Документ на казахском языке

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы

Редакция 26.05.2024 жылы берілген өзгерістер мен толықтырулармен

«Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі қаулы етеді:

1. Қоса беріліп отырған ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – бірыңғай талаптар) бекітілсін.

2. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасы Үкіметінің кейбір шешімдерінің күші жойылды деп танылсын.

3. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Бірыңғай талаптардың 140-тармағы 2018 жылғы 1 қаңтарға дейін қолданылады.

Қазақстан Республикасының Премьер-Министрі Б.САҒЫНТАЕВ

Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 ​қаулысымен бекітілген

Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар

1-тарау. Жалпы ережелер

1. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – БТ) «Ақпараттандыру туралы» Қазақстан Республикасы Заңының (бұдан әрі – Заң) 6-бабының 3) тармақшасына сәйкес әзірленді және ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы талаптарды айқындайды.

2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына қатысты БТ ережелерін мемлекеттік органдар, жергілікті атқарушы органдар, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері міндетті түрде қолдануы тиіс.

3. БТ ережелері:

1) Қазақстан Республикасының Ұлттық Банкі мен оның құрылымына кіретін ұйымдар интернет-ресурстарды, «электрондық үкімет» ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерді, жергілікті желілерді және телекоммуникациялар желілерін құру немесе дамыту, пайдалану бойынша жұмыстарды жүзеге асырған кезде, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді сатып алуды жүргізген кезде туындайтын қатынастарға;

2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалып орындалған ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе президенттік, үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілеріне;

3) қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган Қазақстан Республикасы Ұлттық Банкінің «электрондық үкімет» ақпараттық-коммуникациялық инфрақұрылымы объектілерімен интеграцияланбайтын ақпараттық жүйелерімен интеграцияланатын ақпараттық жүйелерді құру немесе дамыту жөніндегі жұмыстарды жүзеге асырған кезде туындайтын қатынастарға;

4) осындай ережелерді орындау «Қазақстан Республикасындағы банктер және банк қызметі туралы» ҚР Заңының 50-бабының 4-тармағын бұзуға әкеп соғатын жағдайларда ұйымдарда қолданылмайды.

4. БТ мақсаты мемлекеттік органдар, жергілікті өзін-өзі басқару органдары, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласында міндетті түрде орындауға тиіс талаптарды белгілеу болып табылады.

5. БТ міндеттері:

1) мемлекеттік басқарудың ағымдағы және стратегиялық міндеттерін шешу үшін мемлекеттік органдарды ақпараттандыруды ұйымдастыру және басқару қағидаттарын айқындау;

2) «электрондық үкіметтің» ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау;

3) ақпараттық-коммуникациялық инфрақұрылым объектілерінің компоненттерін біріздендіру жөніндегі талаптарды белгілеу;

4) серверлік үй-жайлардың ақпараттық-коммуникациялық инфрақұрылымын құрылымдау мен ұйымдастыру жөніндегі талаптарды белгілеу;

5) ақпараттандыру объектілерінің барлық өміршеңдік кезеңдерінде ақпараттық-коммуникациялық технологиялар мен ақпараттық қауіпсіздік саласындағы стандарттар ұсынымдарының міндетті қолданылуын белгілеу;

6) мемлекеттік және мемлекеттік емес электрондық ақпараттық ресурстардың, бағдарламалық қамтылымның, ақпараттық жүйелердің және оларды қолдайтын ақпараттық-коммуникациялық инфрақұрылымның қорғалу деңгейін арттыру болып табылады.

6. Осы БТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады:

1) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін генерациялауды, қалыптастыруды, таратуды немесе басқаруды іске асыратын бағдарламалық қамтылым немесе ақпараттық-бағдарламалық кешен;

2) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі – актив) – ақпарат болып табылатын немесе ақпаратты қамтитын немесе ақпаратты өңдеу, сақтау, беру үшін қызмет ететін және мақсаттарға қол жеткізу мен қызметінің үздіксіздігі мүддесінде ұйым үшін құндылығы бар материалдық немесе материалдық емес объект;

3) ақпаратты өңдеу құралдарымен байланысты активті таңбалау – активті кейіннен сәйкестендіру (тану), оның қасиеттері мен сипаттамаларын көрсету мақсатында оған шартты белгілерді, әріптерді, цифрларды, графикалық белгілерді немесе жазуларды түсіру;

4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ ТҚ) – ақпараттандыру объектілерінің және (немесе) ұйымның АҚ-ны қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама;

5) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуына алғышарт жасайтын жағдайлар мен факторлар жиынтығы;

6) ақпараттық қауіпсіздік оқиғаларының мониторингі (бұдан әрі – АҚ оқиғаларының мониторингі) – ақпараттық қауіпсіздік оқиғаларын анықтау және сәйкестендіру мақсатында ақпараттандыру объектісін ұдайы байқауда ұстау;

7) ақпараттық қауіпсіздікті қамтамасыз ету мониторингінің жүйесі – ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалану мониторингін жүргізуге бағытталған ұйымдастырушылық және техникалық іс-шаралар;

8) ақпараттық қауіпсіздіктің жедел орталығы – электрондық ақпараттық ресурстарды, ақпараттық жүйелерді, телекоммуникация желілері мен ақпараттандырудың басқа да объектілерін қорғау жөніндегі қызметті жүзеге асыратын заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;

9) ақпараттық қауіпсіздіктің ішкі аудиті – ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың объективті, құжатталған, өз мүдделерінде ұйымның өзі жүзеге асыратын процесі;

10) бағдарламалық робот – іздеу жүйесінің немесе мониторинг жүйесінің веб-парақтарды автоматты түрде және (немесе) берілген кесте бойынша қарап шығуды орындайтын, веб-парақтарда табылған сілтемелермен өтіп, олардың мазмұнын оқитын және индекстейтін бағдарламалық қамтылымы;

11) деректердің таралып кетуіне жол бермеу жүйесі (DLP) – қолжетімділігі шектеулі электрондық ақпараттық ресурстардың таралып кетуіне жол бермеуге арналған ақпаратты қорғау құралы;

12) жабдықты жүктелген (қызу) резервтеу – ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігі мен істен шығуға төзімділігін икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану және оларды белсенді режимде ұстау;

13) жабдықты жүктелмеген (суық) резервтеу – ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа дайындалған және белсенді емес режимде тұрған қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану;

14) желіаралық экран – ақпараттық-коммуникациялық инфрақұрылымда жұмыс істейтін, берілген қағидаларға сәйкес желілік трафикті бақылау мен сүзгілеуді жүзеге асыратын ақпараттық-бағдарламалық немесе бағдарламалық кешен;

15) жұмыс станциясы – қолданбалы міндеттерді шешуге арналған жергілікті желі құрамындағы стационарлық компьютер;

16) жүйелік бағдарламалық қамтылым – есептеу жабдығының жұмысын қамтамасыз етуге арналған бағдарламалық қамтылым жиынтығы;

17) интернет-браузер – интернет-ресурстардың мазмұнын көрнекі көрсетуге және онымен интерактивті өзара іс-қимыл жасауға арналған қолданбалы бағдарламалық қамтылым;

18) кодталған байланыс – кодтау құжаттары мен техникасы пайдаланылатын қорғалған байланыс;

19) көпфакторлы аутентификациялау – әртүрлі параметрлер комбинациясының, оның ішінде парольдерді немесе аутентификациялық белгілерді (цифрлық сертификаттарды, токендерді, смарт-карталарды, бірреттік парольдердің генераторларын және биометриялық сәйкестендіру құралдарын) генерациялаудың және енгізудің көмегімен пайдаланушының шынайылығын тексеру тәсілі;

20) кросстық үй-жай – қосу, тарату пункттері мен құрылғыларын орналастыруға арналған телекоммуникациялық үй-жай;

21) қолданбалы бағдарламалық қамтылым (бұдан әрі – ҚБҚ) – пәндік саланың белгілі бір сыныбындағы қолданбалы міндетін шешуге арналған бағдарламалық қамтылым кешені;

22) құпияландырылған байланыс – құпияландыру аппаратурасы пайдаланылатын қорғалған байланыс;

23) масштабталу – ақпараттандыру объектісінің өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай өзінің өнімділігін арттыру мүмкіндігін қамтамасыз ету қабілеті;