53-3. При наличии в ИС функции работы с электронными документами ИС осуществляет проверку полномочий лица, подписавшего документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утверждаемыми уполномоченным органом согласно подпункту 10) пункта 1 статьи 5 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи».
Единые требования дополнены пунктом 53-4 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)
53-4. При наличии в ИС функции работы с электронными документами ИС должна хранить электронные документы в неизменном виде вместе со всеми ЭЦП, которыми они удостоверены, метками времени и информацией о статусе проверки регистрационных свидетельств на отозванность (аннулирование) на момент подписания в течение всего срока хранения электронного документа в ИС.
Единые требования дополнены пунктом 53-5 в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.)
53-5. При наличии в ИС функции работы с электронными документами ИС должна поддерживать работу со всеми типами хранилищ ключей ЭЦП, поддерживаемыми удостоверяющими центрами, с которыми работает данная ИС.
Пункт 54 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.); постановления Правительства РК от 25.02.26 г. № 119 (введено в действие с 10 марта 2026 г.) (см. стар. ред.)
54. На этапе опытной и промышленной эксплуатации объектов информатизации используются средства защиты информации, обеспечивающие возможность:
обнаружения и предотвращения вредоносного кода;
мониторинга и управления инцидентами и событиями ИБ;
обнаружения и предотвращения вторжений;
мониторинга и управления информационной инфраструктурой.
Правила дополнены пунктом 54-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
54-1. Для защиты объектов информатизации ГО, МИО и критически важных объектов информационно-коммуникационной инфраструктуры применяются системы предотвращения утечки данных (DLP).
При этом обеспечиваются:
визуальное уведомление пользователя о проводимом контроле действий;
размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.
Пункт 55 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.); постановления Правительства РК от 25.02.26 г. № 119 (введено в действие с 10 марта 2026 г.) (см. стар. ред.)
55. Для подписания электронных документов информационная система использует регистрационные свидетельства, выданные аккредитованными удостоверяющими центрами.
56. Удостоверяющие центры Республики Казахстан, за исключением Корневого удостоверяющего центра Республики Казахстан, признаются в доверенных списках программных продуктов мировых производителей ПО путем аккредитации удостоверяющего центра в соответствии с правилами аккредитации удостоверяющих центров.
Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств.
Параграф 2 главы 2 дополнен пунктом 56-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
56-1. Владелец критически важных объектов информационно-коммуникационной инфраструктуры, обрабатывающий данные, содержащие охраняемую законом тайну, проводит аудит информационной безопасности не реже одного раз в год. Аудит информационной безопасности банков второго уровня проводится в соответствии с требованиями банковского законодательства Республики Казахстан.
Глава 3. Требования к объектам информатизации
Параграф 1. Требования к электронным информационным ресурсам и интернет-ресурсам
57. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.)
58. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации.
59. Собственник и (или) владелец ИР обеспечивают создание общедоступных ИР на казахском, русском и, по необходимости, на других языках, с возможностью выбора пользователем языка интерфейса.
Пункт 60 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.); постановления Правительства РК от 25.02.26 г. № 119 (введено в действие с 10 марта 2026 г.) (см. стар. ред.)
60. Создание или развитие ИР осуществляются с учетом требований национальных стандартов Республики Казахстан СТ РК 2190-2012 «Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования», СТ РК 2191-2023 «Информационные технологии. Доступность веб-контента для лиц с инвалидностью», СТ РК 2192-2012 «Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания», СТ РК 2193-2012 «Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений», СТ РК 2199-2012 «Информационные технологии. Требования к безопасности веб-приложений в государственных органах».
61. Подготовка, размещение, актуализация ЭИР на ИР ГО или МИО осуществляются в соответствии с правилами информационного наполнения и требованиями к содержанию ИР ГО, утвержденными уполномоченным органом.
62. ИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз.
ЕПИР ГО размещается на ИКП ЭП.
Параграф 1 главы 3 дополнен пунктом 62-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
62-1. Интернет-ресурс с зарегистрированным доменным именем.KZ и (или).ҚАЗ размещается на аппаратно-программном комплексе, который расположен на территории Республики Казахстан;
Параграф 1 главы 3 дополнен пунктом 62-2 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
62-2. Использование доменных имен.KZ и (или).ҚАЗ в пространстве казахстанского сегмента Интернета при передаче данных интернет-ресурсами осуществляется с применением сертификатов безопасности.
63. Управление ИР, размещение и актуализация ЭИР центрального исполнительного органа, структурных и территориальных подразделений центрального исполнительного органа, местного исполнительного органа осуществляются из внешнего контура локальной сети ИКИ ЭП оператором на основании заявки собственника и (или) владельца ИР.
Параграф 1 главы 3 дополнен пунктом 63-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
63-1. Промышленная эксплуатация ИР ГО и МИО допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.
Единые требования дополнены пунктом 63-2 в соответствии с постановлением Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.)
63-2. В объектах информатизации ГО, МИО и организаций не допускается хранение ЭИР, содержащих персональные данные и используемых при автоматизации государственных функций и оказании вытекающих из них государственных услуг, после наступления даты достижения целей их сбора и обработки, собственниками или владельцами которых являются иные субъекты информатизации.
64. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
Пункт 65 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
65. ГО или МИО при неиспользовании ЭИР обеспечивает его передачу в архив в порядке, установленном Законом Республики Казахстан «О Национальном архивном фонде и архивах» (далее - Закон об архивах).
66. Для обеспечения ИБ ИР применяются:
1) регистрационные свидетельства для проверки подлинности доменного имени и криптографической защиты содержимого сеанса связи с использованием СКЗИ;
2) система управления содержимым (контентом), выполняющая:
санкционирование операций размещения, изменения и удаления ЭИР;
регистрацию авторства при размещении, изменении и удалении ЭИР;
проверку загружаемого ЭИР на наличие вредоносного кода;
аудит безопасности исполняемого кода и скриптов;
контроль целостности размещенного ЭИР;
ведение журнала изменений ЭИР;
мониторинг аномальной активности пользователей и программных роботов.
Параграф 2. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению
67. На стадии инициирования создания или развития прикладного ПО определяется и фиксируется в проектной документации класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом в соответствии с подпунктом 11) статьи 7 Закона.
Пункт 68 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 25.02.26 г. № 119 (введено в действие с 10 марта 2026 г.) (см. стар. ред.)
68. Требования к создаваемому или развиваемому прикладному ПО ИС определяются в техническом задании, создаваемом в соответствии с требованиями национального стандарта Республики Казахстан СТ РК 34.015-2002 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», настоящими ЕТ и правилами составления и рассмотрения технических заданий на создание и развитие объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с пунктом 3 статьи 39 Закона.
69, 69-1. Исключены в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
70. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом требований настоящих ЕТ.
71. Приобретение готового прикладного ПО осуществляется с учетом приоритета СПО при условии идентичности его характеристик с коммерческим ПО.
72. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР.
73. Разрабатываемое или приобретаемое готовое прикладное ПО:
1) обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на казахском, русском и других языках, по необходимости, с возможностью выбора пользователем языка интерфейса;
2) учитывает требования:
надежности;
сопровождаемости;
удобства использования;
эффективности;
универсальности;
функциональности;
кроссплатформенности;
3) обеспечивает полнофункциональную поддержку технологии виртуализации;
4) поддерживает кластеризацию;
5) обеспечивается технической документацией по эксплуатации на казахском и русском языках.
В пункт 74 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
74. Создание и развитие или приобретение ПО обеспечиваются технической поддержкой и сопровождением.
Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями ТД ИБ.
В пункт 75 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
75. Процесс создания и развития прикладного ПО:
1) предусматривает:
создание информационной базы алгоритмов, исходных текстов и программных средств;
испытание и тестирование программных модулей;
типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость;
использование лицензионных инструментальных средств разработки;
2) включает процедуры приемки прикладного ПО, предусматривающие:
передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу;
контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО;
выполнение контрольного примера на данной версии ПО.
Пункт 76 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
76. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников подразделения информационных технологий ГО, МИО или организаций.
77. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 25 февраля 2023 г.) (см. стар. ред.)
В пункт 78 внесены изменения в соответствии с постановлением Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.); постановления Правительства РК от 25.02.26 г. № 119 (введено в действие с 10 марта 2026 г.) (см. стар. ред.)
78. С целью обеспечения ИБ:
1) на этапе разработки ПО учитываются рекомендации национального стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»;
2) требования к разрабатываемому или приобретаемому прикладному ПО предусматривают применение средств:
идентификации и аутентификации пользователей, при необходимости цифровых сертификатов;
управления доступом;
контроля целостности;
журналирования действий пользователей, влияющих на ИБ;
защиты онлайновых транзакций;
криптографической защиты информации с использованием СКЗИ конфиденциальных ИС при хранении, обработке;
журналирования критичных событий ПО;
3) в ТД ИБ определяются и применяются при эксплуатации:
правила установки, обновления и удаления ПО на серверах и рабочих станциях;
процедуры управления изменениями и анализа прикладного ПО, в случае изменения системного ПО;
4) лицензируемое ПО используется и приобретается только при условии наличия лицензии.
79. Мероприятия по контролю правомерности использования ПО определяются в ТД ИБ, проводятся не реже одного раза в год и включают в себя:
определение фактически используемого ПО;
определение прав на использование ПО;
сравнение фактически используемого ПО и имеющихся лицензий.
Пункт 80 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
80. Прикладное ПО выполняет проверки подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ, в соответствии с Правилами проверки подлинности электронной цифровой подписи, утвержденными уполномоченным органом в соответствии с подпунктом 10) пункта 1 статьи 5 Закона Республики Казахстан «Об электронном документе и электронной цифровой подписи».
Параграф 3. Требования к информационно-коммуникационной инфраструктуре
81. Требования к ИКИ формируются с учетом объектов, входящих в ее состав, согласно подпункту 25) статьи 1 Закона.
Пункт 82 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
82. ЕТ устанавливает требования к следующим объектам ИКИ:
1) информационная система;
2) технологическая платформа;
3) аппаратно-программный комплекс;
4) сети телекоммуникаций;
5) системы бесперебойного функционирования технических средств и информационной безопасности;
6) серверное помещение (центр обработки данных).
Параграф 4. Требования к информационной системе
Пункт 83 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
83. Обязательные требования к средствам обработки, хранения и резервного копирования ЭИР в объектах информационно-коммуникационной инфраструктуры «электронного правительства» определяются статьей 42 Закона.
84. Перед началом опытной эксплуатации разработчиком:
1) для всех функциональных компонентов ИС создается набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;
2) осуществляются стендовые испытания ИС;
3) осуществляется для персонала:
ИС ГО или МИО первого класса в соответствии с классификатором обязательное обучение;
ИС ГО или МИО второго класса в соответствии с классификатором создание видео,- мультимедиа обучающих материалов;
ИС ГО или МИО третьего класса в соответствии с классификатором создание справочной системы и (или) инструкций по эксплуатации.
Пункт 85 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.)
85. Опытная эксплуатация ИС ГО или МИО включает:
документирование процедур проведения опытной эксплуатации;
оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;
оформление акта о завершении опытной эксплуатации ИС;
срок проведения опытной эксплуатации не должен превышать один год.
Параграф 4 главы 3 дополнен пунктом 85-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
85-1. Внедрение объекта информатизации «электронного правительства» осуществляется в соответствии с действующими на территории Республики Казахстан стандартами.
Пункт 86 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.)
86. Перед вводом в промышленную эксплуатацию ИС в ГО, МИО или организации определяются, согласовываются, документально оформляются критерии приемки созданной ИС или новых версий и обновлений ИС.
Пункт 87 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
87. Ввод в промышленную эксплуатацию ИС ГО, МИО и организаций осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности, подписания акта о вводе в промышленную эксплуатацию ИС приемочной комиссией с участием представителей уполномоченных органов в сферах информатизации и обеспечения информационной безопасности, заинтересованных ГО, МИО и организаций.
Единые требования дополнены пунктом 87-1 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383
87-1. Испытания на соответствие требованиям информационной безопасности проводятся в соответствии со статьей 49 Закона.
Пункт 88 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
88. Ввод в промышленную эксплуатацию объекта информатизации «электронного правительства» осуществляется его собственником или владельцем только с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации «электронного правительства», переданных ему государственной технической службой в соответствии с правилами функционирования единого репозитория «электронного правительства».
Пункт 89 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.)
89. При промышленной эксплуатации ИС ГО или МИО обеспечиваются:
1) сохранность, защита, восстановление ЭИР в случае сбоя или повреждения;
2) резервное копирование и контроль за своевременной актуализацией ЭИР;
3) автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к ИС ГО или МИО;
4) фиксация изменений в конфигурационных настройках ПО, серверного и телекоммуникационного оборудования;
5) контроль и регулирование функциональных характеристик производительности;
6) сопровождение ИС;
7) техническая поддержка используемого лицензионного ПО ИС;
8) гарантийное обслуживание разработчиком ИС, включающее устранение ошибок и недочетов ИС, выявленных в период гарантийного срока (Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию ИС);
9) подключение пользователей к ИС, а также взаимодействие ИС осуществляется с использованием доменных имен;
10) системно-техническое обслуживание;
11) сокращение (исключение) использования документов на бумажном носителе, а также требований по их представлению при осуществлении государственных функций и оказании государственных услуг.
90. Интеграция ИС ГО или МИО, в том числе с ИС ГО и МИО, находящейся в опытной эксплуатации, осуществляется в соответствии с требованиями, определенными статьей 43 Закона.
Интеграция негосударственной ИС с ИС ГО или МИО осуществляется в соответствии с требованиями, определенными статьей 44 Закона.
Правила дополнены пунктом 90-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
90-1. При реализации функций интеграционного взаимодействия объектов информатизации или компонентов объектов информации посредством шлюза, интеграционной шины, интеграционного компонента или интеграционного модуля обеспечиваются:
1) регистрация и проверка источников (точек подключений) запросов на легитимность;
2) проверка легитимности запросов по:
паролю или ЭЦП;
точке подключения;
наличию блокировки соединения;
разрешенным видам запросов, определенным в регламенте интеграционного взаимодействия;
разрешенной частоте запросов, определенной в регламенте интеграционного взаимодействия;
наличию в запросах признаков нарушений информационной безопасности;
наличию вредоносного кода по сигнатурам;
3) блокировка соединения при обнаружении нарушений в протоколах обмена сообщениями при:
отсутствии соединения в течение времени, определенного в регламенте интеграционного взаимодействия;
превышении разрешенной частоты запросов на время, определенное в регламенте интеграционного взаимодействия;
наличии в запросах признаков нарушений информационной безопасности;
превышении количества ошибок аутентификации, определенного в регламенте интеграционного взаимодействия;
выявлении аномальной активности пользователей;
выявлении попыток выгрузки массивов данных;
4) регулярная смена паролей соединения по времени действия, определенного в регламенте интеграционного взаимодействия;
5) замена логина соединения при выявлении инцидентов ИБ;
6) сокрытие адресации ЛС внутреннего контура;
7) журналирование событий, включающее:
регистрацию событий передачи/приема информационных сообщений;
регистрацию событий передачи/ получения файлов;
регистрацию событий передачи/получения служебных сообщений;
применение системы управления инцидентами и событиями ИБ для мониторинга журналов событий;
автоматизацию процедур анализа журналов событий на наличие событий ИБ;
хранение журналов событий на специализированном сервере логов, доступном для администраторов только для просмотра;
раздельное ведение журналов событий (при необходимости) по:
а) текущим суткам;
б) соединению (каналу связи);
в) государственному органу (юридическому лицу);
г) интегрируемым объектам информатизации;
8) предоставление сервиса синхронизации времени для интегрируемых объектов информатизации;
9) программно-аппаратная криптографическая защита соединений, осуществляемых через сети передачи данных;
10) хранение и передача паролей соединений в зашифрованном виде;
11) автоматизация оповещения об инцидентах ИБ ответственных лиц интегрируемых объектов информатизации.
91. Гарантийное обслуживание ИС на этапе промышленной эксплуатации с привлечением сторонних организаций требует:
регламентации вопросов ИБ в соглашениях на гарантийное обслуживание;
управления рисками ИКТ в процессе гарантийного обслуживания.
Пункт 92 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
92. Управление программно-аппаратным обеспечением ИС ГО и МИО осуществляется из ЛС внутреннего контура владельца ИС.
Программно-аппаратное обеспечение ИС ГО или МИО и негосударственных ИС, интегрируемых с ИС ГО или МИО, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом, осуществляемым с использованием национального шлюза, в рамках международных договоров, ратифицированных Республикой Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-1. Для организации работы ИС ГО и МИО допускается использование облачных сервисов (аппаратно-программные комплексы, ИС, предоставляющие ресурсы с использованием технологии виртуализации), центры управления и сервера которых физически размещены на территории Республики Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-2 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355
92-2. Программно-аппаратное обеспечение ИС критически важных объектов информационно-коммуникационной инфраструктуры, содержащее персональные данные граждан Республики Казахстана, размещается на территории Республики Казахстан.
Параграф 4 главы 3 дополнен пунктом 92-3 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12
92-3. Собственники и владельцы информационных систем государственного органа создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц в соответствии с Гражданским кодексом, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.
Единые требования дополнены пунктом 92-4 в соответствии с постановлением Правительства РК от 10.06.22 г. № 383
92-4. Собственники, владельцы и пользователи ИС ГО и МИО осуществляют наполнение, обеспечивают достоверность и актуальность ЭИР.
93. Собственник или владелец ИС ГО или МИО принимает решение о прекращении эксплуатации ИС в случае отсутствия необходимости ее дальнейшего использования.
О прекращении эксплуатации ИС ГО или МИО необходимо уведомить сервисного интегратора, с публикацией на архитектурном портале «электронного правительства» субъектов информатизации, чьи ИС интегрированы со снимаемой с эксплуатации ИС ГО или МИО, и ГО или МИО, являющихся пользователями данной ИС.
94. ГО или МИО составляет план снятия ИС ГО или МИО с эксплуатации и согласовывает его с ГО или МИО, являющимися пользователями ИС ГО или МИО.
Пункт 95 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
95. После снятия с эксплуатации объекта информатизации «электронного правительства» электронные информационные ресурсы, техническая документация и исходные программные коды подлежат передаче в архив в соответствии с законодательством Республики Казахстан.
96. При поступлении заявки на прекращение эксплуатации ИС ГО или МИО сервисный интегратор аннулирует электронное свидетельство о регистрации ИС ГО или МИО и размещает соответствующие сведения на архитектурном портале «электронного правительства».
97. Списание и (или) утилизация снятой с эксплуатации ИС ГО или МИО осуществляются в соответствии с законодательством Республики Казахстан о бухгалтерском учете и финансовой отчетности.
В случае, если эксплуатация ИС ГО или МИО прекращена, но ИС ГО или МИО не списана в установленном порядке, то ИС ГО или МИО считается находящейся в консервации.
После списания ИС ГО или МИО не используется.
98. Для обеспечения ИБ:
1) на стадиях стендовых, приемо-сдаточных испытаний и тестовой эксплуатации осуществляются:
тестирование ПО ИС на основе разработанных комплексов тестов, настроенных на конкретные классы программ;
натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование);
тестирование ПО ИС с целью выявления возможных дефектов;
стендовые испытания ПО ИС для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности;
выявление и устранение уязвимостей программного и аппаратного обеспечения;
отработка средств защиты от несанкционированного воздействия.
2) перед вводом ИС в опытную эксплуатацию требуется предусмотреть:
контроль неблагоприятного влияния новой ИС на функционирующие ИС и компоненты ИКИ ЭП, особенно во время максимальных нагрузок;
анализ влияния новой ИС на состояние ИБ ИКИ ЭП;
организацию подготовки персонала к эксплуатации новой ИС;
3) осуществляется разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования:
перевод ИС из фазы разработки в фазу тестирования фиксируется и документально оформляется;
перевод ИС из фазы тестирования в фазу опытной эксплуатации фиксируется и документально оформляется;
перевод ИС из фазы опытной эксплуатации в этап промышленной эксплуатации фиксируется и документально оформляется;
инструментальные средства разработки и испытываемое ПО ИС размещаются в разных доменах;
компиляторы, редакторы и другие инструментальные средства разработки в среде эксплуатации не размещаются или недоступны для использования из среды эксплуатации;
среда испытаний ИС соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры;
для испытываемых ИС не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации;
не подлежат копированию данные из ИС, находящихся в промышленной эксплуатации, в испытательную среду;
4) при выводе из эксплуатации ИС обеспечиваются:
архивирование информации, содержащейся в ИС;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей с оформлением соответствующего акта.
Правила дополнены пунктом 98-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047; изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.); постановления Правительства РК от 25.02.26 г. № 119 (введено в действие с 10 марта 2026 г.) (см. стар. ред.)
98-1. На информационную систему критически важных объектов ИКИ также распространяются требования национального стандарта Республики Казахстан СТ РК IEC/PAS 62443-3-2017 «Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 3. Защищенность (кибербезопасность) промышленного процесса измерения и управления.
Параграф 5. Требования к технологической платформе
Пункт 99 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.)
99. Выбор технологической платформы осуществляется с учетом приоритета оборудования с возможностью поддержки технологии виртуализации.
100. При выборе оборудования, реализующего технологию виртуализации, учитывается необходимость обеспечения следующей функциональности:
1) декомпозиции:
вычислительные ресурсы распределяются между виртуальными машинами;
множество приложений и операционных систем сосуществуют на одной физической вычислительной системе;
2) изоляции:
виртуальные машины полностью изолированы друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные;
данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений;
3) совместимости:
приложениям и ОС предоставляются вычислительные ресурсы оборудования, реализующего технологию виртуализации.
Пункт 101 изложен в редакции постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
101. ИКП ЭП размещается на оборудовании, расположенном в серверном центре ГО.
Правила дополнены пунктом 101-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355; изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановления Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
101-1. Промышленная эксплуатация ИКП ЭП допускается при условии наличия протоколов испытаний с положительными результатами испытаний на соответствие требованиям информационной безопасности.
В пункт 102 внесены изменения в соответствии с постановлением Правительства РК от 13.05.24 г. № 372 (введено в действие с 26 мая 2024 г.) (см. стар. ред.)
102. Для обеспечения ИБ при использовании технологии виртуализации реализуются:
1) управление идентификацией, требующее:
аутентификацию клиентов ИК-услуг и привилегированных пользователей;
федеративной идентификации пользователей в пределах одной технологической платформы;
сохранения информации об аутентификации после удаления идентификатора пользователя;
применения средств контроля процедур назначения профилей полномочий пользователя;
2) управление доступом, требующее:
разделения полномочий администратора ИС и администратора среды виртуализации;
ограничения прав доступа администратора среды виртуализации к данным пользователя ИК-услуги. Права доступа ограничиваются конкретными процедурами, определенными в ТД ИБ и сервисном соглашении об обслуживании, и подлежат регулярной актуализации;
применения многофакторной аутентификации для привилегированных и критичных операций;
ограничения использования ролей со всеми полномочиями. Настройки профиля администратора ИС исключают получение доступа к компонентам среды виртуализации;
определения минимальных привилегий и реализацию модели ролевого управления доступом;
удаленного доступа посредством защищенного шлюза или списка разрешенных сетевых адресов отправителей;
3) управление ключами шифрования, требующее:
контроля ограничения доступа к данным о ключах шифрования СКЗИ;
контроля над организацией корневого каталога и подписки ключей;
блокирования скомпрометированных ключей и их надежного уничтожения;
4) проведение аудита событий ИБ, требующее:
обязательности и регулярности процедур, определяемых в ТД ИБ;
проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;
ведения журнала регистрации событий и хранения в недоступной для администратора системе хранения;
проверки правильности работы системы ведения журнала регистрации событий;
определения длительности хранения журналов регистрации событий в ТД ИБ;
5) регистрация событий ИБ, требующая:
журналирования действий администраторов;
применения системы мониторинга инцидентов и событий ИБ;
оповещения на основе автоматического распознавания критического события или инцидента ИБ;
6) управление инцидентами ИБ, требующее:
определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты ИБ с актуализацией раз в полугодие;
составления отчетов с периодичностью, определенной в ТД ИБ, по результатам обнаружения, выявления, оценки и реагирования на инциденты ИБ;
уведомления ответственных лиц ГО, МИО или организации об инцидентах ИБ;
передачи информации об инцидентах ИБ в Национальный координационный центр информационной безопасности;
