ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ КЫРГЫЗСКОЙ РЕСПУБЛИКИ

от 14 апреля 2026 года №250

Об утверждении Требований к обеспечению кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики

В соответствии с пунктом 6 части 1 статьи 6, статьей 12 Закона Кыргызской Республики "О кибербезопасности Кыргызской Республики", статьями 13, 17 конституционного Закона Кыргызской Республики "О Кабинете Министров Кыргызской Республики" Кабинет Министров Кыргызской Республики постановляет:

1. Утвердить Требования к обеспечению кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики согласно приложению.

2. Внести в постановление Кабинета Министров Кыргызской Республики "Об утверждении Требований к созданию систем кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики и обеспечению их функционирования" от 9 декабря 2024 года №746 следующее изменение:

- пункт 2 изложить в следующей редакции:

"2. Субъектам критической информационной инфраструктуры принять меры, вытекающие из Требований, утвержденных пунктом 1 настоящего постановления, за счет:

- предусмотренных средств в соответствующих бюджетах бюджетной системы и других источников, не запрещенных законодательством Кыргызской Республики, для субъектов, являющихся бюджетными учреждениями;

- собственных средств и других источников, не запрещенных законодательством Кыргызской Республики (за исключением бюджетных средств), для субъектов, являющихся коммерческими и некоммерческими организациями, а также хозяйственными товариществами и обществами.".

3. Субъектам критической информационной инфраструктуры принять меры, вытекающие из Требований, утвержденных пунктом 1 настоящего постановления, за счет:

- предусмотренных средств в соответствующих бюджетах бюджетной системы и других источников, не запрещенных законодательством Кыргызской Республики, для субъектов, являющихся бюджетными учреждениями;

- собственных средств и других источников, не запрещенных законодательством Кыргызской Республики (за исключением бюджетных средств), для субъектов, являющихся коммерческими и некоммерческими организациями, а также хозяйственными товариществами и обществами.

4. Контроль за исполнением настоящего постановления возложить на управление контроля исполнения решений Президента и Кабинета Министров Администрации Президента Кыргызской Республики.

5. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования.

Приложение

к Постановлению Кабинета Министров Кыргызской Республики от 14 апреля 2026 года №250

Требования к обеспечению кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики

Глава 1. Общие положения

1. Настоящие Требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики (далее - Требования) разработаны в соответствии со статьей 12 Закона Кыргызской Республики "О кибербезопасности Кыргызской Республики" и направлены на обеспечение кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики (далее - КИИ), а также предупреждение, выявление, мониторинг, реагирование и минимизацию последствий кибератак и киберинцидентов.

2. Действие настоящих Требований распространяется на информационные, информационно-телекоммуникационные системы, телекоммуникационные сети, базы данных, центры обработки данных и автоматизированные системы управления, которые отнесены к объектам КИИ в соответствии с Положением о порядке категорирования объектов критической информационной инфраструктуры Кыргызской Республики и Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Кыргызской Республики, утвержденными постановлением Кабинета Министров Кыргызской Республики "Об утверждении Положения о порядке категорирования объектов критической информационной инфраструктуры Кыргызской Республики и Перечня показателей критериев значимости объектов критической информационной инфраструктуры Кыргызской Республики" от 29 ноября 2024 года №716.

3. Для обеспечения кибербезопасности объектов КИИ, в которых происходит обработка информации, подлежащей защите в соответствии с законодательством Кыргызской Республики, настоящие Требования применяются с учетом законодательства и стандартов в сфере обеспечения кибербезопасности, а также положений отраслевых нормативных правовых актов.

4. Кибербезопасность объектов КИИ обеспечивается субъектами КИИ согласно Требованиям к созданию систем кибербезопасности объектов критической информационной инфраструктуры и обеспечению их функционирования, утвержденным постановлением Кабинета Министров Кыргызской Республики "Об утверждении Требований к созданию систем кибербезопасности объектов критической информационной инфраструктуры Кыргызской Республики и обеспечению их функционирования" от 9 декабря 2024 года №746, а также в соответствии с настоящими Требованиями.

5. Подсистема кибербезопасности объекта КИИ - это элемент системы кибербезопасности субъекта КИИ, предназначенный для устойчивой защиты информационных процессов объектов КИИ. Подсистема кибербезопасности объекта КИИ объединяет технические средства и организационные меры, направленные на предотвращение угроз, защиту информации и поддержание устойчивости его функционирования. Подсистема кибербезопасности объекта КИИ интегрируется в единый контур кибербезопасности субъекта КИИ и участвует в процессах обеспечения кибербезопасности, мониторинга, реагирования и управления киберинцидентами, организуемых на уровне субъекта КИИ, что позволяет оперативно выявлять и устранять киберугрозы.

Глава 2. Требования к обеспечению кибербезопасности при создании, эксплуатации и выводе из эксплуатации объектов КИИ

6. Обеспечение кибербезопасности объектов КИИ является составной частью работ по созданию (модернизации), вводу в эксплуатацию, эксплуатации и выводу из эксплуатации объектов КИИ. Меры по обеспечению кибербезопасности объектов КИИ принимаются на всех стадиях (этапах) их жизненного цикла.

7. На стадиях (этапах) жизненного цикла при создании (модернизации), вводе в эксплуатацию, эксплуатации и выводе из эксплуатации объекта КИИ проводятся следующие мероприятия:

1) установление требований к обеспечению кибербезопасности объекта КИИ;

2) разработка организационных и технических мер по обеспечению кибербезопасности объекта КИИ;

3) внедрение организационных и технических мер по обеспечению кибербезопасности объекта КИИ и ввод его в эксплуатацию;

4) обеспечение кибербезопасности объекта КИИ при его эксплуатации;

5) обеспечение кибербезопасности объекта КИИ при выводе из эксплуатации.

8. Результаты реализации мероприятий, проводимых для обеспечения кибербезопасности объекта КИИ на стадиях (этапах) его жизненного цикла, подлежат документированию. Состав и формы документов определяются субъектом КИИ.

Для объектов КИИ, находящихся в эксплуатации, настоящие Требования подлежат реализации в рамках модернизации объекта КИИ и (или) создания (модернизации) подсистем кибербезопасности эксплуатируемых объектов КИИ. Создание (модернизация) подсистем кибербезопасности объектов КИИ осуществляется в соответствии с настоящими Требованиями с учетом имеющихся у субъектов КИИ программ (планов).

Глава 3. Установление требований к обеспечению кибербезопасности объекта КИИ

9. Настоящие Требования устанавливаются с учетом показателей критериев значимости объекта КИИ в порядке, определяемом Кабинетом Министров Кыргызской Республики.

Настоящие Требования включаются в технические задания на создание (модернизацию) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ, которые должны содержать:

1) цель и задачи обеспечения кибербезопасности объекта КИИ или подсистемы кибербезопасности объекта КИИ;

2) категорию значимости объекта КИИ;

3) перечень нормативных правовых актов и стандартов кибербезопасности, которым должен соответствовать объект КИИ;

4) требования к организационным и техническим мерам, принимаемым для обеспечения кибербезопасности объекта КИИ.

10. Целью обеспечения кибербезопасности объекта КИИ является обеспечение его устойчивого функционирования в условиях воздействия кибератак и киберинцидентов.

11. Задачами обеспечения кибербезопасности объекта КИИ являются:

1) предотвращение неправомерного доступа к информации, обрабатываемой (передаваемой, хранимой) объектом КИИ, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

2) недопущение воздействия на программные и программно-аппаратные средства, в результате которого может быть нарушено и (или) прекращено функционирование объекта КИИ;

3) обеспечение функционирования объекта КИИ в условиях воздействия киберугроз;

4) обеспечение возможности восстановления функционирования объекта КИИ.

12. В объекте КИИ защите от киберугроз подлежат:

- обрабатываемая (передаваемая, хранимая) информация, информация о параметрах управляемого объекта или процесса, а также иная критически важная информация;

- программные и программно-аппаратные средства, телекоммуникационное оборудование;

- средства защиты информации;

- архитектура и конфигурация объекта КИИ.

Глава 4. Разработка организационных и технических мер по обеспечению кибербезопасности объекта КИИ

13. Разработка организационных и технических мер по обеспечению кибербезопасности объекта КИИ осуществляется субъектом КИИ при создании (модернизации) объекта КИИ и (или) подсистемы кибербезопасности объекта КИИ в соответствии с техническими заданиями.

Технические задания на создание (модернизацию) объекта КИИ и подсистемы кибербезопасности объекта КИИ должны включать:

1) разработку модели киберугроз;