Глава 9. ЗАЩИТА ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
Статья 53. Цели защиты объектов информатизации
1. Защитой объектов информатизации является реализация комплекса правовых,
организационных и технических мероприятий, направленных на сохранность объектов
информатизации, предотвращение неправомерного и (или) непреднамеренного доступа
и (или) воздействия на них.
2. Защита объектов информатизации осуществляется в соответствии с
законодательством Республики Казахстан и действующими на территории Республики
Казахстан стандартами в целях:
1) обеспечения целостности и сохранности электронных информационных ресурсов
;
2) обеспечения режима конфиденциальности электронных информационных
ресурсов ограниченного доступа;
3) реализации права субъектов информатизации на доступ к электронным
информационным ресурсам;
4) недопущения несанкционированного и (или) непреднамеренного доступа, утечки
и иных действий в отношении электронных информационных ресурсов, а также
несанкционированного и (или) непреднамеренного воздействия на объекты
информационно-коммуникационной инфраструктуры;
5) недопущения нарушений функционирования объектов
информационно-коммуникационной инфраструктуры и критически важных объектов
информационно-коммуникационной инфраструктуры;
6) недопущения несанкционированного и (или) непреднамеренного доступа к
служебной информации об абонентах сетей телекоммуникаций и сообщениям
телекоммуникаций;
7) недопущения несанкционированного и (или) непреднамеренного блокирования
работы абонентских устройств сетей телекоммуникаций.
3. Иными несанкционированными и (или) непреднамеренными действиями в
отношении объектов информатизации являются:
1) блокирование электронных информационных ресурсов и (или) объектов
информационно-коммуникационной инфраструктуры, то есть совершение действий,
приводящих к ограничению или закрытию доступа к электронным информационным
ресурсам и (или) объектам информационно-коммуникационной инфраструктуры;
2) несанкционированная и (или) непреднамеренная модификация объектов
информатизации;
3) несанкционированное и (или) непреднамеренное копирование электронного
информационного ресурса;
4) несанкционированное и (или) непреднамеренное уничтожение, утрата
электронных информационных ресурсов;
5) использование программного обеспечения без разрешения правообладателя;
6) нарушение работы информационных систем и (или) программного обеспечения
либо нарушение функционирования сети телекоммуникаций;
7) несанкционированный и (или) непреднамеренный доступ к служебной
информации об абонентах сетей телекоммуникаций и сообщениям телекоммуникаций;
8) несанкционированное и (или) непреднамеренное блокирование работы
абонентских устройств сетей телекоммуникаций.
4. Защита информационных систем осуществляется согласно классу, присвоенному
в соответствии с классификатором.
Сноска. Статья 53 с изменениями, внесенными Законом РК от 25.06.2020
№ 347-VI
(вводится в действие по истечении десяти календарных дней после дня его первого
официального опубликования).
Статья 54. Организация защиты объектов информатизации
1. Защита объектов информатизации осуществляется:
1) в отношении электронных информационных ресурсов – их собственниками,
владельцами и пользователями;
2) в отношении объектов информационно-коммуникационной инфраструктуры и
критически важных объектов информационно-коммуникационной инфраструктуры –
их собственниками или владельцами.
2. Собственники или владельцы объектов информатизации "электронного
правительства" и критически важных объектов информационно-коммуникационной
инфраструктуры обязаны принимать меры, обеспечивающие:
1) предотвращение несанкционированного доступа;
2) своевременное обнаружение фактов несанкционированного доступа, если такой
несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий нарушения порядка доступа;
4) недопущение несанкционированного воздействия на средства обработки и
передачи электронных информационных ресурсов;
5) оперативное восстановление электронных информационных ресурсов,
модифицированных либо уничтоженных вследствие несанкционированного доступа к
ним;
6) незамедлительное информирование Национального координационного центра
информационной безопасности о произошедшем инциденте информационной
безопасности, за исключением собственников и (или) владельцев электронных
информационных ресурсов, содержащих сведения, составляющие государственные
секреты;
7) информационное взаимодействие с Национальным координационным центром
информационной
безопасности
по
вопросам
мониторинга
обеспечения
информационной
безопасности
объектов
информатизации
"электронного
правительства";
8) предоставление доступа Национальному координационному центру
информационной безопасности к объектам информатизации "электронного
правительства" и оперативным центрам информационной безопасности к критически
важным объектам информационно-коммуникационной инфраструктуры для
проведения организационно-технических мероприятий, направленных на реализацию
мониторинга обеспечения информационной безопасности в соответствии с правилами
проведения мониторинга обеспечения информационной безопасности объектов
информатизации "электронного правительства" и критически важных объектов
информационно-коммуникационной инфраструктуры.
3. Положения единых требований в области информационно-коммуникационных
технологий и обеспечения информационной безопасности, относящиеся к сфере
обеспечения информационной безопасности, обязательны для применения
государственными органами, органами местного самоуправления, государственными
юридическими лицами, субъектами квазигосударственного сектора, собственниками и
владельцами негосударственных информационных систем, интегрируемых с
информационными системами государственных органов или предназначенных для
формирования государственных электронных информационных ресурсов, а также
собственниками
и
владельцами
критически
важных
объектов
информационно-коммуникационной инфраструктуры.
3-1. В целях реализации требований обеспечения информационной безопасности
для обороны страны и безопасности государства осуществляется приобретение
программного обеспечения и продукции электронной промышленности в виде товара и
информационно-коммуникационной услуги из реестра доверенного программного
обеспечения и продукции электронной промышленности в соответствии с настоящим
Законом и законодательством Республики Казахстан о государственных закупках,
закупках отдельных субъектов квазигосударственного сектора.
При этом в случае отсутствия в реестре доверенного программного обеспечения и
продукции электронной промышленности необходимой продукции допускается ее
приобретение в соответствии с законодательством Республики Казахстан о
государственных закупках, закупках отдельных субъектов квазигосударственного
сектора.
Собственники и владельцы программного обеспечения, включенного в реестр
доверенного программного обеспечения и продукции электронной промышленности,
обеспечивают передачу исходных программных кодов оператору для учета и хранения.
3-2. Собственники или владельцы негосударственных информационных систем,
предназначенных для формирования государственных электронных информационных
ресурсов, осуществления государственных функций и оказания государственных услуг,
до интеграции с информационными системами государственных органов:
принимают меры по соответствию единым требованиям в области
информационно-коммуникационных технологий и обеспечения информационной
безопасности;
создают собственный оперативный центр информационной безопасности и
обеспечивают его функционирование или приобретают услуги оперативного центра
информационной безопасности у третьих лиц в соответствии с
Гражданским кодексом
Республики Казахстан, а также обеспечивают взаимодействие его с Национальным
координационным центром информационной безопасности.
3-3. Собственники или владельцы критически важных объектов
информационно-коммуникационной
инфраструктуры,
за
исключением
государственных органов, органов местного самоуправления, государственных
юридических лиц, субъектов квазигосударственного сектора, в течение года со дня
включения
в
перечень
критически
важных
объектов
информационно-коммуникационной инфраструктуры:
принимают меры по соответствию единым требованиям в области
информационно-коммуникационных технологий и обеспечения информационной
безопасности, относящиеся к сфере обеспечения информационной безопасности;
создают собственный оперативный центр информационной безопасности и
обеспечивают его функционирование или приобретают услуги оперативного центра
информационной безопасности у третьих лиц в соответствии с
Гражданским кодексом
Республики Казахстан, а также обеспечивают взаимодействие его с Национальным
координационным центром информационной безопасности.
4.
Управление
интернет-ресурсами
и
объектами
информационно-коммуникационной инфраструктуры при чрезвычайных ситуациях
социального, природного и техногенного характера, введении чрезвычайного или
военного положения осуществляется уполномоченным органом в соответствии с
законодательством Республики Казахстан.
Сноска. Статья 54 с изменениями, внесенными законами РК от 28.12.2017
№ 128-VI
(вводится в действие по истечении десяти календарных дней после дня его первого
официального опубликования); от 18.03.2019
№ 237-VI
(вводится в действие по
истечении десяти календарных дней после дня его первого официального
опубликования); от 25.06.2020
№ 347-VI
(вводится в действие по истечении десяти
календарных дней после дня его первого официального опубликования); от 08.06.2021
№ 48-VII
(вводится в действие с 01.01.2022); от 14.07.2022
№ 141-VII
(вводится в
действие по истечении десяти календарных дней после дня его первого официального
опубликования).
Статья 55. Меры защиты электронных информационных ресурсов, информационных
систем и информационно-коммуникационной инфраструктуры
1. К правовым мерам защиты электронных информационных ресурсов,
информационных систем и информационно-коммуникационной инфраструктуры
относятся:
1) требования законодательства Республики Казахстан и действующие на
территории Республики Казахстан стандарты в сфере информатизации;
2) ответственность за нарушение законодательства Республики Казахстан об
информатизации;
3) соглашения, заключаемые собственником или владельцем электронных
информационных
ресурсов,
информационных
систем,
информационно-коммуникационной инфраструктуры, в которых устанавливаются
условия работы, доступа или использования данных объектов, а также ответственность
за их нарушение.
2. К организационным мерам защиты электронных информационных ресурсов,
информационных систем и информационно-коммуникационной инфраструктуры
относятся установление и обеспечение режима допуска на территории (в здания,
помещения), где может быть осуществлен доступ к информации, электронным
информационным ресурсам, информационным системам (электронным носителям
информации), а также ограничение доступа к электронным информационным ресурсам,
информационным системам и информационно-коммуникационной инфраструктуре.
3. К техническим (программно-техническим) мерам защиты электронных
информационных
ресурсов,
информационных
систем
и
информационно-коммуникационной инфраструктуры относятся:
1) использование средств защиты информации, а в отношении сведений,
составляющих государственные секреты, – исключительно с применением средств
защиты сведений, составляющих государственные секреты, разработанных,
изготовленных и (или) принятых в эксплуатацию в соответствии с законодательством
Республики Казахстан;
2) использование систем контроля доступа и регистрации фактов доступа к
электронным информационным ресурсам, информационным системам и
информационно-коммуникационной инфраструктуре;
3) разработка задания по безопасности на основе утвержденных профилей защиты
для определения мер защиты собственниками или владельцами объектов
информатизации.
4. Использование технических (программно-технических) мер защиты электронных
информационных
ресурсов,
информационных
систем
и
информационно-коммуникационной инфраструктуры не должно причинять вред или
создавать угрозу причинения вреда жизни, здоровью и имуществу физических лиц, а
также имуществу юридических лиц и государственному имуществу.
Сноска. Статья 55 с изменениями, внесенными Законом РК от 28.12.2017
№ 128-VI
(вводится в действие по истечении десяти календарных дней после дня его первого
официального опубликования).
Статья 56. Защита электронных информационных ресурсов, содержащих персональные
данные
Собственники и владельцы информационных систем, получившие электронные
информационные ресурсы, содержащие персональные данные, собственник и (или)
оператор базы, содержащей персональные данные, а также третьи лица обязаны
принимать меры по их защите в соответствии с настоящим Законом,
законодательством Республики Казахстан о персональных данных и их защите и
действующими на территории Республики Казахстан стандартами.
Данная обязанность возникает с момента получения электронных информационных
ресурсов, содержащих персональные данные, или сбора персональных данных и до их
уничтожения либо обезличивания.
Сноска. Статья 56 с изменениями, внесенными Законом РК от 25.06.2020
№ 347-VI
(вводится в действие по истечении десяти календарных дней после дня его первого
официального опубликования).
Статья 56-1. Защита доменных имен в пространстве казахстанского сегмента
Интернета
1. Интернет-ресурс с зарегистрированными доменными именами. KZ и (или) .ҚАЗ
размещается в пространстве казахстанского сегмента Интернета.
2. Использование доменных имен .KZ и (или) .ҚАЗ в пространстве казахстанского
сегмента Интернета при передаче данных интернет-ресурсами осуществляется с
применением сертификатов безопасности.
Сноска. Глава 9 дополнена статьей 56-1 в соответствии с Законом РК от 25.06.2020
№ 347-VI
(вводится в действие по истечении десяти календарных дней после дня его
первого официального опубликования).
Достарыңызбен бөлісу: |