Қазақстан Республикасы Үкіметінің қаулысы  №832

2016 жылғы 20 желтоқсан, Астана, Үкімет Үйі Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметі қаулы етеді: 1. Қоса беріліп отырған ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – бірыңғай талаптар) бекітілсін. 2. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасы Үкіметінің кейбір шешімдерінің күші жойылды деп танылсын. 3. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі. Бірыңғай талаптардың 140-тармағы 2018 жылғы 1 қаңтарға дейін қолданылады. Қазақстан Республикасының Премьер-Министрі Б.САҒЫНТАЕВ Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы №832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар 1-тарау. Жалпы ережелер 1. Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – БТ) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 6-бабының 3) тармақшасына сәйкес әзірленді және ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы талаптарды айқындайды. 2. Ақпараттық қауіпсіздікті қамтамасыз ету саласына қатысты БТ ережелерін мемлекеттік органдар, жергілікті атқарушы органдар, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері міндетті түрде қолдануы тиіс. 3. БТ ережелері: 1) Қазақстан Республикасы Ұлттық Банкі мен оның құрылымына кіретін ұйымдар «электрондық үкіметтің» ақпараттық-коммуника­циялық инфрақұрылымы объектілерімен интеграцияланбайтын интернет-ресурстарды, ақпараттық жүйелерді, локальдық желілерді және телекоммуникациялар желілерін құру немесе дамыту, пайдалану бойынша жұмыстарды жүзеге асырған кезде, сондай-ақ ақпараттандыру саласындағы тауарларды, жұмыстарды және көрсетілетін қызметтерді сатып алуды жүргізген кезде туындайтын қатынастарға; 2) Қазақстан Республикасының мемлекеттік құпиялар туралы заңнамасына сәйкес мемлекеттік құпияларға жатқызылған қорғалып орындалған ақпараттық жүйелерге, сондай-ақ арнайы мақсаттағы телекоммуникациялар және/немесе үкіметтік, құпияландырылған, шифрланған және кодталған байланыс желілеріне қолданылмайды. 4. БТ мақсаты мемлекеттік органдар, жергілікті өзін-өзі басқару органдары, мемлекеттік заңды тұлғалар, квазимемлекеттік сектор субъектілері, мемлекеттік органдардың ақпараттық жүйелерімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйелердің иелері және иеленушілері, сондай-ақ ақпараттық-коммуникациялық инфрақұрылымның өте маңызды объектілерінің иелері мен иеленушілері ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласында міндетті түрде орындауға тиіс талаптарды белгілеу болып табылады. 5. БТ міндеттері: 1) мемлекеттік басқарудың ағымдағы және стратегиялық міндеттерін шешу үшін мемлекеттік органдарды ақпараттандыруды ұйымдастыру және басқару қағидаттарын айқындау; 2) «электрондық үкіметтің» ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету мен басқарудың бірыңғай қағидаттарын айқындау; 3) ақпараттық-коммуникациялық инфрақұрылымның элементтерін біріздендіру жөніндегі талаптарды белгілеу; 4) серверлік үй-жайлардың ақпараттық-коммуникациялық инфра­құрылымын құрылымдау мен ұйымдастыру жөніндегі талаптарды белгілеу; 5) ақпараттандыру объектілерінің барлық өміршеңдік кезеңдерінде ақпараттық-коммуникациялық технологиялар мен ақпараттық қауіпсіздік саласындағы стандарттар ұсынымдарының міндетті қолданылуын белгілеу; 6) мемлекеттік және мемлекеттік емес электрондық ақпараттық ресурстардың, бағдарламалық қамтылымның, ақпараттық жүйелер­дің және оларды қолдайтын ақпараттық-коммуникациялық инфрақұ­рылымның қорғалу деңгейін арттыру болып табылады. 6. Осы БТ мақсаттары үшін оларда мынадай анықтамалар пайдаланылады: 1) ақпаратты өңдеу құралдарымен байланысты активті таңбалау – активті алдағы уақытта сәйкестендіру (танылуы), оның ерекшеліктерін және сипаттамаларын көрсету мақсатында оған шартты белгілер, әріптер, сандар, графикалық белгілер қою немесе жазбалар енгізу; 2) ақпаратты криптографиялық қорғау құралы (бұдан әрі – АКҚҚ) – криптографиялық түрлендіру алгоритмдерін, шифрлау кілттерін құруды, қалыптастыруды, бөлуді немесе басқаруды іске асыратын бағдарламалық қамтылым немесе бағдарламалық- аппараттық кешен; 3) ақпаратты өңдеу құралдарымен байланысты активтер (бұдан әрі – актив) – ақпарат болып табылатын немесе ақпарат қамтылған, немесе ақпаратты өңдеуге, сақтауға, беруге қызмет ететін және ұйымның мақсаттарына жету мен қызметінің үздіксіздігі мүддесі үшін құнды болып табылатын материалдық немесе материалдық емес объект; 4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ ТҚ) – ақпараттандыру объектілерінің және (немесе) ұйымның АҚ қамтамасыз ету процестеріне қатысты саясатты, қағидаларды, қорғау шараларын белгілейтін құжаттама; 5) бағдарламалық робот – веб-парақтарды автоматты түрде және/немесе белгіленген кесте бойынша қарауды орындайтын, веб-парақтарда табылған сілтемелерге сүйене отырып, олардың мазмұнын оқитын және индекстеуді жүргізетін іздестіру жүйесінің немесе мониторингі жүйесінің бағдарламалық қамтылымы; 6) жабдықты жүктемесіз (іске қосусыз) резервтеу – ақпараттық жүйені немесе электрондық ақпараттық ресурсты жедел қалпына келтіру мақсатында жұмысқа әзірленген және белсенді емес режимдегі қосымша серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану; 7) жабдықты жүктемелік (жедел) резервтеу – ақпараттық жүйенің, электрондық ақпараттық ресурстың өткізу қабілетін, сенімділігі мен жұмыс істемей қалуы болмаушылығын икемді және жедел ұлғайту мақсатында қосымша (артық) серверлік және телекоммуникациялық жабдықты, бағдарламалық қамтылымды пайдалану және оларды белсенді режимде ұстау; 8) жұмыс станциясы – қолданбалы міндеттерді орындауға арналған локальдық желінің құрамындағы стационарлық компьютер; 9) жүйелік бағдарламалық қамтылым – есептеу жабдығының жұмы­сын қамтамасыз етуге арналған бағдарламалық қамтылым жиынтығы; 10) кодталған байланыс – кодтау құжаттары мен техникаларын пайдалана отырып қорғалған байланыс; 11) көп факторлы аутентификация – парольдерді немесе аутенти­фикациялық белгілерді (цифрлық сертификаттарды, токендерді, смарт-карталарды, бір жолғы парольдердің генераторларын және биометриялық сәйкестендіру құралдарын) құру мен енгізуді қоса алғанда, түрлі параметрлер комбинациясының көмегімен пайдаланушының төлнұсқалығын тексеру тәсілі; 12) қолданбалы бағдарламалық қамтылым (бұдан әрі – ҚБҚ) – нақты саладағы белгілі бір топтың қолданбалы міндеттерін орындауға арналған бағдарламалық қамтылым кешені; 13) құпияландырылған байланыс – құпияландырушы аппаратураны пайдалана отырып қорғалған байланыс; 14) масштабталу – өңделетін ақпарат көлемінің және (немесе) бір мезгілде жұмыс істейтін пайдаланушылар санының өсуіне қарай жүйенің өз өнімділігін ұлғайту мүмкіндігін қамтамасыз ету қабілеті; 15) оқиғаларды журналдау – ақпараттандыру объектісімен болып жатқан бағдарламалық немесе аппараттық оқиғалар туралы ақпаратты оқиғаларды тіркеу журналына жазу процесі; 16) серверлік үй-жай – серверлік, активті және пассивті желі жабдығын (телекоммуникациялық) және құрылымдалған кәбілдік жүйелердің жабдығын орналастыруға арналған үй-жай; 17) сыртқы шеңбердің локальдық желісі (бұдан әрі – сыртқы шеңбердің ЛЖ) – МО телекоммуникациялық желісінің сыртқы шеңберіне жатқызылған, байланыс операторлары МО-ға арналған интернетке қолжетімділіктің бірыңғай шлюзі арқылы ғана ұсынатын Интернетпен қосылуы бар МО локальдық желісі; 18) терминалды жүйе – қосымшалармен терминалды ортада немесе жіңішке клиент бағдарламаларымен клиенттік-серверлік архитектурада жұмыс істеуге арналған жіңішке немесе нөлдік клиент; 19) уақыт көзінің инфрақұрылымы – серверлердің, жұмыс станция­ларының және телекоммуникациялық жабдықтың ішкі сағаттарын синхрондау міндеттерін орындайтын уақытты синхрондаудың желілік хаттамасын пайдаланатын иерархиялық байланысқан серверлік жабдық; 20) үкіметтік байланыс – мемлекеттік басқару қажеттеріне арналған арнайы қорғалған байланыс; 21) федеративті сәйкестендіру – сенімді қатынастар орнатылған жүйелердегі және желілердегі электрондық ақпараттық ресурстарға қол жеткізуге арналған пайдаланушының бірыңғай атауын және аутентификациялық сәйкестендіргішті пайдалануға мүмкіндік беретін технологиялар кешені; 22) шифрланған байланыс – қол шифрларын, шифрлау машиналарын, желілік шифрлау аппаратураларын және есептеу техникасының арнаулы құралдарын пайдалана отырып қорғалған байланыс; 23) ішкі шеңбердің локальдық желісі (бұдан әрі – ішкі шеңбердің ЛЖ) – МО телекоммуникациялық желісінің ішкі шеңберіне жатқызылған, мемлекеттік органдардың бірыңғай көліктік ортасымен қосылуы бар МО локальдық желісі; 24) «электрондық үкіметтің» сыртқы шлюзі (бұдан әрі – ЭҮСШ) – МО БКО орналасқан ақпараттық жүйелердің МО БКО-дан тыс орналасқан ақпараттық жүйелермен өзара іс-қимылын қамтамасыз етуге арналған «электрондық үкімет» шлюзінің кіші жүйесі; 25) ішкі ақпараттық қауіпсіздік аудиті – ұйым өзі, өз мүдделерінде жүзеге асыратын ұйымдағы ақпараттандыру объектілерінің ақпараттық қауіпсіздігінің ағымдағы жай-күйінің сапалық және сандық сипаттамаларын бақылаудың әділ, құжатталған процесі. 7. Осы БТ мақсаттары үшін мынадай қысқартулар пайдаланылады: 1) АБК – аппараттық-бағдарламалық кешен; 2) АҚ – ақпараттық қауіпсіздік; 3) АЖ – ақпараттық жүйе; 4) АКИ – ақпараттық-коммуникациялық инфрақұрылым; 5) АКТ – ақпараттық-коммуникациялық технологиялар; 6) БҚ – бағдарламалық қамтылым; 7) ЖАО – жергілікті атқарушы органдар; 8) ЕБҚ – еркін бағдарламалық қамтылым; 9) ИҚБШ – Интернетке қолжетімділіктің бірыңғай шлюзі; 10) ИР – интернет-ресурс; 11) МО – орталық атқарушы орган, Қазақстан Республикасының Президентіне тікелей бағынатын және есеп беретін мемлекеттік орган, орталық атқарушы орган ведомствосының аумақтық бөлімшелері; 12) МО БКО – мемлекеттік органдардың бірыңғай көліктік ортасы; 13) МО ИРБТ – мемлекеттік органдардың интернет-ресурстарының бірыңғай тұғырнамасы; 14) СБӨ – сервистік бағдарламалық өнім; 15) ЭАР – электрондық ақпараттық ресурстар; 16) ЭҮ АКП – «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы; 17) ЭЦҚ – электрондық цифрлық қолтаңба. 2-тарау. Ақпараттандыруды және ақпараттық қауіпсіздікті ұйымдастыру мен басқаруға қойылатын талаптар 1-параграф. Мемлекеттік органды ақпараттандыруға қойылатын талаптар 8. МО ақпараттандыру Заңның 23 және 24-баптарымен көзделген тәртіппен әзірленетін және бекітілетін МО архитектурасына, ал ол болмаған жағдайда − МО қызметін автоматтандырумен және оңтайландырумен байланысты қажеттіліктер туралы МО сұрау салуын қарау нәтижелері бойынша қабылданған ақпараттандыру саласындағы сарапшылық кеңестің оң қорытындысына сәйкес жүзеге асырылады. 9. МО: 1) МО бекітілген архитектурасына, ал ол болмаған жағдайда − ақпараттандыру саласындағы сараптау кеңесінің шешімдеріне сәйкес ақпараттандыруға арналған шығыстарды жоспарлауды; 2) мемлекеттік функцияларды автоматтандыруды және олардан туындайтын мемлекеттік қызметтерді осы БТ талаптарын сақтай отырып көрсетуді; 3) Заңның 7-бабының 30) тармақшасына сәйкес уәкілетті орган бекітетін мемлекеттік органдардың ақпараттық жүйелерін тіркеу, «электрондық үкіметтің» ақпараттандыру объектілері туралы мәліметтерді есепке алу және «электрондық үкіметтің» ақпараттандыру объектілері техникалық құжаттамасының электрондық көшірмелерін орналастыру қағидаларына сәйкес ақпараттандыру объектілері, ақпараттандыру саласындағы жоспарлар, процестер мен бюджет туралы мәліметтерді «электрондық үкіметтің» архитектуралық порталында орналастыруды қамтамасыз етеді. 10. «Электрондық үкіметтің» архитектурасын дамыту Заңның 7-бабының 10) тармақшасына сәйкес уәкілетті орган бекітетін «электрондық үкіметтің» архитектурасын дамыту жөніндегі талаптарға сәйкес жүзеге асырылады. 11. Заңның 7-бабының 18) тармақшасына сәйкес бекітілетін «электрондық әкімдіктің» үлгілік архитектурасын әзірлеген кезде ЖАО ақпараттық-коммуникациялық инфрақұрылымына қойылатын талаптардың сипаттамасы бөлігінде осы БТ талаптары ескеріледі. 12. МО-да және ЖАО-да ақпараттандырудың сервистік моделін іске асырған кезде Заңның 7-бабының 4) және 10) тармақшаларына сәйкес уәкілетті орган бекітетін ақпараттандырудың сервистік моделін іске асыру қағидаларының нормалары, «электрондық үкіметтің» архитектурасын дамыту жөніндегі талаптар мен осы БТ талаптары басшылыққа алынады. 13. МО-ны және ЖАО-ны ақпараттандыру саласындағы тауарлармен, жұмыстармен және көрсетілетін қызметтермен қамтамасыз ету: 1) ақпараттандыру саласындағы сарапшылық кеңестің оң қорытындысы болған кезде сатып алу; 2) АК-инфрақұрылымның АК-қызметтер операторы каталогынан ақпараттық-коммуникациялық көрсетілетін қызметті сатып алу жолдарымен жүзеге асырылады. 14. МО-да немесе ЖАО-да ақпараттандыру саласындағы міндеттерді жүзеге асыруды: 1) АКТ қолданудың мониторингін және талдауды; 2) АКТ-активтерінің пайдаланылуын есепке алу мен талдау жөніндегі іс-шараларға қатысуды; 3) МО-ның стратегиялық жоспарына ақпараттандыру мәселелері жөнінде ұсыныстар әзірлеуді; 4) «электрондық үкіметтің» ақпараттандыру объектілерін құру, сүйемелдеу және дамыту бойынша жұмыстарды үйлестіруді; 5) өнім берушілердің ақпараттандыру саласындағы көрсетілетін қызметтердің шарттарда көзделген сапа деңгейін қамтамасыз етуін бақылауды; 6) МО-ның немесе ЖАО-ның АЖ-сын «электрондық үкіметтің» архитектуралық порталында тіркеуді; 7) МО-ны немесе ЖАО-ны ақпараттандыру туралы мәліметтерді, БҚ эталондық көшірмелерін, бастапқы бағдарламалық кодтарды (олар болған кезде), лицензияланған БҚ-ның теңшеу кешенін, «электрондық үкіметтің» ақпараттандыру объектілерінің техникалық құжаттамасының электрондық көшірмелерін «электрондық үкіметтің» архитектуралық порталында орналастыруды, өзектілендіруді және олардың сақталуын бақылауды; 8) МО архитектурасын құрған және ақпараттандырудың сервистік моделін іске асырған кезде сервистік интегратормен, оператормен, МО-мен, ЖАО-мен және ұйымдармен ақпараттандыру саласындағы жобаларды іске асыру бөлігінде өзара іс-қимыл жасауды; 9) АҚ жөніндегі талаптарды орындауды жүзеге асыратын ақпараттық технологиялар бөлімшесі қамтамасыз етеді. 15. МО-дағы және ЖАО-дағы жұмыс кеңістігі 2009 жылғы 18 қыркүйектегі «Халық денсаулығы және денсаулық сақтау жүйесі туралы» Қазақстан Республикасы Кодексінің 144-бабының 6-тармағына сәйкес тұтынушылардың құқықтарын және халықтың санитариялық-эпидемиологиялық саламаттылығын қорғау саласындағы уәкілетті орган бекіткен тұрғын және басқа үй-жайларды, қоғамдық ғимараттарды ұстауға және пайдалануға қойылатын санитариялық- эпидемиологиялық талаптарға сәйкес ұйымдастырылады. 16. МО және ЖАО қызметшісінің жұмыс орны оның функционалдық міндеттеріне байланысты жабдықталады және мыналарды қамтиды: 1) МО немесе ЖАО ішкі шеңберінің ЛЖ-сы қосылған жұмыс станциясы немесе үйлестірілген жұмыс орны не терминалды жүйе. Қажет болған кезде жұмыс орнын қосымша монитормен жабдықтауға жол беріледі; 2) қажет болған кезде мультимедиялық ЭАР немесе бейне-конферен­циялық байланыс жүйесімен жұмыс істеуге арналған мультимедиялық жабдық (құлаққаптар, микрофон мен веб-камера) жиынтығы; 3) телефон байланысы немесе IP-телефония аппараты. 17. МО-ның және ЖАО-ның үйлестірілген жұмыс орнына немесе терминалды жүйесіне қойылатын талаптарды уәкілетті орган бекітеді. 18. Жұмыс станцияларының сатып алынатын үлгілерін таңдау кезінде мынадай ережелерді басшылыққа алу қажет: 1) жұмыс станцияларының аппараттық сипаттамалары пайдаланатын БҚ әзірлеуші (өндіруші) ұсынатын жүйелік талаптарға сәйкес не олардан артық; 2) көрсетілетін қызметтердің жалпы деңгейін қамтамасыз ету үшін жұмыс станцияларының конфигурациялары біріздендіріледі; 3) жұмыс станциялары үшін БҚ жаңартуларын орталықтандырылып автоматтандырылған тарату ұйымдастырылады; 4) әкімшілендірудің сапасы мен жылдамдығын арттыру үшін жұмыс станцияларының әртүрлі аппараттық-бағдарламалық конфигурацияларының саны үш түрімен шектеледі: қолданбалы БҚ-мен жұмыс істеуге арналған жұмыс станциясы; графикалық пакеттермен, үлгілеудің БҚ пакеттерімен және өзгелермен жұмыс істеуге арналған қуаты жоғары жұмыс станциясы. Графикасы дамыған, процессордың өнімділігіне, жедел жады және кіші бейнежүйелерінің көлеміне қойылатын талаптары жоғары қосымшалар үшін қолданылады; мобильдік пайдаланушылардың жұмысына арналған ноутбук. 19. Техникалық талаптардың ерекшелігі үшін жұмыс станцияларының мынадай басты параметрлері бөлінеді: 1) мыналарды қамтитын өнімділік: процессордың тез әрекет ету параметрлері; жедел жадының қажетті көлемі; деректер таратудың ішкі шиналарының жылдамдығы; графикалық кіші жүйенің тез әрекет етуі; енгізу/шығару құрылғыларының тез әрекет етуі; монитор матрицасының параметрлері; 2) тұрақты бас тартылған аппараттық құралдар мен БҚ пайдалану есебінен қамтамасыз етілетін және үздіксіз жұмыс істеуінің орташа уақытын ескере отырып анықталатын сенімділік; 3) мыналарды: процессорлардың саны мен өнімділігін; жедел және сыртқы жады көлемін; кіріктірілген жинақтағыштардың сыйымдылығын арттыру мүмкіндігі есебінен дербес компьютердің архитектурасымен және құрылымымен қамтамасыз етілетін ауқымдау. 20. АҚ-ны қамтамасыз ету үшін: 1) АҚ ТҚ-да: МО немесе ЖАО қызметшілерінің жұмыс станцияларын орнату тәсілдері; электрмен жабдықтау жүйесіндегі істен шығулардан және коммуналдық қызметтер жұмысындағы кідірулерден туындайтын басқа да бұзылулардан жұмыс станцияларын қорғау тәсілдері; үздіксіз қолжетімділігін және тұтастығын қамтамасыз ету үшін жұмыс станцияларына техникалық қызмет көрсету рәсімдері мен мерзімділігі; түрлі сыртқы тәуекелдерді ескере отырып, МО-дан немесе ЖАО-дан тыс орналасқан мобильдік пайдаланушылардың жұмыс станцияларын қорғау тәсілдері; жұмыс станцияларын екінші рет пайдаланған немесе ақпаратты тасығыштарды пайдаланудан шығарған кезде ақпаратты кепілдікті жою тәсілдері; жұмыс станцияларын жұмыс орнынан тыс шығару қағидалары айқындалады; 2) тұрақты негізде конфигурацияларын тексере отырып, жұмыс станцияларын есепке алу жүргізіледі; 3) жұмыс станцияларында ішкі шеңбердің ЛЖ-сында сырттан қашықтықтан басқарудың бағдарламалық немесе аппараттық құралдарын орнатуға және қолдануға жол берілмейді. Ішкі шеңбердің ЛЖ-сында қашықтықтан ішкі басқаруға МО немесе ЖАО құқықтық актісінде тікелей көзделген жағдайларда жол беріледі; 4) АҚ бөлімшелері қызметшілерінің жұмыс станцияларын қоспағанда, МО және ЖАО қызметшілерінің жұмыс станциялары мен мобильдік компьютерлеріндегі қолданылмайтын енгізу-шығару порттары ажыратылады немесе бұғатталады. 21. МО және ЖАО қызметшілерінің жұмыс станцияларындағы сыртқы электрондық тасығыштарды қолдану арқылы ақпаратты енгізу-шығару операциялары мәселесі МО немесе ЖАО қабылдаған АҚ сая­сатына сәйкес реттеледі. 22. МО және ЖАО қызметшісінің жұмыс орнындағы жабдықты орналастыруды оңтайландыру мақсатында бірнеше жұмыс станциясы үшін желілік интерфейстерді қолданусыз монитордың, қол манипуляторы (тінтуір) мен клавиатураның бір бірлігін пайдалануды қамтамасыз ететін арнайы жабдықты пайдалануға жол беріледі. 23. ЭҮ АКП сервистерін пайдалану үшін МО немесе ЖАО ішкі шеңберінің ЛЖ-сына қосылған жұмыс станциясы ЭҮ АКП инфрақұрылымына желілік қосылумен қамтамасыз етіледі. 24. МО және ЖАО қызметтік ақпаратын өңдеу мен сақтау МО немесе ЖАО ішкі шеңберінің ЛЖ-сына қосылған және Интернетке қосылмаған жұмыс станцияларында жүзеге асырылады. 25. МО және ЖАО қызметшілеріне МО және ЖАО сыртқы шеңбе­рінің ЛЖ-сына қосылған, Қазақстан Республикасында құпиялылық режимін қамтамасыз ету жөніндегі нұсқаулыққа сәйкес айқындалатын режимдік үй-жайлардан тыс орналасқан жұмыс станцияларынан Интернетке қол жеткізуге рұқсат беріледі. 26. Телефон байланысының сервисі: 1) ортақ пайдаланудағы цифрлық телефон желілерінің базасымен қатар IP-телефония технологияларын пайдаланумен де іске асырылады; 2) пайдаланушыны: абоненттерді ішкі және сыртқы шеңбердің қолданыстағы локальдық есептеу желісі мен ведомстволық деректерді беру желісі арқылы қосуды қолдану; ортақ пайдаланудағы телефон байланысы операторының байланыс қызметтерін Е1 ағыны бойынша пайдалану; ұялы байланыс операторларын пайдалану; қалааралық және халықаралық қоңырау шалу қызметін пайдалану ар­налары арқылы телефон желісі абоненттерімен қосуды қамтамасыз етеді. 27. Конференциялар, тұсаукесерлер, мәжілістер, телекөпірлер өткізу үшін МО және ЖАО конференц-залы: 1) қатысушы орнында микрофон, дауыс күшейткіш және сұрау салу мен қатысушының сөз сөйлеуінің жарық индикаторын орналастыруды қамтитын дауыс күшейткіш конференц-жүйесімен; 2) ақпаратты жүктеу-көшіру құрылғысымен жарақталады. Басқа қалалардағы немесе елдердегі географиялық бөлінген қатысушылармен «телекөпір» ұйымдастыру үшін конференц-жүйе қажеттілігіне байланысты ЭҮ АКИ операторының аудио және бейнеконференцбайланыс жүйесімен толықтырылады. 28. Басып шығару сервисі: 1) МО ішкі шеңберінің локальдық желісіне желілік интерфейсті немесе басып шығару серверіне тікелей қосылуды пайдалана қосылған басып шығару, көшіру және сканерлеу жабдықтары арқылы іске асырылады; 2) мыналарды: пайдаланушылар мен құрылғыларды орталықтан басқаруды; шығындарды бөлімшелер мен пайдаланушылар арасында бөлу мүмкіндігімен пайдаланушылардың сәйкестендіру нөмірлері бойынша басып шығарылатын құжаттарды, сондай-ақ электрондық пошта арқылы жіберілген көшірмелерді, факстарды және сканерлеулерді есепке алуды; басып шығару, көшіру және сканерлеу белсенділігін графикалық бейнелейтін есептер жүйесін; пайдаланушыны басып шығару сервисін пайдалануды бастағанға дейін сәйкестендіруді; АҚ ТҚ-да регламенттелген әдістермен МО қызметшісін басып шығару құрылғысында авторлауды; басып шығарылған құжаттарды қолжетімді басу құрылғысынан алу мүмкіндігімен басып шығарудың бірыңғай кезегі арқылы басуды жүзеге асыратын басу кезегін қалыптастыруды іске асыратын бағдарламалық қамтылыммен қамтамасыз етіледі. 2-параграф. Ақпараттық қауіпсіздікті ұйымдастыруға қойылатын талаптар 29. МО-да, ЖАО-да немесе ұйымда АҚ ұйымдастыру, қамтамасыз ету мен басқару кезінде ҚР СТ ИСО/ХЭК 27002-2009 «Ақпараттық технологиялар. Қамтамасыз ету құралдары. Ақпаратты қорғауды басқару жөніндегі ережелер жинағы» Қазақстан Республикасы стандартының ережелерін басшылыққа алу қажет. 30. АҚ қамтамасыз ету саласындағы жауапкершіліктің және функциялардың аражігін ажырату мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен айналысатын басқа құрылымдық бөлімшелерден оқшау, МО-ның немесе ЖАО-ның құрылымдық бөлімшесі болып табылатын АҚ бөлімшесі: 1) АҚ ТҚ талаптарының орындалуын бақылауды; 2) АҚ құжатпен ресімделуін бақылауды; 3) АҚ қамтамасыз ету бөлігінде активтердің басқарылуын бақылауды; 4) БҚ заңды пайдаланылуын бақылауды; 5) АКТ саласындағы тәуекелдердің басқарылуын бақылауды; 6) АҚ оқиғаларының тіркелуін бақылауды; 7) ішкі АҚ аудитін жүргізуді; 8) сыртқы АҚ аудитінің ұйымдастырылуын бақылауды; 9) АКТ пайдаланатын бизнес-процестер үздіксіздігінің қамтамасыз етілуін бақылауды; 10) персоналды басқарған кезде АҚ талаптарының сақталуын бақылауды; 11) «электрондық үкіметтің» ақпараттандыру объектісі АҚ-сының жай-күйін бақылауды жүзеге асырады. 31. АҚ ТҚ өз қызметінде МО, ЖАО немесе ұйым басшылыққа алатын құжатталған қағидалардың, рәсімдердің, практикалық тәсілдердің немесе басшылық қағидаттарының төрт деңгейлі жүйесі түрінде құрылады. АҚ ТҚ МО-ның, ЖАО-ның немесе ұйымның бірінші басшысының құқықтық актісімен бекітіледі және МО, ЖАО барлық қызметшілерінің немесе ұйым жұмыскерлерінің назарына жеткізіледі. АҚ ТҚ ондағы ақпаратты талдау және өзектілендіру мақсатында кемінде екі жылда бір рет қайта қаралады. 32. МО-ның, ЖАО-ның немесе ұйымның АҚ саясаты бірінші деңгейдегі құжат болып табылады және МО немесе ұйым күнделікті қызметінде басшылыққа алатын АҚ-ны қамтамасыз ету саласындағы мақсаттарды, міндеттерді, басшылық қағидаттары мен практикалық тәсілдерді айқындайды. 33. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының талаптарын нақтылайтын құжаттар кіреді, соның ішінде: 1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі; 2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидалары; 3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету жөніндегі қағидалар; 4) есептеу техникасы құралдарын, телекоммуникация жабдығын және бағдарламалық қамтылымды түгендеу мен паспорттау қағидалары; 5) ішкі АҚ аудитін жүргізу қағидалары; 6) ақпаратты криптографиялық қорғау құралдарын пайдалану тәртібі; 7) электрондық ақпараттық ресурстарға қол жеткізу құқығының аражігін ажырату қағидалары; 8) Интернет желісі мен электрондық поштаны пайдалану қағидалары; 9) аутентификациялау рәсімін ұйымдастыру қағидалары; 10) вирусқа қарсы бақылауды ұйымдастыру қағидалары; 11) мобильдік қондырғыларды және ақпаратты тасығыштарды пайдалану қағидалары; 12) ақпаратты өңдеу құралдарын нақты қорғауды және ақпараттық ресурстардың қауіпсіз қызмет ету ортасын ұйымдастыру қағидалары. 34. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің сипаттамаларын қамтиды, соның ішінде: 1) АҚ қатерлері (тәуекелдері) каталогы; 2) АҚ қатерлерін (тәуекелдерін) өңдеу жоспары; 3) ақпаратты резервтік көшіру және қалпына келтіру регламенті; 4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету бойынша іс-шаралар жоспары; 5) әкімшінің ақпараттандыру объектісін сүйемелдеу жөніндегі басшылығы; 6) пайдаланушылардың АҚ инциденттеріне ден қою және штаттан тыс (дағдарысты) жағдайларда әрекет ету бойынша іс-қимыл тәртібі туралы нұсқаулық. 35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдерді және жұмыстарды тіркеу мен растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және электрондық құжаттарды қоса алғанда, басқа да құжаттарды қамтиды, соның ішінде: 1) АҚ инциденттерін тіркеу журналы; 2) штаттан тыс оқиғаларды тіркеу журналы; 3) серверлік үй-жайларға кіру журналы; 4) желілік ресурстардың осалдықтарын бағалауды жүргізу туралы есеп; 5) БҚ осалдықтарын тіркеу және жою журналы; 6) кәбілдік қосылуларды есепке алу журналы; 7) резервтік көшірмелерді есепке алу журналы; 8) резервтік көшірмелерді тестілеуді есепке алу журналы; 9) жабдық конфигурациясын өзгертуді есепке алу журналы; 10) АЖ ЕБҚ мен ҚБҚ тестілеу және өзгерістерді есепке алу журналы; 11) серверлік үй-жайларға арналған дизель-генераторлық қондырғыларды және үздіксіз қуаттау көздерін тестілеу журналы; 12) серверлік үй-жайлардың микроклиматын, бейнебақылауды, өрт сөндіруді қамтамасыз ету жүйелерін тестілеу журналы. Үшінші және төртінші деңгейдегі құжаттардың мазмұны бойынша қойылатын талаптар МО-ға және ЖАО-ға 2017 жылғы 1 қаңтардан бастап көзделеді. 36. Активтерді қорғауды қамтамасыз ету үшін: 1) активтерді түгендеу; 2) активтерді МО-да, ЖАО-да қабылданған сыныптау жүйесіне сәйкес сыныптау және таңбалау; 3) активтерді лауазымды тұлғаларға бекіту мен активтердің АҚ-сын басқару жөніндегі іс-шараларды іске асыру үшін олардың жауапкершілік көлемін белгілеу; 4) АҚ ТҚ-да: активтерді қолдану мен қайтару; активтерді сәйкестендіру, сыныптау мен таңбалау тәртібін реттеу жүргізіледі. 37. МО-да немесе ЖАО-да АКТ саласындағы тәуекелдерді басқару мақсатында: 1) ҚР СТ 31010-2010 «Тәуекел менеджменті. Тәуекелді бағалау әдістері» Қазақстан Республикасы стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және тәуекелдерді талдау рәсімдерін әзірлеу; 2) сәйкестендірілген және сыныпталған активтердің тізбесіне қатысты тәуекелдерді сәйкестендіру жүзеге асырылады, ол мыналарды қамтиды: АҚ қатерлерін және олардың көздерін айқындау; қатерлердің іске асырылуына әкеп соғуы мүмкін осалдықтарды айқындау; ақпараттың таралу арналарын анықтау; бұзушы моделін қалыптастыру; 3) сәйкестендірілген тәуекелдерді қабылдау өлшемшарттарын таңдау; 4) мыналарды: ҚР СТ 13335-2008 «Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару» Қазақстан Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдердің тәуекелдерін бағалауды (қайта бағалауды); ықтимал нұқсанды айқындауды қамтитын АҚ қатерлері (тәуекелдері) каталогын қалыптастыру; 5) АҚ қатерлерін (тәуекелдерін) бейтараптандыру немесе төмендету жөніндегі іс-шараларды қамтитын оларды өңдеу жоспарын әзірлеу және бекіту жүзеге асырылады. 38. МО-да, ЖАО-да немесе ұйымда АҚ-ның бұзылу оқиғаларын бақылау мақсатында: 1) АҚ-ны бұзуға байланысты оқиғалар мониторингі мен мониторинг нәтижелерін талдау жүргізіледі; 2) АҚ-ның жай-күйіне байланысты оқиғалар тіркеліп, оқиғалар журналдарын, соның ішінде: операциялық жүйелердің оқиғалар журналдарын; дерекқорларды басқару жүйелерінің оқиғалар журналдарын; вирусқа қарсы қорғау оқиғаларының журналдарын; қолданбалы БҚ оқиғалар журналдарын; телекоммуникациялық жабдықтың оқиғалар журналдарын; шабуылдарды анықтау және алдын алу жүйелерінің оқиғалар журналдарын; контентті басқару жүйесі оқиғаларының журналын талдау арқылы бұзушылықтар анықталады; 3) оқиғаларды тіркеу журналдарындағы уақытты уақыт көзінің инфрақұрылымымен үйлесімді ету қамтамасыз етіледі; 4) оқиғаларды тіркеу журналдары АҚ ТҚ-да көрсетілген, бірақ үш жылдан кем емес мерзім бойы сақталады және кем дегенде үш ай жедел қолжетімді болады; 5) уәкілетті орган бекітетін «электрондық үкіметтің» ақпараттандыру объектілерінің ақпараттық қауіпсіздігін, қорғалуы мен қауіпсіз жұмыс істеуін қамтамасыз ету мониторингін жүргізу қағидаларында айқындалған форматтар мен жазба түрлеріне сәйкес құрылатын БҚ оқиғаларын тіркеу журналдары жүргізіледі; 6) оқиғаларды тіркеу журналдарын араласудан және авторланбаған қолжетімділіктен қорғау қамтамасыз етіледі. Жүйе әкімшілеріне журналдарды өзгертуге, жоюға және ажыратуға өкілеттік беруге жол берілмейді. Құпия АЖ үшін журналдардың резервтік қоймасын құру және оны жүргізу талап етіледі; 7) АҚ инциденттері туралы хабардар етудің және АҚ-ның инци­дент­теріне әрекет етудің формальді рәсімін енгізу қамтамасыз етіледі. 39. МО-ның, ЖАО-ның немесе ұйымның өте маңызды процестерін ішкі және сыртқы қатерлерден қорғау мақсатында: 1) ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары әзірленеді, тестілеуден өтеді және іске асырылады; 2) пайдаланушылардың АҚ инциденттеріне және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің назарына жеткізіледі. Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары үнемі өзектілендіруге жатады. 40. МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің АҚ-ны қамтамасыз ету бойынша функционалдық міндеттері мен АҚ ТҚ талаптарын орындау бойынша міндеттемелері лауазымдық нұсқаулықтарға және (немесе) еңбек шартының талаптарына енгізіледі. Еңбек шарты аяқталғаннан кейін күшінде болатын АҚ-ны қамтамасыз ету саласындағы міндеттемелер МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің еңбек шартында белгіленеді. 41. ЭАР, АЖ, АКИ ақпараттық қауіпсіздігін қамтамасыз етуге бөгде ұйымдарды тартқан жағдайда олардың иесі немесе иеленушісі аталған объектілермен жұмыс істеу, оларға қол жеткізу немесе пайдалану шарттары, сондай-ақ оларды бұзғаны үшін жауапкершілігі белгіленетін келісімдер жасайды. 42. АҚ-ны қамтамасыз ету саласында міндеттемелері бар МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін жұмыстан босатқан кездегі рәсімдердің мазмұны АҚ ТҚ-да белгіленеді. 43. Жұмыстан босатылған немесе еңбек шарты талаптарына өзгеріс­тер енгізілген кезде МО, ЖАО қызметшісінің немесе ұйым жұмыске­рі­нің ақпаратқа және ақпаратты өңдеу құралдарына қол жеткізу құқықтары: жеке және логикалық қолжетімділікті, қол жеткізу, қол қою сәйкес­тендіргіштерін және оны жұмыс істейтін МО, ЖАО қызметшісі немесе ұйым жұмыскері ретінде сәйкестендіретін құжаттаманы қамтиды; оның еңбек шарты тоқтатылғаннан кейін жойылады немесе еңбек шартының талаптарына өзгерістер енгізілген кезде өзгертіледі. 44. Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізеді. 45. Заңның 7-бабының 11) тармақшасына сәйкес уәкілетті орган бекіт­кен ақпараттандыру объектілерінің сыныптауышына (бұдан әрі − Сынып­тауыш) сәйкес бірінші және екінші сыныптағы ақпараттандыру объек­тілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама ж­а­салған кезде ҚР МЕМ СТ Р ИСО/МЭК 15408-2004 «Ақпараттық техно­­логия. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық тех­но­логиялардың қауіпсіздігін бағалау өлшемшарттары» Қазақ­стан Рес­пуб­­ликасы стандартының талаптарына сәйкес құрамдас компонент­терге ар­налған қорғау профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді. 46. Ақпараттандыру объектілерін пайдалану кезінде АҚ қамтамасыз ету мақсатында: 1) сәйкестендіру тәсілдеріне; 2) қолданылатын АКҚҚ-ға; 3) қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету тәсілдеріне; 4) АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингіне; 5) АҚ қамтамасыз ету құралдары мен жүйелерін қолдануға; 6) куәландырушы орталықтардың тіркеу куәліктеріне қойылатын талаптар белгіленеді. 47. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ақпараттан­дыру объектілеріне қол жеткізу кезінде сәйкестендіру мақсатында көп факторлы, соның ішінде ЭЦҚ пайдаланылатын аутентификация қолданылады. 48. Құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР қызметтік ақпаратын қорғау мақсатында ҚР СТ 1073-2007 «Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар» Қазақстан Республикасының стандартына сәйкес АКҚҚ-ға қойылатын талаптарға сәйкес келетін мынадай параметрлері бар: бірінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – үшінші қауіпсіздік деңгейінің; екінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – екінші қауіпсіздік деңгейінің; үшінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – бірінші қауіпсіздік деңгейінің АКҚҚ (бағдарламалық және аппараттық) қолданылады. 49. Қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету үшін ЭҮ ақпараттандыру объектілерінің иелері: 1) сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілеріне арналған меншікті немесе жалға алынған резервті серверлік үй-жайдың болуын; 2) аппараттық-бағдарламалық деректерді өңдеу құралдарын, дерек­терді сақтау жүйелерін, деректерді сақтау желілерінің компоненттері мен деректерді беру арналарын, соның ішінде сыныптауышқа сәйкес: бірінші сыныптағы