В частности, внесены следующие изменения в НПА: пункт 6 дополнен подпунктами 11-1) и 20-1) следующего содержания: «11-1) кроссовое помещение - телекоммуникационное помещение, предназначенное для размещения соединительных, распределительных пунктов и устройств;»; «20-1) организация - государственное юридическое лицо, субъект квазигосударственного сектора, собственник и владелец негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственник и владелец критически важных объектов информационно-коммуникационной инфраструктуры;»; дополнить пунктом 8-1 следующего содержания: «8-1. Сведения об архитектуре ГО передаются третьим лицам исключительно по согласованию с руководителями структурных подразделений по информационной безопасности и информационным технологиям ГО, либо лицами, их заменяющими, в соответствии с утвержденной политикой ИБ.»; подпункт 1) пункта 9 изложен в следующей редакции: «1) планирование затрат на информатизацию и информационную безопасность в соответствии с утвержденной архитектурой ГО, а в случае ее отсутствия - согласно решениям экспертного совета в сфере информатизации;»; дополнить пунктом 25-1 следующего содержания: «25-1. При организации доступа к Интернету из локальных сетей внешнего контура в обязательном порядке обеспечивается наличие антивирусных средств, обновлений операционных систем на рабочих станциях, подключенных к сети Интернет.»; пункты 29, 30 изложены в следующей редакции: «29. При организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ИСО/МЭК 27002-2015 «Информационная технология. Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасностью». 30. В целях разграничения ответственности и функций в сфере обеспечения ИБ создается подразделение ИБ, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития объектов информатизации, или определяется должностное лицо, ответственное за обеспечение ИБ. Требование настоящего пункта по созданию отдельного подразделения ИБ не распространяется на специальные государственные органы. Подразделение ИБ или должностное лицо, ответственное за обеспечение ИБ, осуществляет: 1) контроль исполнения требований ТД ИБ; 2) контроль за документальным оформлением по ИБ; 3) контроль за управлением активами в части обеспечения ИБ; 4) контроль правомерности использования ПО; 5) контроль за управлением рисками в сфере ИКТ; 6) контроль за регистрацией событий ИБ; 7) проведение внутреннего аудита ИБ; 8) контроль за организацией внешнего аудита ИБ; 9) контроль за обеспечением непрерывности бизнес-процессов, использующих ИКТ; 10) контроль соблюдения требований ИБ при управлении персоналом; 11) контроль за состоянием ИБ объекта информатизации «электронного правительства».»; часть вторая пункта 31 изложена в следующей редакции: «ТД ИБ разрабатывается на казахском и русском языках, утверждается правовым актом ГО, МИО или организации и доводится до сведения всех служащих ГО, МИО или работников организации.»; пункт 35 изложен в следующей редакции: «35. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе: 1) журнал регистрации инцидентов ИБ и учета внештатных ситуаций; 2) журнал посещения серверных помещений; 3) отчет о проведении оценки уязвимости сетевых ресурсов; 4) журнал учета кабельных соединений; 5) журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий; 6) журнал учета изменений конфигурации оборудования, тестирования и учета изменений СПО и ППО ИС, регистрации и устранения уязвимостей ПО; 7) журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения; 8) журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.»; подпункт 4) пункта 37 изложен в следующей редакции: «4) формирование каталога угроз (рисков) ИБ, включающее: оценку (переоценку) идентифицированных рисков в соответствии с требованиями стандарта Республики Казахстан СТ РК ИСО/МЭК 27005-2013 «Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности»; определение потенциального ущерба;»; Постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования. |