Пункт 35 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:
1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;
2) журнал посещения серверных помещений;
3) отчет о проведении оценки уязвимости сетевых ресурсов;
4) журнал учета кабельных соединений;
5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;
6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений СПО и ППО ИС, регистрации и устранения уязвимостей ПО;
7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;
8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.
36. Для обеспечения защиты активов проводятся:
1) инвентаризация активов;
2) классификация и маркировка активов в соответствии с системой классификации, принятой в ГО, МИО;
3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов;
4) регламентация в ТД ИБ порядка:
использования и возврата активов;
идентификации, классификации и маркировки активов.
В пункт 37 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
37. С целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:
1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2010 «Менеджмент риска. Методы оценки риска» и разработка процедуры анализа рисков;
2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая:
выявление угроз ИБ и их источников;
выявление уязвимостей, которые могут привести к реализации угроз;
определение каналов утечки информации;
формирование модели нарушителя;
3) выбор критериев принятия идентифицированных рисков;
4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 27005-2013 «Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности»;
5) разработка и утверждение плана обработки угроз (рисков) ИБ, содержащего мероприятия по их нейтрализации или снижению.
В пункт 38 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
38. С целью контроля событий нарушений ИБ в ГО, МИО или организации:
1) проводится мониторинг событий, связанных с нарушением ИБ, и анализ результатов мониторинга;
2) регистрируются события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:
журналов событий операционных систем;
журналов событий систем управления базами данных;
журналов событий антивирусной защиты;
журналов событий прикладного ПО;
журналов событий телекоммуникационного оборудования;
журналов событий систем обнаружения и предотвращения атак;
журналов событий системы управления контентом;
3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени;
4) журналы регистрации событий хранятся в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;
5) ведутся журналы регистрации событий в соответствии с форматами и типами записей, определенными в правилах проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности по согласованию с органами национальной безопасности в соответствии с подпунктом 7) статьи 7-1 Закона;
6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;
7) обеспечивается внедрение формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ.
39. С целью защиты критически важных процессов ГО, МИО или организации от внутренних и внешних угроз:
1) разрабатывается, тестируется и реализуется план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
2) доводится до сведения служащих ГО, МИО или работников организации инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.
План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, подлежит регулярной актуализации.
40. Функциональные обязанности по обеспечению ИБ и обязательства по исполнению требований ТД ИБ служащих ГО, МИО или работников организации вносятся в должностные инструкции и (или) условия трудового договора.
Обязательства в области обеспечения ИБ, имеющие силу после прекращения действий трудового договора, закрепляются в трудовом договоре служащих ГО, МИО или работников организации.
41. В случае привлечения сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ, их собственник или владелец заключает соглашения, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение.
42. В ТД ИБ определяется содержание процедур при увольнении служащих ГО, МИО или работников организации, имеющих обязательства в области обеспечения ИБ.
Пункт 43 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
43. При увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора.
44. Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ.
Пункт 45 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее - классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 15408-2017 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
В пункт 46 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
46. В целях обеспечения ИБ при эксплуатации объектов информатизации устанавливаются требования к:
1) способам аутентификации;
2) применяемым СКЗИ;
3) способам обеспечения доступности и отказоустойчивости;
4) мониторингу обеспечения ИБ, защиты и безопасного функционирования;
5) применению средств и систем обеспечения ИБ;
6) регистрационным свидетельствам удостоверяющих центров.
Пункт 47 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
47. При доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием ЭЦП.
48. C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» для объектов информатизации:
первого класса в соответствии с классификатором - третьего уровня безопасности;
второго класса в соответствии с классификатором - второго уровня безопасности;
третьего класса в соответствии с классификатором - первого уровня безопасности.
49. Для обеспечения доступности и отказоустойчивости владельцами объектов информатизации ЭП обеспечиваются:
1) наличие резервного собственного или арендованного серверного помещения для объектов информатизации ЭП первого и второго классов в соответствии с классификатором;
2) резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных, в том числе для объектов информатизации ЭП:
первого класса в соответствии с классификатором - нагруженное (горячее) в резервном серверном помещении;
второго класса в соответствии с классификатором - не нагруженное (холодное) в резервном серверном помещении;
третьего класса в соответствии с классификатором - хранение на складе в непосредственной близости от основного серверного помещения.
50. Объекты информатизации ЭП первого и второго классов в соответствии с классификатором подключаются к системе мониторинга обеспечения ИБ, защиты и безопасного функционирования не позднее одного года после их введения в промышленную эксплуатацию.
Параграф 2 дополнен пунктом 50-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12; изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
50-1. Собственники или владельцы негосударственных информационных систем, интегрируемых с информационными системами государственных органов, до интеграции с информационными системами государственных органов создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.
Владельцы критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан.
Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение года со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.
В пункт 51 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
51. ГО, МИО или организация осуществляют мониторинг:
действий пользователей и персонала;
использования средств обработки информации.
В пункт 52 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
52. В ГО, МИО или организации в рамках осуществления мониторинга действий пользователей и персонала:
1) при выявлении аномальной активности и злоумышленных действий пользователей эти действия:
регистрируются, блокируются и оперативно оповещается администратор для объектов информатизации ЭП первого класса в соответствии с классификатором;
регистрируются и блокируются для объектов информатизации ЭП второго класса в соответствии с классификатором;
регистрируются для объектов информатизации ЭП третьего класса в соответствии с классификатором;
2) регистрируются и контролируются подразделением ИБ действия обслуживающего персонала.
53. События ИБ, идентифицированные как критические для конфиденциальности, доступности и целостности, по результатам анализа мониторинга событий ИБ и анализа журнала событий:
1) определяются как инциденты ИБ;
2) учитываются в каталоге угроз (рисков) ИБ;
3) регистрируются в службе реагирования на компьютерные инциденты государственной технической службы.
Пункт 54 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:
обнаружения и предотвращения вредоносного кода;
мониторинга и управления инцидентами и событиями ИБ;
обнаружения и предотвращения вторжений;
мониторинга и управления информационной инфраструктурой.
Правила дополнены пунктом 54-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
54-1. Для защиты объектов информатизации государственных органов применяются системы предотвращения утечки данных (DLP).
При этом обеспечиваются:
визуальное уведомление пользователя о проводимом контроле действий;
размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.
55. Регистрационные свидетельства Корневого удостоверяющего центра Республики Казахстан подлежат признанию в доверенных списках программных продуктов мировых производителей ПО для целей аутентификации в соответствии со стандартами СТ РК ИСО/МЭК 14888-1-2006 «Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения», СТ РК ИСО/МЭК 14888-3-2006 «Методы защиты информации цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате», ГОСТ Р ИСО/МЭК 9594-8-98 «Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации».
56. Удостоверяющие центры Республики Казахстан, за исключением Корневого удостоверяющего центра Республики Казахстан, признаются в доверенных списках программных продуктов мировых производителей ПО путем аккредитации удостоверяющего центра в соответствии с правилами аккредитации удостоверяющих центров.
Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств.
Параграф 2 главы 2 дополнен пунктом 56-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
56-1. Владелец критически важных объектов информационно-коммуникационной инфраструктуры, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раз в год. Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан.
Глава 3. Требования к объектам информатизации
Параграф 1. Требования к электронным информационным ресурсам и интернет-ресурсам
57. Собственник и (или) владелец ЭИР:
1) осуществляют идентификацию ЭИР, формируют и размещают описание метаданных (использования, описания, плана событий, хроники событий, отношений) при необходимости, в соответствии со стандартом Республики Казахстан СТ РК ИСО 23081-2-2010 «Информация и документация. Метаданные для управления записями. Часть 2. Вопросы концепции и реализации» в каталоге ЭИР, утверждаемом правовым актом ГО или организации;
2) определяют класс ЭИР в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом, и фиксируют класс ЭИР в технической документации и каталоге ЭИР;
3) поддерживают каталог ЭИР в актуальном состоянии;
4) осуществляют хранение ЭИР и его метаданных. Форму и способ хранения определяют самостоятельно.
58. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.
59. Собственник и (или) владелец ИР обеспечивают создание общедоступных ИР на казахском, русском и, по необходимости, на других языках, с возможностью выбора пользователем языка интерфейса.
60. Создание или развитие ИР осуществляется с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 «Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования», СТ РК 2191-2012 «Информационные технологии. Доступность Интернет-ресурса для людей с ограниченными возможностями», СТ РК 2192-2012 «Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания», СТ РК 2193-2012 «Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений», СТ РК 2199-2012 «Информационные технологии. Требования к безопасности веб-приложений в государственных органах».
61. Подготовка, размещение, актуализация ЭИР на ИР ГО или МИО осуществляются в соответствии с правилами информационного наполнения и требованиями к содержанию ИР ГО, утвержденными уполномоченным органом.
62. ИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз.
ЕПИР ГО размещается на ИКП ЭП.
Параграф 1 главы 3 дополнен пунктом 62-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
62-1. Интернет-ресурс с зарегистрированным доменным именем.KZ и (или).ҚАЗ размещается на аппаратно-программном комплексе, который расположен на территории Республики Казахстан;
Параграф 1 главы 3 дополнен пунктом 62-2 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
62-2. Использование доменных имен.KZ и (или).ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных интернет-ресурсами осуществляется с применением сертификатов безопасности.
63. Управление ИР, размещение и актуализация ЭИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа осуществляются из внешнего контура локальной сети ИКИ ЭП оператором на основании заявки собственника и (или) владельца ИР.
Параграф 1 главы 3 дополнен пунктом 63-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности.
64. При списании ИС, ПО или СПП собственник и (или) владелец ЭИР обеспечивают сохранение структуры и содержания базы данных посредством встроенного функционала системы управления базы данных списываемой ИС с подготовкой инструкции по восстановлению ЭИР.
Способ хранения структуры и содержания базы данных определяется собственником самостоятельно.
Пункт 65 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
65. ГО или МИО при неиспользовании ЭИР обеспечивает его передачу в архив в порядке, установленном Законом Республики Казахстан «О Национальном архивном фонде и архивах» (далее – Закон об архивах).
66. Для обеспечения ИБ ИР применяются:
1) регистрационные свидетельства для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ;
2) система управления содержимым (контентом), выполняющая:
санкционирование операций размещения, изменения и удаления ЭИР;
регистрацию авторства при размещении, изменении и удалении ЭИР;
проверку загружаемого ЭИР на наличие вредоносного кода;
аудит безопасности исполняемого кода и скриптов;
контроль целостности размещенного ЭИР;
ведение журнала изменений ЭИР;
мониторинг аномальной активности пользователей и программных роботов.
Параграф 2. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению
67. На стадии инициирования создания или развития прикладного ПО определяется и фиксируется в проектной документации класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона.
Пункт 68 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями стандарта Республики Казахстан СТ РК 34.015-2002 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с подпунктом 20) статьи 7 Закона.
Пункт 69 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
69. Требования к создаваемому или развиваемому СПП определяются в задании на проектирование информационно-коммуникационной услуги, создаваемом в соответствии с настоящими ЕТ и правилами реализации сервисной модели информатизации, утверждаемыми уполномоченным органом.
Правила дополнены пунктом 69-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
69-1. Промышленная эксплуатация сервисного программного продукта допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности, протокола испытаний с целью оценки качества в соответствии с требованиями программной документации и действующих на территории Республики Казахстан стандартов в сфере информатизации и протокола экспертизы программной документации.
70. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом требований настоящих ЕТ.
71. Приобретение готового прикладного ПО осуществляется с учетом приоритета СПО при условии идентичности его характеристик с коммерческим ПО.
72. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР.
73. Разрабатываемое или приобретаемое готовое прикладное ПО:
1) обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса;
2) учитывает требования:
надежности;
сопровождаемости;
удобства использования;
эффективности;
универсальности;
функциональности;
кроссплатформенности;
3) обеспечивает полнофункциональную поддержку технологии виртуализации;
4) поддерживает кластеризацию;
5) обеспечивается технической документацией по эксплуатации на казахском и русском языках.
В пункт 74 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
74. Создание и развитие или приобретение ПО обеспечиваются технической поддержкой и сопровождением.
Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями ТД ИБ.
В пункт 75 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
75. Процесс создания и развития прикладного ПО:
1) предусматривает:
создание информационной базы алгоритмов, исходных текстов и программных средств;
испытание и тестирование программных модулей;
типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость;
использование лицензионных инструментальных средств разработки;
2) включает процедуры приемки прикладного ПО, предусматривающие:
передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу;
контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО;
выполнение контрольного примера на данной версии ПО.
Пункт 76 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
76. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников подразделения информационных технологий ГО, МИО или организаций.
77. Разработка прикладного ПО требует:
учета особенностей, предусмотренных правилами реализации сервисной модели информатизации;
регламентации вопросов ИБ в соглашениях на разработку ПО;
управления рисками в процессе разработки прикладного ПО.
78. С целью обеспечения ИБ:
1) на этапе разработки ПО учитываются рекомендации стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»;
2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:
идентификации и аутентификации пользователей, при необходимости ЭЦП и регистрационных свидетельств;
управления доступом;
контроля целостности;
журналирования действий пользователей, влияющих на ИБ;
защиты онлайновых транзакций;
криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;
журналирования критичных событий ПО;
3) в ТД ИБ определяются и применяются при эксплуатации:
правила установки, обновления и удаления ПО на серверах и рабочих станциях;
процедуры управления изменениями и анализа прикладного ПО, в случае изменения системного ПО;
4) лицензируемое ПО используется и приобретается только при условии наличия лицензии.
79. Мероприятия по контролю правомерности использования ПО определяются в ТД ИБ, проводятся не реже одного раза в год и включают в себя:
определение фактически используемого ПО;
определение прав на использование ПО;
сравнение фактически используемого ПО и имеющихся лицензий.
Пункт 80 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
80. Прикладное ПО выполняет проверки подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утвержденными уполномоченным органом в соответствии с подпунктом 10) пункта 1 статьи 5 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи».
Параграф 3. Требования к информационно-коммуникационной инфраструктуре
81. Требования к ИКИ формируются с учетом объектов, входящих в ее состав, согласно подпункту 25) статьи 1 Закона.
Пункт 82 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
82. ЕТ устанавливает требования к следующим объектам ИКИ:
1) информационная система;
2) технологическая платформа;
3) аппаратно-программный комплекс;
4) сети телекоммуникаций;
5) системы бесперебойного функционирования технических средств и информационной безопасности;
6) серверное помещение (центр обработки данных).
Параграф 4. Требования к информационной системе
83. ИС ГО или МИО создается и развивается в порядке, определенном пунктом 1 статьи 39 Закона, а также учитываются требования статьи 38 Закона.
Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в ИС ГО или МИО определяются статьей 42 Закона.
84. Перед началом опытной эксплуатации разработчиком:
1) для всех функциональных компонентов ИС создается набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;
2) осуществляются стендовые испытания ИС;
3) осуществляется для персонала:
ИС ГО или МИО первого класса в соответствии с классификатором обязательное обучение;
ИС ГО или МИО второго класса в соответствии с классификатором создание видео,- мультимедиа обучающих материалов;
ИС ГО или МИО третьего класса в соответствии с классификатором создание справочной системы и (или) инструкций по эксплуатации.
Пункт 85 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
85. Опытная эксплуатация ИС ГО или МИО включает:
документирование процедур проведения опытной эксплуатации;
оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;
оформление акта о завершении опытной эксплуатации ИС;
срок проведения опытной эксплуатации не должен превышать один год.
Параграф 4 главы 3 дополнен пунктом 85-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
85-1. Внедрение объекта информатизации «электронного правительства» осуществляется в соответствии с действующими на территории Республики Казахстан стандартами.
Пункт 86 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
86. Перед вводом в промышленную эксплуатацию ИС в ГО, МИО или организации определяются, согласовываются, документально оформляются критерии приемки созданной ИС или новых версий и обновлений ИС.
Пункт 87 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
87. Ввод в промышленную эксплуатацию ИС ГО или МИО осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия акта с положительным результатом испытаний на соответствие требованиям ИБ, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченного органа, заинтересованных ГО, МИО и организаций.
Единые требования дополнены пунктом 87-1 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383
87-1. Испытания на соответствие требованиям информационной безопасности проводятся в соответствии со статьей 49 Закона.
88. Предоставление сервисному интегратору «электронного правительства» для учета и хранения разработанного ПО, исходных программных кодов (при наличии) и комплекса настроек лицензионного ПО ИС ГО или МИО является обязательным и осуществляется в соответствии с порядком, определенным уполномоченным органом.
Модифицирование, разглашение и (или) использование исходных программных кодов, программных продуктов и ПО осуществляются по разрешению его собственника.
Пункт 89 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
89. При промышленной эксплуатации ИС ГО или МИО обеспечиваются:
1) сохранность, защита, восстановление ЭИР в случае сбоя или повреждения;
2) резервное копирование и контроль за своевременной актуализацией ЭИР;
3) автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к ИС ГО или МИО;
4) фиксация изменений в конфигурационных настройках ПО, серверного и телекоммуникационного оборудования;
5) контроль и регулирование функциональных характеристик производительности;
6) сопровождение ИС;
7) техническая поддержка используемого лицензионного ПО ИС;
8) гарантийное обслуживание разработчиком ИС, включающее устранение ошибок и недочетов ИС, выявленных в период гарантийного срока (Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию ИС);
9) подключение пользователей к ИС, а также взаимодействие ИС осуществляется с использованием доменных имен;
10) системно-техническое обслуживание;
11) сокращение (исключение) использования документов на бумажном носителе, а также требований по их представлению при осуществлении государственных функций и оказании государственных услуг.
90. Интеграция ИС ГО или МИО, в том числе с ИС ГО и МИО, находящейся в опытной эксплуатации, осуществляется в соответствии с требованиями, определенными статьей 43 Закона.
Интеграция негосударственной ИС с ИС ГО или МИО осуществляется в соответствии с требованиями, определенными статьей 44 Закона.
Правила дополнены пунктом 90-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:
1) регистрация и проверка источников (точек подключений) запросов на легитимность;
2) проверка легитимности запросов по:
паролю или ЭЦП;
точке подключения;
наличию блокировки соединения;
разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;
разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;
наличию в запросах признаков нарушений информационной безопасности;
наличию вредоносного кода по сигнатурам;
3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:
отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;
превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;
наличии в запросах признаков нарушений информационной безопасности;
превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;
выявлении аномальной активности пользователей;
выявлении попыток выгрузки массивов данных;
4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;
5) замена логина соединения при выявлении инцидентов ИБ;
6) сокрытие адресации ЛС внутреннего контура;
7) журналирование событий, включающее:
регистрацию событий передачи/приема информационных сообщений;
регистрацию событий передачи/ получения файлов;
регистрацию событий передачи/получения служебных сообщений;
применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;
автоматизацию процедур анализа журналов событий на наличие событий ИБ;
хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;
раздельное ведение журналов событий (при необходимости) по:
а) текущим суткам;
б) соединению (каналу связи);
в) государственному органу (юридическому лицу);
г) интегрируемым объектам информатизации;
8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;