(СТАРАЯ РЕДАКЦИЯ) ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РЕСПУБЛИКИ КАЗАХСТАН ОТ 2...

2) обеспечивается программным обеспечением, реализующим:

централизованное управление пользователями и устройствами;

учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями;

систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования;

идентификацию пользователя до начала использования сервиса печати;

авторизацию служащего ГО на устройстве печати способами, регламентированными в ТД ИБ;

формирование очереди печати, осуществляющей печать посредством единой очереди печати с возможностью получения распечатанных документов на доступном устройстве печати.

Параграф 2. Требования к организации информационной безопасности

Пункт 29 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)

29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ISO/IEC 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации».

Правила дополнены пунктом 29-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047; изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)

29-1. В целях реализации требований обеспечения информационной безопасности для обороны страны и безопасности государства осуществляется приобретение ПО и продукции электронной промышленности в виде товара и информационно-коммуникационной услуги из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с Законом и законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

Реестр доверенного программного обеспечения и продукции электронной промышленности ведется уполномоченным органом в сфере электронной промышленности в соответствии с Правилами формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериями по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности, утвержденными уполномоченным органом в сфере электронной промышленности согласно пункту 7 статьи 7-6 Закона.

При этом в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции допускается ее приобретение в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора.

Собственники и владельцы программного обеспечения, включенного в реестр доверенного программного обеспечения и продукции электронной промышленности, обеспечивают передачу исходных программных кодов оператору для учета и хранения.

Пункт 30 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)

30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ.

Сотрудники, ответственные за обеспечение ИБ, проходят специализированные курсы в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата.

В пункт 31 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)

31. ТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО, МИО или организация в своей деятельности.

ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.

ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года.

32. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ.

Параграф 2 дополнен пунктом 32-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12

32-1. Перечень внутренних документов финансовой организации, детализирующий требования политики ИБ, определяется в соответствии с нормативными правовыми актами уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций, регулирующими деятельность финансовых организаций по обеспечению информационной безопасности.

33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе:

1) методика оценки рисков информационной безопасности;

2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;

3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

5) правила проведения внутреннего аудита ИБ;

6) правила использования средств криптографической защиты информации;

7) правила разграничения прав доступа к электронным информационным ресурсам;

8) правила использования Интернет и электронной почты;

9) правила организации процедуры аутентификации;

10) правила организации антивирусного контроля;

11) правила использования мобильных устройств и носителей информации;

12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.

34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе:

1) каталог угроз (рисков) ИБ;

2) план обработки угроз (рисков) ИБ;

3) регламент резервного копирования и восстановления информации;

4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

5) руководство администратора по сопровождению объекта информатизации;

6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

Пункт 35 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)

35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:

1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций;

2) журнал посещения серверных помещений;

3) отчет о проведении оценки уязвимости сетевых ресурсов;

4) журнал учета кабельных соединений;

5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;

6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений СПО и ППО ИС, регистрации и устранения уязвимостей ПО;

7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;

8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.

36. Для обеспечения защиты активов проводятся:

1) инвентаризация активов;

2) классификация и маркировка активов в соответствии с системой классификации, принятой в ГО, МИО;

3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов;

4) регламентация в ТД ИБ порядка:

использования и возврата активов;

идентификации, классификации и маркировки активов.

В пункт 37 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)

37. С целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:

1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2010 «Менеджмент риска. Методы оценки риска» и разработка процедуры анализа рисков;

2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая:

выявление угроз ИБ и их источников;

выявление уязвимостей, которые могут привести к реализации угроз;

определение каналов утечки информации;

формирование модели нарушителя;

3) выбор критериев принятия идентифицированных рисков;

4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 27005-2013 «Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности»;

5) разработка и утверждение плана обработки угроз (рисков) ИБ, содержащего мероприятия по их нейтрализации или снижению.

В пункт 38 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)

38. С целью контроля событий нарушений ИБ в ГО, МИО или организации:

1) проводится мониторинг событий, связанных с нарушением ИБ, и анализ результатов мониторинга;

2) регистрируются события, связанные с состоянием ИБ, и выявляются нарушения путем анализа журналов событий, в том числе:

журналов событий операционных систем;

журналов событий систем управления базами данных;

журналов событий антивирусной защиты;

журналов событий прикладного ПО;

журналов событий телекоммуникационного оборудования;

журналов событий систем обнаружения и предотвращения атак;

журналов событий системы управления контентом;

3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени;

4) журналы регистрации событий хранятся в течение срока, указанного в ТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев;

5) ведутся журналы регистрации событий в соответствии с форматами и типами записей, определенными в правилах проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, утвержденных уполномоченным органом в сфере обеспечения информационной безопасности по согласованию с органами национальной безопасности в соответствии с подпунктом 7) статьи 7-1 Закона;

6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных ИС требуются создание и ведение резервного хранилища журналов;

7) обеспечивается внедрение формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ.

39. С целью защиты критически важных процессов ГО, МИО или организации от внутренних и внешних угроз:

1) разрабатывается, тестируется и реализуется план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;

2) доводится до сведения служащих ГО, МИО или работников организации инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, подлежит регулярной актуализации.

40. Функциональные обязанности по обеспечению ИБ и обязательства по исполнению требований ТД ИБ служащих ГО, МИО или работников организации вносятся в должностные инструкции и (или) условия трудового договора.

Обязательства в области обеспечения ИБ, имеющие силу после прекращения действий трудового договора, закрепляются в трудовом договоре служащих ГО, МИО или работников организации.

41. В случае привлечения сторонних организаций к обеспечению информационной безопасности ЭИР, ИС, ИКИ, их собственник или владелец заключает соглашения, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение.

42. В ТД ИБ определяется содержание процедур при увольнении служащих ГО, МИО или работников организации, имеющих обязательства в области обеспечения ИБ.

Пункт 43 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)

43. При увольнении или внесении изменений в условия трудового договора права доступа служащего ГО, МИО или работника организации к информации и средствам обработки информации, включающие физический и логический доступ, идентификаторы доступа, подписки, документацию, которая идентифицирует его как действующего служащего ГО, МИО или работника организации, аннулируются после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора.

44. Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ.

Пункт 45 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)

45. При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации в соответствии с подпунктом 11) статьи 7 Закона (далее - классификатор), а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 15408-2017 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

В пункт 46 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)

46. В целях обеспечения ИБ при эксплуатации объектов информатизации устанавливаются требования к:

1) способам аутентификации;

2) применяемым СКЗИ;

3) способам обеспечения доступности и отказоустойчивости;

4) мониторингу обеспечения ИБ, защиты и безопасного функционирования;

5) применению средств и систем обеспечения ИБ;

6) регистрационным свидетельствам удостоверяющих центров.

Единые требования дополнены пунктом 46-1 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

46-1. Для подписания объекты информатизации «электронного правительства» используют регистрационные свидетельства аккредитованных удостоверяющих центров в соответствии с Правилами выдачи и отзыва свидетельства об аккредитации удостоверяющих центров, утверждаемыми уполномоченным органом в соответствии с подпунктом 2) пункта 3 статьи 5 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи».

Пункт 47 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)

47. При доступе к объектам информатизации первого и второго классов в соответствии с классификатором применяется многофакторная аутентификация, в том числе с использованием ЭЦП.

48. C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» для объектов информатизации:

первого класса в соответствии с классификатором - третьего уровня безопасности;

второго класса в соответствии с классификатором - второго уровня безопасности;

третьего класса в соответствии с классификатором - первого уровня безопасности.

49. Для обеспечения доступности и отказоустойчивости владельцами объектов информатизации ЭП обеспечиваются:

1) наличие резервного собственного или арендованного серверного помещения для объектов информатизации ЭП первого и второго классов в соответствии с классификатором;

2) резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных, в том числе для объектов информатизации ЭП:

первого класса в соответствии с классификатором - нагруженное (горячее) в резервном серверном помещении;

второго класса в соответствии с классификатором - не нагруженное (холодное) в резервном серверном помещении;

третьего класса в соответствии с классификатором - хранение на складе в непосредственной близости от основного серверного помещения.

Единые требования дополнены пунктом 49-1 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

49-1. Интеграция объектов информатизации «электронного правительства» осуществляется в соответствии с Правилами интеграции объектов информатизации «электронного правительства», утвержденными уполномоченным органом в соответствии с подпунктом 13) статьи 7 Закона, и при соблюдении требований информационной безопасности, определяемых профилем защиты и оформляемых договором совместных работ по информационной безопасности государственных и негосударственных информационных систем, и основывается на обеспечении:

1) единой интеграционной среды - обеспечение технологической возможности межведомственного и ведомственного информационного взаимодействия объектов информатизации;

2) единовременной интеграции - обеспечение однократного подключения объектов информатизации «электронного правительства» к системе взаимодействия и последующего многократного использования для минимизации финансовых и временных издержек при передаче и получении информации;

3) единого информационного пространства - обеспечение совместимости и сопоставимости данных при передаче на основе применения стандартных форматов передачи данных.

50. Объекты информатизации ЭП первого и второго классов в соответствии с классификатором подключаются к системе мониторинга обеспечения ИБ, защиты и безопасного функционирования не позднее одного года после их введения в промышленную эксплуатацию.

Параграф 2 дополнен пунктом 50-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12; изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)

50-1. Собственники или владельцы негосударственных информационных систем, предназначенных для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг, до интеграции с информационными системами государственных органов создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

Владельцы критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан.

Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение года со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

Единые требования дополнены пунктом 50-2 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

50-2. Единая интеграционная среда основывается на выполнении следующих требований:

1) осуществление интеграции в единую интеграционную среду в соответствии с сервисно-ориентированной архитектурой;

2) осуществление межгосударственного информационного взаимодействия объектов информатизации нескольких государств посредством национального шлюза Республики Казахстан;

3) осуществление создания, изменения и удаления данных путем их сопряжения с соответствующими процессами реализации государственных функций и предоставления государственных услуг, инициированными владельцами данных или от их имени;

4) применение единых подходов и стандартов в обеспечении однозначной идентификации взаимодействующих сторон и объема их прав при осуществлении взаимодействия;

5) приоритетное осуществление синхронного взаимодействия между объектами информатизации «электронного правительства»;

6) обеспечение использования сведений из хранилища электронных документов и единой системы нормативно-справочной информации шлюза «электронного правительства» в процессе информационного взаимодействия и предоставления государственных услуг;

7) обеспечение фиксации даты, времени, содержания и участников всех действий и операций, осуществляемых в рамках информационного взаимодействия, а также сведений, позволяющих восстановить историю информационного взаимодействия;

8) обеспечение технической возможности для доступа к данным, хранящимся в организациях;

9) обеспечение легитимности и целостности информационного взаимодействия путем подписания запроса и передаваемых данных ЭЦП.

В пункт 51 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)

51. ГО, МИО или организация осуществляют мониторинг:

действий пользователей и персонала;

использования средств обработки информации.

Единые требования дополнены пунктом 51-1 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

51-1. Единовременная интеграция основывается на выполнении следующих требований:

1) осуществление интеграции и предоставления доступа к функциональным возможностям и ЭИР (данным) объектов информатизации на основе набора универсальных сервисов информационного взаимодействия, опубликованных на шлюзе «электронного правительства»;

2) обеспечение многократного использования сервисов информационного взаимодействия путем их включения в реестр сервисов шлюза «электронного правительства»;

3) обеспечение создания сервисов информационного взаимодействия на основании стандартных технологий, форматов и протоколов передачи данных, используемых в Республике Казахстан;

4) распространение данных посредством единого виртуального источника данных с управлением правами доступа получателей информации;

5) осуществление разработки нового сервиса информационного взаимодействия в случаях отсутствия аналогичного либо похожего сервиса в регистре сервисов шлюза «электронного правительства»;

6) обеспечение технической возможности для формирования композитных сервисов на основе сервисов информационного взаимодействия;

7) обеспечение работоспособности шлюза «электронного правительства» в независимости от проводимых технических, административных, организационных и иных изменений объектов информатизации «электронного правительства», подключенных к шлюзу «электронного правительства»;

8) обеспечение возможности независимого развития объекта информатизации «электронного правительства» поставщика информации без необходимости доработки всех связанных потребителей информации путем обеспечения неизменности интерфейсов сервиса информационного взаимодействия.

В пункт 52 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)

52. В ГО, МИО или организации в рамках осуществления мониторинга действий пользователей и персонала:

1) при выявлении аномальной активности и злоумышленных действий пользователей эти действия:

регистрируются, блокируются и оперативно оповещается администратор для объектов информатизации ЭП первого класса в соответствии с классификатором;

регистрируются и блокируются для объектов информатизации ЭП второго класса в соответствии с классификатором;

регистрируются для объектов информатизации ЭП третьего класса в соответствии с классификатором;

2) регистрируются и контролируются подразделением ИБ действия обслуживающего персонала.

Единые требования дополнены пунктом 52-1 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

52-1. Единое информационное пространство основывается на соблюдении требований по управлению данными, в том числе с учетом требований по:

1) обеспечению совместимости данных в процессе информационного взаимодействия путем синтаксического, семантического и пространственного соответствия передаваемых данных и интерфейсов сервисов информационного взаимодействия;

2) обеспечению распространения определенного вида данных путем использования эталонных источников информации и их сопоставления в случае использования данных из нескольких источников;

3) однозначной и уникальной идентификации распространяемых данных;

4) распространению общедоступных данных в структурированном, машиночитаемом и связанном формате посредством портала открытых данных;

5) обеспечению возможности подтверждения достоверности и актуальности данных, выявления недостоверных данных, а также информирования заинтересованных участников информационного взаимодействия о случаях выявления недостоверных данных и изменениях, произведенных в процессе ее актуализации;

6) использованию единой схемы преобразования данных из формата данных потребителя информации к формату данных поставщика информации при взаимодействии объектов информатизации «электронного правительства» с использованием шлюза «электронного правительства».

53. События ИБ, идентифицированные как критические для конфиденциальности, доступности и целостности, по результатам анализа мониторинга событий ИБ и анализа журнала событий:

1) определяются как инциденты ИБ;

2) учитываются в каталоге угроз (рисков) ИБ;

3) регистрируются в службе реагирования на компьютерные инциденты государственной технической службы.

Единые требования дополнены пунктом 53-1 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

53-1. При наличии в ИС функции подписания электронных документов пользователю ИС предоставляется возможность выгрузки из ИС электронного документа, как подписанного ЭЦП пользователя, так и иных доступных ему электронных документов вместе со всеми ЭЦП, которыми удостоверены такие электронные документы, с целью получения пользователем ИС возможности проверки подлинности электронного документа без использования данной ИС иными доступными ему способами.

Единые требования дополнены пунктом 53-2 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

53-2. При наличии в ИС функции подписания электронных документов пользователю ИС предоставляется возможность загрузки в ИС ранее подписанного электронного документа вместе со всеми ЭЦП, которыми удостоверен такой электронный документ, в том числе, если такой электронный документ был подписан без использования данной ИС.

Единые требования дополнены пунктом 53-3 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

53-3. При наличии в ИС функции работы с электронными документами ИС осуществляет проверку полномочий лица, подписавшего документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утверждаемыми уполномоченным органом согласно подпункту 10) пункта 1 статьи 5 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи».

Единые требования дополнены пунктом 53-4 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

53-4. При наличии в ИС функции работы с электронными документами ИС должна хранить электронные документы в неизменном виде вместе со всеми ЭЦП, которыми они удостоверены, метками времени и информацией о статусе проверки регистрационных свидетельств на отозванность (аннулирование) на момент подписания в течение всего срока хранения электронного документа в ИС.

Единые требования дополнены пунктом 53-5 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)

53-5. При наличии в ИС функции работы с электронными документами ИС должна поддерживать работу со всеми типами хранилищ ключей ЭЦП, поддерживаемыми удостоверяющими центрами, с которыми работает данная ИС.

Пункт 54 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)

54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства и системы:

обнаружения и предотвращения вредоносного кода;

мониторинга и управления инцидентами и событиями ИБ;

обнаружения и предотвращения вторжений;

мониторинга и управления информационной инфраструктурой.

Правила дополнены пунктом 54-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)

54-1. Для защиты объектов информатизации ГО, МИО и критически важных объектов информационно-коммуникационной инфраструктуры применяются системы предотвращения утечки данных (DLP).

При этом обеспечиваются:

визуальное уведомление пользователя о проводимом контроле действий;

размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.

55. Регистрационные свидетельства Корневого удостоверяющего центра Республики Казахстан подлежат признанию в доверенных списках программных продуктов мировых производителей ПО для целей аутентификации в соответствии со стандартами СТ РК ИСО/МЭК 14888-1-2006 «Информационная технология. Методы защиты информации. Цифровые подписи с приложением. Часть 1. Общие положения», СТ РК ИСО/МЭК 14888-3-2006 «Методы защиты информации цифровые подписи с приложением. Часть 3. Механизмы, основанные на сертификате», ГОСТ Р ИСО/МЭК 9594-8-98 «Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации».

56. Удостоверяющие центры Республики Казахстан, за исключением Корневого удостоверяющего центра Республики Казахстан, признаются в доверенных списках программных продуктов мировых производителей ПО путем аккредитации удостоверяющего центра в соответствии с правилами аккредитации удостоверяющих центров.

Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств.

Параграф 2 главы 2 дополнен пунктом 56-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12

56-1. Владелец критически важных объектов информационно-коммуникационной инфраструктуры, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раз в год. Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан.

Глава 3. Требования к объектам информатизации

Параграф 1. Требования к электронным информационным ресурсам и интернет-ресурсам

57. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.)

58. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.

59. Собственник и (или) владелец ИР обеспечивают создание общедоступных ИР на казахском, русском и, по необходимости, на других языках, с возможностью выбора пользователем языка интерфейса.

60. Создание или развитие ИР осуществляется с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 «Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования», СТ РК 2191-2012 «Информационные технологии. Доступность Интернет-ресурса для людей с ограниченными возможностями», СТ РК 2192-2012 «Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания», СТ РК 2193-2012 «Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений», СТ РК 2199-2012 «Информационные технологии. Требования к безопасности веб-приложений в государственных органах».

61. Подготовка, размещение, актуализация ЭИР на ИР ГО или МИО осуществляются в соответствии с правилами информационного наполнения и требованиями к содержанию ИР ГО, утвержденными уполномоченным органом.

62. ИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз.

ЕПИР ГО размещается на ИКП ЭП.

Параграф 1 главы 3 дополнен пунктом 62-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12

62-1. Интернет-ресурс с зарегистрированным доменным именем.KZ и (или).ҚАЗ размещается на аппаратно-программном комплексе, который расположен на территории Республики Казахстан;

Параграф 1 главы 3 дополнен пунктом 62-2 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12

62-2. Использование доменных имен.KZ и (или).ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных интернет-ресурсами осуществляется с применением сертификатов безопасности.

63. Управление ИР, размещение и актуализация ЭИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа осуществляются из внешнего контура локальной сети ИКИ ЭП оператором на основании заявки собственника и (или) владельца ИР.

Параграф 1 главы 3 дополнен пунктом 63-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)

63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности.