Среда, 17 сентября, 2025
ИКТ и безопасность информации

Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности

shem

 В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – единые требования).

      2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению.

      3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности Глава 1. Общие положения

      1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан «Об информатизации» (далее – Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности.      Сноска. Пункт 1- в редакции постановления Правительства РК от 10.06.2022 № 383 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

      3. Положения ЕТ не распространяются на:

      1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры «электронного правительства», локальных сетей и сетей телекоммуникаций, а также проведении закупок товаров, работ и услуг в сфере информатизации;

      2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или президентской, правительственной, засекреченной, шифрованной и кодированной связи;

      3) отношения, возникающие при осуществлении уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций работ по созданию или развитию информационных систем, интегрируемых с информационными системами Национального Банка Республики Казахстан, которые не интегрируются с объектами информационно-коммуникационной инфраструктуры «электронного правительства»;

      4) организации в случаях, когда исполнение таких положений ведет к нарушению пункта 4 статьи 50 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан».      Сноска. Пункт 3 — в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры.

      5. Задачами ЕТ являются:

      1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления;

      2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации «электронного правительства»;

      3) установление требований по унификации компонентов объектов информационно-коммуникационной инфраструктуры;

      4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений;

      5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации;

      6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры.      Сноска. Пункт 5 с изменениями, внесенными постановлениями Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. Для целей настоящих ЕТ в них используются следующие определения:

      1) средство криптографической защиты информации (далее – СКЗИ) – программное обеспечение или аппаратно-программный комплекс, реализующие алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;

      2) активы, связанные со средствами обработки информации (далее – актив), – материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеет ценность для организации в интересах достижения целей и непрерывности ее деятельности;

      3) маркировка актива, связанного со средствами обработки информации, – нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;

      4) техническая документация по информационной безопасности (далее – ТД ИБ) – документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации;

      5) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      6) мониторинг событий информационной безопасности (далее – мониторинг событий ИБ) – постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности;

      7) система мониторинга обеспечения информационной безопасности – организационные и технические мероприятия, направленные на проведение мониторинга безопасного использования информационно-коммуникационных технологий;

      8) оперативный центр информационной безопасности – юридическое лицо или структурное подразделение юридического лица, осуществляющие деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;

      9) внутренний аудит информационной безопасности – объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах;

      10) программный робот – программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и (или) по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным на веб-страницах;

      11) система предотвращения утечки данных (DLP) – средство защиты информации, предназначенное для предотвращения утечек электронных информационных ресурсов ограниченного доступа;

      12) нагруженное (горячее) резервирование оборудования – использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса;

      13) не нагруженное (холодное) резервирование оборудования – использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса;

      14) межсетевой экран – аппаратно-программный или программный комплекс, функционирующий в информационно-коммуникационной инфраструктуре, осуществляющий контроль и фильтрацию сетевого трафика в соответствии с заданными правилами;

      15) рабочая станция – стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач;

      16) системное программное обеспечение – совокупность программного обеспечения для обеспечения работы вычислительного оборудования;

      17) интернет-браузер – прикладное программное обеспечение, предназначенное для визуального отображения содержания интернет-ресурсов и интерактивного взаимодействия с ним;

      18) кодированная связь – защищенная связь с использованием документов и техники кодирования;

      19) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

      20) кроссовое помещение – телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;

      21) прикладное программное обеспечение (далее – ППО) – комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;

      22) засекреченная связь – защищенная связь с использованием засекречивающей аппаратуры;

      23) масштабируемость – способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;

      24) серверный центр государственных органов (далее – серверный центр ГО) – серверное помещение (центр обработки данных), собственником и владельцем которого является оператор информационно-коммуникационной инфраструктуры «электронного правительства», предназначенное для размещения объектов информатизации «электронного правительства»;

      25) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий;

      26) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

      27) прокси-сервер – промежуточный сервер, участвующий в интернет-соединении между компьютерами/серверами, через который происходит обмен информацией в целях ее защиты от сетевых атак;

      28) серверное помещение (центр обработки данных) – помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;

      29) регистрационное свидетельство (далее – цифровой сертификат) – электронный документ, выдаваемый удостоверяющим центром для подтверждения соответствия электронной цифровой подписи требованиям, установленным Законом Республики Казахстан «Об электронном документе и электронной цифровой подписи»;

      30) локальная сеть внешнего контура (далее – ЛС внешнего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внешнему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с Интернетом, доступ к которому для субъектов информатизации предоставляется операторами связи только через единый шлюз доступа к Интернету;