Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832
Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности
(с изменениями и дополнениями по состоянию на 10.06.2022 г.)
Данная редакция действовала до внесения изменений от 10 февраля 2023 года (введены в действие с 1 января 2023 года)
В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее - единые требования).
2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению.
3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Пункт 140 единых требований действует до 1 января 2018 года.
Премьер-Министр Республики Казахстан | Б. Сагинтаев |
Утверждены
постановлением Правительства
Республики Казахстан
от 20 декабря 2016 года № 832
Единые требования
в области информационно-коммуникационных технологий и обеспечения информационной безопасности
Глава 1. Общие положения
Пункт 1 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан «Об информатизации» (далее – Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности.
2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
См.: Правила проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности
Пункт 3 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
3. Положения ЕТ не распространяются на:
1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры «электронного правительства», локальных сетей и сетей телекоммуникаций, а также проведении закупок товаров, работ и услуг в сфере информатизации;
2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или президентской, правительственной, засекреченной, шифрованной и кодированной связи;
3) отношения, возникающие при осуществлении уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций работ по созданию или развитию информационных систем, интегрируемых с информационными системами Национального Банка Республики Казахстан, которые не интегрируются с объектами информационно-коммуникационной инфраструктуры «электронного правительства»;
4) организации в случаях, когда исполнение таких положений ведет к нарушению пункта 4 статьи 50 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан».
4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.
В пункт 5 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
5. Задачами ЕТ являются:
1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления;
2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации «электронного правительства»;
3) установление требований по унификации компонентов объектов информационно-коммуникационной инфраструктуры;
4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений;
5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации;
6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры.
В пункт 6 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
6. Для целей настоящих ЕТ в них используются следующие определения:
1) маркировка актива, связанного со средствами обработки информации, – нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;
2) средство криптографической защиты информации (далее – СКЗИ) – программное обеспечение или аппаратно-программный комплекс, реализующие алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;
3) активы, связанные со средствами обработки информации, (далее – актив) – материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеющий ценность для организации в интересах достижения целей и непрерывности ее деятельности;
4) техническая документация по информационной безопасности (далее –ТД ИБ) – документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации;
5) мониторинг событий информационной безопасности (далее – мониторинг событий ИБ) – постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;
6) масштабируемость – способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;
7) программный робот – программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и (или) по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным в веб-страницах;
8) не нагруженное (холодное) резервирование оборудования – использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса;
9) нагруженное (горячее) резервирование оборудования – использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса;
10) рабочая станция – стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач;
11) системное программное обеспечение – совокупность программного обеспечения для обеспечения работы вычислительного оборудования;
12) интернет-браузер – прикладное программное обеспечение, предназначенное для визуального отображения содержания интернет-ресурсов и интерактивного взаимодействия с ним;
13) кодированная связь – защищенная связь с использованием документов и техники кодирования;
14) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);
15) кроссовое помещение – телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;
16) прикладное программное обеспечение (далее – ППО) – комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;
17) засекреченная связь – защищенная связь с использованием засекречивающей аппаратуры;
18) серверный центр государственных органов (далее – серверный центр ГО) – серверное помещение (центр обработки данных), собственником или владельцем которого является оператор информационно-коммуникационной инфраструктуры «электронного правительства», предназначенное для размещения объектов информатизации «электронного правительства»;
19) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;
20) серверное помещение (центр обработки данных) – помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;
21) локальная сеть внешнего контура (далее – ЛС внешнего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внешнему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с Интернетом, доступ к которому для субъектов информатизации предоставляется операторами связи только через единый шлюз доступа к Интернету;
22) терминальная система – тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами - тонкими клиентами в клиент-серверной архитектуре;
23) инфраструктура источника времени – иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;
24) правительственная связь – специальная защищенная связь для нужд государственного управления;
25) организация – государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры;
26) федеративная идентификация – комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения;
27) шифрованная связь – защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники;
28) локальная сеть внутреннего контура (далее – ЛС внутреннего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внутреннему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с единой транспортной средой государственных органов;
29) внешний шлюз «электронного правительства» (далее – ВШЭП) – подсистема шлюза «электронного правительства», предназначенная для обеспечения взаимодействия информационных систем, находящихся в ЕТС ГО с информационными системами, находящимися вне ЕТС ГО;
30) внутренний аудит информационной безопасности – объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах;
31) межсетевой экран – аппаратно-программный или программный комплекс, функционирующий в информационно-коммуникационной инфраструктуре, осуществляющий контроль и фильтрацию сетевого трафика в соответствии с заданными правилами;
32) субъекты информатизации, определенные уполномоченным органом, – государственные органы, их подведомственные организации и органы местного самоуправления, а также иные субъекты информатизации, использующие единую транспортную среду государственных органов для взаимодействия локальных (за исключением локальных сетей, имеющих доступ к Интернету), ведомственных и корпоративных сетей.
В пункт 7 внесены изменения в соответствии с постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
7. Для целей настоящих ЕТ в них используются следующие сокращения:
1) АПК - аппаратно-программный комплекс;
2) ИБ - информационная безопасность;
3) ИС - информационная система;
4) ИКИ - информационно-коммуникационная инфраструктура;
5) ИКТ - информационно-коммуникационные технологии;
6) ПО - программное обеспечение;
7) МИО - местные исполнительные органы;
8) СПО - свободное программное обеспечение;
9) ЕШДИ - единый шлюз доступа к Интернету;
10) ИР - интернет-ресурс;
11) ГО - центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориальные подразделения ведомства центрального исполнительного органа;
12) ЕТС ГО - единая транспортная среда государственных органов;
13) ЕПИР ГО - единая платформа интернет-ресурсов государственных органов;
14) СПП - сервисный программный продукт;
15) ЭИР - электронные информационные ресурсы;
16) ИКП ЭП - информационно-коммуникационная платформа «электронного правительства»;
17) ЭЦП - электронная цифровая подпись;
18) СИ - субъекты информатизации, определенные уполномоченным органом.
Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью
Параграф 1. Требования к информатизации государственного органа
Пункт 8 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
8. Информатизация ГО осуществляется в соответствии с архитектурой ГО, разрабатываемой и утверждаемой в порядке, предусмотренном статьями 23 и 24 Закона, а в случае ее отсутствия - на основании решения государственного органа о необходимости автоматизации, согласованного с уполномоченным органом в сфере информатизации (далее - уполномоченный орган).
Государственные органы обеспечивают публичное обсуждение планируемой автоматизации деятельности в целях привлечения потенциальных поставщиков, уточнения технико-экономических, эксплуатационных и иных характеристик объекта информатизации «электронного правительства».
Публичное обсуждение планируемой автоматизации деятельности осуществляется на архитектурном портале «электронного правительства» (далее - архитектурный портал).
Срок для публичного обсуждения планируемой автоматизации должен составлять не менее десяти календарных дней с даты размещения на архитектурном портале.
Государственные органы рассматривают предложения, поступившие в рамках публичного обсуждения планируемой автоматизации, и принимают решения о принятии предложений либо их отклонении с указанием оснований для отклонения.
По истечении срока публичного обсуждения планируемой автоматизации в соответствии с результатами рассмотрения поступивших предложений на архитектурном портале формируется и публикуется отчет о завершении публичного обсуждения планируемой автоматизации (далее - отчет).
Отчет является основанием для уточнения технико-экономических, эксплуатационных и иных характеристик объекта информатизации «электронного правительства», выбора механизма реализации автоматизации деятельности государственного органа.
Государственный орган направляет запрос о необходимости автоматизации деятельности (далее - запрос) с приложением отчета в уполномоченный орган на согласование.
Уполномоченный орган для проведения анализа запроса государственного органа привлекает сервисного интегратора «электронного правительства» (далее - сервисный интегратор).
На основании заключения сервисного интегратора уполномоченный орган согласовывает либо отказывает в согласовании автоматизации деятельности государственного органа.
Правила дополнены пунктом 8-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
8-1. Сведения об архитектуре ГО передаются третьим лицам исключительно по согласованию с руководителями структурных подразделений по информационной безопасности и информационным технологиям ГО, либо лицами, их заменяющими, в соответствии с утвержденной политикой ИБ.
В пункт 9 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
9. ГО обеспечивает:
1) планирование затрат на информатизацию и информационную безопасность в соответствии с утвержденной архитектурой ГО, а в случае ее отсутствия - согласно решениям экспертного совета в сфере информатизации;
2) автоматизацию государственных функций и оказание вытекающих из них государственных услуг с соблюдением требований настоящих ЕТ;
3) размещение сведений об объектах информатизации на архитектурном портале «электронного правительства» в соответствии с правилами учета сведений об объектах информатизации «электронного правительства» и размещения электронных копий технической документации объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 30) статьи 7 Закона.
10. Развитие архитектуры «электронного правительства» осуществляется в соответствии с требованиями по развитию архитектуры «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 10) статьи 7 Закона.
11. При разработке типовой архитектуры «электронного акимата», утверждаемой в соответствии с подпунктом 18) статьи 7 Закона в части описания требований к информационно-коммуникационной инфраструктуре, МИО учитываются требования настоящих ЕТ.
12. При реализации сервисной модели информатизации в ГО и МИО руководствуются нормами правил реализации сервисной модели информатизации, требованиями по развитию архитектуры «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктами 4) и 10) статьи 7 Закона и требованиями настоящих ЕТ.
Пункт 13 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); внесены изменения в соответствии с постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
13. Обеспечение ГО и МИО товарами, работами, услугами в сфере информатизации осуществляется путем:
1) закупа, с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчетов расходов на государственные закупки товаров, работ и услуг в сфере информатизации;
2) приобретения информационно-коммуникационной услуги в соответствии с каталогом информационно-коммуникационных услуг.
В пункт 14 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
14. Реализацию задач в сфере информатизации в ГО или МИО обеспечивает подразделение информационных технологий, осуществляющее:
1) мониторинг и анализ применения ИКТ;
2) участие в мероприятиях по учету и анализу использования ИКТ-активов;
3) выработку предложений в стратегический план ГО по вопросам информатизации;
4) координацию работ по созданию, сопровождению и развитию объектов информатизации «электронного правительства»;
5) контроль за обеспечением поставщиками предусмотренного договорами уровня качества оказываемых услуг в сфере информатизации;
6) учет и актуализацию сведений об объектах информатизации «электронного правительства» и электронных копий технической документации объектов информатизации «электронного правительства» на архитектурном портале «электронного правительства»;
7) передачу сервисному интегратору «электронного правительства» для учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации «электронного правительства»;
8) взаимодействие с сервисным интегратором, оператором, ГО, МИО и организациями в части реализации проектов в сфере информатизации при создании архитектуры ГО и реализации сервисной модели информатизации;
9) реализацию требований по ИБ.
Пункт 15 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
15. Рабочее пространство в ГО и МИО организуется в соответствии с санитарными правилами «Санитарно-эпидемиологические требования к административным и жилым зданиям», утвержденными уполномоченным органом в сфере санитарно-эпидемиологического благополучия населения в соответствии с пунктом 6 статьи 144 Кодекса Республики Казахстан от 18 сентября 2009 года «О здоровье народа и системе здравоохранения».
16. Рабочее место служащего ГО и МИО оснащается с учетом его функциональных обязанностей и включает:
1) рабочую станцию или унифицированное рабочее место или терминальную систему с подключением к ЛС внутреннего контура ГО или МИО. Допускается оснащение рабочего места дополнительным монитором при необходимости;
2) комплект мультимедийного оборудования (наушники, микрофон и веб-камера) для работы с мультимедийными ЭИР или системой видеоконференц-связи при необходимости;
3) аппарат телефонной связи или IP-телефонии.
Пункт 17 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
17. Требования к унифицированному рабочему месту или терминальной системе ГО и МИО, а также компонентам объектов информационно-коммуникационной инфраструктуры утверждаются уполномоченным органом.
Параграф 1 главы 2 дополнен пунктом 17-1 в соответствии с постановления Правительства РК от 18.01.21 г. № 12
17-1. Обеспечивается соответствие рабочего места или терминальной системы ГО и МИО требованиям к унифицированному рабочему месту или терминальной системе ГО и МИО, утвержденным уполномоченным органом.
Требования обновляются и актуализируются по мере необходимости.
18. При выборе закупаемых моделей рабочих станций необходимо руководствоваться следующими положениями:
1) аппаратные характеристики рабочих станций соответствуют либо превосходят системные требования, рекомендуемые разработчиком (производителем) используемого ПО;
2) для обеспечения общего уровня услуг унифицируются конфигурации рабочих станций;
3) для рабочих станций организуется централизованное автоматизированное распространение обновлений ПО;
4) для повышения качества и скорости администрирования количество различных аппаратно-программных конфигураций рабочих станций ограничивается тремя типами:
рабочая станция для работы с прикладным ПО;
рабочая станция повышенной мощности для работы с графическими пакетами, пакетами ПО моделирования и прочими. Используется для приложений с развитой графикой, высокими требованиями к производительности процессора, объемам оперативной памяти и видеоподсистем;
ноутбук для работы мобильных пользователей.
19. Для спецификации технических требований выделяются следующие ключевые параметры рабочих станций:
1) производительность, включающая в себя:
параметры быстродействия процессора;
необходимый объем оперативной памяти;
скорости внутренних шин передачи данных;
быстродействие графической подсистемы;
быстродействие устройств ввода/вывода;
параметры матрицы монитора;
2) надежность, обеспечиваемая за счет использования отказоустойчивых аппаратных средств и ПО, и определяется исходя из среднего времени безотказной работы;
3) масштабируемость, обеспечиваемая архитектурой и конструкцией персонального компьютера за счет возможности наращивания:
числа и производительности процессоров;
объемов оперативной и внешней памяти;
емкости встроенных накопителей.
В пункт 20 внесены изменения в соответствии с постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
20. Для обеспечения ИБ:
1) в ТД ИБ определяются:
способы размещения рабочих станций служащих ГО или МИО;
способы защиты рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;
процедуры и периодичность технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности;
способы защиты рабочих станций мобильных пользователей, находящихся за пределами ГО или МИО, с учетом различных внешних рисков;
способы гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации;
правила выноса рабочих станций за пределы рабочего места;
2) на регулярной основе проводится учет рабочих станций с проверкой конфигурации, а также электронных носителей информации с уникальными идентифицирующими данными;
3) установка и применение на рабочих станциях программных или аппаратных средств удаленного управления извне ЛС внутреннего контура исключается. Удаленное управление внутри ЛС внутреннего контура допускается в случаях, прямо предусмотренных в правовом акте ГО или МИО;
4) неиспользуемые порты ввода-вывода рабочих станций и мобильных компьютеров служащих ГО и МИО отключаются или блокируются, за исключением рабочих станций служащих подразделения ИБ.
21. Вопрос операций ввода-вывода с применением внешних электронных носителей информации на рабочих станциях служащих ГО и МИО регулируется в соответствии с политикой ИБ, принятой в ГО или МИО.
22. Для оптимизации размещения оборудования на рабочем месте служащего ГО и МИО допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов.
23. Для использования сервисов ИКП ЭП рабочая станция, подключенная к ЛС внутреннего контура ГО или МИО, обеспечивается сетевым подключением к инфраструктуре ИКП ЭП.
Пункт 24 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
24. Обработка и хранение служебной информации ГО и МИО осуществляются на рабочих станциях, подключенных к ЛС внутреннего контура и внешнего контура ГО или МИО.
Служебная информация ГО и МИО с ограниченным доступом обрабатывается и хранится на рабочих станциях, подключенных к ЛС внутреннего контура ГО или МИО и не имеющих подключения к Интернету.
Пункт 25 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
25. Доступ к Интернету служащим ГО и МИО предоставляется с рабочих станций, подключенных к ЛС внешнего контура ГО и МИО, размещенных за пределами режимных помещений, определяемых в соответствии с Инструкцией по защите государственных секретов Республики Казахстан.
Правила дополнены пунктом 25-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.
26. Сервис телефонной связи:
1) реализуется как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии;
2) обеспечивает коммутацию пользователя с абонентами телефонных сетей по следующим каналам:
использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных;
использование услуг связи оператора телефонной связи общего пользования по потоку Е1;
использование операторов сотовой связи;
использование услуг междугородних и международных вызовов.
27. Для проведения конференций, презентаций, совещаний, телемостов конференцзал ГО и МИО оснащается:
1) конференцсистемой звукового усиления, включающей размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника;
2) устройством ввода-вывода информации.
Для организации «телемоста» с географически распределенными участниками, находящимися в других городах или странах, конференцсистема по необходимости дополняется системой аудио- и видеоконференцсвязи оператора ИКИ ЭП.
28. Сервис печати:
1) реализуется посредством печатающего, копирующего и сканирующего оборудования, подключенного к локальной сети внутреннего контура ГО с использованием сетевого интерфейса либо прямого подключения к серверу печати;
2) обеспечивается программным обеспечением, реализующим:
централизованное управление пользователями и устройствами;
учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями;
систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования;
идентификацию пользователя до начала использования сервиса печати;
авторизацию служащего ГО на устройстве печати способами, регламентированными в ТД ИБ;
формирование очереди печати, осуществляющей печать посредством единой очереди печати с возможностью получения распечатанных документов на доступном устройстве печати.
Параграф 2. Требования к организации информационной безопасности
Пункт 29 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ISO/IEC 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации».
Правила дополнены пунктом 29-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047; изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
29-1. Приобретение товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства осуществляется из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.
При этом, в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции, допускается приобретение товаров в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.
Пункт 30 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.
Сотрудники, ответственные за обеспечение ИБ, проходят специализированные курсы в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата.
В пункт 31 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
31. ТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО, МИО или организация в своей деятельности.
ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.
ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.
32. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.
Параграф 2 дополнен пунктом 32-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
32-1. Перечень внутренних документов финансовой организации, детализирующий требования политики ИБ, определяется в соответствии с нормативными правовыми актами уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций, регулирующими деятельность финансовых организаций по обеспечению информационной безопасности.
33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:
1) методика оценки рисков информационной безопасности;
2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
5) правила проведения внутреннего аудита ИБ;
6) правила использования средств криптографической защиты информации;
7) правила разграничения прав доступа к электронным информационным ресурсам;
8) правила использования Интернет и электронной почты;
9) правила организации процедуры аутентификации;
10) правила организации антивирусного контроля;
11) правила использования мобильных устройств и носителей информации;
12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.
34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:
1) каталог угроз (рисков) ИБ;
2) план обработки угроз (рисков) ИБ;
3) регламент резервного копирования и восстановления информации;
4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
5) руководство администратора по сопровождению объекта информатизации;
6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.