В Казахстане с 10 марта 2026 года начнут действовать новые обязательные требования по обеспечению информационной безопасности (ИБ) для государственных, квазигосударственных организаций и критической ИКТ-инфраструктуры. Это важный шаг к усилению кибербезопасности и стандартизации управления цифровыми системами.
Обновлённые единые требования распространяются на государственные органы, местные исполнительные органы (МИО), государственные юридические лица, субъекты квазигосударственного сектора, собственников и владельцев негосударственных информационных систем (ИС), если такие системы интегрируются с ИС государственных органов или используются для формирования государственных электронных ресурсов. Эти же правила обязательны для владельцев критически важных объектов информационно-коммуникационной инфраструктуры (ИКИ), а также оперативных центров ИБ.
Согласно данным Министерства цифрового развития, инноваций и аэрокосмической промышленности РК, в 2024 году в стране зарегистрировано более 15 000 кибератак на государственные информационные системы, что на 23 % больше, чем годом ранее. Новые требования призваны снизить этот показатель минимум на треть к концу 2026 года.
Основные нововведения
В задачи документа теперь входит определение единых принципов управления ИБ в автоматизированных системах управления технологическими процессами (АСУ ТП).
Введены новые термины:
- Пользователь — субъект информатизации, использующий объекты информатизации для выполнения конкретных функций.
- АСУ ТП — объекты цифровой инфраструктуры для автоматизации, контроля и мониторинга производственных процессов в реальном времени.
- Искусственный интеллект (ИИ) — функциональная способность к имитации когнитивных функций человека и созданию сопоставимых или превосходящих результатов.
- Система искусственного интеллекта — объект информатизации, функционирующий на базе одной или нескольких моделей ИИ.
- Национальная платформа искусственного интеллекта — технологическая платформа для сбора, обработки, хранения, распространения библиотек данных и предоставления ИИ-услуг.
Документ закрепляет использование платформ «электронного правительства» и национальной платформы ИИ при создании новых решений, исключая дублирование уже имеющихся функций. Автоматизация государственных функций будет проходить через эти платформы. Процессы госорганов должны адаптироваться к готовому программному обеспечению и платформам без существенной доработки, что снижает расходы на внедрение и обучение.
По оценкам экспертов, переход на единые платформы позволит сократить бюджетные расходы на ИТ-инфраструктуру госорганов на 18-22 % ежегодно, что составит около 45-55 млрд ₸.
Организация и управление ИБ должны строиться с учётом норм национального стандарта РК по информационной и кибербезопасности, а также по защите конфиденциальности.
Госорганы и МИО обязаны проводить оценку и анализ рисков по национальным стандартам, вести каталоги угроз ИБ с обязательной переоценкой рисков, а также внедрять профиль управления рисками в сфере ИИ. Все процедуры должны регистрироваться и подтверждаться электронными сертификатами обучения персонала.
При разработке или внедрении объектов информатизации первого и второго классов, а также конфиденциальных ИС, необходимо разрабатывать профили защиты компонентов по национальным стандартам РК.
Для объектов информатизации установлены следующие уровни криптографической защиты:
- 1 класс — третий уровень безопасности;
- 2 класс — второй уровень безопасности;
- 3 класс — первый уровень безопасности.
Применяются программные и аппаратные средства криптографической защиты с соответствующим уровнем.
Собственники негосударственных ИС, предназначенных для государственных функций и услуг, должны создавать и поддерживать собственные оперативные центры ИБ или использовать внешние услуги по ИБ. Это же требование относится к владельцам критически важных объектов ИКИ, за исключением ряда государственных структур — у них есть шестимесячный срок для создания или выбора такого центра после включения в перечень критически важных объектов.
В Казахстане насчитывается около 350 объектов критической ИКТ-инфраструктуры, включая энергетические, финансовые и транспортные системы. Создание оперативных центров ИБ для каждого из них потребует инвестиций в размере от 50 до 200 млн ₸ на объект, в зависимости от масштаба и сложности инфраструктуры.
Документ вводит ряд других обновлений, направленных на совершенствование цифровой безопасности и административных процедур в области ИТ как для государственных, так и для негосударственных организаций.
Ранее подобные масштабные обновления нормативных актов фиксировались в других сферах регулирования и получили широкое обсуждение в экспертном сообществе.
Постановление вступает в силу с 10 марта 2026 года.