64. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
Пункт 65 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
65. ГО или МИО при неиспользовании ЭИР обеспечивает его передачу в архив в порядке, установленном Законом Республики Казахстан «О Национальном архивном фонде и архивах» (далее - Закон об архивах).
66. Для обеспечения ИБ ИР применяются:
1) регистрационные свидетельства для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ;
2) система управления содержимым (контентом), выполняющая:
санкционирование операций размещения, изменения и удаления ЭИР;
регистрацию авторства при размещении, изменении и удалении ЭИР;
проверку загружаемого ЭИР на наличие вредоносного кода;
аудит безопасности исполняемого кода и скриптов;
контроль целостности размещенного ЭИР;
ведение журнала изменений ЭИР;
мониторинг аномальной активности пользователей и программных роботов.
Параграф 2. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению
67. На стадии инициирования создания или развития прикладного ПО определяется и фиксируется в проектной документации класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона.
Пункт 68 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями стандарта Республики Казахстан СТ РК 34.015-2002 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с подпунктом 20) статьи 7 Закона.
69, 69-1. Исключены в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
70. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом требований настоящих ЕТ.
71. Приобретение готового прикладного ПО осуществляется с учетом приоритета СПО при условии идентичности его характеристик с коммерческим ПО.
72. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР.
73. Разрабатываемое или приобретаемое готовое прикладное ПО:
1) обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса;
2) учитывает требования:
надежности;
сопровождаемости;
удобства использования;
эффективности;
универсальности;
функциональности;
кроссплатформенности;
3) обеспечивает полнофункциональную поддержку технологии виртуализации;
4) поддерживает кластеризацию;
5) обеспечивается технической документацией по эксплуатации на казахском и русском языках.
В пункт 74 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
74. Создание и развитие или приобретение ПО обеспечиваются технической поддержкой и сопровождением.
Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями ТД ИБ.
В пункт 75 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
75. Процесс создания и развития прикладного ПО:
1) предусматривает:
создание информационной базы алгоритмов, исходных текстов и программных средств;
испытание и тестирование программных модулей;
типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость;
использование лицензионных инструментальных средств разработки;
2) включает процедуры приемки прикладного ПО, предусматривающие:
передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу;
контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО;
выполнение контрольного примера на данной версии ПО.
Пункт 76 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
76. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников подразделения информационных технологий ГО, МИО или организаций.
77. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
78. С целью обеспечения ИБ:
1) на этапе разработки ПО учитываются рекомендации стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»;
2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:
идентификации и аутентификации пользователей, при необходимости ЭЦП и регистрационных свидетельств;
управления доступом;
контроля целостности;
журналирования действий пользователей, влияющих на ИБ;
защиты онлайновых транзакций;
криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;
журналирования критичных событий ПО;
3) в ТД ИБ определяются и применяются при эксплуатации:
правила установки, обновления и удаления ПО на серверах и рабочих станциях;
процедуры управления изменениями и анализа прикладного ПО, в случае изменения системного ПО;
4) лицензируемое ПО используется и приобретается только при условии наличия лицензии.
79. Мероприятия по контролю правомерности использования ПО определяются в ТД ИБ, проводятся не реже одного раза в год и включают в себя:
определение фактически используемого ПО;
определение прав на использование ПО;
сравнение фактически используемого ПО и имеющихся лицензий.
Пункт 80 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
80. Прикладное ПО выполняет проверки подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утвержденными уполномоченным органом в соответствии с подпунктом 10) пункта 1 статьи 5 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи».
Параграф 3. Требования к информационно-коммуникационной инфраструктуре
81. Требования к ИКИ формируются с учетом объектов, входящих в ее состав, согласно подпункту 25) статьи 1 Закона.
Пункт 82 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
82. ЕТ устанавливает требования к следующим объектам ИКИ:
1) информационная система;
2) технологическая платформа;
3) аппаратно-программный комплекс;
4) сети телекоммуникаций;
5) системы бесперебойного функционирования технических средств и информационной безопасности;
6) серверное помещение (центр обработки данных).
Параграф 4. Требования к информационной системе
83. ИС ГО или МИО создается и развивается в порядке, определенном пунктом 1 статьи 39 Закона, а также учитываются требования статьи 38 Закона.
Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в ИС ГО или МИО определяются статьей 42 Закона.
84. Перед началом опытной эксплуатации разработчиком:
1) для всех функциональных компонентов ИС создается набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;
2) осуществляются стендовые испытания ИС;
3) осуществляется для персонала:
ИС ГО или МИО первого класса в соответствии с классификатором обязательное обучение;
ИС ГО или МИО второго класса в соответствии с классификатором создание видео,- мультимедиа обучающих материалов;
ИС ГО или МИО третьего класса в соответствии с классификатором создание справочной системы и (или) инструкций по эксплуатации.
Пункт 85 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
85. Опытная эксплуатация ИС ГО или МИО включает:
документирование процедур проведения опытной эксплуатации;
оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;
оформление акта о завершении опытной эксплуатации ИС;
срок проведения опытной эксплуатации не должен превышать один год.
Параграф 4 главы 3 дополнен пунктом 85-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
85-1. Внедрение объекта информатизации «электронного правительства» осуществляется в соответствии с действующими на территории Республики Казахстан стандартами.
Пункт 86 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
86. Перед вводом в промышленную эксплуатацию ИС в ГО, МИО или организации определяются, согласовываются, документально оформляются критерии приемки созданной ИС или новых версий и обновлений ИС.
Пункт 87 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
87. Ввод в промышленную эксплуатацию ИС ГО или МИО осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия акта с положительным результатом испытаний на соответствие требованиям ИБ, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченного органа, заинтересованных ГО, МИО и организаций.
Единые требования дополнены пунктом 87-1 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383
87-1. Испытания на соответствие требованиям информационной безопасности проводятся в соответствии со статьей 49 Закона.
88. Предоставление сервисному интегратору «электронного правительства» для учета и хранения разработанного ПО, исходных программных кодов (при наличии) и комплекса настроек лицензионного ПО ИС ГО или МИО является обязательным и осуществляется в соответствии с порядком, определенным уполномоченным органом.
Модифицирование, разглашение и (или) использование исходных программных кодов, программных продуктов и ПО осуществляются по разрешению его собственника.
Пункт 89 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
89. При промышленной эксплуатации ИС ГО или МИО обеспечиваются:
1) сохранность, защита, восстановление ЭИР в случае сбоя или повреждения;
2) резервное копирование и контроль за своевременной актуализацией ЭИР;
3) автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к ИС ГО или МИО;
4) фиксация изменений в конфигурационных настройках ПО, серверного и телекоммуникационного оборудования;
5) контроль и регулирование функциональных характеристик производительности;
6) сопровождение ИС;
7) техническая поддержка используемого лицензионного ПО ИС;
8) гарантийное обслуживание разработчиком ИС, включающее устранение ошибок и недочетов ИС, выявленных в период гарантийного срока (Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию ИС);
9) подключение пользователей к ИС, а также взаимодействие ИС осуществляется с использованием доменных имен;
10) системно-техническое обслуживание;
11) сокращение (исключение) использования документов на бумажном носителе, а также требований по их представлению при осуществлении государственных функций и оказании государственных услуг.
90. Интеграция ИС ГО или МИО, в том числе с ИС ГО и МИО, находящейся в опытной эксплуатации, осуществляется в соответствии с требованиями, определенными статьей 43 Закона.
Интеграция негосударственной ИС с ИС ГО или МИО осуществляется в соответствии с требованиями, определенными статьей 44 Закона.
Правила дополнены пунктом 90-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:
1) регистрация и проверка источников (точек подключений) запросов на легитимность;
2) проверка легитимности запросов по:
паролю или ЭЦП;
точке подключения;
наличию блокировки соединения;
разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;
разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;
наличию в запросах признаков нарушений информационной безопасности;
наличию вредоносного кода по сигнатурам;
3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:
отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;
превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;
наличии в запросах признаков нарушений информационной безопасности;
превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;
выявлении аномальной активности пользователей;
выявлении попыток выгрузки массивов данных;
4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;
5) замена логина соединения при выявлении инцидентов ИБ;
6) сокрытие адресации ЛС внутреннего контура;
7) журналирование событий, включающее:
регистрацию событий передачи/приема информационных сообщений;
регистрацию событий передачи/ получения файлов;
регистрацию событий передачи/получения служебных сообщений;
применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;
автоматизацию процедур анализа журналов событий на наличие событий ИБ;
хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;
раздельное ведение журналов событий (при необходимости) по:
а) текущим суткам;
б) соединению (каналу связи);
в) государственному органу (юридическому лицу);
г) интегрируемым объектам информатизации;
8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;
9) программно-аппаратная криптографическая защита соединений, осуществляемых через сети передачи данных;
10) хранение и передача паролей соединений в зашифрованном виде;
11) автоматизация оповещения об инцидентах ИБ ответственных лиц интегрируемых объектов информатизации.
91. Гарантийное обслуживание ИС на этапе промышленной эксплуатации с привлечением сторонних организаций требует:
регламентации вопросов ИБ в соглашениях на гарантийное обслуживание;
управления рисками ИКТ в процессе гарантийного обслуживания.
Пункт 92 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
92. Управление программно-аппаратным обеспечением ИС ГО и МИО осуществляется из ЛС внутреннего контура владельца ИС.
Программно-аппаратное обеспечение ИС ГО или МИО и негосударственных ИС, интегрируемых с ИС ГО или МИО, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом, осуществляемым с использованием национального шлюза, в рамках международных договоров, ратифицированных Республикой Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-1. Для организации работы ИС ГО и МИО допускается использование облачных сервисов (аппаратно-программные комплексы, ИС, предоставляющие ресурсы с использованием технологии виртуализации), центры управления и сервера которых физически размещены на территории Республики Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-2 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-2. Программно-аппаратное обеспечение ИС критически важных объектов информационно-коммуникационной инфраструктуры, содержащее персональные данные граждан Республики Казахстана, размещается на территории Республики Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-3 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
92-3. Собственники и владельцы информационных систем государственного органа создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.
Единые требования дополнены пунктом 92-4 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383
92-4. Собственники, владельцы и пользователи ИС ГО и МИО осуществляют наполнение, обеспечивают достоверность и актуальность ЭИР.
93. Собственник или владелец ИС ГО или МИО принимает решение о прекращении эксплуатации ИС в случае отсутствия необходимости ее дальнейшего использования.
О прекращении эксплуатации ИС ГО или МИО необходимо уведомить сервисного интегратора, с публикацией на архитектурном портале «электронного правительства» субъектов информатизации, чьи ИС интегрированы со снимаемой с эксплуатации ИС ГО или МИО, и ГО или МИО, являющихся пользователями данной ИС.
94. ГО или МИО составляет план снятия ИС ГО или МИО с эксплуатации и согласовывает его с ГО или МИО, являющимися пользователями ИС ГО или МИО.
Пункт 95 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
95. После снятия ИС с эксплуатации ГО или МИО сдают в ведомственный архив электронные документы, техническую документацию, журналы и архивированную базу данных снятой с эксплуатации ИС ГО или МИО в соответствии с Правилами приема, хранения, учета и использования документов Национального архивного фонда и других архивных документов ведомственными и частными архивами, утвержденными постановлением Правительства Республики Казахстан в соответствии с подпунктом 3) пункта 1-1 статьи 18 Закона об архивах.
96. При поступлении заявки на прекращение эксплуатации ИС ГО или МИО сервисный интегратор аннулирует электронное свидетельство о регистрации ИС ГО или МИО и размещает соответствующие сведения на архитектурном портале «электронного правительства».
97. Списание и (или) утилизация снятой с эксплуатации ИС ГО или МИО осуществляются в соответствии с законодательством Республики Казахстан о бухгалтерском учете и финансовой отчетности.
В случае, если эксплуатация ИС ГО или МИО прекращена, но ИС ГО или МИО не списана в установленном порядке, то ИС ГО или МИО считается находящейся в консервации.
После списания ИС ГО или МИО не используется.
98. Для обеспечения ИБ:
1) на стадиях стендовых, приемо-сдаточных испытаний и тестовой эксплуатации осуществляются:
тестирование ПО ИС на основе разработанных комплексов тестов, настроенных на конкретные классы программ;
натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование);
тестирование ПО ИС с целью выявления возможных дефектов;
стендовые испытания ПО ИС для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности;
выявление и устранение уязвимостей программного и аппаратного обеспечения;
отработка средств защиты от несанкционированного воздействия.
2) перед вводом ИС в опытную эксплуатацию требуется предусмотреть:
контроль неблагоприятного влияния новой ИС на функционирующие ИС и компоненты ИКИ ЭП, особенно во время максимальных нагрузок;
анализ влияния новой ИС на состояние ИБ ИКИ ЭП;
организацию подготовки персонала к эксплуатации новой ИС;
3) осуществляется разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования:
перевод ИС из фазы разработки в фазу тестирования фиксируется и документально оформляется;
перевод ИС из фазы тестирования в фазу опытной эксплуатации фиксируется и документально оформляется;
перевод ИС из фазы опытной эксплуатации в этап промышленной эксплуатации фиксируется и документально оформляется;
инструментальные средства разработки и испытываемое ПО ИС размещаются в разных доменах;
компиляторы, редакторы и другие инструментальные средства разработки в среде эксплуатации не размещаются или недоступны для использования из среды эксплуатации;
среда испытаний ИС соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры;
для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации;
не подлежат копированию данные из ИС, находящихся в промышленной эксплуатации, в испытательную среду;
4) при выводе из эксплуатации ИС обеспечиваются:
архивирование информации, содержащейся в ИС;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей с оформлением соответствующего акта.
Правила дополнены пунктом 98-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047
98-1. На информационную систему критически важных объектов ИКИ также распространяются требования стандарта Республики Казахстан IEC/PAS 62443-3-2017 «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (Кибербезопасность) промышленного процесса измерения и управления».
Параграф 5. Требования к технологической платформе
Пункт 99 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
99. Выбор технологической платформы осуществляется с учетом приоритета оборудования с возможностью поддержки технологии виртуализации.
100. При выборе оборудования, реализующего технологию виртуализации, учитывается необходимость обеспечения следующей функциональности:
1) декомпозиции:
вычислительные ресурсы распределяются между виртуальными машинами;
множество приложений и операционных систем сосуществуют на одной физической вычислительной системе;
2) изоляции:
виртуальные машины полностью изолированы друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные;
данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений;
3) совместимости:
приложениям и ОС предоставляются вычислительные ресурсы оборудования, реализующего технологию виртуализации.
101. ИКП ЭП размещается на оборудовании, расположенном в серверном центре ГО.
ИКП ЭП обеспечивает:
автоматизированное предоставление ИК-услуг с единой точкой входа для их управления;
виртуализацию вычислительных ресурсов серверного оборудования с использованием различных технологий;
бесперебойное и отказоустойчивое функционирование предоставляемых ИК-услуг с коэффициентом использования не менее 98,7 %;
исключение единой точки отказа на логическом и физическом уровнях средствами используемого оборудования, телекоммуникаций и программного обеспечения;
разделение вычислительных ресурсов на аппаратном и программном уровнях.
Надежность виртуальной инфраструктуры обеспечивается встроенными средствами ПО технологии виртуализации и управления виртуальной средой.
Правила дополнены пунктом 101-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
101-1. Промышленная эксплуатация ИКП допускается при условии наличия акта с положительным результатом испытаний на соответствие требованиям информационной безопасности.
102. Для обеспечения ИБ при использовании технологии виртуализации реализуются:
1) управление идентификацией, требующее:
аутентификацию клиентов ИК-услуг и привилегированных пользователей;
федеративной идентификации пользователей в пределах одной технологической платформы;
сохранения информации об аутентификации после удаления идентификатора пользователя;
применения средств контроля процедур назначения профилей полномочий пользователя;
2) управление доступом, требующее:
разделения полномочий администратора ИС и администратора среды виртуализации;
ограничения прав доступа администратора среды виртуализации к данным пользователя ИК-услуги. Права доступа ограничиваются конкретными процедурами, определенными в ТД ИБ и сервисном соглашении об обслуживании, и подлежат регулярной актуализации;
применения многофакторной аутентификации для привилегированных и критичных операций;
ограничения использования ролей со всеми полномочиями. Настройки профиля администратора ИС исключают получение доступа к компонентам среды виртуализации;
определения минимальных привилегий и реализацию модели ролевого управления доступом;
удаленного доступа посредством защищенного шлюза или списка разрешенных сетевых адресов отправителей;
3) управление ключами шифрования, требующее:
контроля ограничения доступа к данным о ключах шифрования СКЗИ;
контроля над организацией корневого каталога и подписки ключей;
блокирования скомпрометированных ключей и их надежного уничтожения;
4) проведение аудита событий ИБ, требующее:
обязательности и регулярности процедур, определяемых в ТД ИБ;
проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;
ведения журнала регистрации событий и хранения в недоступной для администратора системе хранения;
проверки правильности работы системы ведения журнала регистрации событий;
определения длительности хранения журналов регистрации событий в ТД ИБ;
5) регистрация событий ИБ, требующая:
журналирования действий администраторов;
применения системы мониторинга инцидентов и событий ИБ;
оповещения на основе автоматического распознавания критического события или инцидента ИБ;
6) управление инцидентами ИБ, требующее:
определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты ИБ с актуализацией раз в полугодие;
составления отчетов с периодичностью, определенной в ТД ИБ, по результатам обнаружения, выявления, оценки и реагирования на инциденты ИБ;
уведомления ответственных лиц ГО, МИО или организации об инцидентах ИБ;
регистрации инцидентов ИБ в Службе реагирования на компьютерные инциденты Государственной технической службы;
7) применение защитных мер аппаратных и программных компонентов инфраструктуры среды виртуализации, осуществляющих:
физическое отключение или блокирование неиспользуемых физических устройств (съемных накопителей, сетевых интерфейсов);
отключение неиспользуемых виртуальных устройств и сервисов;
мониторинг взаимодействия между гостевыми операционными системами;
контроль сопоставления виртуальных устройств физическим;
применение сертифицированных гипервизоров;
8) физическое разделение сред эксплуатации от сред разработки и тестирования;
9) определение в ТД ИБ процедур управления изменениями для объектов информатизации;
10) определение в ТД ИБ процедур восстановления после сбоев и отказов оборудования и ПО;
11) исполнение процедур сетевого и системного администрирования требующее:
обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур;
отделения аппаратной платформы от операционной системы виртуальной машины c целью исключения доступа внешних пользователей к аппаратной части;
логической изоляции между различными функциональными областями инфраструктуры среды виртуализации;
физической изоляции между средами виртуализации ЭИР и ИС различных классов по уровню ИБ.
Параграф 6. Требования к аппаратно-программному комплексу
103. Требования к конфигурации серверного оборудования АПК определяются в техническом задании на создание или развитие ИС и (или) технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.
104. Выбор типовой конфигурации серверного оборудования АПК осуществляется с учетом обеспечения приоритета серверов:
1) с многопроцессорной архитектурой;
2) позволяющих масштабировать ресурсы и увеличивать производительность;
3) поддерживающих технологию виртуализации;
4) включающих средства управления, изменения и перераспределения ресурсов;
5) совместимых с используемой информационно-коммуникационной инфраструктурой.
105. Для обеспечения высокой доступности сервера применяются встроенные системы:
1) горячей замены резервных вентиляторов, блоков питания, дисков и адаптеров ввода-вывода;
2) динамической очистки и перераспределения страниц памяти;
3) динамического перераспределения процессоров;
4) оповещения о критических событиях;
5) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.
106. Приобретаемое серверное оборудование обеспечивается технической поддержкой от производителя. Снимаемое с производства серверное оборудование не подлежит приобретению.
107. С целью обеспечения ИБ на регулярной основе, определенной в НТД ИБ, осуществляется инвентаризация серверного оборудования с проверкой его конфигурации.
Пункт 108 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
108. Для обеспечения безопасности и качества обслуживания с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан, серверное оборудование АПК объектов информатизации ГО и МИО:
первого класса - размещается только в серверном центре ГО;
второго класса - размещается в серверном центре ГО, серверном помещении ГО и МИО или привлекаемого юридического лица, оборудованными в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.
Единые требования дополнены пунктом 108-1 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383; изложен в редакции постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.)
108-1. Для обеспечения доступности и отказоустойчивости АПК объектов информатизации ГО и МИО резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных осуществляется с оформлением договора совместных работ по ИБ в порядке, установленном законодательством Республики Казахстан для объектов информатизации первого и второго классов в резервном серверном помещении ГО, МИО или привлекаемого юридического лица, оборудованном в соответствии с требованиями к серверным помещениям, установленными в настоящих ЕТ.
109. Требования к системам хранения данных определяются в техническом задании на создание или развитие ИС и (или) технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.
110. Система хранения данных обеспечивает поддержку:
единых средств для репликации данных;
масштабируемости по объему хранения данных.
111. Для высоконагруженных ИС, требующих высокой доступности, применяются:
1) сети хранения данных;
2) системы хранения данных, поддерживающие систему виртуализации и (или) ярусного хранения данных.
112. Для обеспечения высокой доступности системы хранения данных включают встроенные системы:
1) горячей замены резервных вентиляторов и блоков питания;
2) горячей замены дисков и адаптеров ввода-вывода;
3) оповещения о критических событиях;
4) активных контроллеров (в количестве не менее двух);
5) интерфейсов сети хранения данных (в количестве не менее двух портов на контроллер);
6) поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.
113. Система хранения данных обеспечивается системой резервного копирования.
114. Для обеспечения ИБ, надежного хранения и возможности восстановления данных:
1) применяется криптографическая защита хранимой служебной информации ограниченного распространения, информации конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа с использованием СКЗИ, в соответствии с пунктом 48 настоящих ЕТ;
2) используется выделенный сервер для защищенного хранения ключей шифрования по уровню безопасности не ниже уровня безопасности, используемых СКЗИ, установленного для криптографических ключей в правилах использования криптографических средств защиты информации;
3) обеспечивается запись и испытание резервных копий в соответствии с регламентом резервного копирования, определенным в ТД ИБ.
115. При выводе из эксплуатации носителей информации, используемых в конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяется программное и аппаратное обеспечение гарантированного уничтожения информации.
В пункт 116 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
116. При выборе системного ПО серверного оборудования и рабочих станций учитываются:
1) исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
2) соответствие типу операционных систем (клиентской или серверной);
3) совместимость с используемым прикладным ПО;
4) поддержка сетевых сервисов, функционирующих в сети телекоммуникаций;
5) поддержка многозадачности;
6) наличие штатных средств получения и установки критичных обновлений и обновлений безопасности выпускаемых производителем операционных систем;
7) наличие средств диагностики, аудита и ведение журнала событий;
8) поддержка технологий виртуализации.
Единые требования дополнены пунктом 116-1 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)
116-1. Служащие ГО и МИО получают доступ с рабочей станции к «Цифровому рабочему месту служащего», предназначенному для обеспечения единого интерфейса и доступа ко всем системам и сервисам (компонентам, программным продуктам) «электронного правительства».
117. Приобретение системного ПО осуществляется с учетом приоритета:
1) модели лицензирования, обеспечивающей снижение стоимости закупки, а также совокупной стоимости лицензии за период эксплуатации;
2) ПО, обеспеченного технической поддержкой и сопровождением.
118. С целью обеспечения ИБ системное ПО обеспечивает возможность:
1) контроля доступа с применением:
идентификации, аутентификации и управления паролями пользователей;
регистрации успешных и неудавшихся доступов;
регистрации использования системных привилегий;
ограничения времени соединения, при необходимости, и блокировки сеанса по превышению лимита времени;
2) исключения для пользователей и ограничения для администраторов использования системных утилит, способных обходить средства контроля операционной системы.
119. СПО распространяется безвозмездно, без лицензионных ограничений, препятствующих использованию в ГО с соблюдением требований законодательства об авторском праве.
