспечения ИБ при использовании технологии виртуализации реализуются:
1) управление идентификацией, требующее:
аутентификацию клиентов ИК-услуг и привилегированных пользователей;
федеративной идентификации пользователей в пределах одной технологической платформы;
сохранения информации об аутентификации после удаления идентификатора пользователя;
применения средств контроля процедур назначения профилей полномочий пользователя;
2) управление доступом, требующее:
разделения полномочий администратора ИС и администратора среды виртуализации;
