«Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысына өзгерістер мен толықтырулар енгізу туралы

 

Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

1. «Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы
№ 832 қаулысына мынадай өзгерістер мен толықтырулар енгізілсін: 

кіріспе мынадай редакцияда жазылсын: 

«Ақпараттандыру туралы» Қазақстан Республикасының Заңы 6-бабының
3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:»;

көрсетілген қаулымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарда:

2-тармақ мынадай редакцияда жазылсын:

«2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына қатысты
БТ ережелерін мемлекеттік органдардың, жергілікті атқарушы органдардың, мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері мен иеленушілерінің, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері мен иеленушілерінің, сондай-ақ ақпараттық қауіпсіздіктің жедел орталықтарының қолдануы міндетті болып табылады.»;

5-тармақтың 6) тармақшасындағы «арттыру болып табылады.» деген сөздер «арттыру;» деген сөзбен ауыстырылып, мынадай мазмұндағы
7) тармақшамен толықтырылсын:

«7) технологиялық процестерді басқарудың автоматтандырылған жүйелерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау болып табылады.»;

6-тармақ мынадай мазмұндағы 41), 42), 43), 44) және 45) тармақшалармен толықтырылсын:

«41) пайдаланушы – нақты функцияны және (немесе) міндетті орындау үшін ақпараттандыру объектілерін пайдаланатын ақпараттандыру субъектісі;

42) технологиялық процестерді басқарудың автоматтандырылған жүйесі (бұдан әрі – ТПБ АЖ) – нақты уақыт режимінде өндірістік процестерді автоматтандыруға, басқаруға, бақылауға және мониторингілеуге арналған цифрлық инфрақұрылым объектісі;

43) жасанды интеллект (бұдан әрі – ЖИ) – адамның интеллектуалды қызметінің нәтижесімен салыстыруға болатын немесе одан асып түсетін нәтижені қамтамасыз ететін, адамға тән когнитивті функцияларды имитациялай алатын функционалдық қабілет;

44) жасанды интеллект жүйесі – жасанды интеллектінің бір немесе бірнеше моделі негізінде жұмыс істейтін ақпараттандыру объектісі;

45) ұлттық жасанды интеллект платформасы – дерекнамаларды жинауға, өңдеуге, сақтау мен таратуға және жасанды интеллект саласында көрсетілетін қызметтерді ұсынуға арналған технологиялық платформа.»;

7-1-тармақ мынадай редакцияда жазылсын:

«7-1. Платформалылық мынадай талаптарды орындауға негізделеді:

1) «электрондық үкімет» ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформалары, ұлттық жасанды интеллект платформасы базасында шешімдер құруды және оларды дамытуды жүзеге асыру және (немесе) «электрондық үкімет» ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларының және ұлттық жасанды интеллект платформасының функционалдық мүмкіндіктерін пайдалану;

2) «электрондық үкімет» ақпараттық-коммуникациялық инфрақұрылымы технологиялық платформаларының және ұлттық жасанды интеллект платформасының функционалдық мүмкіндіктерін қайталайтын компоненттерді жоққа шығару;

3) «электрондық үкімет» ақпараттық-коммуникациялық инфрақұрылымының технологиялық платформаларын және ұлттық жасанды интеллект платформасы пайдаланылатын мемлекеттік функцияларды орындау процестерін және олардан туындайтын көрсетілетін қызметтерді автоматтандыруды қамтамасыз ету.»;

8-2-тармақ мынадай редакцияда жазылсын:

«8-2. Шешімдердің әмбебаптығы мынадай талаптарды орындауға негізделеді:

1) мемлекеттік функцияларды қамтамасыз ететін үлгілік қолданбалы міндеттерді орындау процестерін автоматтандыру үшін дайын бағдарламалық қамтылым мен сервистік бағдарламалық өнімдерді, платформалық бағдарламалық өнімдерді пайдалану;

2) мемлекеттік органның мемлекеттік функцияларын орындау ерекшеліктерін дайын бағдарламалық қамтылымда және сервистік бағдарламалық өнімдерде,  платформалық бағдарламалық өнімдерде іске асырылған процестерге ендіру процесінде бағдарламалық қамтылымды теңшеу және пысықтау қажеттігінсіз бейімдеу;   

3) сервистік бағдарламалық өнімдерді, платформалық бағдарламалық өнімдерді пайдаланған кезде мемлекеттік органдардың ендіруге, пайдаланушыларды оқытуға, бағдарламалық қамтылымды және ақпараттық-коммуникациялық инфрақұрылым компоненттерін сатып алуға қосымша шығындарының болмауы.»;

29-тармақ мынадай редакцияда жазылсын:

«29. МО-да, ЖАО-да немесе ұйымда АҚ-ны ұйымдастыру, қамтамасыз ету және басқару кезінде ҚР СТ ISO/IEC 27002-2023 «Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздікті басқару құралдары» Қазақстан Республикасы ұлттық стандартының ережелерін басшылыққа алу қажет.»;

37-тармақта:

1) тармақша мынадай редакцияда жазылсын:

«1) ҚР СТ 31010-2020 «Тәуекел менеджменті. Тәуекелді бағалау әдістері» Қазақстан Республикасы ұлттық стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу;»;

4) тармақша мынадай редакцияда жазылсын:

«4) ҚР СТ ISO/IEC 27005-2022 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері. Ақпараттық қауіпсіздік тәуекелі менеджменті»
Қазақстан Республикасы ұлттық стандартының талаптарына сәйкес сәйкестендірілген тәуекелдерді бағалауды (қайта бағалауды) қамтитын
АҚ қауіп-қатерлері (тәуекелдері) каталогын қалыптастыру;»;  

мынадай мазмұндағы 37-1-тармақпен толықтырылсын:

«37-1. «ҚР СТ 23894-2025 Тәуекелдерді басқару жөніндегі басшылық» Қазақстан Республикасының ұлттық стандартына сәйкес МО-да немесе
ЖАО-да ЖИ саласындағы тәуекелдерді басқару мақсатында жасанды интеллект жүйелерінің тәуекелдерін басқару жүзеге асырылады.»;   

44-тармақ мынадай редакцияда жазылсын:

«44. Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізеді, электрондық сертификат береді, жеке іс материалдарында сақтауды қамтамасыз етеді.»;

45-тармақ мынадай редакцияда жазылсын:

«45. Заңның 7-бабының 11) тармақшасына сәйкес ақпараттандыру саласындағы уәкілетті орган бекіткен ақпараттандыру обьектілерінің сыныптауышына (бұдан әрі – сыныптауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру обьектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде ҚР СТ ISO/IEC 15408-2017 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары» Қазақстан Республикасы ұлттық стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.»;

48-тармақ мынадай редакцияда жазылсын: 

«48. Таратылуы шектелген қызметік ақпаратты, жасырын АЖ-ны, жасырын ЭАР-ны және таратылуы шектелген дербес деректерді қамтитын ЭАР-ны қорғау мақсатында ҚР СТ 1073-2007 «Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар» Қазақстан Республикасының ұлттық стандартына сәйкес параметрлері АКҚҚ-ға қойылатын талаптарға сәйкес келетін:

бірінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес үшінші қауіпсіздік деңгейінің;

екінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес екінші қауіпсіздік деңгейінің;

үшінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес бірінші қауіпсіздік деңгейінің АКҚҚ (бағдарламалық және аппараттық) қолданылады.»;

50-1-тармақ мынадай редакцияда жазылсын:

«50-1. Мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтер көрсетуге арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері немесе иеленушілері мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланғанға дейін ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.

Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады.

Мемлекеттік органдарды, жергілікті өзін-өзі басқару органдарын, мемлекеттік заңды тұлғаларды, квазимемлекеттік сектор субъектілерін қоспағанда, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері немесе иеленушілері ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің тізбесіне енгізілген күннен бастап алты ай ішінде ақпараттық қауіпсіздіктің меншікті жедел орталығын құрады және оның жұмыс істеуін қамтамасыз етеді немесе ақпараттық қауіпсіздіктің жедел орталығы көрсететін қызметтерді Қазақстан Республикасының Азаматтық кодексіне сәйкес үшінші тұлғалардан сатып алады, сондай-ақ оның Ұлттық ақпараттық қауіпсіздікті үйлестіру орталығымен өзара іс-қимылын қамтамасыз етеді.»;

54-тармақ мынадай редакцияда жазылсын:

«54. Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде:

зиянды кодты анықтау мен оның алдын алу;

АҚ оқыс оқиғалары мен оқиғаларын мониторингілеу және басқару;

басып кіруді анықтау және алдын алу;

ақпараттық инфрақұрылымды мониторингілеу және басқару мүмкіндіктерін қамтамасыз ететін ақпаратты қорғау құралдары пайдаланылады.»;

55-тармақ мынадай редакцияда жазылсын:

«55. Электрондық құжаттарға қол қою үшін ақпараттық жүйе аккредиттелген куәландырушы орталықтар берген тіркеу куәліктерін пайдаланады.»;

60-тармақ мынадай редакцияда жазылсын:

«60. ИР-ны құру немесе дамыту ҚР СТ 2190-2012 «Ақпараттық технологиялар. Мемлекеттік органдар мен ұйымдардың интернет-ресурстары. Талаптар», ҚР СТ 2191-2023 «Ақпараттық технологиялар. Мүгедектігі бар адамдар үшін веб-контенттің қолжетімділігі», ҚР СТ 2192-2012 «Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. Жалпы сипаттамасы», ҚР СТ 2193-2012 «Ақпараттық технологиялар. Мобильдік
веб-қосымшаларды әзірлеуге ұсынылатын тәжірибесі», ҚР СТ 2199-2012 «Ақпараттық технологиялар. Мемлекеттік органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар» Қазақстан Республикасы ұлттық стандарттарының талаптары ескеріліп жүзеге асырылады.»;

68-тармақ мынадай редакцияда жазылсын:

«68. Жасалатын немесе дамытылатын қолданбалы АЖ-ның БҚ-на қойылатын талаптар ҚР СТ 34.015-2002 «Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені. Автоматтандырылған жүйелерді құруға арналған техникалық тапсырма» Қазақстан Республикасы ұлттық стандартының талаптарына сәйкес жасалатын техникалық тапсырмаларда осы БТ мен Заңның 39-бабының 3-тармағына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган бекітетін «электрондық үкіметтің» ақпараттандыру объектілерін құруға және дамытуға арналған техникалық тапсырмаларды жасау және қарау қағидаларында айқындалады.»;

78-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

«1) БҚ-ны әзірлеу кезеңінде ҚР МемСТ Р 50739-2006 «Есептеу техникасы құралдары. Ақпаратты рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар» Қазақстан Республикасы ұлттық стандартының ұсынымдары ескеріледі;»;

98-1-тармақ мынадай редакцияда жазылсын:

«98-1. АКИ-дің аса маңызды объектілерінің ақпараттық жүйесіне де
ҚР СТ IEC/PAS 62443-3-2017 «Коммуникациялық өнеркәсіптік желілер». Желі мен жүйенің қорғалуы (киберқауіпсіздігі). 3-бөлім. Өнеркәсіптік өлшеу мен басқару процесінің қорғалуы (киберқауіпсіздігі)» Қазақстан Республикасы ұлттық стандартының талаптары қолданылады.»; 

130-тармақ мынадай редакцияда жазылсын:

«130. МО-да немесе ЖАО-да келушілер үшін Интернетке қоғамдық қол жеткізу пункттерін ұйымдастыруға жол беріледі.

Қоғамдық қол жеткізу пункттерін ұйымдастыруға ИҚБШ-ға қосылмаған және МО БКО-мен және МО немесе ЖАО жергілікті желілерімен қосылысты жоққа шығаратын жеке байланыс арналарын пайдалану шартымен жол беріледі.

Қоғамдық қол жеткізу пункттерінің иеленушісі Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2015 жылғы
24 ақпандағы № 171 бұйрығымен (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10999 болып тіркелген) бекітілген Байланыс қызметтерін көрсету қағидаларына сәйкес ақпаратты желілік шабуылдардан қорғаудың техникалық құралдарын қолдану арқылы келушілерді қосу қауіпсіздігін қамтамасыз етеді.»;

139-тармақта:

4) тармақша мынадай редакцияда жазылсын:

«4) мынадай құралдар пайдаланылады:

пайдаланушыларды сәйкестендіру, аутентификациялау мен қолжетімділікті басқару;

жабдықты сәйкестендіру;

диагностикалық және конфигурациялық порттарды қорғау;

жергілікті желіні физикалық сегменттеу;

жергілікті желіні логикалық сегменттеу;

желілік қосылуды басқару;

желіаралық экрандау;

жергілікті желінің ішкі мекенжайлық кеңістігін жасыру;

деректердің, хабарлар мен конфигурациялардың тұтастығын бақылау;

осы БТ-ның 48-тармағына сәйкес ақпаратты криптографиялық қорғау;

деректерді беру арналарын және желілік жабдықты физикалық қорғау;

АҚ оқиғаларын тіркеу;

желілік трафикті мониторингтеу және талдау;

желіні басқару;»;

10-1) тармақша мынадай редакцияда жазылсын:

«10-1) ішкі контурдың ЖЖ-да Интернетте орналастырылған ақпараттандыру объектілерін немесе ЭҮСШ арқылы қосылмаған МО-ның, ЖАО-ның немесе ұйымның сыртқы контурының ЖЖ пайдаланылған кезде мынадай талаптарға сәйкес келетін экрандалған ішкі желі пайдаланылады:

ішкі желі ішкі контурдың ЖЖ және сыртқы контурдың ЖЖ тарапынан басып кіруді табу және оған жол бермеу, сондай-ақ ішкі және сыртқы контур желілерінің мекенжай кеңістігін жасыру үшін сыртқы желілік мекенжайларды түрлендіру функциялары бар жеке желіаралық экрандармен шектелген;

сыртқы контурдың ЖЖ-нан ішкі контурдың ЖЖ-на, сондай-ақ ішкі контурдың ЖЖ-нан сыртқы контурдың ЖЖ-на барлық қосылу серверде немесе бастапқыдан ерекшеленетін өзге маршрут бойынша қайта бағыттау мүмкіндігі жоқ экрандалған ішкі желінің ішінде орналасқан, сұрау салуларды қайта бағыттау функциясы бар маршрутизаторда ғана жүзеге асырылады;

сұрау салулар мен жауаптарды, сондай-ақ жұмыс станцияларында немесе экрандалған ішкі желі арқылы Интернеттің жалпыға қолжетімді ресурстарына немесе БКО-ға қолжетімділікті еркін пайдалануға жол берілмейді;»;   

148-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

«1) Қазақстан Республикасы Энергетика министрінің 2015 жылғы
30 наурыздағы № 246 бұйрығымен (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 10949 болып тіркелген) бекітілген Тұтынушылардың электр қондырғыларын техникалық пайдалану қағидаларын орындау қамтамасыз етіледі;»;

мынадай мазмұндағы 4-тараумен толықтырылсын:

«4-тарау. Технологиялық процестерді басқарудың автоматтандырылған жүйелеріне қойылатын талаптар

1-параграф. Технологиялық процестерді басқарудың автоматтандырылған жүйелерін ұйымдастыруға қойылатын талаптар

164. ТП БАЖ жұмыс істеуін қамтамасыз ететін АКИАМО меншік иелері мен иеленушілері ақпараттық қауіпсіздік жөніндегі құжаттардың мынадай тізбесін әзірлейді және өзекті күйде ұстайды:

1. Ақпараттық қауіпсіздіктің салалық орталығымен келісілген жауапкершіліктің мақсаттарын, қағидаттарын және бөлінуін айқындайтын
ТП БАЖ ақпараттық қауіпсіздік саясаты.

2. ТП БАЖ технологиялық желісінің архитектуралық және техникалық сипаттамасын қамтитын паспорты.

3. ТП БАЖ активтері үшін ақпараттық қауіпсіздік тәуекелдерін талдау және бағалау жөніндегі құжат. 

4. Технологиялық процестердің үздіксіздігін қамтамасыз етудегі рөлін ескере отырып, активтерді (жабдықты, деректерді, байланыс арналарын) сыни деңгейлер бойынша жіктейтін ТП БАЖ желісінің картасы (моделі). Желі конфигурациясы немесе қауіп профилі өзгерген кезде карта жаңартылады.

5. Ақпараттық қауіпсіздік жөніндегі регламенттер мен нұсқаулықтар (бірақ бұлармен шектелмейді):

пайдаланушылардың қол жеткізуін және есептік жазбаларды басқару регламенті;

ақпараттық қауіпсіздіктің оқыс оқиғаларын анықтау, ден қою және тергеу жөніндегі нұсқаулықтар.

6. Істен шығу мен авариялардан кейін ТП БАЖ үздіксіздігі мен қалпына келтірілуін қамтамасыз ету жоспары:

қалпына келтірудің белгіленген нысаналы көрсеткіштері: аса маңызды технологиялық процестер мен басқару жүйелері үшін рұқсат етілген тоқтап қалудың жол берілетін уақыты және деректерді жоғалтудың жол берілетін көлемі;

резервті көшірме жасау, деректерді қалпына келтіру және конфигурация рәсімдері;

резервтік жүйелер мен қалпына келтіру рәсімдерінің жұмысқа қабілеттілігін ұдайы тексеру тәртібі;

қалпына келтіру процесінде басқа байланысты ақпараттық жүйелермен өзара әрекеттесу және интеграция тәртібін сипаттау.

Көрсетілген құжаттар:

ТП БАЖ-дың нақты анықталған тәуекелдері ескеріліп, нақтылануға;

авариялық жағдайларда персоналдың оларды жедел практикада қолдану мүмкіндігін қамтамасыз етуге;

ақпараттық қауіпсіздік оқиғаларының тиімділігін бақылау үшін аудит және мониторинг журналдарының жүргізілуін көздеуге тиіс.

165. ТП БАЖ меншік иелері немесе иеленушілері рұқсатсыз кіруден қорғауды қамтамасыз ету мақсатында:

1) барлық пайдаланушылар мен құрылғыларды сәйкестендіру мен аутентификациялауды;

2) аса маңызды жүйелер үшін көпфакторлы аутентификацияны (MFA) пайдалануды (АКИАМО меншік иесі мен иеленушісі өздері айқындайды);

3) артықшылығы мейлінше аз рөлдік қол жеткізу моделін (RBAC) қолдануды;

4) ТП АБЖ-да әдепкі есептік жазбалар мен жалпы парольдерді пайдалануды шектеуді;

5) өнеркәсіптік желілер мен басқару жүйелерін қорғау үшін киберқауіпсіздік жүйелерін пайдалануды;

6) серверлік үй-жайларға және ТП БАЖ жабдықтарын орналастыру аймақтарына кіруді шектеуді жүзеге асырады.».

2. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

 

 

Қазақстан Республикасының

Премьер-Министрі                                                         О. Бектенов