Изменились требования в области информационно-коммуникационных технологий

Постановлением правительства от 25 февраля 2026 года внесены изменения и дополнения в единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности, сообщает Zakon.kz.

Так, уточняется, что положения единых требований (ЕТ), относящиеся к сфере обеспечения информационной безопасности, обязательны для применения государственными органами, местными исполнительными органами, государственными юридическими лицами, субъектами квазигосударственного сектора, собственниками и владельцами негосударственных информационных систем, интегрируемых с информационными системами государственных органов или предназначенных для формирования государственных электронных информационных ресурсов, собственниками и владельцами критически важных объектов информационно-коммуникационной инфраструктуры, а также оперативными центрами информационной безопасности.

Задачи документа дополнены новой:

• определение единых принципов обеспечения и управления информационной безопасностью автоматизированных систем управления технологическими процессами.

Также дополнено, что для целей настоящих ЕТ в них используются следующие определения:

• пользователь – субъект информатизации, использующий объекты информатизации для выполнения конкретной функции или задачи;
• автоматизированная система управления технологическими процессами (АСУ ТП) – объект цифровой инфраструктуры, предназначенный для автоматизации, управления, контроля и мониторинга производственных процессов в режиме реального времени;
• искусственный интеллект (ИИ) – функциональная способность к имитации когнитивных функций, характерных для человека, обеспечивающая результаты, сопоставимые с результатами интеллектуальной деятельности человека или превосходящие их;
• система искусственного интеллекта – объект информатизации, функционирующий на основе одной или нескольких моделей искусственного интеллекта;
• национальная платформа искусственного интеллекта -технологическая платформа, предназначенная для сбора, обработки, хранения и распространения библиотек данных и предоставления услуг в сфере искусственного интеллекта.

Также говорится, что платформенность основывается на выполнении следующих требований:

• осуществление создания и развитие решений на базе технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства", национальной платформы искусственного интеллекта и (или) использование функциональных возможностей технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта;
• исключение компонентов, дублирующих функциональные возможности технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта;
• обеспечение автоматизации процессов выполнения государственных функций и вытекающих из них услуг с использованием технологических платформ информационно-коммуникационной инфраструктуры "электронного правительства" и национальной платформы искусственного интеллекта.

Универсальность решений основывается на выполнении следующих требований:

• использование готового программного обеспечения и сервисных программных продуктов, платформенных программных продуктов для автоматизации процессов выполнения типовых прикладных задач, обеспечивающих государственные функции;
• адаптация особенностей выполнения государственных функций государственного органа к процессам, реализованным в готовом программном обеспечении и сервисных программных продуктах, платформенных программных продуктах, без необходимости настройки и доработки программного обеспечения в процессе внедрения;
• отсутствие дополнительных затрат государственных органов на внедрение, обучение пользователей, приобретение программного обеспечения и компонентов информационно-коммуникационной инфраструктуры при использовании сервисных программных продуктов, платформенных программных продуктов.

Указывается, что при организации, обеспечении и управлении ИБ в ГО, МИО или организации необходимо руководствоваться положениями национального стандарта РК "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".

Кроме того, уточняется, с целью управления рисками в сфере ИКТ в ГО или МИО осуществляются:

• выбор методики оценки рисков в соответствии с рекомендациями национального стандарта РК "Менеджмент риска. Методы оценки риска" и разработка процедуры анализа рисков;
• формирование каталога угроз (рисков) ИБ, включающего оценку (переоценку) идентифицированных рисков в соответствии с требованиями национального стандарта РК "Информационные технологии. Методы обеспечения безопасности. Менеджмент риска информационной безопасности".
• с целью управления рисками в сфере ИИ в ГО или МИО осуществляется управление рисками систем искусственного интеллекта в соответствии с национальным стандартом РК "Руководство по управлению рисками (дополнено).

Кадровая служба организует и ведет учет прохождения служащими ГО, МИО или работниками организаций обучения в сфере информатизации и области обеспечения ИБ с выдачей электронного сертификата, обеспечением хранения в материалах личного дела.

При инициировании создания или развития объектов информатизации первого и второго классов в соответствии с классификатором объектов информатизации, утвержденным уполномоченным органом в сфере информатизации, а также конфиденциальных ИС разрабатываются профили защиты для составных компонентов и задание по безопасности в соответствии с требованиями национального стандарта РК "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".

C целью защиты служебной информации ограниченного распространения, конфиденциальных ИС, конфиденциальных ЭИР и ЭИР, содержащих персональные данные ограниченного доступа, применяются СКЗИ (программные или аппаратные) с параметрами, соответствующими требованиям к СКЗИ в соответствии с национальным стандартом РК"Средства криптографической защиты информации. Общие технические требования" для объектов информатизации:

• первого класса в соответствии с классификатором – третьего уровня безопасности;
• второго класса в соответствии с классификатором – второго уровня безопасности;
• третьего класса в соответствии с классификатором – первого уровня безопасности.

Владельцы критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц.

Собственники или владельцы критически важных объектов информационно-коммуникационной инфраструктуры, за исключением государственных органов, органов местного самоуправления, государственных юридических лиц, субъектов квазигосударственного сектора, в течение шести месяцев со дня включения в перечень критически важных объектов информационно-коммуникационной инфраструктуры создают собственный оперативный центр информационной безопасности и обеспечивают его функционирование или приобретают услуги оперативного центра информационной безопасности у третьих лиц, а также обеспечивают взаимодействие его с Национальным координационным центром информационной безопасности.

В документ внесены и другие изменения.

Постановление вводится в действие с 10 марта 2026 года.