В соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от «__»_____201_ года № ____ «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ: 1. Утвердить прилагаемые Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности. 2. Настоящее постановление вводится в действие по истечении десяти календарных дней со дня первого официального опубликования. Премьер-Министр Республики Казахстан К. Масимов

Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности 1. Общие положения 1. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) разработаны в соответствии с подпунктом 3) статьи 6 Закона Республики Казахстан от __ _____ 20__ года «Об информатизации» и являются сводом организационно-технических норм и требований, применяемых к объектам информатизации «электронного правительства» и их защите. 2. Положения ЕТ, относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры. 3. Положения ЕТ не распространяются на: 1) электронные информационные ресурсы, информационные системы и информационно-коммуникационную инфраструктуру, содержащие, обрабатывающие и (или) передающие сведения, составляющие государственные секреты, если иное не предусмотрено законодательством Республики Казахстан о государственных секретах; 2) электронные информационные ресурсы, информационные системы и информационно-коммуникационную инфраструктуру, содержащие, обрабатывающие и (или) передающие сведения, отнесенные государственным органом к разведывательной, контрразведывательной, оперативно-розыскной деятельности; 3) электронные информационные ресурсы, информационные системы и информационно-коммуникационную инфраструктуру Национального Банка Республики Казахстан, за исключением информационных систем, интегрирующихся с объектами информационно-коммуникационной инфраструктуры «электронного правительства». 4. Целью ЕТ является установление обязательных для исполнения требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности государственными органами, органами местного самоуправления, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, а также собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры. 5. Задачами ЕТ являются: 1) определение принципов организации и управления информатизацией государственных органов для решения текущих и стратегических задач государственного управления; 2) определение единых принципов обеспечения и управления информационной безопасностью объектов информатизации «электронного правительства»; 3) установление требований по унификации элементов информационно-коммуникационной инфраструктуры для снижения общей стоимости владения?; 4) установление требований по структуризации информационно-коммуникационной инфраструктуры и организации серверных помещений; 5) установление обязательности применения рекомендаций стандартов в области информационно-коммуникационных технологий и информационной безопасности на всех этапах жизненного цикла объектов информатизации «электронного правительства»; 6) повышение уровня защищенности государственных и негосударственных электронных информационных ресурсов, программного обеспечения, информационных систем и поддерживающей их информационно-коммуникационной инфраструктуры. 6. Для целей настоящих ЕТ в них используются следующие определения: 1) государственный орган (далее – ГО) – центральный исполнительный орган, государственный орган, непосредственно подчиненный и подотчетный Президенту Республики Казахстан, территориального подразделения ведомства центрального исполнительного органа, местный представительный орган?, местный исполнительный орган; 2) конфиденциальная информация – данные, защищаемые и ограниченные к распространению законами Республики Казахстан и (или) владельцами (собственниками), в том числе персональные данные, сведения, составляющие банковскую тайну, коммерческую (предпринимательскую) тайну, налоговую тайну, другие виды тайн, за исключением сведений, относящихся к государственным секретам; 3) серверное помещение – помещение, предназначенное для размещения серверного, активного и пассивного сетевого оборудования (телекоммуникационного) и оборудования структурированных кабельных систем; 4) федеративная идентификация – комплекс технологий, позволяющий использовать единое имя пользователя и аутентификационный идентификатор для доступа к электронным информационным ресурсам в системах и сетях, установивших доверительные отношения; 5) масштабируемость – способность объекта информатизации обеспечивать возможность увеличения своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей; 6) рабочая станция – стационарный компьютер в составе локальной сети, предназначенный для решения прикладных задач; 7) системное программное обеспечение – совокупность компьютерных программ для обеспечения работы вычислительного оборудования; 8) прикладное программное обеспечение - комплекс компьютерных программ для решения прикладной задачи определенного класса конкретной? предметной области; 9) средство криптографической защиты информации - программное обеспечение или аппаратно-программный комплекс, реализующее алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования; 10) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации); 11) «горячее» резервирование оборудования – использование дополнительного (избыточного) серверного и телекоммуникационного оборудования, программного обеспечения и поддержание их в активном режиме с целью гибкого и оперативного увеличения пропускной способности, надежности и отказоустойчивости информационной системы, электронного информационного ресурса; 12) «холодное» резервирование – использование подготовленного к работе и находящегося в неактивном режиме дополнительного серверного и телекоммуникационного оборудования, программного обеспечения с целью оперативного восстановления информационной системы или электронного информационного ресурса; 13) инфраструктура источника времени – иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования; 14) локальная сеть внутреннего контура (далее – ЛС внутреннего контура) - локальная сеть ГО, отнесенная к внутреннему контуру телекоммуникационной сети ГО, имеющая соединение с единой транспортной средой государственных органов; 15) локальная сеть внешнего контура (далее – ЛС внешнего контура) - локальная сеть ГО, отнесенная к внешнему контуру телекоммуникационной сети ГО, имеющая соединение с Интернетом, доступ к которому для ГО предоставляется операторами связи только через Единый шлюз доступа к Интернету; 16) RSA – криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел; 17) WebTrust – международный стандарт «Принципы и критерии услуг в области доверия для удостоверяющих центров». 18) информационно-коммуникационные технологии (далее – ИКТ) – совокупность методов работы с электронными информационными ресурсами и методов информационного взаимодействия, осуществляемых с применением аппаратно-программного комплекса и сети телекоммуникаций ; 19) информационно-коммуникационная инфраструктура (далее – ИКИ) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним; 20) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз; 21) информационная система (далее – ИС) – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач; 22) информационно-коммуникационные технологии (далее – ИКТ) – совокупность методов работы с электронными информационными ресурсами и методов информационного взаимодействия, осуществляемых с применением аппаратно-программного комплекса и сети телекоммуникаций 23) электронные информационные ресурсы (далее – ЭИР) – информация, предоставленная в электронно-цифровой форме и содержащаяся на электронном носителе, интернет-ресурсе и (или) в информационной системе; 24) единая транспортная среда государственных органов (далее – ЕТС ГО) - сеть телекоммуникаций, входящая в информационно-коммуникационную инфраструктуру «электронного правительства» и предназначенная для обеспечения взаимодействия локальных (за исключением локальных сетей, имеющих доступ к Интернету), ведомственных и корпоративных сетей телекоммуникаций государственных органов, их подведомственных организаций и органов местного самоуправления, а также иных субъектов информатизации, определенных уполномоченным органом, с соблюдением требуемого уровня информационной безопасности; 25) единый шлюз доступа к Интернету (далее – ЕШДИ) – аппаратно-программный комплекс, предназначенный для защиты сетей телекоммуникаций при доступе к Интернету и (или) сетям связи, имеющим выход в Интернет; 26) нормативно-техническая документация (далее – НТД ИБ) – совокупность документов, определяющих общие задачи, принципы и требования к созданию и использованию (эксплуатации) объектов информатизации, а также контролю их соответствия установленным требованиям в сфере информатизации; 27) программное обеспечение (далее – ПО) – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации ; 28) сервисный программный продукт (далее – СПП) – программный продукт, предназначенный для реализации информационно-коммуникационной услуги; 29) информационно–коммуникационная платформа «электронного правительства» (далее – ИКП ЭП) – технологическая платформа, предназначенная для реализации сервисной модели информатизации; 30) свободное программное обеспечение (далее - СПО) – программное обеспечение с открытым исходным кодом, в отношении которого правообладатель предоставляет пользователю право на неограниченную установку, запуск и копирование, а также свободное использование, изучение, развитие и распространение; 31) интернет-ресурс (далее – ИР) – электронный информационный ресурс, отображаемый в текстовом, графическом, аудиовизуальном или ином виде, размещаемый на аппаратно-программном комплексе, имеющий уникальный сетевой адрес и (или) доменное имя и функционирующий в Интернете; 32) электронная цифровая подпись (далее – ЭЦП) - набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания; 33) единая платформа интернет-ресурсов государственных органов (далее – ЕПИР ГО) – технологическая платформа, предназначенная для размещения интернет-ресурсов государственных органов.

2. Требования к организации и управлению информатизацией и информационной безопасностью Требования к информатизации ГО 7. Информатизация ГО осуществляется: в соответствии с архитектурой ГО, разрабатываемой и утверждаемой в порядке, предусмотренном статьями 23 и 24 Закона Республики Казахстан «Об информатизации»; на основе архитектурного подхода в соответствии с архитектурой государственных органов, разработанной и утвержденной в соответствии правилами разработки и развития архитектуры государственных органов и требованиями по развитию архитектуры «электронного правительства», утвержденных (определение?) уполномоченным органом; с использованием сервисной модели информатизации в соответствии с правилами реализации сервисной модели информатизации. 8. ГО обеспечивает: проведение оценки необходимости и приоритетности планируемых затрат на информатизацию в соответствии с архитектурой ГО; размещение сведений об объектах информатизации, планах, процессах и бюджете в области информатизации на архитектурном портале «электронного правительства» в соответствии с правилами регистрации информационных систем государственных органов, учета сведений об объектах информатизации «электронного правительства» и размещения электронных копий технической документации объектов информатизации «электронного правительства», утвержденными уполномоченным органом. 9. Планирование проектов информатизации на момент разработки архитектуры ГО не допускается. 10. Формирование требований к созданию объекта информатизации осуществляется собственником и (или) владельцем на основании его функций, целей и задач, включая содержание ЭИР. Требования к организации ИБ 11. При организации, обеспечении и управлении ИБ в ГО или организации необходимо руководствоваться положениями стандарта Республики Казахстан СТ РК ИСО/МЭК 27002-2009 «Информационные технологии. Средства обеспечения. Свод правил по управлению защитой информации». 12. Для обеспечения защиты активов, связанных со средствами обработки информации необходимо: 1) провести инвентаризацию активов; 2) закрепить активы за должностными лицами и определить меру их ответственности за реализацию мероприятий по управлению ИБ активов; 3) классифицировать активы с точки зрения их ценности, правовых требований, конфиденциальности и критичности; 4) определить в НТД ИБ и реализовывать: правила и ограничения использования и возврата активов, связанных со средствами обработки информации; набор процедур маркировки активов в соответствии с системой классификации, принятой в ГО или организации. 13. С целью управления рисками в сфере ИКТ необходимо: 1) осуществить выбор методики оценки рисков, в соответствии с рекомендациями стандарта Республики Казахстан СТ РК 31010-2010 «Менеджмент риска. Методы оценки риска»; разработать процедуру анализа рисков; 2) выполнить идентификацию рисков в отношении перечня идентифицированных и классифицированных активов, включающую заключающуюся в: выявление угроз ИБ и их источников; выявление уязвимостей, которые могут привести к реализации угроз; определение каналов утечки информации; формирование модели нарушителя; 3) определить и выбрать критерии принятия идентифицированных рисков; 4) осуществлять оценку и периодическую актуализацию рисков, включающую: определение потенциального ущерба в соответствии с требованиями стандарта Республики Казахстан СТ РК 13335-2008 «Информационная технология. Методы и средства обеспечения безопасности. Управление защитой информационных и коммуникационных технологий»; формирование каталога угроз (рисков) ИБ; 5) разработать и утвердить план обработки угроз (рисков) ИБ, содержащий мероприятия по их нейтрализации или снижению. 14. НТД ИБ создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется ГО или организация в своей деятельности. НТД ИБ утверждается первым руководителем ГО или организации и доводится до сведения всех служащих ГО или работников сотрудников организации. НТД ИБ пересматриваются с целью анализа и актуализации, изложенной в них информации не реже одного раза в два года. 15. Политика ИБ ГО или организации является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения ИБ. 16. В перечень документов второго уровня входят документы, детализирующие требования политики ИБ ГО или организации, в том числе: методика оценки рисков информационной безопасности; правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации; правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации; правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения; правила проведения внутреннего аудита ИБ; правила использования криптографических средств защиты информации; правила разграничения прав доступа к информационным ресурсам; положение об использовании Интернета и электронной почты; положение по организации парольной защиты; положение об антивирусном контроле; положение об использовании мобильных устройств и носителей информации; правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов. 17. Документы третьего уровня составляют документированные процедуры, регламенты и инструкции, содержащие описание процессов, относящегося к той или иной области обеспечения ИБ, в том числе: каталог угроз (рисков) ИБ; план обработки угроз (рисков) ИБ; регламент резервного копирования и восстановления информации; план мероприятий по обеспечению непрерывной работы и восстановления работоспособности активов, связанных со средствами обработки информации; инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях. 18. Перечень документов четвертого уровня включает рабочие формы, журналы, заявки, протоколы и другие документы, в том числе электронные, используемые в рамках выполнения процедур и являющиеся для регистрации и подтверждения выполненных процедур и работ, в том числе: журнал регистрации инцидентов ИБ; журнал учета внештатных ситуаций; журнал посещения серверных помещений; отчет о проведении оценки уязвимости сетевых ресурсов; журнал регистрации и устранения уязвимостей ПО; журнал учета кабельных соединений; журнал учета резервных копий; журнал учета тестирования резервных копий; журнал учета изменений конфигурации оборудования; журнал тестирования и учета изменений СПО и ППО ИС; журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения. 19. С целью контроля событий нарушений ИБ в ГО или организации: 1) проводится мониторинг событий, связанных с нарушением ИБ и анализ результатов мониторинга; 2) регистрируются события, связанные с состоянием ИБ и выявляются нарушения путем анализа журналов событий, в том числе: журналов событий операционных систем; журналов событий систем управления базами данных; журналов событий антивирусной защиты; журналов событий прикладного ПО; журналов событий телекоммуникационного оборудования; журналов событий систем анализа защищенности; 3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени; 4) журналы регистрации событий хранятся в течение срока, указанного в НТД ИБ, но не менее трех лет и находятся в оперативном доступе не менее трех месяцев; 5) разрабатываются и утверждаются по согласованию с уполномоченным органом формат и типы записей в журналах регистрации событий создаваемого ПО; 6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Системным администраторам запрещается иметь полномочия на изменение, удаление и отключение журналов. Для систем, обрабатывающих конфиденциальную информацию, требуется создание и ведение резервного хранилища журналов; 7) обеспечивается внедрение формализованной процедуры информирования об инцидентах ИБ и реагирования на инциденты ИБ. 20. События ИБ, идентифицированные как критические для конфиденциальности, доступности и целостности по результатам анализа мониторинга событий ИБ и анализа журнала событий, определяются как инциденты ИБ, регистрируются в Службе реагирования на компьютерные инциденты государственной технической службы и учитываются в каталоге угроз (рисков) ИБ. 21. С целью защиты критически важных процессов ГО или организации от внутренних и внешних угроз, необходимо разработать, утвердить, довести до сведения служащих ГО или работников сотрудников организации и реализовать: планы обеспечения непрерывной работы; процедуры возобновления работ в случае их остановки в результате реализации угроз, воздействия стихийных бедствий или техногенных катастроф. Планы обеспечения непрерывной работы подлежат должны регулярному тестированиються и актуализациироваться. 22. Функциональные обязанности служащих ГО или работников сотрудников организации по обеспечению ИБ определяются в соответствии с политикой безопасности ГО или организации и документируются. Обязательства по исполнению требований НТД ИБ служащих ГО или работников сотрудников организации вносятся в должностные инструкции и (или) в условия трудового договора. Обязательства в области обеспечения ИБ, имеющие силу после окончания трудового договора, включаются в трудовой договор служащих ГО или работников сотрудников организации. 23. Служащие ГО или работники сотрудники организации получают допуск к работе с конфиденциальной информацией после прохождения проверки. Служащие ГО или работники сотрудники организации, имеющие доступ к оборудованию, содержащему или обрабатывающему конфиденциальную информацию, проходят обучение по ИБ и правильному использованию средств обработки информации. 24. В НТД ИБ определяется содержание процедур при увольнении служащих ГО или работников сотрудников организации. Права доступа служащего ГО или работника сотрудника организации к информации и средствам обработки информации аннулируются после окончания его трудового договора или изменяются при изменении трудового договора. Права доступа, которые аннулируются или изменяются, включают физический и логический доступ, ключи, идентификационные карты, средства обработки информации, подписки и исключение из всей документации, которая идентифицирует его как действующего служащего ГО или работника сотрудника организации. 25. Нарушение требования НТД ИБ квалифицируется как дисциплинарный проступок, за который служащий ГО или работник сотрудник организации, привлекается к дисциплинарной ответственности. 26. Кадровая служба документирует и отслеживает обучение служащих ГО или работников сотрудников организации в сфере информатизации и области ИБ. Требования к подразделению информационных технологий ГО 27. Подразделение информационных технологий является структурным подразделением ГО. 28. Численность персонала подразделения информационных технологий определяется количеством и объемом функций и задач, автоматизированных в ГО. 29. Подразделение информационных технологий ГО обеспечивает выполнение следующих задач: 1) проведение мониторинга и анализа применения ИКТ; 2) участие в учете и анализе использования ИКТ-активов, при проведении инвентаризационных мероприятий; 3) выработка предложений в стратегический план ГО по вопросам информатизации; 4) координация работ по созданию, сопровождению и развитию ИС; 5) контроль за обеспечением поставщиками обусловленного договорами уровня качества оказываемых услуг в сфере информатизации; 6) контроль за хранением эталонных копий ПО и резервных копий ИС и ЭИР; 7) контроль за размещением, сохранностью и актуальностью программного обеспечения, нормативно-технической и технической документации объектов информатизации «электронного правительства» на архитектурном портале; 8) взаимодействие с ГО и организациями в части реализации проектов в сфере информатизации, при создании архитектуры ГО и реализации сервисной модели информатизации. Требования к подразделению ИБ ГО 30. Подразделение ИБ является структурным подразделением ГО. Подразделение ИБ обособлено от других структурных подразделений, занимающихся управлением и доступом к защищаемым активам, программированием, администрированием и другими задачами, для исключения возможного пересечения зон ответственности. 31. Структура и численность подразделения ИБ зависят от количества и объема функций и услуг, автоматизированных в ГО, и должны обеспечивать выполнение всех функций по обеспечению ИБ. 32. Подразделение ИБ организует, выполняет, контролирует и координирует вопросы и работы, связанные с защитой информации и обеспечением ИБ и осуществляет: контроль исполнения требований НТД ИБ; контроль за документальным оформлением ИБ; контроль за управлением активами в части обеспечения ИБ; контроль правомерности использования ПО; контроль за управлением рисками в сфере ИКТ; контроль за регистрацией событий ИБ; проведение внутреннего аудита ИБ; контроль за организацией внешнего аудита ИБ; контроль за обеспечением непрерывности бизнес-процессов, использующих ИКТ; контроль соблюдения требований ИБ при управлении персоналом; контроль за состоянием ИБ объекта информатизации «электронного правительства».

3. Требования к объектам информатизации Требования к ЭИР и ИР 33. Собственник и (или) владелец ЭИР: определяет класс ЭИР в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом и фиксирует класс ЭИР в проектной документации; осуществляет идентификацию ЭИР и поддерживает в актуальном состоянии каталог ЭИР, утверждаемый внутренним актом ГО или организации; формирует и размещает описание метаданных (использования, описания, плана событий, хроники событий, отношений) в соответствии со стандартом Республики Казахстан СТ РК ИСО 23081-2-2010 «Информация и документация. Метаданные для управления записями. Часть 2. Вопросы концепции и реализации» в каталоге ЭИР, утверждаемом внутренним актом ГО или организации; осуществляет хранение ЭИР и его метаданных. Форму и способ хранения определяет самостоятельно. 34. При наличии у собственника и (или) владельца информационных ресурсов на бумажных или иных носителях необходимо обеспечить их перевод в электронную форму. 35. Собственник и (или) владелец ИР: обеспечивает создание общедоступных ИР на казахском, русском и на других языках, по необходимости, с возможностью выбора пользователем языка отображения; определяет класс ИР как класс ПО, отображающего ЭИР, в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом и фиксирует класс ИР в проектной документации. 36. Требования к созданию или развитию ИР определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации. 37. Создание или развитие ИР осуществляется с учетом требований стандартов Республики Казахстан СТ РК 2190-2012 «Информационные технологии. Интернет-ресурсы государственных органов и организаций. Требования», СТ РК 2191-2012 «Информационные технологии. Доступность Интернет-ресурса для людей с ограниченными возможностями», СТ РК 2192-2012 «Информационные технологии. Интернет-ресурс, интернет-портал, интранет-портал. Общие описания», СТ РК 2193-2012 «Информационные технологии. Рекомендуемая практика разработки мобильных веб-приложений», СТ РК 2199-2012 «Информационные технологии. Требования к безопасности веб-приложений в государственных органах». 38. Подготовка, размещение, актуализация ЭИР на ИР ГО осуществляются в соответствии с правилами информационного наполнения и требования к содержанию интернет-ресурсов ГО, утвержденными уполномоченным органом. 39. ИР ГО размещается на ЕПИР ГО и регистрируется в доменных зонах gov.kz и мем.қаз. ЕПИР ГО размещается на информационно-коммуникационной инфраструктуре «электронного правительства». 40. Управление ИР ГО осуществляется из локальной сети внешнего контура владельца ИР. 41. Для обеспечения ИБ ИР необходимо применять: 1) регистрационные свидетельства для проверки подлинности доменного имени и криптографического шифрования содержимого сеанса связи; 2) систему управления содержимым (контентом), выполняющую: санкционирование операций размещения, изменения и удаления ЭИР; регистрацию авторства при размещении, изменении и удалении ЭИР; проверку загружаемого ЭИР на наличие вредоносного кода; аудит безопасности исполняемого кода и скриптов; контроль целостности размещенного ЭИР; ведение журнала изменений ЭИР; мониторинг аномальной активности пользователей и программных роботов. Требования к разрабатываемому или приобретаемому прикладному ПО 42. На стадии инициирования создания или развития разработки или приобретения прикладного ПО необходимо определить класс ПО в соответствии с правилами классификации объектов информатизации и классификатором объектов информатизации, утвержденными уполномоченным органом и зафиксировать класс ПО в проектной документации. 43. Требования к разрабатываемому прикладному ПО определяются в техническом задании, разрабатываемом в соответствии с требованиями стандарта Республики Казахстан 34.015-2002 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», правилами составления и рассмотрения технических заданий на создание или развитие информационных систем государственных органов, утверждаемыми уполномоченным органом и настоящими ЕТ. Требования к разрабатываемому СПП определяются в задании на проектирование СПП, разрабатываемом в соответствии с правилами реализации сервисной модели информатизации, утверждаемыми уполномоченным органом и настоящими ЕТ. Требования к приобретаемому прикладному ПО определяются в технической спецификации на приобретение товаров, работ и услуг в сфере информатизации с учетом настоящих ЕТ. При приобретении прикладного ПО предпочтение отдается СПО при его сопоставимых характеристиках с коммерческим ПО. При формировании требований к разработке или приобретению ПО учитываются класс ЭИР и сведения каталога ЭИР. 44. Разрабатываемое или приобретаемое ПО должно: 1) обеспечивать интерфейс пользователя, ввод, обработку и вывод данных на казахском и русском языках и на других языках, по необходимости, с возможностью выбора пользователем языка интерфейса; 2) удовлетворять требованиям: удобства при эксплуатации; адаптируемости; гибкости; кроссплатформенности; эффективности работы; 3) корректно функционировать в виртуализированной среде; 4) поддерживать работу в кластере; 5) иметь техническую документацию по эксплуатации. 45. Не допускается создание (развитие) или приобретение ПО, необеспеченное технической поддержкой и сопровождением ПО. Планирование, осуществление и документирование технической поддержки и сопровождения ПО проводится в соответствии со спецификациями изготовителя, поставщика или требованиями НТД ИБ. 46. Процесс создания или развития прикладного ПО должен: 1) соответствовать требованиям стандартов единой системы программной документации; 2) предусматривать: автоматизацию процедур контроля ПО на наличие дефектов; создание информационной базы алгоритмов, исходных текстов и программных средств; испытание и тестирование программных модулей; типизацию алгоритмов, программ и средств ИБ, обеспечивающих информационную, технологическую и программную совместимость; использование лицензионных инструментальных средств разработки; 3) включать процедуры приемки прикладного ПО, предусматривающие: передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного ПО собственнику и (или) владельцу; контрольную компиляцию переданных исходных текстов, с созданием полностью работоспособной версии прикладного ПО; выполнение контрольного примера на данной версии ПО. 47. Контроль за авторизованными изменениями ПО и прав доступа к нему осуществляется с участием работников сотрудников подразделения информационных технологий ГО. 48. Разработка прикладного ПО в случае привлечения с привлечением сторонних организаций требует: учета особенностей, предусмотренных правилами реализации сервисной модели информатизации; регламентации вопросов ИБ в соглашениях сторон-участников; управления рисками в процессе разработки прикладного ПО. 49. С целью обеспечения ИБ: 1) на этапе разработки ПО должны применяться рекомендации стандарта Республики Казахстан СТ РК ГОСТ Р 50739-2006 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»; 2) требования к разрабатываемому или приобретаемому прикладному ПО должны включать применение средств: идентификации и аутентификации пользователей, при необходимости ЭЦП и регистрационных свидетельств; управления доступом; контроля целостности; подотчетности действий пользователей, влияющих на ИБ; защиты онлайновых транзакций; криптографического шифрования конфиденциальной информации при хранении, обработке и ее передаче по сетям телекоммуникаций; логирование критичных событий ПО. 3) в НТД ИБ необходимо определить и применять при эксплуатации: правила, касающиеся установки, обновления и удаления ПО на серверах и рабочих станциях; процедуры управления изменениями и анализа ПО в случае изменения системного ПО; 4) не допускается: приобретение ПО без соответствующих лицензий на его использование; использование ПО без лицензии или лицензионного соглашения правообладателя. не допускается использование и приобретение ПО, не имеющего лицензии или лицензионного соглашения правообладателя. Процедура контроля правомерности использования ПО определяется в НТД ИБ, проводится не реже одного раза в год и включает в себя: определение фактически используемого ПО; определение прав на использование ПО; сравнение фактически используемого ПО и имеющихся лицензий. 50. Для обеспечения подтверждения принадлежности и действительности открытого ключа ЭЦП и регистрационного свидетельства лица, подписавшего электронный документ, прикладное ПО должно осуществлять проверки: 1) подлинности ЭЦП; 2) построения корректной цепочки от проверяемого регистрационного свидетельства до доверенного корневого регистрационного свидетельства удостоверяющего центра, с учетом промежуточных регистрационных свидетельств удостоверяющих центров; 3) срока действия регистрационного свидетельства от проверяемого регистрационного свидетельства до доверенного корневого регистрационного свидетельства удостоверяющего центра, с учетом промежуточных регистрационных свидетельств удостоверяющих центров; 4) регистрационного свидетельства на аннулирование одним из методов: на основе списка отозванных регистрационных свидетельств; онлайн-проверка регистрационного свидетельства на аннулирование; на основе дополнительного списка отозванных регистрационных свидетельств; 5) области использования ключа ЭЦП; 6) номера политики регистрационного свидетельства и разрешенных способах его использования; 7) метки времени; 8) полномочий лица, подписавшего электронный документ. Требования к системному ПО 51. При выборе системного ПО рабочих станций и серверного оборудования необходимо учитывать: требования, предъявляемые в техническом задании на разработку прикладного ПО; соответствие типу операционных систем (клиентской или серверной); совместимость с используемым прикладным ПО; поддержку сетевых сервисов, функционирующих в сети телекоммуникаций; поддержку многозадачности; наличие штатных средств получения и установки критичных обновлений и обновлений безопасности выпускаемых производителем операционных систем; наличие средств диагностики, аудита и ведение журнала событий; поддержку технологий виртуализации. 52. При приобретении системного ПО следует отдавать предпочтение: модели лицензирования, обеспечивающей снижение стоимости закупки, а также совокупной стоимости лицензии за период эксплуатации; ПО, обеспеченному технической поддержкой и сопровождением. 53. С целью обеспечения ИБ: 1) системное ПО должно обеспечивать контроль доступа, используя средства: идентификации, аутентификации и управления паролями пользователей; регистрации успешных и неудавшихся доступов; регистрации использования системных привилегий; ограничения времени соединения, при необходимости, и блокировки сеанса по превышению лимита времени; 2) не допускается для пользователей и ограничивается для администраторов использование системных утилит, способных обходить средства контроля операционной системы. Требования к СПО 54. Для обеспечения ИБ при применении СПО: к использованию допускается СПО, поддерживаемое сообществом разработчиков СПО или прошедшее экспертизу и сертификацию программного кода; необходимо сохранять применявшиеся версии СПО. Требования к информационно-коммуникационной инфраструктуре 55. Создание ИКИ и обеспечение её ИБ осуществляются с применением средств и технологий, соответствующих современному уровню развития науки и техники и не уступающих лучшим современным отечественным и зарубежным аналогам. 56. ИКИ ГО направлена на оптимизацию и повышение эффективности работы ГО и формируется с учетом требований настоящих ЕТ. Требования к организации серверного помещения 57. Серверное помещение располагается в отдельных, непроходных помещениях без оконных проемов. В случае наличия, оконные проемы закрываются или заделываются негорючими материалами. Для поверхности стен, потолков и пола применяются материалы, не выделяющие и не накапливающие пыль. Для напольного покрытия применяются материалы с антистатическими свойствами. Серверное помещение защищается от проникновения загрязняющих веществ. Стены, двери, потолок, пол и перегородки серверного помещения обеспечивают герметичность помещения. 58. Двери серверного помещения должны составлять не менее 1,2 метра в ширину и 2,2 метра в высоту. Дверь должна открываться наружу или раздвигаться, не должна иметь порожка и центрального упора. 59. Серверное помещение оборудуется фальшполом и (или) фальшпотолком для размещения кабельных систем и инженерных коммуникаций. 60. Через серверное помещение не допускается прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не должны находиться над серверным помещением на верхних этажах. 61. Коммуникационные каналы для прокладки силовых и слаботочных кабельных сетей здания выполняются в отдельных или разделенных перегородками кабельных лотках, коробах или трубах, разнесенных между собой. Слаботочные и силовые шкафы выполняются раздельно и закрываются на замок. Прокладка кабелей через перекрытия, стены, перегородки осуществляется в отрезках несгораемых труб с герметизацией негорючими материалами. 62. Серверное помещение надежно защищается от внешнего электромагнитного излучения. 63. Пожарная безопасность серверного помещения обеспечивается соблюдением требований Технического регламента «Общие требования к пожарной безопасности», утвержденного постановлением Правительства Республики Казахстан. 64. При размещении оборудования учитываются требования: Приказа Министра энергетики Республики Казахстан «Об утверждении Правил устройства электроустановок»; Приказа Министра энергетики Республики Казахстан «Об утверждении Правил технической эксплуатации электроустановок потребителей»; поставщиков и (или) производителя оборудования к установке (монтажу); по нагрузке на перекрытия и фальшпол, с учетом оборудования, кабелей, шнуров и носителей; к служебным свободным проходам для обслуживания оборудования; к воздушному потоку системы микроклимата; к системе фальшполов. 65. При техническом сопровождении оборудования, установленного в серверном помещении, документируются: обслуживание оборудования; устранение проблем, возникающих при работе аппаратно-программного обеспечения; факты сбоев и отказов, а так же результаты восстановительных работ; послегарантийное обслуживание критически важного оборудования по истечении гарантийного срока обслуживания. Обслуживание критически важного оборудования выполняется сертифицированным техническим персоналом. 66. В непосредственной близости от серверного помещения создается склад запасных частей для критически важного оборудования, содержащий запас комплектующих и оборудования для выполнения оперативной замены при проведении ремонтно-восстановительных работ. 67. Не допускается вмешательство в работу находящегося в эксплуатации оборудования и без разрешения руководителя подразделения информационных технологий либо лица, его замещающего. 68. Основные и резервные серверные помещения располагаются на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям. 69. С целью обеспечения ИБ, отказоустойчивости и надежности функционирования: 1) в серверном помещении применяются способы расположения оборудования, обеспечивающие снижение рисков возникновения угроз, опасностей и возможностей несанкционированного доступа; 2) в серверном помещении не допускается размещение в одной виртуальной среде, на одном серверном оборудовании, в одном монтажном шкафу или стойке ЭИР, ИР, СПП, ИС, относящихся в соответствии с классификатором объектов информатизации к разным классам по уровню ИБ; 3) необходимо поддерживать в актуальном состоянии список лиц, авторизованных для осуществления сопровождения объектов ИКИ, установленных в серверном помещении; 4) серверное помещение оборудуется системами: контроля и управления доступом; микроклимата; охранной сигнализации; видеонаблюдения; пожарной сигнализации; пожаротушения; гарантированного электропитания; заземления; 5) отказоустойчивость инфраструктуры серверного помещения должна составлять не менее 99,749%. 70. Система контроля и управления доступом обеспечивает санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери. Устройство центрального управления системы контроля и управления доступом устанавливаются в отдельных служебных помещениях, защищенных от доступа посторонних лиц в помещении поста охраны. Персоналу охраны запрещается иметь доступ к программным средствам системы контроля и управления доступом и влиять на режимы работы системы. Электроснабжение системы контроля и управления доступом осуществляется от свободной группы щита дежурного освещения. Система контроля и управления доступом обеспечивается резервным электропитанием. 71. Расположение камер системы видеонаблюдения выбирается с учетом обеспечения контроля всех входов и выходов в серверное помещение, пространства и проходов возле оборудования. Угол обзора и разрешение камер должны обеспечить уверенное распознавание лиц. Изображение с камер выводятся на отдельный пульт в помещение круглосуточной охраны. 72. Система обеспечения микроклимата включает систему кондиционирования, систему вентиляции и систему мониторинга микроклимата. Системы обеспечения микроклимата серверного помещения не допускается объединять с другими системами микроклимата, установленными в здании. Расчетная температура в серверного помещении должно составлять от 20 С до 25 С при относительной влажности от 45% до 55 %. Мощность системы кондиционирования воздуха должна превышать суммарное тепловыделение всего оборудования и систем. Система кондиционирования воздуха выполняется с резервированием. Электропитание кондиционеров серверного помещения должно осуществляться от системы гарантированного электропитания или системы бесперебойного электропитания. Система вентиляции обеспечивает приток свежего воздуха с фильтрацией и подогревом поступающего воздуха в зимний период. Давление в помещении создается избыточным для предотвращения поступления загрязненного воздуха из соседних помещений. На воздуховодах приточной и вытяжной вентиляций устанавливаются защитные клапаны, управляемые системой пожаротушения. Системы кондиционирования и вентиляции отключаются автоматически по сигналу пожарной сигнализации. Система мониторинга микроклимата контролирует климатические параметры в серверных шкафах и телекоммуникационных стойках: температура воздуха; влажность воздуха; запыленность воздуха; скорость потока воздуха; задымленность воздуха; открытие (закрытие) дверей шкафов. 73. Система охранной сигнализации выполняется отдельно от систем безопасности здания. Сигналы оповещения выводятся в помещение круглосуточной охраны в виде отдельного пульта. Контролю и охране подлежат все входы и выходы серверного помещения, объем помещения. Система охранной сигнализации имеет собственный источник резервированного питания. 74. Система пожарной сигнализации серверного помещения выполняется отдельно от пожарной сигнализации здания. В серверном помещении устанавливаются два типа датчиков: температурные и дымовые. Датчиками контролируются общее пространство серверного помещения и объемы, образованные фальшполом и (или) фальшпотолком. Сигналы оповещения системы пожарной сигнализации выводятся на пульт в помещение круглосуточной охраны. 75. Система пожаротушения серверного помещения оборудуется автоматической установкой газового пожаротушения, независимой от системы пожаротушения здания. В качестве огнегасителя в автоматической установке газового пожаротушения используется специальный нетоксичный газ. Запрещается использование порошковых и жидкостных огнегасителей. Установка газового пожаротушения размещается непосредственно в серверном помещении или вблизи него в специально оборудованном для этого шкафу. Запуск системы пожаротушения производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также от ручных датчиков, расположенных у выхода из помещения. Время задержки выпуска огнегасителя должно быть не более 30с. Оповещение о срабатывании системы пожаротушения выводится на табло, размещаемые внутри и снаружи помещения. Система пожаротушения выдает команды на закрытие защитных клапанов системы вентиляции и отключение питания оборудования. Серверное помещение, оборудованное системой пожаротушения, оснащается вытяжной вентиляцией для удаления огнегасящего газа. 76. Система гарантированного электропитания предусматривает наличие двух вводов электропитания от разных источников внешнего электропитания на напряжение ~400/230В, частотой 50 Гц и автономного дизельного генератора. Все источники электроэнергии подаются на автомат ввода резерва, осуществляющий автоматическое переключение на резервный ввод электропитания при прекращении, перерыве подачи электропитания на основном вводе. Параметры линий электропитания определяются исходя из планируемой суммарной потребляемой мощности оборудования и подсистем серверного помещения. Линии внешнего электропитания должны быть выполнены по пятипроводной схеме с жилами неравного сечения. Система гарантированного электропитания предусматривает электроснабжение оборудования и систем серверного помещения через источники бесперебойного питания. Мощность и конфигурация источников бесперебойного питания рассчитываются с учетом всего запитываемого оборудования и запаса для перспективного развития. Время автономной работы от источников бесперебойного питания рассчитывается с учетом потребностей, а так же с учетом необходимого времени для перехода на резервные линии и времени запуска генератора в рабочий режим. 77. Система заземления серверного помещения выполняется отдельно от защитного заземления здания. Все металлические части и конструкции серверного помещения должны быть заземлены с общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемые с общей шиной заземления. Требования к серверному оборудованию 78. Серверное оборудование размещается в серверном помещении. 79. Требования к конфигурации серверного оборудования определяются в техническом задании. 80. С учетом требований к вычислительным ресурсам при выборе типовой конфигурации серверного оборудования необходимо отдавать предпочтение серверам: с многопроцессорной архитектурой; позволяющим масштабировать ресурсы и увеличивать производительность; поддерживающим технологии среды виртуализации; включающие средства управления, изменения и перераспределения ресурсов; совместимым с существующей инфраструктурой и обеспечивающих совместную работу с уже использующимися системами обработки данных. 81. Для обеспечения высокой доступности сервера применяются встроенные системы: горячей замены резервных вентиляторов и блоков питания, дисков и адаптеров ввода-вывода; горячей замены дисков и адаптеров ввода-вывода; динамической очистки и перераспределения страниц памяти; динамического перераспределения процессоров; оповещения о критических событиях; поддержки контроля состояния критичных компонентов и измерения контролируемых показателей. 82. Запрещается приобретать серверное оборудование, заявленное производителем как завершающее жизненный цикл и (или) снимаемое с производства и (или) реализации. 83. С целью обеспечения ИБ, на регулярной основе, определенной в НТД ИБ, осуществляется инвентаризация серверного оборудования с проверкой его конфигурации. Требования к системам хранения данных 84. Системы хранения данных располагаются в серверных помещениях. 85. Система хранения данных должна поддерживать: 1) единые средства для репликации данных; 2) масштабируемость по объему хранения данных. 86. Для высоконагруженных систем, требующих высокой доступности, применяются: сети хранения данных; системы хранения данных, поддерживающие систему виртуализации и (или) ярусного хранения данных. 87. Для обеспечения высокой доступности системы хранения данных должны иметь встроенные системы: горячей замены резервных вентиляторов и блоков питания; горячей замены дисков и адаптеров ввода-вывода; оповещения о критических событиях; активных контроллеров в количестве не менее двух; интерфейсов сети хранения данных в количестве не менее двух портов на контроллер; поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей. 88. Система хранения данных обеспечивается системой резервного копирования. 89. Для обеспечения ИБ, надежного хранения и возможности восстановления данных необходимо: применять криптографическое преобразование хранимой конфиденциальной информации; использовать выделенный сервер для защищенного хранения ключей шифрования по уровню безопасности не ниже уровня безопасности, применяемого для ключей безопасности; применять программное и аппаратное обеспечение гарантированного уничтожения конфиденциальной информации при выводе из эксплуатации носителей информации; обеспечить запись и испытание резервных копий, в соответствии с регламентом резервного копирования, определенным в НТД ИБ. Требования к рабочим станциям пользователей 90. Организация и развитие парка рабочих станций ГО осуществляется посредством получения информационно-коммуникационной услуги аренды: 1) унифицированного рабочего места, требования к которому утверждаются приказом уполномоченного органа; 2) терминальной системы, требования к которой утверждаются приказом уполномоченного органа. 91. Для обеспечения ИБ: 1) в НТД ИБ определяются: способы размещения рабочих станций пользователей с целью снижения рисков возникновения угроз, опасностей и возможностей несанкционированного доступа; способы защиты рабочих станций пользователей от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб; процедуры и периодичность технического обслуживания рабочих станций пользователей для обеспечения непрерывной доступности и целостности; способы защиты мобильного оборудования, находящегося за пределами рабочего места, с учетом различных рисков работы за пределами организационных помещений; меры по утилизации устройств хранения данных и меры гарантированного уничтожения информации при повторном использования оборудования; правила выноса рабочих станций за пределы рабочего места; 2) на регулярной основе проводится инвентаризация рабочих станций пользователей с проверкой конфигураций; 3) не допускается установка и применение на рабочих станциях программных или аппаратных средств удаленного управления за исключением случаев наличия ведомственных правовых актов, регламентирующих использование средств удаленного управления, утвержденных Приказом первого руководителя ГО. Требования к вычислительным ресурсам, реализующим технологии виртуализации и «облачных» вычислений 92. При выборе вычислительных ресурсов для создаваемых или развиваемых ИР и ИС предпочтение отдается оборудованию и системному ПО, реализующему технологии консолидации, виртуализации и «облачных» вычислений. 93. При выборе решения, реализующего технологию виртуализации, учитывается поддержка следующей функциональности: 1) функция декомпозиции: компьютерные ресурсы рассматриваются как единый однородный пул, распределяемый между виртуальными машинами; множество приложений и операционных систем сосуществуют на одной физической компьютерной системе; 2) функция изоляции: виртуальные машины полностью изолируются друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные; данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений со стандартной конфигурацией; 3) совместимость гарантируется посредством представления приложениям и ОС виртуальной аппаратуры как стандартной. 94. ИКП ЭП разворачивается на оборудовании, размещенном в серверном центре ГО. ИКП ЭП должна: обеспечивать автоматизированное предоставление ИК-услуг с единой точкой входа для их управления; обеспечивать виртуализацию вычислительных ресурсов серверного оборудования с использованием различных технологий виртуализации; обеспечивать бесперебойное и отказоустойчивое функционирование предоставляемых оператором ИКИ услуг, с коэффициентом надежности не менее 99,749%; исключать единую точку отказа на логических и физическом уровнях средствами используемого оборудования, телекоммуникаций и программного обеспечения; быть разделена на аппаратном и программном уровнях; Надежность виртуальной инфраструктуры обеспечивается средствами, встроенными в ПО технологий виртуализации и управления виртуальной средой. 95. Для обеспечения ИБ при виртуализации и «облачных» вычислениях необходимо реализовать: 1) управление идентификацией, требующее: аутентификацию клиентов клиентов «облачного» сервиса и привилегированных пользователей; федеративной идентификации пользователей только в пределах одного «облака»; сохранения информации об аутентификации после удаления идентификатора пользователя; применения средств контроля процедур назначения профилей полномочий пользователя; 2) управление доступом, требующее: разделения полномочий администратора ИС и администратора среды виртуализации; ограничения прав доступа обслуживающего персонала к данным клиента. Доступ ограничивается конкретными операциями, определенными в НТД ИБ или сервисном соглашении об обслуживании и подлежащими регулярной актуализации; применения многофакторной аутентификации для привилегированных и критичных операций; ограничения использования ролей со всеми полномочиями. Настройки профиля администратора ИС должны исключать получение доступа к компонентам среды виртуализации; определение минимальных привилегий и реализации модели ролевого управления доступом при назначении прав доступа пользователям; удаленного доступа посредством защищенного шлюза или списка разрешенных сетевых адресов отправителей; 3) управление ключами шифрования, требующее: контроля ограничения доступа к данным о ключах шифрования; контроля над организацией корневого каталога и подписки ключей; блокирования скомпрометированных ключей и их надежного уничтожения; 4) проведение аудита событий ИБ, требующее: обязательности и регулярности, определяемых в НТД ИБ; проведение процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов; ведения журнала аудита и хранения в недоступной для администратора системе хранения; проверки правильности работы системы ведения журнала аудита; определения длительности хранения журналов аудита в НТД ИБ; 5) осуществление регистрации событий ИБ, требующее: применения системы мониторинга инцидентов и событий ИБ; журналирования действий администраторов; оповещения на основе автоматического распознавания критического события или инцидента ИБ; применения сервиса обнаружения аномалий в среде «облачных» вычислений; 6) управление инцидентами ИБ, требующее: определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты ИБ с актуализацией раз в полугодие; составления отчетов с периодичностью, определенной в НТД ИБ, по результатам обнаружения, выявления, оценки и реагирования на инциденты ИБ; уведомление ГО или организации об инцидентах ИБ; регистрация инцидентов ИБ в Службе реагирования на компьютерные инциденты государственной технической службы; 7) применения защитных мер аппаратных и программных компонентов инфраструктуры «облачных» вычислений, осуществляющих: физическое отключение или блокирование неиспользуемых физических устройств (съемных накопителей, сетевых интерфейсов); отключение неиспользуемых виртуальных устройств и сервисов; мониторинг взаимодействия между гостевыми операционными системами; контроль сопоставления виртуальных устройств реальным; применение сертифицированных гипервизоров; 8) физическое разделение среды эксплуатации от сред разработки и тестирования; 9) определения в НТД ИБ процедур управления исправлениями для ПО приложений, компонентов инфраструктуры, серверов, систем хранения, ПО для виртуализации, приложений и компонентов ИБ; 10) определения в НТД ИБ процедур восстановления после катастроф, сбоев и отказов оборудования; 11) реализация процедур сетевого и системного администрирования требующее: обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, образов виртуальных машин, приложений, сетевой конфигурации, ПО и данных ГО или организации на наличие вредоносных сигнатур; отделения аппаратной платформы от операционной системы виртуальной машины c целью запрета пользовательского доступа к аппаратной части из публичного доступа; логической изоляции между различными функциональными областями инфраструктуры среды виртуализации; физической изоляции между средами виртуализации ЭИР и ИС различных классов по уровню ИБ.

Требования к локальным сетям 96. Требования к создаваемой или модернизируемой локальной сети определяются в техническом задании на локальную сеть. При проектировании кабельной системы локальной сети необходимо пользоваться нормами государственного норматива СН РК 3.02-17-2011 «Структурированные кабельные сети. Нормы проектирования». 97. При проектировании создается и при эксплуатации поддерживается в актуальном состоянии документированная схема локальной сети. 98. Все элементы кабельной системы подлежат маркировке в соответствии с требованиями пункта 13.1.5 государственного норматива СН РК 3.02-17-2011 «Структурированные кабельные сети. Нормы проектирования». Все кабельные соединения регистрируются в журнале учета кабельных соединений. 99. Активное оборудование локальных сетей обеспечивается электропитанием от источников бесперебойного питания. 100. Оператор ИКИ ЭП осуществляет: распределение, регистрацию и перерегистрацию IP-адресов локальных сетей ГО по заявкам ГО; регистрацию доменных имен в доменных зонах Интернета gov.kz и мем.қаз по заявкам ГО; регистрацию доменных имен в сети ЕТС ГО по заявкам ГО; предоставление сервиса DNS в сети ЕТС ГО. 101. Для обеспечения ИБ необходимо: 1) неиспользуемые порты кабельной системы локальной сети физически отключить от активного оборудования; 2) разработать и утвердить НТД ИБ, включающие правила: использования сетей и сетевых услуг; подключения к международным (территориальным) сетям передачи данных; подключения к Интернету и (или) к сетям телекоммуникаций, сетям связи, имеющим выход в международные (территориальные) сети передачи данных; использования беспроводного доступа к сетевым ресурсам; 3) запретить передачу конфиденциальной информации по незащищенным проводным каналам связи, выходящим за пределы контролируемой зоны и радиоканалам; 4) применять средства: идентификации, авторизации, аутентификации и управления доступом пользователей; идентификации оборудования; защиты диагностических и конфигурационных портов; физического сегментирования локальной сети; логического сегментирования локальной сети; управления сетевыми соединениями; межсетевого экранирования; сокрытия внутреннего адресного пространства локальной сети; контроля целостности данных, сообщений и конфигураций; криптографического преобразования при передаче конфиденциальной информации; физической защиты каналов передачи данных и сетевого оборудования; регистрации событий ИБ; мониторинга и анализа сетевого трафика; управления сетью; 5) осуществлять взаимодействие локальных сетей ГО между собой только через ЕТС ГО; 6) осуществлять взаимодействие локальных сетей центрального исполнительного государственного органа и его территориальных подразделений между собой только через ЕТС ГО; 7) исключить сопряжение ЛС внутреннего контура и ЛС внешнего контура ГО между собой; 8) исключить подключение ЛС внутреннего контура ГО к Интернету; 9) осуществлять соединение ЛС внешнего контура ГО с Интернетом только через ЕШДИ. Подключение к Интернету иным способом не допускается. Взаимодействие ВШЭП с Интернетом осуществляется через ЕШДИ; 10) размещать ИС ГО, реализующие информационное взаимодействие через Интернет, в выделенном сегменте ЛС внешнего контура ГО, и осуществлять взаимодействие с ИС ГО, размещенными в ЛС внутреннего контура ГО, через ВШЭП; 11) осуществлять информационное взаимодействие ИС, размещенных в Интернете, с ИС ГО, размещенными в ЛС внутреннего контура ГО, только через ВШЭП. Функционирование ВШЭП осуществляется в соответствии с требованиями, утвержденными уполномоченным органом в сфере информатизации; 12) сервер инфраструктуры источника времени верхнего уровня синхронизировать напрямую с эталоном времени и частоты воспроизводящим национальную шкалу всемирного координированного времени UTC(kz). В качестве сервера инфраструктуры точного времени верхнего уровня определяется сервер, имеющий подключение к Интернет. Серверами инфраструктуры точного времени определяются сервера в ЕТС ГО, выполняющие роли регистрации пользователей в локальной сети и обеспечивающие синхронизацию времени на рабочих станциях и телекоммуникационном оборудовании. Сервера инфраструктуры точного времени синхронизируются с сервером инфраструктуры точного времени верхнего уровня. 102. Подключение ГО к ЕТС ГО осуществляется в соответствии с Порядком подключения к ЕТС ГО и предоставления доступа к интранет ресурсу ГО через ЕТС ГО, утверждаемого уполномоченным органом. 103. В ГО допускается применение устройств для организации беспроводного доступа только к общедоступным ЭИР «электронного правительства» и в местах, разрешенных для пребывания посетителей ГО в «гостевой зоне». 104. Не допускается подключение к локальной сети ГО, а также к техническим средствам, входящим в состав локальной сети ГО, устройств для организации удаленного доступа посредством беспроводных сетей, беспроводного доступа, модемов, радиомодемов, модемов сетей операторов сотовой связи и других беспроводных сетевых устройств. 105. ГО ежегодно: 1) запрашивает у государственной технической службы перечень используемых на оборудовании ЕШДИ категорий интернет-ресурсов; 2) из вышеуказанного перечня, выбирает категории интернет-ресурсов, доступ к которым должен быть ограничен служащим ГО средствами ЕШДИ, и составляет их список; 3) направляет в государственную техническую службу вышеуказанный список и списки сетевых адресов информационно-коммуникационных сетей ГО и их территориальных подразделений, получающих доступ к Интернет для применения на оборудовании ЕШДИ. 106. Государственная техническая служба осуществляет делегирование (обслуживание) доменных зон gov.kz и мем.қаз с предоставлением сервиса в Интернет. Требования к ведомственным (корпоративным) сетям 107. Ведомственные (корпоративные) сети телекоммуникаций организуются путем объединения локальных сетей, принадлежащих одному собственнику, посредством выделенных собственных или арендованных каналов связи. Выделенные каналы связи, предназначенные для объединения локальных сетей, организовываются с использованием протоколов канального и сетевого уровней. 108. При организации ведомственной (корпоративной) сети путем объединения нескольких локальных сетей, применяется радиальная или радиально-узловая топология сети. В узловых точках выделенные каналы подключаются к одному пограничному шлюзу. Не допускается каскадное (последовательное) подключение локальных сетей. 109. При проектировании создается и при эксплуатации поддерживается в актуальном состоянии документированная схема ведомственной (корпоративной) сети телекоммуникаций. 110. Физический доступ к оборудованию для организации каналов связи имеет только персонал, обслуживающий выделенный канал связи. Управление оборудованием осуществляет оператор ИКИ ЭП, предоставляющий выделенный канал. В настройках оборудования неиспользуемые порты блокируются. 111. Ввод в здание линий канала связи и его прокладка в здании осуществляется в соответствии с государственным нормативом СН РК 3.02-17-2011 «Структурированные кабельные сети. Нормы проектирования». 112. В целях обеспечения ИБ: 1) при организации выделенного канала связи, объединяющего локальные сети, применяются программно-технические средства защиты информации, в том числе криптографического шифрования; 2) выделенный канал связи подключается к локальной сети посредством пограничного шлюза с прописанными правилами маршрутизации и политиками безопасности. Пограничный шлюз обеспечивает следующий минимальный набор функций: централизованную авторизацию узлов сети; конфигурируемые уровни привилегий администраторов; протоколирование действий администраторов; статическую трансляцию сетевых адресов; защиту от сетевых атак; контроль состояния физических и логических портов; фильтрацию входящих и исходящих пакетов на каждом интерфейсе; криптографическое преобразования передаваемого трафика; 3) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей ГО между собой необходимо использовать: средства разделения и изоляции информационных потоков; оборудование с компонентами, обеспечивающими ИБ и безопасное управление; выделенные и интегрированные с оборудованием доступа межсетевые экраны, установленные в каждой точке подключения, с целью защиты периметра ЕТС ГО. При подключении сервера к ЕТС ГО и локальной сети, безопасность обеспечивается посредством межсетевых экранов и отдельных шлюзов доступа, установленных в местах стыка с ЕТС ГО и локальной сетью; 4) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей ГО к Интернету через ЕШДИ, ГО использует услуги оператора связи, имеющего собственные международные магистральные каналы связи в точке подключения ЕШДИ и зарезервированные каналы связи на оборудовании ЕШДИ; 5) служащие ГО и работники государственных организаций, субъектов квазигосударственного сектора, а также владельцев критически важных объектов ИКИ для осуществления оперативного информационного обмена (служебной переписки) в электронной форме при исполнении ими служебных обязанностей используют только ведомственные: электронную почту; службу мгновенных сообщений и иные сервисы. Ведомственная электронная почта ГО размещается в доменных зонах gov.kz и мем.қаз. 6) электронное взаимодействие ведомственной электронной почты ГО с внешними электронными почтовыми системами осуществляется только через единый шлюз электронной почты. Требования к ИС 113. ИС ГО создается и развивается в порядке, определенном пунктом 1 статьи 41 Закона Республики Казахстан «Об информатизации». 114. Перед началом опытной эксплуатации разработчиком ИС осуществляются стендовые испытания и тестовая эксплуатация ИС; 115. Для всех функциональных компонентов ИС разрабатывается набор тестов, сценариев тестирования и методики испытаний для проведения тестирования. 116. Опытная эксплуатация ИС ГО и негосударственных ИС, интегрируемых с государственными ИС, включает: документирование процедур опытной эксплуатации; устранение выявленных дефектов и недоработок, улучшение и оптимизацию ИС; внесение изменений в техническую и эксплуатационную документацию; оформление акта завершения опытной эксплуатации ИС ГО. 117. Перед вводом в промышленную эксплуатацию ИС в ГО или организации должны быть определены, согласованы, документально оформлены критерии приемки созданной ИС или новых версий и обновлений ИС. 118. Ввод в промышленную эксплуатацию ИС ГО и негосударственных ИС, интегрируемых с ИС ГО, включает: испытание ИС на соответствие требованиям ИБ; аттестацию ИС на соответствие требованиям ИБ; приемочные испытания ИС; подписание акта о приемке в промышленную эксплуатацию приемочной комиссией с участием представителей уполномоченного органа и заинтересованных ГО и организаций. 119. Ввод в промышленную эксплуатацию ИС ГО осуществляется при условии положительного завершения опытной эксплуатации ИС, наличии акта с положительным результатом испытаний на соответствие требованиям ИБ и аттестата соответствия ИС требованиям ИБ. 120. Исходные программные коды (при наличии), сведения о программных продуктах и ПО, комплекс настроек лицензионного ПО ИС, финансирование которых осуществляется за счет бюджетных средств, передаются для учета и хранения сервисному интегратору «электронного правительства». 121. При промышленной эксплуатации ИС обеспечивается: фиксация изменений в конфигурационных настройках ПО; контроль и регулирование функциональных характеристик производительности; сопровождение ИС; техническая поддержка используемого в ИС лицензионного ПО; гарантийное обслуживание ИС разработчиком продолжительностью не менее одного года со дня введения ИС в промышленную эксплуатацию. сохранение и ограничение доступа к эталонам ПО ИС с целью недопущения внесения в них изменений; выявление и устранение уязвимостей (технических рисков) программного и аппаратного обеспечения. мониторинг событий ИБ и передачу сведений о них в систему мониторинга обеспечения ИБ государственной технической службы; 122. Гарантийное обслуживание ИС на этапе промышленной эксплуатации с привлечением сторонних организаций требует: регламентации вопросов ИБ в соглашениях на гарантийное обслуживание; управления рисками ИКТ в процессе сопровождения. 123. Управление программно-аппаратным обеспечением ИС ГО должно осуществляться из внутренней локальной сети владельца ИС. Программно-аппаратное обеспечение ИС ГО и негосударственных ИС, интегрируемых с ИС, размещается на территории Республики Казахстан, за исключением случаев, связанных с межгосударственным информационным обменом в рамках международных договоров, ратифицированных Республикой Казахстан. 124. Собственник или владелец ИС ГО принимает решение о прекращении эксплуатации ИС в случае отсутствия необходимости ее дальнейшего использования. О прекращении эксплуатации ИС ГО необходимо уведомить сервисного интегратора, субъектов информатизации, чьи ИС интегрированы с ИС ГО, и ГО, являющиеся пользователями ИС. 125. ГО должен составить план снятия ИС ГО с эксплуатации и согласовать его с ГО, являющимися пользователями ИС ГО. 126. После снятия ИС с эксплуатации ГО должен: 1) сдать в государственный архив техническую документацию, журналы и архивированную базу данных снятой с эксплуатации ИС ГО; 2) хранить в безопасном месте и обеспечить аудиторской проверке доступ к данным, использовавшимся или связанным со снятой с эксплуатации ИС ГО в соответствующие носители информации; 127. При поступлении заявки на прекращение эксплуатации ИС ГО сервисный интегратор аннулирует электронное свидетельство о регистрации ИС ГО и размещает соответствующие сведения на архитектурном портале «электронного правительства». 128. Списание снятой с эксплуатации ИС ГО осуществляется в соответствии с законодательством Республики Казахстан о бухгалтерском учете и финансовой отчетности. В случае, если эксплуатация ИС ГО прекращена, но ИС ГО не списана в установленном порядке, то ИС ГО считается находящейся в консервации. После списания ИС ГО ее дальнейшее использование не допускается. 129. Для обеспечения ИБ: 1) на стадиях стендовых, приемо-сдаточных испытаний и тестовой эксплуатации необходимо осуществить: тестирование ПО ИС на основе разработанных комплексов тестов, настроенных на конкретные классы программ; натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование); тестирование ПО ИС с целью выявления возможных дефектов; стендовые испытания ПО ИС для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности; выявление и устранение уязвимостей программного и аппаратного обеспечения; отработку средств защиты от несанкционированного воздействия. 2) перед вводом ИС в опытную эксплуатацию требуется предусмотреть: контроль неблагоприятного влияния новой ИС на функционирующие ИС и компоненты ИКИ ЭП, особенно во время максимальных нагрузок; анализ влияния новой ИС на состояние ИБ ИКИ ЭП; организацию подготовки персонала к эксплуатации новой ИС; 3) необходимо обеспечить разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования: перевод ИС из фазы разработки в фазу тестирования фиксируется и документально оформляется; перевод ИС из фазы тестирования в фазу опытной эксплуатации фиксируется и документально оформляется; перевод ИС из фазы опытной эксплуатации в этап промышленной эксплуатации фиксируется и документально оформляется; инструментальные средства разработки и испытываемое ПО ИС размещаются в разных доменах; не допускается размещение и использование компиляторов, редакторов и других инструментальных средств разработки в среде эксплуатации; среда испытаний ИС соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры; для испытываемых ИС запрещается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации; запрещается копировать данные из ИС, находящихся в промышленной эксплуатации, в испытательную среду. 4) на этапе промышленной эксплуатации необходимо использовать средства и системы: обнаружения и предотвращения вредоносного кода; предотвращения потери и утечки информации; управления инцидентами и событиями ИБ; обнаружения и предотвращения вторжений; мониторинга и управления информационной инфраструктурой. 5) при выводе из эксплуатации ИС необходимо обеспечить: архивирование информации, содержащейся в ИС; уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей. Требования к классам объектов информатизации 130. Перед началом опытной эксплуатации для персонала объекта информатизации: первого класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, разработчиком осуществляется обязательное обучение; второго класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, разработчиком осуществляется создание видео-мультимедиа обучающих материалов; третьего класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, разработчиком осуществляется создание справочной системы и (или) инструкций по эксплуатации. 131. Системно-техническое обслуживание и администрирование ИР ГО и объектов ИКИ осуществляется оператором ИКИ в случаях: их отнесения к первому классу в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом; их отнесения ко второму классу в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом и сопряжения инфраструктуры с ЕТС ГО; их отнесения к третьему классу в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом и размещения на ИКП ЭП. 132. В целях обеспечения ИБ при эксплуатации объектов информатизации устанавливаются требования: к разработке профилей защиты и задания по безопасности; к реализуемым процедурам; к применяемым механизмам защиты; к использованию средств обеспечения ИБ; к способам идентификации; к применяемым криптографическим средствам; к способам обеспечения доступности и отказоустойчивости; к мониторингу обеспечения ИБ; 133. При инициировании создания или развития объектов информатизации первого и второго класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, а также содержащих, обрабатывающих или передающих конфиденциальную информацию, разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями стандарта Республики Казахстан СТ РК ГОСТ Р ИСО/МЭК 15408-2004 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». 134. С целью идентификации при доступе к объектам информатизации первого и второго класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, применяется многофакторная аутентификация, в том числе ЭЦП. 135. Для обеспечения защиты конфиденциальной информации необходимо применять криптографические программные или аппаратные средства с параметрами, соответствующими требованиям к средствам криптографической защиты информации в соответствии со стандартом Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» для объектов информатизации ЭП в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом: для первого класса – третьего уровня безопасности; для второго класса – второго уровня безопасности; для третьего класса – первого уровня безопасности. 136. Для обеспечения безопасности и качества обслуживания владельцы серверного оборудования объектов информатизации ЭП в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом обеспечивают их размещение: для первого класса - только в государственном серверном центре, соответствующем первому классу серверных помещений в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом; для второго класса - в государственном серверном центре или в собственном серверном помещении владельца объекта информатизации ЭП, оборудованном в соответствии с требованиями к серверным помещениям, установленными ЕТ и соответствующим первому классу серверных помещений в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом; для третьего класса - в собственном серверном помещении владельца объекта информатизации ЭП или арендованном серверном помещении, оборудованном в соответствии с требованиями к серверным помещениям, установленными ЕТ и соответствующим второму классу серверных помещений в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом. 137. Для обеспечения доступности и отказоустойчивости владельцами объектов информатизации ЭП обеспечивается: наличие резервного собственного или арендованного серверного помещения для объектов информатизации ЭП первого и второго класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом; резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных, в том числе: для объектов информатизации ЭП первого класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, «горячее» в резервном серверном помещении; для объектов информатизации ЭП второго класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, «холодное» в резервном серверном помещении; для объектов информатизации ЭП третьего класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, хранение на складе в непосредственной близости от основного серверного помещения; 138. Объекты информатизации ЭП первого и второго класса в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, подключаются к системе мониторинга обеспечения ИБ, защиты и безопасного функционирования по истечению одного года после их введения в промышленную эксплуатацию. 139. При реализации мониторинга действий пользователей и персонала: 1) аномальная активность и злоумышленные действия пользователей, в том числе: для первого класса объектов информатизации ЭП в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, регистрируются, блокируются и оперативно оповещается администратор; для второго класса объектов информатизации ЭП в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, регистрируются и блокируются; для третьего класса объектов информатизации ЭП в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, регистрируются; 2) действия обслуживающего персонала, в том числе: для первого класса объектов информатизации ЭП в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, регистрируются и контролируются подразделением ИБ; для второго и третьего класса объектов информатизации ЭП в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом, регистрируются. Требования к регистрационным свидетельстваи удостоверяющих центров Республики Казахстан 140. Корневые регистрационные свидетельства Корневого удостоверяющего центра Республики Казахстан с применением алгоритма RSA размещаются в доверенных списках программных продуктов мировых производителей ПО путем прохождения аккредитации на соответствие требованиям международного стандарта WebTrust. 141. Корневые регистрационные свидетельства удостоверяющих центров Республики Казахстан с применением алгоритма RSA, за исключением Корневого удостоверяющего центра Республики Казахстан, размещаются в списках доверенных программных продуктов мировых производителей ПО путем аккредитации удостоверяющего центра в соответствии с Правилами проведения аккредитации удостоверяющих центров. 142. Удостоверяющие центры Республики Казахстан размещают свое регистрационное свидетельство в Доверенной третьей стороне Республики Казахстан для обеспечения проверки ЭЦП граждан Республики Казахстан на территории иностранных государств. 4. Организация рабочего пространства в ГО 143. Рабочее пространство в ГО должно соответствовать требованиям Постановления Правительства Республики Казахстан «Об утверждении Санитарных правил «Санитарно-эпидемиологические требования к содержанию и эксплуатации жилых и других помещений, общественных зданий» от 1 декабря 2011 года № 1431. 144. Рабочее место служащего сотрудника ГО должно оснащаться в зависимости от его функциональных обязанностей и включать: рабочую станцию унифицированного рабочего места или терминальной системы с подключением к локальной сети внутреннего контура, при необходимости, допускается оснащение дополнительным монитором; комплект мультимедийного оборудования (наушники, микрофон и веб-камера) для работы с мультимедийных ЭИР или систем видео-конференц связи; аппарат телефонной связи или IP-телефонии. 145. Для оптимизации размещения оборудования на рабочем месте служащего сотрудника ГО допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов. 146. Доступ к Интернету служащим ГО сотрудникам предоставляется в выделенном помещении с использованием рабочей станции, подключенной к локальной сети внешнего контура ГО, на которой запрещается обработка и хранение служебной информации. При необходимости обеспечения служащего ГО сотрудника доступом к сети Интернет и невозможностью использования специально отведенных рабочих мест с доступом к сети Интернет на рабочем месте служащего ГО сотрудника допускается применение дополнительной рабочей станции с подключением к локальной сети внешнего контура и доступом в Интернет. 147. Доступ служащих ГО к ЭИР в Интернете, ограниченных средствами ЕШДИ, должен санкционироваться непосредственным руководителем структурного подразделения и согласовываться с руководителем подразделения ИБ. Работа служащих ГО с ЭИР в Интернете разрешается исключительно в режиме просмотра данных, исключая возможность передачи посредством Интернета или распространение в Интернете информации о деятельности ГО. 148. Использование Интернет для обработки и хранения информации (в том числе неконфиденциальной) запрещается. 149. Для использования сервисов ИКП ЭП на рабочем месте пользователя должно быть постоянное сетевое подключение к инфраструктуре ИКП ЭП; 150. Сервис телефонной связи может быть реализован как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии. 151. Сервис телефонной связи должен обеспечивать коммутацию пользователя с абонентами телефонных сетей по следующим каналам: использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных; использование услуг связи оператора телефонной связи общего пользования по потоку Е1; использование операторов сотовой связи; использование услуг междугородних и международных вызовов. 152. Для организации конференц-залов с предполагаемым количеством участников более десяти требуется оснащение зала конференц-системой звукового усиления, включая размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника. 153. Для демонстрации презентаций, вывода результатов голосования, текстовой и видеоинформации для общего обзора зал оснащается устройством вывода информации. Для организации «телемоста» с географически распределенными участниками, находящимися в других городах или странах, конференц-система дополняется системой аудио и видеоконференцсвязи оператора ИКИ ЭП. 154. Сервис печати предоставляется посредством печатающих, копирующих и сканирующих оборудований, подключенных к локальной сети внутреннего контура ГО с использованием сетевого интерфейса либо прямого подключения к серверу печати. 155. Объем закупаемого (арендуемого) оборудования сервиса печати формируется в зависимости от объема работ, формата представленных в электронном виде документов и группируется для применения исходя из потребностей пользователей и функциональных возможностей оборудования. 156. ПО реализующего сервис печати должно предусматривать возможность: централизованного управления пользователями и устройствами; учета распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей с возможностью распределения затрат между подразделениями и пользователями; настройки и применения политик, мотивирующих пользователей к снижению затрат на печать. 157. В целях обеспечения информационной безопасности сервиса печати, используемое ПО должно предусматривать следующие возможности: систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования; шифрование передаваемых на принтер данных; идентификации пользователя до начала использования сервиса печати; авторизации служащего ГО на устройстве печати способами, регламентированными в НТД ИБ. формирования очереди печати, осуществляющей печать посредством единой очереди печати и забирать распечатанные документы на доступном устройстве печати.