Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 (с изменениями и дополнениями по состоянию на 01.01.2023 г.)
Данная редакция действовала до внесения изменений от 10 февраля 2023 года (введены в действие с 25 февраля 2023 года)
В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ: 1. Утвердить прилагаемые единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее - единые требования). 2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению. 3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования. Пункт 140 единых требований действует до 1 января 2018 года.
постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832
Единые требования
Глава 1. Общие положения
Пункт 1 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.) 1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан «Об информатизации» (далее – Закон) и определяют требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности. 2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры. См.: Правила проведения мониторинга выполнения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности Пункт 3 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 3. Положения ЕТ не распространяются на: 1) отношения, возникающие при осуществлении Национальным Банком Республики Казахстан и организациями, входящими в его структуру, работ по созданию или развитию, эксплуатации интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры «электронного правительства», локальных сетей и сетей телекоммуникаций, а также проведении закупок товаров, работ и услуг в сфере информатизации; 2) информационные системы в защищенном исполнении, отнесенные к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах, а также сети телекоммуникаций специального назначения и/или президентской, правительственной, засекреченной, шифрованной и кодированной связи; 3) отношения, возникающие при осуществлении уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций работ по созданию или развитию информационных систем, интегрируемых с информационными системами Национального Банка Республики Казахстан, которые не интегрируются с объектами информационно-коммуникационной инфраструктуры «электронного правительства»; 4) организации в случаях, когда исполнение таких положений ведет к нарушению пункта 4 статьи 50 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан». 4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры. В пункт 5 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 5. Задачами ЕТ являются: 1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления; 2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации «электронного правительства»; 3) установление требований по унификации компонентов объектов информационно-коммуникационной инфраструктуры; 4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений; 5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации; 6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры. В пункт 6 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.); постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.) 6. Для целей настоящих ЕТ в них используются следующие определения: 1) маркировка актива, связанного со средствами обработки информации, – нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик; 2) средство криптографической защиты информации (далее – СКЗИ) – программное обеспечение или аппаратно-программный комплекс, реализующие алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования; 3) активы, связанные со средствами обработки информации, (далее – актив) – материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеющий ценность для организации в интересах достижения целей и непрерывности ее деятельности; 4) техническая документация по информационной безопасности (далее –ТД ИБ) – документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения ИБ объектов информатизации и (или) организации; 5) мониторинг событий информационной безопасности (далее – мониторинг событий ИБ) – постоянное наблюдение за объектом информатизации с целью выявления и идентификации событий информационной безопасности; 6) масштабируемость – способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей; 7) программный робот – программное обеспечение поисковой системы или системы мониторинга, выполняющее автоматически и (или) по заданному расписанию просмотр веб-страниц, считывающее и индексирующее их содержимое, следуя по ссылкам, найденным в веб-страницах; 8) не нагруженное (холодное) резервирование оборудования – использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса; 9) нагруженное (горячее) резервирование оборудования – использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса; 10) рабочая станция – стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач; 11) системное программное обеспечение – совокупность программного обеспечения для обеспечения работы вычислительного оборудования; 12) интернет-браузер – прикладное программное обеспечение, предназначенное для визуального отображения содержания интернет-ресурсов и интерактивного взаимодействия с ним; 13) кодированная связь – защищенная связь с использованием документов и техники кодирования; 14) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации); 15) кроссовое помещение – телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств; 16) прикладное программное обеспечение (далее – ППО) – комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области; 17) засекреченная связь – защищенная связь с использованием засекречивающей аппаратуры; 18) серверный центр государственных органов (далее – серверный центр ГО) – серверное помещение (центр обработки данных), собственником или владельцем которого является оператор информационно-коммуникационной инфраструктуры «электронного правительства», предназначенное для размещения объектов информатизации «электронного правительства»; 19) журналирование событий – процесс записи информации о происходящих с объектом информатизации программных или аппаратных событиях в журнал регистрации событий; 20) серверное помещение (центр обработки данных) – помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем; 21) локальная сеть внешнего контура (далее – ЛС внешнего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внешнему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с Интернетом, доступ к которому для субъектов информатизации предоставляется операторами связи только через единый шлюз доступа к Интернету; 22) терминальная система – тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами - тонкими клиентами в клиент-серверной архитектуре; 23) инфраструктура источника времени – иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования; 24) правительственная связь – специальная защищенная связь для нужд государственного управления; 25) организация – государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры; 26) федеративная идентификация – комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения; 27) шифрованная связь – защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники; 28) локальная сеть внутреннего контура (далее – ЛС внутреннего контура) – локальная сеть субъектов информатизации, определенных уполномоченным органом, отнесенная к внутреннему контуру телекоммуникационной сети субъектов информатизации, имеющая соединение с единой транспортной средой государственных органов; 29) внешний шлюз «электронного правительства» (далее – ВШЭП) – подсистема шлюза «электронного правительства», предназначенная для обеспечения взаимодействия информационных систем, находящихся в ЕТС ГО с информационными системами, находящимися вне ЕТС ГО; 30) внутренний аудит информационной безопасности – объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности объектов информатизации в организации, осуществляемый самой организацией в своих интересах; 31) межсетевой экран – аппаратно-программный или программный комплекс, функционирующий в информационно-коммуникационной инфраструктуре, осуществляющий контроль и фильтрацию сетевого трафика в соответствии с заданными правилами; 32) субъекты информатизации, определенные уполномоченным органом, – государственные органы, их подведомственные организации и органы местного самоуправления, а также иные субъекты информатизации, использующие единую транспортную среду государственных органов для взаимодействия локальных (за исключением локальных сетей, имеющих доступ к Интернету), ведомственных и корпоративных сетей. В пункт 7 внесены изменения в соответствии с постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 7. Для целей настоящих ЕТ в них используются следующие сокращения: 1) АПК - аппаратно-программный комплекс; 2) ИБ - информационная безопасность; 3) ИС - информационная система; 4) ИКИ - информационно-коммуникационная инфраструктура; 5) ИКТ - информационно-коммуникационные технологии; 6) ПО - программное обеспечение; 7) МИО - местные исполнительные органы; 8) СПО - свободное программное обеспечение; 9) ЕШДИ - единый шлюз доступа к Интернету; 10) ИР - интернет-ресурс; 11) ГО - центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориальные подразделения ведомства центрального исполнительного органа; 12) ЕТС ГО - единая транспортная среда государственных органов; 13) ЕПИР ГО - единая платформа интернет-ресурсов государственных органов; 14) исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.) 15) ЭИР - электронные информационные ресурсы; 16) ИКП ЭП - информационно-коммуникационная платформа «электронного правительства»; 17) ЭЦП - электронная цифровая подпись; 18) СИ - субъекты информатизации, определенные уполномоченным органом.
Глава 2. Требования к организации и управлению информатизацией и информационной безопасностью
8, 8-1. Исключены в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.) В пункт 9 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.) 9. ГО обеспечивает: 1) планирование затрат на информатизацию и информационную безопасность в соответствии с утвержденной архитектурой ГО, а в случае ее отсутствия - согласно решениям экспертного совета в сфере информатизации; 2) автоматизацию государственных функций и оказание вытекающих из них государственных услуг с соблюдением требований настоящих ЕТ; 3) размещение сведений об объектах информатизации на архитектурном портале «электронного правительства» в соответствии с правилами учета сведений об объектах информатизации «электронного правительства» и размещения электронных копий технической документации объектов информатизации «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 30) статьи 7 Закона. 10. Развитие архитектуры «электронного правительства» осуществляется в соответствии с требованиями по развитию архитектуры «электронного правительства», утверждаемыми уполномоченным органом в соответствии с подпунктом 10) статьи 7 Закона. 11. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.) 12. Исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.) Пункт 13 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.); внесены изменения в соответствии с постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.); изложен в редакции постановления Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.) 13. Обеспечение ГО и МИО товарами, работами, услугами в сфере информатизации осуществляется путем закупа с учетом заключения уполномоченного органа в сфере информатизации на представленные администраторами бюджетных программ расчеты расходов на государственные закупки товаров, работ и услуг в сфере информатизации. В пункт 14 внесены изменения в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.) 14. Реализацию задач в сфере информатизации в ГО или МИО обеспечивает подразделение информационных технологий, осуществляющее: 1) мониторинг и анализ применения ИКТ; 2) участие в мероприятиях по учету и анализу использования ИКТ-активов; 3) выработку предложений в стратегический план ГО по вопросам информатизации; 4) координацию работ по созданию, сопровождению и развитию объектов информатизации «электронного правительства»; 5) контроль за обеспечением поставщиками предусмотренного договорами уровня качества оказываемых услуг в сфере информатизации; 6) учет и актуализацию сведений об объектах информатизации «электронного правительства» и электронных копий технической документации объектов информатизации «электронного правительства» на архитектурном портале «электронного правительства»; 7) передачу сервисному интегратору «электронного правительства» для учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации «электронного правительства»; 8) исключен в соответствии с постановлением Правительства РК от 10.02.23 г. № 112 (введены в действие с 1 января 2023 г.) (см. стар. ред.) 9) реализацию требований по ИБ. Пункт 15 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.) 15. Рабочее пространство в ГО и МИО организуется в соответствии с санитарными правилами «Санитарно-эпидемиологические требования к административным и жилым зданиям», утвержденными уполномоченным органом в сфере санитарно-эпидемиологического благополучия населения в соответствии с пунктом 6 статьи 144 Кодекса Республики Казахстан от 18 сентября 2009 года «О здоровье народа и системе здравоохранения». 16. Рабочее место служащего ГО и МИО оснащается с учетом его функциональных обязанностей и включает: 1) рабочую станцию или унифицированное рабочее место или терминальную систему с подключением к ЛС внутреннего контура ГО или МИО. Допускается оснащение рабочего места дополнительным монитором при необходимости; 2) комплект мультимедийного оборудования (наушники, микрофон и веб-камера) для работы с мультимедийными ЭИР или системой видеоконференц-связи при необходимости; 3) аппарат телефонной связи или IP-телефонии. Пункт 17 изложен в редакции постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 17. Требования к унифицированному рабочему месту или терминальной системе ГО и МИО, а также компонентам объектов информационно-коммуникационной инфраструктуры утверждаются уполномоченным органом. Параграф 1 главы 2 дополнен пунктом 17-1 в соответствии с постановления Правительства РК от 18.01.21 г. № 12 17-1. Обеспечивается соответствие рабочего места или терминальной системы ГО и МИО требованиям к унифицированному рабочему месту или терминальной системе ГО и МИО, утвержденным уполномоченным органом. Требования обновляются и актуализируются по мере необходимости. 18. При выборе закупаемых моделей рабочих станций необходимо руководствоваться следующими положениями: 1) аппаратные характеристики рабочих станций соответствуют либо превосходят системные требования, рекомендуемые разработчиком (производителем) используемого ПО; 2) для обеспечения общего уровня услуг унифицируются конфигурации рабочих станций; 3) для рабочих станций организуется централизованное автоматизированное распространение обновлений ПО; 4) для повышения качества и скорости администрирования количество различных аппаратно-программных конфигураций рабочих станций ограничивается тремя типами: рабочая станция для работы с прикладным ПО; рабочая станция повышенной мощности для работы с графическими пакетами, пакетами ПО моделирования и прочими. Используется для приложений с развитой графикой, высокими требованиями к производительности процессора, объемам оперативной памяти и видеоподсистем; ноутбук для работы мобильных пользователей. 19. Для спецификации технических требований выделяются следующие ключевые параметры рабочих станций: 1) производительность, включающая в себя: параметры быстродействия процессора; необходимый объем оперативной памяти; скорости внутренних шин передачи данных; быстродействие графической подсистемы; быстродействие устройств ввода/вывода; параметры матрицы монитора; 2) надежность, обеспечиваемая за счет использования отказоустойчивых аппаратных средств и ПО, и определяется исходя из среднего времени безотказной работы; 3) масштабируемость, обеспечиваемая архитектурой и конструкцией персонального компьютера за счет возможности наращивания: числа и производительности процессоров; объемов оперативной и внешней памяти; емкости встроенных накопителей. В пункт 20 внесены изменения в соответствии с постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 20. Для обеспечения ИБ: 1) в ТД ИБ определяются: способы размещения рабочих станций служащих ГО или МИО; способы защиты рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб; процедуры и периодичность технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности; способы защиты рабочих станций мобильных пользователей, находящихся за пределами ГО или МИО, с учетом различных внешних рисков; способы гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации; правила выноса рабочих станций за пределы рабочего места; 2) на регулярной основе проводится учет рабочих станций с проверкой конфигурации, а также электронных носителей информации с уникальными идентифицирующими данными; 3) установка и применение на рабочих станциях программных или аппаратных средств удаленного управления извне ЛС внутреннего контура исключается. Удаленное управление внутри ЛС внутреннего контура допускается в случаях, прямо предусмотренных в правовом акте ГО или МИО; 4) неиспользуемые порты ввода-вывода рабочих станций и мобильных компьютеров служащих ГО и МИО отключаются или блокируются, за исключением рабочих станций служащих подразделения ИБ. 21. Вопрос операций ввода-вывода с применением внешних электронных носителей информации на рабочих станциях служащих ГО и МИО регулируется в соответствии с политикой ИБ, принятой в ГО или МИО. 22. Для оптимизации размещения оборудования на рабочем месте служащего ГО и МИО допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов. 23. Для использования сервисов ИКП ЭП рабочая станция, подключенная к ЛС внутреннего контура ГО или МИО, обеспечивается сетевым подключением к инфраструктуре ИКП ЭП. Пункт 24 изложен в редакции постановления Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.) 24. Обработка и хранение служебной информации ГО и МИО осуществляются на рабочих станциях, подключенных к ЛС внутреннего контура и внешнего контура ГО или МИО. Служебная информация ГО и МИО с ограниченным доступом обрабатывается и хранится на рабочих станциях, подключенных к ЛС внутреннего контура ГО или МИО и не имеющих подключения к Интернету. Пункт 25 изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.) 25. Доступ к Интернету служащим ГО и МИО предоставляется с рабочих станций, подключенных к ЛС внешнего контура ГО и МИО, размещенных за пределами режимных помещений, определяемых в соответствии с Инструкцией по защите государственных секретов Республики Казахстан. Правила дополнены пунктом 25-1 в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет. 1) реализуется как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии; 2) обеспечивает коммутацию пользователя с абонентами телефонных сетей по следующим каналам: использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных; использование услуг связи оператора телефонной связи общего пользования по потоку Е1; использование операторов сотовой связи; использование услуг междугородних и международных вызовов. 27. Для проведения конференций, презентаций, совещаний, телемостов конференцзал ГО и МИО оснащается: 1) конференцсистемой звукового усиления, включающей размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника; 2) устройством ввода-вывода информации. Для организации «телемоста» с географически распределенными участниками, находящимися в других городах или странах, конференцсистема по необходимости дополняется системой аудио- и видеоконференцсвязи оператора ИКИ ЭП. 1) реализуется посредством печатающего, копирующего и сканирующего оборудования, подключенного к локальной сети внутреннего контура ГО с использованием сетевого интерфейса либо прямого подключения к серверу печати; 2) обеспечивается программным обеспечением, реализующим: централизованное управление пользователями и устройствами; учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями; систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования; идентификацию пользователя до начала использования сервиса печати; авторизацию служащего ГО на устройстве печати способами, регламентированными в ТД ИБ; формирование очереди печати, осуществляющей печать посредством единой очереди печати с возможностью получения распечатанных документов на доступном устройстве печати.
Параграф 2. Требования к организации информационной безопасности
Пункт 29 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ISO/IEC 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления защитой информации». Правила дополнены пунктом 29-1 в соответствии с постановлением Правительства РК от 31.12.19 г. № 1047; изложен в редакции постановления Правительства РК от 10.06.22 г. № 383 (см. стар. ред.) 29-1. Приобретение товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства осуществляется из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора. При этом, в случае отсутствия в реестре доверенного программного обеспечения и продукции электронной промышленности необходимой продукции, допускается приобретение товаров в соответствии с законодательством Республики Казахстан о государственных закупках, закупках отдельных субъектов квазигосударственного сектора. Пункт 30 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановления Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ. Сотрудники, ответственные за обеспечение ИБ, проходят специализированные курсы в сфере обеспечения ИБ не реже одного раза в три года с выдачей сертификата. В пункт 31 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.) 31. ТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО, МИО или организация в своей деятельности. ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации. ТД ИБ пересматривается с целью анализа и актуализации изложенной в них информации не реже одного раза в два года. 32. Политика ИБ ГО, МИО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ. Параграф 2 дополнен пунктом 32-1 в соответствии с постановлением Правительства РК от 18.01.21 г. № 12 32-1. Перечень внутренних документов финансовой организации, детализирующий требования политики ИБ, определяется в соответствии с нормативными правовыми актами уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций, регулирующими деятельность финансовых организаций по обеспечению информационной безопасности. 33. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО, МИО или организации, в том числе: 1) методика оценки рисков информационной безопасности; 2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации; 3) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации; 4) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения; 5) правила проведения внутреннего аудита ИБ; 6) правила использования средств криптографической защиты информации; 7) правила разграничения прав доступа к электронным информационным ресурсам; 8) правила использования Интернет и электронной почты; 9) правила организации процедуры аутентификации; 10) правила организации антивирусного контроля; 11) правила использования мобильных устройств и носителей информации; 12) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов. 34. Документы третьего уровня содержат описание процессов и процедур обеспечения ИБ, в том числе: 1) каталог угроз (рисков) ИБ; 2) план обработки угроз (рисков) ИБ; 3) регламент резервного копирования и восстановления информации; 4) план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации; 5) руководство администратора по сопровождению объекта информатизации; 6) инструкцию о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях. Пункт 35 изложен в редакции постановления Правительства РК от 18.06.18 г. № 355 (см. стар. ред.) 35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе: 1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций; 2) журнал посещения серверных помещений; 3) отчет о проведении оценки уязвимости сетевых ресурсов; 4) журнал учета кабельных соединений; 5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий; 6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений СПО и ППО ИС, регистрации и устранения уязвимостей ПО; 7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения; 8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений. 36. Для обеспечения защиты активов проводятся: 1) инвентаризация активов; 2) классификация и маркировка активов в соответствии с системой классификации, принятой в ГО, МИО; 3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов; 4) регламентация в ТД ИБ порядка: использования и возврата активов; идентификации, классификации и маркировки активов. В пункт 37 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 18.01.21 г. № 12 (см. стар. ред.) 37. С целью управления рисками в сфере ИКТ в ГО или МИО осуществляются: 1) выбор методики оценки рисков в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2010 «Менеджмент риска. Методы оценки риска» и разработка процедуры анализа рисков; 2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая: выявление угроз ИБ и их источников; выявление уязвимостей, которые могут привести к реализации угроз; определение каналов утечки информации; формирование модели нарушителя; 3) выбор критериев принятия идентифицированных рисков; 4) формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ISO/IEC 27005-2013 «Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности»; 5) разработка и утверждение плана обработки угроз (рисков) ИБ, содержащего мероприятия по их нейтрализации или снижению. В пункт 38 внесены изменения в соответствии с постановлением Правительства РК от 18.06.18 г. № 355 (см. стар. ред.); постановлением Правительства РК от 31.12.19 г. № 1047 (см. стар. ред.) |