Так, уточняется, что положения единых требований (ЕТ), относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры, а также оперативными центрами информационной безопасности.
Задачи документа дополнены новой:
- определение единых принципов обеспечения и управления информационной безопасностью автоматизированных систем управления технологическими процессами.
Также дополнено, что для целей настоящих ЕТ в них используются следующие определения:
- пользователь – субъект информатизации, использующий объекты информатизации для выполнения конкретной функции или задачи;
- автоматизированная система управления технологическими процессами (АСУ ТП) – объект цифровой инфраструктуры, предназначенный для автоматизации, управления, контроля и мониторинга производственных процессов в режиме реального времени;
- искусственный интеллект (ИИ) – функциональная способность к имитации когнитивных функций, характерных для человека, обеспечивающая результаты, сопоставимые с результатами интеллектуальной деятельности человека или превосходящие их;
- система искусственного интеллекта – объект информатизации, функционирующий на основе одной или нескольких моделей искусственного интеллекта;
- национальная платформа искусственного интеллекта – технологическая платформа, предназначенная для сбора, обработки, хранения и распространения библиотек данных и предоставления услуг в сфере искусственного интеллекта.
Также говорится, что платформенность основывается на выполнении следующих требований:
- осуществление создания и развитие решений на базе технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства", национальной платформы искусственного интеллекта и (или) использование функциональных возможностей технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта;
- исключение компонентов, дублирующих функциональные возможности технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта;
- обеспечение автоматизации процессов выполнения государственных функций и вытекающих из них услуг с использованием технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта.
Универсальность решений основывается на выполнении следующих требований:
- использование готового программного обеспечения и сервисных программных продуктов, платформенных программных продуктов для автоматизации процессов выполнения типовых прикладных задач, обеспечивающих государственные функции;
- адаптация особенностей выполнения государственных функций государственного органа к процессам, реализованным в готовом программном обеспечении и сервисных программных продуктах, платформенных программных продуктах, без необходимости настройки и доработки программного обеспечения в процессе внедрения;
- отсутствие дополнительных затрат государственных органов на внедрение, обучение пользователей, приобретение программного обеспечения и компонентов информационно-коммуникационной инфраструктуры при использовании сервисных программных продуктов, платформенных программных продуктов.
Указывается, что при организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями национального стандарта РК "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".
Кроме того, уточняется, с целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:
- выбор методики оценки рисков в соответствии с рекомендациями национального стандарта РК "Менеджмент риска. Методы оценки риска" и разработка процедуры анализа рисков;
- формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями национального стандарта РК "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности";
- с целью управления рисками в сфере ИИ в ГО или МИО осуществляется управление рисками систем искусственного интеллекта в соответствии с национальным стандартом РК "Руководство по управлению рисками (дополнено).
Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ с выдачей электронного сертификата, обеспечением хранения в материалах личного дела.
При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации, а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями национального стандарта РК "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".
C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии с национальным стандартом РК "Средства криптографической защиты информации. Общие технические требования" для объектов информатизации:
- первого класса в соответствии с классификатором – третьего уровня безопасности;
- второго класса в соответствии с классификатором – второго уровня безопасности;
- третьего класса в соответствии с классификатором – первого уровня безопасности.
Предусмотрено, что собственники или владельцы негосударственных информационных систем, предназначенных для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг, до интеграции с информационными системами государственных органов создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.
Владельцы критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц.
Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение шести месяцев со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.
В документ внесены и другие изменения.
Постановление вводится в действие с 10 марта 2026 года.