Среда, 17 сентября, 2025
Акт және ақпарат қауіпсіздігі

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы

shem

«Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

  1. 1. Қоса беріліп отырған Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі — бірыңғай талаптар) бекітілсін.
  2. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасы Үкіметінің кейбір шешімдерінің күші жойылды деп танылсын.
  3. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар 1-тарау. Жалпы ережелер

  1. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі — БТ) «Ақпараттандыру туралы» Қазақстан Республикасы Заңының (бұдан әрі — Заң) 6-бабының 3) тармақшасына сәйкес әзірленді және ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы талаптарды айқындайды. Ескерту. 1-тармақ жаңа редакцияда — ҚР Үкіметінің 10.06.2022 № 383 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).
  2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына жататын БТ ережелері мемлекеттік органдардың, жергілікті атқарушы органдардың, мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері мен иеленушілерінің, сондай-ақ аса маңызды объектілердің меншік иелері мен иеленушілерінің қолдануы үшін міндетті ақпараттық-коммуникациялық инфрақұрылым.
  3. БТ ережелері:

1) Қазақстан Республикасының Ұлттық Банкі және оның құрылымына кіретін ұйымдар «электрондық үкіметтің», жергілікті желілер мен телекоммуникация желілерінің ақпараттық-коммуникациялық инфрақұрылым объектілерімен интеграцияланбайтын интернет-ресурстарды, ақпараттық жүйелерді құру немесе дамыту, пайдалану жөніндегі жұмыстарды жүзеге асыру, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып алуды жүргізу кезінде туындайтын қатынастар;

2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалған орындаудағы ақпараттық жүйелер, сондай-ақ арнайы мақсаттағы телекоммуникациялар желілері және/немесе президенттік, үкіметтік, құпия, шифрланған және кодталған байланыс;

3) қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті органның «электрондық үкіметтің» ақпараттық-коммуникациялық инфрақұрылым объектілерімен интеграцияланбайтын, Қазақстан Республикасы Ұлттық Банкінің ақпараттық жүйелерімен интеграцияланатын ақпараттық жүйелерді құру немесе дамыту жөніндегі жұмыстарды жүзеге асыруы кезінде туындайтын қатынастар;

4) мұндай ережелердің орындалуы «Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасы Заңының 50-бабының 4-тармағын бұзуға әкеп соқтырған жағдайларда ұйым жүзеге асырады. Ескерту. 3-тармақ жаңа редакцияда — ҚР Үкіметінің 18.01.2021 № 12 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

  1. БТ мақсаты мемлекеттік органдардың, жергілікті өзін-өзі басқару органдарының, мемлекеттік заңды тұлғалардың, квазимемлекеттік сектор субъектілерінің, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің меншік иелері мен иеленушілерінің ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы орындалуы міндетті талаптарды белгілеуі болып табылады ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің меншік иелері мен иеленушілері
  1. БТ-ның міндеттері:

1) мемлекеттік басқарудың ағымдағы және стратегиялық міндеттерін шешу үшін мемлекеттік органдарды ақпараттандыруды ұйымдастыру және басқару қағидаттарын айқындау;

2) «электрондық үкіметтің» ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау;

3) ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттерін біріздендіру жөніндегі талаптарды белгілеу;

4) ақпараттық-коммуникациялық инфрақұрылымды құрылымдау және серверлік үй-жайларды ұйымдастыру жөніндегі талаптарды белгілеу;

5) ақпараттандыру объектілерінің өмірлік циклінің барлық кезеңдерінде ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздік саласындағы стандарттардың ұсынымдарын қолдану міндеттілігін белгілеу;

6) мемлекеттік және мемлекеттік емес электрондық ақпараттық ресурстардың, бағдарламалық қамтамасыз етудің, ақпараттық жүйелердің және оларды қолдайтын ақпараттық-коммуникациялық инфрақұрылымның қорғалу деңгейін арттыру. Ескерту. 5-тармаққа өзгерістер енгізілді — ҚР Үкіметінің 31.12.2019 № 1047 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) шешімдерімен.

  1. Осы ЕТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады:

1) ақпаратты криптографиялық қорғау құралы (бұдан әрі — АКҚҚ) — криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін генерациялауды, қалыптастыруды, бөлуді немесе басқаруды іске асыратын бағдарламалық қамтамасыз ету немесе аппараттық-бағдарламалық кешен;

2) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі — актив) — ақпарат болып табылатын немесе ақпаратты қамтитын немесе ақпаратты өңдеу, сақтау, беру үшін қызмет ететін және мақсаттарға қол жеткізу және оның қызметінің үздіксіздігі мүддесінде ұйым үшін құндылығы бар материалдық немесе материалдық емес объект;

3) ақпаратты өңдеу құралдарымен байланысты активті таңбалау — оны одан әрі сәйкестендіру (тану), оның қасиеттері мен сипаттамаларын көрсету мақсатында активке шартты белгілер, әріптер, цифрлар, графикалық белгілер немесе жазбалар салу;

4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі — АҚ ТД) — ақпараттандыру объектілерінің және (немесе) ұйымның АҚ қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;

5) ақпараттық қауіпсіздікке қатер — ақпараттық қауіпсіздік инцидентінің туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;

6) ақпараттық қауіпсіздік оқиғаларының мониторингі (бұдан әрі — АҚ оқиғаларының мониторингі) — ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін ұдайы бақылау;

7) ақпараттық қауіпсіздікті қамтамасыз ету мониторингі жүйесі — ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану мониторингін жүргізуге бағытталған ұйымдастырушылық және техникалық іс-шаралар;

8) ақпараттық қауіпсіздіктің жедел орталығы — электрондық ақпараттық ресурстарды, ақпараттық жүйелерді, телекоммуникация желілерін және басқа да ақпараттандыру объектілерін қорғау жөніндегі қызметті жүзеге асыратын заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;

9) ақпараттық қауіпсіздіктің ішкі аудиті — ұйымның өзі өз мүддесінде жүзеге асыратын, ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың объективті, құжатталған процесі;

10) бағдарламалық робот — іздеу жүйесінің немесе мониторинг жүйесінің автоматты түрде және (немесе) берілген кесте бойынша веб-беттерді қарауды орындайтын, веб-беттерде табылған сілтемелер бойынша олардың мазмұнын оқитын және индекстейтін бағдарламалық қамтамасыз етуі;

11) деректердің жылыстауын болдырмау жүйесі (DLP) — қолжетімділігі шектеулі электрондық ақпараттық ресурстардың жылыстауын болдырмауға арналған ақпаратты қорғау құралы;

12) жабдықты жүктелген (ыстық) резервтеу — ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігін және істен шығуға төзімділігін икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтамасыз етуді пайдалану және оларды белсенді режимде ұстау;

13) жабдықты жүктелмеген (суық) резервтеу — ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа дайындалған және белсенді емес режимде тұрған қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтамасыз етуді пайдалану;

14) желіаралық экран — ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылауды және сүзуді жүзеге асыратын аппараттық-бағдарламалық немесе бағдарламалық кешен;

15) жұмыс станциясы — қолданбалы міндеттерді шешуге арналған жергілікті желі құрамындағы стационарлық компьютер;

16) жүйелік бағдарламалық қамтамасыз ету — есептеу жабдығының жұмысын қамтамасыз етуге арналған бағдарламалық қамтамасыз етудің жиынтығы;

17) интернет-браузер — интернет-ресурстардың мазмұнын көзбен көрсетуге және онымен интерактивті өзара іс-қимылға арналған қолданбалы бағдарламалық қамтамасыз ету;

18) кодталған байланыс — құжаттар мен кодтау техникасын пайдалана отырып қорғалған байланыс;

19) көп факторлы аутентификация — әртүрлі параметрлердің комбинациясы, оның ішінде парольдерді немесе аутентификациялау белгілерін (цифрлық сертификаттарды, токендерді, смарт-карталарды, бір реттік парольдер генераторларын және биометриялық сәйкестендіру құралдарын) генерациялау және енгізу көмегімен пайдаланушының түпнұсқалылығын тексеру тәсілі;

20) кросстық үй-жай — жалғау, тарату пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;

21) қолданбалы бағдарламалық қамтамасыз ету (бұдан әрі — БПҰ) — пәндік саланың белгілі бір сыныбының қолданбалы міндетін шешуге арналған бағдарламалық қамтамасыз ету кешені;

22) құпия байланыс — құпия аппаратураны пайдалана отырып, қорғалған байланыс;

23) ауқымдылығы — ақпараттандыру объектісінің өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай өз өнімділігін арттыру мүмкіндігін қамтамасыз ету қабілеті;

24) мемлекеттік органдардың серверлік орталығы (бұдан әрі — МО серверлік орталығы) — меншік иесі және иеленушісі «электрондық үкіметтің» ақпараттандыру объектілерін орналастыруға арналған «электрондық үкіметтің» ақпараттық-коммуникациялық инфрақұрылымының операторы болып табылатын серверлік үй-жай (деректерді өңдеу орталығы);

25) оқиғаларды тіркеу — ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі;

26) осалдық — пайдалану ақпараттандыру объектісінің тұтастығын және (немесе) құпиялылығын және (немесе) қол жетімділігін бұзуға әкеп соғуы мүмкін ақпараттандыру объектісінің жеткіліксіздігі;

27) прокси-сервер — желілік шабуылдардан қорғау мақсатында ақпарат алмасу жүргізілетін компьютерлер/серверлер арасындағы интернет-қосылысқа қатысатын аралық сервер;

28) серверлік үй-жай (деректерді өңдеу орталығы) — серверлік, белсенді және пассивті желілік (телекоммуникациялық) жабдықтарды және құрылымдалған кабельдік жүйелердің жабдықтарын орналастыруға арналған үй-жай;

29) тіркеу куәлігі (бұдан әрі — цифрлық сертификат) — электрондық цифрлық қолтаңбаның «Электрондық құжат және электрондық цифрлық қолтаңба туралы» Қазақстан Республикасының Заңында белгіленген талаптарға сәйкестігін растау үшін куәландырушы орталық беретін электрондық құжат;

30) сыртқы контурдың жергілікті желісі (бұдан әрі — сыртқы контурдың ДЗ) — уәкілетті орган айқындаған, ақпараттандыру субъектілерінің телекоммуникациялық желісінің сыртқы контурына жатқызылған, Интернетпен байланысы бар, оған ақпараттандыру субъектілері үшін қолжетімділікті байланыс операторлары Интернетке қолжетімділіктің бірыңғай шлюзі арқылы ғана ұсынады;