Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств.
Параграф 2 главы 2 дополнен пунктом 56-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
56-1. Владелец критически важных объектов информационно-коммуникационной инфраструктуры, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раз в год. Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан.
Глава 3. Требования к объектам информатизации
Параграф 1. Требования к электронным информационным ресурсам и интернет-ресурсам
57. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.)
58. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.
59. Собственник и (или) владелец ИР обеспечивают создание общедоступных ИР на казахском, русском и, по необходимости, на других языках, с возможностью выбора пользователем языка интерфейса.
Пункт 60 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
60. Создание или развитие ИР осуществляются с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 «Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования», СТ РК 2191-2023 «Информационные технологии. Доступность веб-контента для лиц с инвалидностью», СТ РК 2192-2012 «Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания», СТ РК 2193-2012 «Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений», СТ РК 2199-2012 «Информационные технологии. Требования к безопасности веб-приложений в государственных органах».
61. Подготовка, размещение, актуализация ЭИР на ИР ГО или МИО осуществляются в соответствии с правилами информационного наполнения и требованиями к содержанию ИР ГО, утвержденными уполномоченным органом.
62. ИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз.
ЕПИР ГО размещается на ИКП ЭП.
Параграф 1 главы 3 дополнен пунктом 62-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
62-1. Интернет-ресурс с зарегистрированным доменным именем.KZ и (или).ҚАЗ размещается на аппаратно-программном комплексе, который расположен на территории Республики Казахстан;
Параграф 1 главы 3 дополнен пунктом 62-2 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
62-2. Использование доменных имен.KZ и (или).ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных интернет-ресурсами осуществляется с применением сертификатов безопасности.
63. Управление ИР, размещение и актуализация ЭИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа осуществляются из внешнего контура локальной сети ИКИ ЭП оператором на основании заявки собственника и (или) владельца ИР.
Параграф 1 главы 3 дополнен пунктом 63-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.
Единые требования дополнены пунктом 63-2 в соответствии с постановлением Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.)
63-2. В объектах информатизации ГО, МИО и организаций не допускается хранение ЭИР, содержащих персональные данные и используемых при автоматизации государственных функций и оказании вытекающих из них государственных услуг, после наступления даты достижения целей их сбора и обработки, собственниками или владельцами которых являются иные субъекты информатизации.
64. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
Пункт 65 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
65. ГО или МИО при неиспользовании ЭИР обеспечивает его передачу в архив в порядке, установленном Законом Республики Казахстан «О Национальном архивном фонде и архивах» (далее - Закон об архивах).
66. Для обеспечения ИБ ИР применяются:
1) регистрационные свидетельства для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ;
2) система управления содержимым (контентом), выполняющая:
санкционирование операций размещения, изменения и удаления ЭИР;
регистрацию авторства при размещении, изменении и удалении ЭИР;
проверку загружаемого ЭИР на наличие вредоносного кода;
аудит безопасности исполняемого кода и скриптов;
контроль целостности размещенного ЭИР;
ведение журнала изменений ЭИР;
мониторинг аномальной активности пользователей и программных роботов.
Параграф 2. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению
67. На стадии инициирования создания или развития прикладного ПО определяется и фиксируется в проектной документации класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона.
Пункт 68 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями стандарта Республики Казахстан СТ РК 34.015-2002 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с подпунктом 20) статьи 7 Закона.
69, 69-1. Исключены в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
70. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом требований настоящих ЕТ.
71. Приобретение готового прикладного ПО осуществляется с учетом приоритета СПО при условии идентичности его характеристик с коммерческим ПО.
72. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР.
73. Разрабатываемое или приобретаемое готовое прикладное ПО:
1) обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса;
2) учитывает требования:
надежности;
сопровождаемости;
удобства использования;
эффективности;
универсальности;
функциональности;
кроссплатформенности;
3) обеспечивает полнофункциональную поддержку технологии виртуализации;
4) поддерживает кластеризацию;
5) обеспечивается технической документацией по эксплуатации на казахском и русском языках.
В пункт 74 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
74. Создание и развитие или приобретение ПО обеспечиваются технической поддержкой и сопровождением.
Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями ТД ИБ.
В пункт 75 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
75. Процесс создания и развития прикладного ПО:
1) предусматривает:
создание информационной базы алгоритмов, исходных текстов и программных средств;
испытание и тестирование программных модулей;
типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость;
использование лицензионных инструментальных средств разработки;
2) включает процедуры приемки прикладного ПО, предусматривающие:
передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу;
контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО;
выполнение контрольного примера на данной версии ПО.
Пункт 76 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
76. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников подразделения информационных технологий ГО, МИО или организаций.
77. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
В пункт 78 внесены изменения в соответствии с постановлением Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
78. С целью обеспечения ИБ:
1) на этапе разработки ПО учитываются рекомендации стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»;
2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:
идентификации и аутентификации пользователей, при необходимости цифровых сертификатов;
управления доступом;
контроля целостности;
журналирования действий пользователей, влияющих на ИБ;
защиты онлайновых транзакций;
криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;
журналирования критичных событий ПО;
3) в ТД ИБ определяются и применяются при эксплуатации:
правила установки, обновления и удаления ПО на серверах и рабочих станциях;
процедуры управления изменениями и анализа прикладного ПО, в случае изменения системного ПО;
4) лицензируемое ПО используется и приобретается только при условии наличия лицензии.
79. Мероприятия по контролю правомерности использования ПО определяются в ТД ИБ, проводятся не реже одного раза в год и включают в себя:
определение фактически используемого ПО;
определение прав на использование ПО;
сравнение фактически используемого ПО и имеющихся лицензий.
Пункт 80 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
80. Прикладное ПО выполняет проверки подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утвержденными уполномоченным органом в соответствии с подпунктом 10) пункта 1 статьи 5 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи».
Параграф 3. Требования к информационно-коммуникационной инфраструктуре
81. Требования к ИКИ формируются с учетом объектов, входящих в ее состав, согласно подпункту 25) статьи 1 Закона.
Пункт 82 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
82. ЕТ устанавливает требования к следующим объектам ИКИ:
1) информационная система;
2) технологическая платформа;
3) аппаратно-программный комплекс;
4) сети телекоммуникаций;
5) системы бесперебойного функционирования технических средств и информационной безопасности;
6) серверное помещение (центр обработки данных).
Параграф 4. Требования к информационной системе
Пункт 83 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
83. Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в объектах информационно-коммуникационной инфраструктуры «электронного правительства» определяются статьей 42 Закона.
84. Перед началом опытной эксплуатации разработчиком:
1) для всех функциональных компонентов ИС создается набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;
2) осуществляются стендовые испытания ИС;
3) осуществляется для персонала:
ИС ГО или МИО первого класса в соответствии с классификатором обязательное обучение;
ИС ГО или МИО второго класса в соответствии с классификатором создание видео,- мультимедиа обучающих материалов;
ИС ГО или МИО третьего класса в соответствии с классификатором создание справочной системы и (или) инструкций по эксплуатации.
Пункт 85 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
85. Опытная эксплуатация ИС ГО или МИО включает:
документирование процедур проведения опытной эксплуатации;
оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;
оформление акта о завершении опытной эксплуатации ИС;
срок проведения опытной эксплуатации не должен превышать один год.
Параграф 4 главы 3 дополнен пунктом 85-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
85-1. Внедрение объекта информатизации «электронного правительства» осуществляется в соответствии с действующими на территории Республики Казахстан стандартами.
Пункт 86 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
86. Перед вводом в промышленную эксплуатацию ИС в ГО, МИО или организации определяются, согласовываются, документально оформляются критерии приемки созданной ИС или новых версий и обновлений ИС.
Пункт 87 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
87. Ввод в промышленную эксплуатацию ИС ГО, МИО и организаций осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченных органов в сферах информатизации и обеспечения информационной безопасности, заинтересованных ГО, МИО и организаций.
Единые требования дополнены пунктом 87-1 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383
87-1. Испытания на соответствие требованиям информационной безопасности проводятся в соответствии со статьей 49 Закона.
Пункт 88 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
88. Ввод в промышленную эксплуатацию объекта информатизации «электронного правительства» осуществляется его собственником или владельцем только с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации «электронного правительства», переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория «электронного правительства».
Пункт 89 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
89. При промышленной эксплуатации ИС ГО или МИО обеспечиваются:
1) сохранность, защита, восстановление ЭИР в случае сбоя или повреждения;
2) резервное копирование и контроль за своевременной актуализацией ЭИР;
3) автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к ИС ГО или МИО;
4) фиксация изменений в конфигурационных настройках ПО, серверного и телекоммуникационного оборудования;
5) контроль и регулирование функциональных характеристик производительности;
6) сопровождение ИС;
7) техническая поддержка используемого лицензионного ПО ИС;
8) гарантийное обслуживание разработчиком ИС, включающее устранение ошибок и недочетов ИС, выявленных в период гарантийного срока (Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию ИС);
9) подключение пользователей к ИС, а также взаимодействие ИС осуществляется с использованием доменных имен;
10) системно-техническое обслуживание;
11) сокращение (исключение) использования документов на бумажном носителе, а также требований по их представлению при осуществлении государственных функций и оказании государственных услуг.
90. Интеграция ИС ГО или МИО, в том числе с ИС ГО и МИО, находящейся в опытной эксплуатации, осуществляется в соответствии с требованиями, определенными статьей 43 Закона.
Интеграция негосударственной ИС с ИС ГО или МИО осуществляется в соответствии с требованиями, определенными статьей 44 Закона.
Правила дополнены пунктом 90-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:
1) регистрация и проверка источников (точек подключений) запросов на легитимность;
2) проверка легитимности запросов по:
паролю или ЭЦП;
точке подключения;
наличию блокировки соединения;
разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;
разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;
наличию в запросах признаков нарушений информационной безопасности;
наличию вредоносного кода по сигнатурам;
3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:
отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;
превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;
наличии в запросах признаков нарушений информационной безопасности;
превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;
выявлении аномальной активности пользователей;
выявлении попыток выгрузки массивов данных;
4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;
5) замена логина соединения при выявлении инцидентов ИБ;
6) сокрытие адресации ЛС внутреннего контура;
7) журналирование событий, включающее:
регистрацию событий передачи/приема информационных сообщений;
регистрацию событий передачи/ получения файлов;
регистрацию событий передачи/получения служебных сообщений;
применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;
автоматизацию процедур анализа журналов событий на наличие событий ИБ;
хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;
раздельное ведение журналов событий (при необходимости) по:
а) текущим суткам;
б) соединению (каналу связи);
в) государственному органу (юридическому лицу);
г) интегрируемым объектам информатизации;
8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;
9) программно-аппаратная криптографическая защита соединений, осуществляемых через сети передачи данных;
10) хранение и передача паролей соединений в зашифрованном виде;
11) автоматизация оповещения об инцидентах ИБ ответственных лиц интегрируемых объектов информатизации.
91. Гарантийное обслуживание ИС на этапе промышленной эксплуатации с привлечением сторонних организаций требует:
регламентации вопросов ИБ в соглашениях на гарантийное обслуживание;
управления рисками ИКТ в процессе гарантийного обслуживания.
Пункт 92 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
92. Управление программно-аппаратным обеспечением ИС ГО и МИО осуществляется из ЛС внутреннего контура владельца ИС.
Программно-аппаратное обеспечение ИС ГО или МИО и негосударственных ИС, интегрируемых с ИС ГО или МИО, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом, осуществляемым с использованием национального шлюза, в рамках международных договоров, ратифицированных Республикой Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-1. Для организации работы ИС ГО и МИО допускается использование облачных сервисов (аппаратно-программные комплексы, ИС, предоставляющие ресурсы с использованием технологии виртуализации), центры управления и сервера которых физически размещены на территории Республики Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-2 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-2. Программно-аппаратное обеспечение ИС критически важных объектов информационно-коммуникационной инфраструктуры, содержащее персональные данные граждан Республики Казахстана, размещается на территории Республики Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-3 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
92-3. Собственники и владельцы информационных систем государственного органа создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.
Единые требования дополнены пунктом 92-4 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383
92-4. Собственники, владельцы и пользователи ИС ГО и МИО осуществляют наполнение, обеспечивают достоверность и актуальность ЭИР.
93. Собственник или владелец ИС ГО или МИО принимает решение о прекращении эксплуатации ИС в случае отсутствия необходимости ее дальнейшего использования.
О прекращении эксплуатации ИС ГО или МИО необходимо уведомить сервисного интегратора, с публикацией на архитектурном портале «электронного правительства» субъектов информатизации, чьи ИС интегрированы со снимаемой с эксплуатации ИС ГО или МИО, и ГО или МИО, являющихся пользователями данной ИС.
94. ГО или МИО составляет план снятия ИС ГО или МИО с эксплуатации и согласовывает его с ГО или МИО, являющимися пользователями ИС ГО или МИО.
Пункт 95 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
95. После снятия с эксплуатации объекта информатизации «электронного правительства» электронные информационные ресурсы, техническая документация и исходные программные коды подлежат передаче в архив в соответствии с законодательством Республики Казахстан.
96. При поступлении заявки на прекращение эксплуатации ИС ГО или МИО сервисный интегратор аннулирует электронное свидетельство о регистрации ИС ГО или МИО и размещает соответствующие сведения на архитектурном портале «электронного правительства».
97. Списание и (или) утилизация снятой с эксплуатации ИС ГО или МИО осуществляются в соответствии с законодательством Республики Казахстан о бухгалтерском учете и финансовой отчетности.
В случае, если эксплуатация ИС ГО или МИО прекращена, но ИС ГО или МИО не списана в установленном порядке, то ИС ГО или МИО считается находящейся в консервации.
После списания ИС ГО или МИО не используется.
98. Для обеспечения ИБ:
1) на стадиях стендовых, приемо-сдаточных испытаний и тестовой эксплуатации осуществляются:
тестирование ПО ИС на основе разработанных комплексов тестов, настроенных на конкретные классы программ;
натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование);
тестирование ПО ИС с целью выявления возможных дефектов;
стендовые испытания ПО ИС для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности;
выявление и устранение уязвимостей программного и аппаратного обеспечения;
отработка средств защиты от несанкционированного воздействия.
2) перед вводом ИС в опытную эксплуатацию требуется предусмотреть:
контроль неблагоприятного влияния новой ИС на функционирующие ИС и компоненты ИКИ ЭП, особенно во время максимальных нагрузок;
анализ влияния новой ИС на состояние ИБ ИКИ ЭП;
организацию подготовки персонала к эксплуатации новой ИС;
3) осуществляется разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования:
перевод ИС из фазы разработки в фазу тестирования фиксируется и документально оформляется;
перевод ИС из фазы тестирования в фазу опытной эксплуатации фиксируется и документально оформляется;
перевод ИС из фазы опытной эксплуатации в этап промышленной эксплуатации фиксируется и документально оформляется;
инструментальные средства разработки и испытываемое ПО ИС размещаются в разных доменах;
компиляторы, редакторы и другие инструментальные средства разработки в среде эксплуатации не размещаются или недоступны для использования из среды эксплуатации;
среда испытаний ИС соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры;
для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации;
не подлежат копированию данные из ИС, находящихся в промышленной эксплуатации, в испытательную среду;
4) при выводе из эксплуатации ИС обеспечиваются:
архивирование информации, содержащейся в ИС;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей с оформлением соответствующего акта.
Правила дополнены пунктом 98-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047; изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
98-1. На информационную систему критически важных объектов ИКИ также распространяются требования стандарта Республики Казахстан СТ РК IEC/PAS 62443-3-2017 «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления.
Параграф 5. Требования к технологической платформе
Пункт 99 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
99. Выбор технологической платформы осуществляется с учетом приоритета оборудования с возможностью поддержки технологии виртуализации.
100. При выборе оборудования, реализующего технологию виртуализации, учитывается необходимость обеспечения следующей функциональности:
1) декомпозиции:
вычислительные ресурсы распределяются между виртуальными машинами;
множество приложений и операционных систем сосуществуют на одной физической вычислительной системе;
2) изоляции:
виртуальные машины полностью изолированы друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные;
данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений;
3) совместимости:
приложениям и ОС предоставляются вычислительные ресурсы оборудования, реализующего технологию виртуализации.
Пункт 101 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
101. ИКП ЭП размещается на оборудовании, расположенном в серверном центре ГО.
Правила дополнены пунктом 101-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
101-1. Промышленная эксплуатация ИКП ЭП допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.
В пункт 102 внесены изменения в соответствии с постановлением Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
102. Для обеспечения ИБ при использовании технологии виртуализации реализуются:
1) управление идентификацией, требующее:
аутентификацию клиентов ИК-услуг и привилегированных пользователей;
федеративной идентификации пользователей в пределах одной технологической платформы;
сохранения информации об аутентификации после удаления идентификатора пользователя;
применения средств контроля процедур назначения профилей полномочий пользователя;
2) управление доступом, требующее:
разделения полномочий администратора ИС и администратора среды виртуализации;
ограничения прав доступа администратора среды виртуализации к данным пользователя ИК-услуги. Права доступа ограничиваются конкретными процедурами, определенными в ТД ИБ и сервисном соглашении об обслуживании, и подлежат регулярной актуализации;
применения многофакторной аутентификации для привилегированных и критичных операций;
ограничения использования ролей со всеми полномочиями. Настройки профиля администратора ИС исключают получение доступа к компонентам среды виртуализации;
определения минимальных привилегий и реализацию модели ролевого управления доступом;
удаленного доступа посредством защищенного шлюза или списка разрешенных сетевых адресов отправителей;
3) управление ключами шифрования, требующее:
контроля ограничения доступа к данным о ключах шифрования СКЗИ;
контроля над организацией корневого каталога и подписки ключей;
блокирования скомпрометированных ключей и их надежного уничтожения;
4) проведение аудита событий ИБ, требующее:
обязательности и регулярности процедур, определяемых в ТД ИБ;
проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;
ведения журнала регистрации событий и хранения в недоступной для администратора системе хранения;
проверки правильности работы системы ведения журнала регистрации событий;
определения длительности хранения журналов регистрации событий в ТД ИБ;
5) регистрация событий ИБ, требующая:
журналирования действий администраторов;
применения системы мониторинга инцидентов и событий ИБ;
оповещения на основе автоматического распознавания критического события или инцидента ИБ;
6) управление инцидентами ИБ, требующее:
определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты ИБ с актуализацией раз в полугодие;
составления отчетов с периодичностью, определенной в ТД ИБ, по результатам обнаружения, выявления, оценки и реагирования на инциденты ИБ;
уведомления ответственных лиц ГО, МИО или организации об инцидентах ИБ;
передачи информации об инцидентах ИБ в Национальный координационный центр информационной безопасности;
7) применение защитных мер аппаратных и программных компонентов инфраструктуры среды виртуализации, осуществляющих:
физическое отключение или блокирование неиспользуемых физических устройств (съемных накопителей, сетевых интерфейсов);
отключение неиспользуемых виртуальных устройств и сервисов;
мониторинг взаимодействия между гостевыми операционными системами;
контроль сопоставления виртуальных устройств физическим;
применение сертифицированных гипервизоров;
8) разделение сред эксплуатации от сред разработки и тестирования;
9) определение в ТД ИБ процедур управления изменениями для объектов информатизации;
10) определение в ТД ИБ процедур восстановления после сбоев и отказов оборудования и ПО;
11) исполнение процедур сетевого и системного администрирования, требующее:
обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур;
отделения аппаратной платформы от операционной системы виртуальной машины c целью исключения доступа внешних пользователей к аппаратной части;
логической изоляции между различными функциональными областями инфраструктуры среды виртуализации.
Параграф 6. Требования к аппаратно-программному комплексу
103. Требования к конфигурации серверного оборудования АПК определяются в техническом задании на создание или развитие ИС и (или) технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.
104. Выбор типовой конфигурации серверного оборудования АПК осуществляется с учетом обеспечения приоритета серверов:
1) с многопроцессорной архитектурой;
2) позволяющих масштабировать ресурсы и увеличивать производительность;
3) поддерживающих технологию виртуализации;
4) включающих средства управления, изменения и перераспределения ресурсов;
5) совместимых с используемой информационно-коммуникационной инфраструктурой.
105. Для обеспечения высокой доступности сервера применяются встроенные системы:
1) горячей замены резервных вентиляторов, блоков питания, дисков и адаптеров ввода-вывода;
2) динамической очистки и перераспределения страниц памяти;
3) динамического перераспределения процессоров;
4) оповещения о критических событиях;
5) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.
106. Приобретаемое серверное оборудование обеспечивается технической поддержкой от производителя. Снимаемое с производства серверное оборудование не подлежит приобретению.
107. С целью обеспечения ИБ на регулярной основе, определенной в НТД ИБ, осуществляется инвентаризация серверного оборудования с проверкой его конфигурации.
Пункт 108 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
108. Для обеспечения безопасности и качества обслуживания с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан, серверное оборудование АПК объектов информатизации ГО и МИО:
первого класса - размещается только в серверном центре ГО;
второго класса - размещается в серверном центре ГО, серверном помещении ГО и МИО или привлекаемого юридического лица, оборудованными в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.
Единые требования дополнены пунктом 108-1 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383; изложен в редакции постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.)
108-1. Для обеспечения доступности и отказоустойчивости АПК объектов информатизации ГО и МИО резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных осуществляется с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан для объектов информатизации первого и второго классов в резервном серверном помещении ГО, МИО или привлекаемого юридического лица, оборудованном в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.