ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА КЫРГЫЗСКОЙ РЕСПУБЛИКИ

от 21 ноября 2017 года №762

Об утверждении Требований к защите информации, содержащейся в базах данных государственных информационных систем

В соответствии со статьей 19 Закона Кыргызской Республики "Об электронном управлении", статьями 10 и 17 конституционного Закона Кыргызской Республики "О Правительстве Кыргызской Республики" Правительство Кыргызской Республики постановляет:

1. Утвердить Требования к защите информации, содержащейся в базах данных государственных информационных систем (далее - Требования).

2. Государственному комитету информационных технологий и связи Кыргызской Республики совместно с Государственным комитетом национальной безопасности Кыргызской Республики до 1 апреля 2018 года внести в Правительство Кыргызской Республики предложения по организации исполнения Требований, утвержденных настоящим постановлением.

3. Министерствам, государственным комитетам, административным ведомствам, иным государственным органам (по согласованию), органам местного самоуправления (по согласованию), государственным и муниципальным предприятиям, организациям и учреждениям, финансируемым из республиканского и/или местных бюджетов, являющимся владельцами и/или операторами государственных/муниципальных информационных систем, в срок до 1 июля 2018 года принять меры, вытекающие из Требований, утвержденных настоящим постановлением.

4. Установить, что контроль за соблюдением Требований осуществляет Государственный комитет информационных технологий и связи Кыргызской Республики.

5. Рекомендовать органам местного самоуправления, создающим и эксплуатирующим информационные системы, подлежащие включению в Реестр государственной инфраструктуры электронного управления, с 1 июля 2018 года ежегодно представлять соответствующую информацию о выполнении Требований, утвержденных настоящим постановлением, в Государственный комитет информационных технологий и связи Кыргызской Республики.

6. Контроль за исполнением настоящего постановления возложить на отдел строительства, транспорта и коммуникаций Аппарата Правительства Кыргызской Республики.

7. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования.

Приложение

Утверждены Постановлением Правительства Кыргызской Республики от 21 ноября 2017 года №762

Требования к защите информации, содержащейся в базах данных государственных информационных систем

Глава 1. Общие положения

1. Требования к защите информации, содержащейся в базах данных государственных информационных систем (далее - Требования), разработаны в соответствии с Законом Кыргызской Республики "Об электронном управлении" и определяют меры по защите информации, а также требования к использованию информационных технологий в государственных информационных системах и обеспечения безопасности информации, содержащейся в их базах данных.

2. Положения настоящих Требований обязательны для применения государственными органами, органами местного самоуправления, государственными и муниципальными предприятиями, организациями и учреждениями, финансируемыми из республиканского и/или местных бюджетов, являющимися владельцами и/или операторами государственных/муниципальных информационных систем.

3. Положения настоящих Требований не распространяются на государственные информационные системы, содержащие в своих базах данных информацию, отнесенную к государственным секретам в соответствии с законодательством Кыргызской Республики о государственных секретах, на сети телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи, информационные системы, не входящие в состав государственной инфраструктуры электронного управления.

4. В настоящих Требованиях используются следующие определения:

активы, связанные со средствами обработки информации (далее -информационный актив) - материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеющий ценность для организации;

внутренний аудит информационной безопасности - объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности элементов государственной инфраструктуры электронного управления, осуществляемый самой организацией (владельцем/оператором информационной системы) в своих интересах;

журналирование событий - процесс записи информации о происходящих программных или аппаратных событиях в электронный журнал регистрации событий;

засекреченная связь - защищенная связь с использованием засекречивающей аппаратуры;

инфраструктура источника времени - иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;

кибербезопасность - сохранение свойств целостности (которая может включать аутентичность и отказоустойчивость), доступности и конфиденциальности информации в объектах информационной инфраструктуры, обеспечиваемое за счет использования совокупности средств, стратегий, принципов обеспечения безопасности, гарантий безопасности, подходов к управлению рисками и страхования, профессиональной подготовки, практического опыта и технологий;

критически важное оборудование - оборудование, сбои в работе которого или отказ которого имеют существенное значение для выполнения государственным органом, его территориальным подразделением, осуществляющим полномочия владельца и/или оператора информационной системы, органов местного самоуправления, организацией своих основных функций и приведут к невозможности выполнения (прекращению) возложенных на них функций. Перечень такого оборудования определяется государственным органом, его территориальным подразделением, осуществляющим полномочия владельца и/или оператора информационной системы, органами местного самоуправления, организацией самостоятельно;

критическая информационная инфраструктура - совокупность объектов критической информационной инфраструктуры Кыргызской Республики, функционирующих в секторе государственного управления и государственных электронных услуг, в области здравоохранения, транспорта, телекоммуникаций и связи, кредитно-финансовой сфере, оборонном секторе, топливной промышленности, отрасли генерации и распределения электроэнергии, пищевой промышленности и горнодобывающей промышленности;

кодированная связь - защищенная связь с использованием документов и техники кодирования;

локальная сеть внутреннего контура - локальная сеть государственного органа, отнесенная к внутреннему контуру телекоммуникационной сети государственного органа, его территориального подразделения, осуществляющего полномочия владельца и/или оператора информационной системы, имеющая соединение с единой транспортной средой государственных органов;

локальная сеть внешнего контура - локальная сеть государственного органа, отнесенная к внешнему контуру телекоммуникационной сети государственного органа, его территориального подразделения, осуществляющего полномочия владельца и/или оператора информационной системы, имеющая соединение с Интернетом, доступ к которому для государственного органа предоставляется операторами связи только через единый шлюз доступа к Интернету;

маркировка актива, связанного со средствами обработки информации, - нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;

масштабируемость - способность элемента государственной инфраструктуры электронного управления обеспечивать увеличение своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;

многофакторная аутентификация - способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей, средств биометрической идентификации);

объекты информационной инфраструктуры - информационные центры, подсистемы, банки и/или базы данных и знаний, систем связи, центров управления, аппаратно-программных средств и технологии сбора, хранения, обработки и передачи информации;

прикладное программное обеспечение - комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;

рабочая станция - стационарный или портативный компьютер в составе локальной сети, предназначенный для решения прикладных задач;

серверное помещение - помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;

системное программное обеспечение - совокупность программного обеспечения для обеспечения работы вычислительного оборудования;

средство криптографической защиты информации - программное обеспечение или аппаратно-программный комплекс, реализующий алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;

система электронного межведомственного взаимодействия "Тундук" - программно-аппаратное решение и организационная среда, обеспечивающая безопасный обмен данными в электронном формате между информационными системами и базами данных государственных органов и органов местного самоуправления при оказании электронных государственных и муниципальных услуг, выполнении государственных и муниципальных функций;

техническая документация по кибербезопасности - документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения целостности (включая аутентичность и отказоустойчивость), доступности и конфиденциальности информации, содержащейся в базах данных государственных информационных систем;