ЗАКОН
РЕСПУБЛИКИ КАЗАХСТАН
О кибербезопасности
(с изменениями и дополнениями по состоянию на 12.07.2026 г.)
Заголовок изложен в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
См. о внесении изменений:
Закон РК от 24.06.26 г. № 326-VIII (вводится в действие с 25 августа 2026 г.)
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Основные понятия, используемые в настоящем Законе
Статья 2. Законодательство Республики Казахстан о кибербезопасности
Статья 3. Сфера действия настоящего Закона
Статья 4. Цель и принципы государственного регулирования общественных отношений в сфере кибербезопасности
Глава 2. Государственное регулирование в сфере обеспечения кибербезопасности
Статья 5. Задачи государственного регулирования в сфере обеспечения кибербезопасности
Статья 6. Компетенция Правительства Республики Казахстан в сфере обеспечения кибербезопасности
Статья 7. Исключена
Статья 7-1. Компетенция уполномоченного органа
Статья 7-2. Компетенция центральных исполнительных органов и государственных органов, непосредственно подчиненных и подотчетных Президенту Республики Казахстан, в сфере обеспечения кибербезопасности
Статья 7-3. Компетенция местных исполнительных органов в сфере обеспечения кибербезопасности
Статья 7-4. Государственный оперативный центр кибербезопасности
Статья 7-5. Центр обеспечения кибербезопасности
Статья 7-6. Исключена
Статья 7-7. Национальная служба реагирования на компьютерные инциденты кибербезопасности
Статья 7-8. Служба реагирования на инциденты кибербезопасности
Статья 8. Исключена
Статья 9. Национальный координационный центр кибербезопасности
Статья 9-1. Исключена
Статья 10. Отраслевой центр кибербезопасности
Статьи 11 - 13. Исключены
Статья 13-1. Исключена
Статья 13-2. Исключена
Статья 13-3, 13-4. Исключены
Статья 14. Государственная техническая служба
Статья 14-1. Национальный институт развития в сфере обеспечения кибербезопасности
Статья 15. Исключена
Глава 3. Права и обязанности собственников и владельцев цифровых объектов в сфере обеспечения кибербезопасности, обязанности собственника и (или) владельца критически важных цифровых объектов
Статья 16. Права и обязанности собственников цифровых объектов
Статья 17. Права и обязанности владельца цифровых объектов
Статья 18. Обязанности собственника и (или) владельца критически важных цифровых объектов
Статья 18-1. Исключена
Статья 18-2. Исключена
Статьи 19, 20. Исключены
Статья 20-1. Использование простой электронной подписи
Глава 4. Субъекты и объекты обеспечения кибербезопасности
Статьи 21, 22. Исключены
Статья 22. Архитектура «электронного правительства»
Статьи 23, 24. Исключены
Статьи 25 - 28. Исключены
Статья 28-1. Исследователь кибербезопасности
Статья 28-2. Лицензирование в сфере обеспечения кибербезопасности
Статья 29. Единая транспортная среда государственных органов
Статья 30. Единый шлюз доступа к Интернету и единый шлюз электронной почты «цифрового правительства»
Статья 30-1. Национальная система видеомониторинга
Статья 30-2. Журналирование цифровых событий
Статья 31. Исключена
Статьи 32, 33. Исключены
Статья 33-1. Исключена
Статьи 34 - 36. Исключены
Статья 37. Исключена
Статья 38. Требования кибербезопасности к цифровому объекту «цифрового правительства»
Статьи 39 - 41-1. Исключенны
Статья 42. Обязательные требования к средствам обработки, хранения и резервного копирования цифровых ресурсов в цифровой инфраструктуре «цифрового правительства»
Статьи 43, 44. Исключены
Глава 8. Испытания на соответствие требованиям кибербезопасности, аудит кибербезопасности
Статья 48. Исключена
Статья 49. Испытания на соответствие требованиям кибербезопасности
Статья 50. Аудит кибербезопасности
Статья 51. Исключена
Статья 52. Подтверждение соответствия в цифровой среде
Глава 9. Защита цифровых объектов
Статья 53. Цели защиты цифровых объектов
Статья 54. Организация защиты цифровых объектов
Статья 54-1. Единые требования в сферах цифровизации и обеспечения кибербезопасности
Статья 55. Меры защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры
Статья 56. Защита цифровых ресурсов, содержащих персональные данные
Статья 56-1. Защита доменных имен в пространстве казахстанского сегмента Интернета
Статья 57. Исключена
Статья 58. Исключена
Статья 59. Согласование технической документации и документации по проектам государственно-частного партнерства в сферах цифровой среды и обеспечения кибербезопасности
Статья 60. Исключена
Глава 10-1. Государственный контроль в сфере цифровизации, а также за соблюдением требований к электронному документу и электронной цифровой подписи
Статья 60-1. Государственный контроль в сфере цифровизации
Статья 60-2. Порядок проведения профилактического контроля без посещения субъекта (объекта) контроля в сфере цифровизации
Статья 60-3. Порядок проведения государственного контроля в сфере цифровизации в отношении государственных органов
Статья 60-4. Государственный контроль за соблюдением требований к электронному документу и электронной цифровой подписи
Статья 60-5. Порядок проведения государственного контроля в отношении государственных органов за соблюдением требований к электронному документу и электронной цифровой подписи
Глава 11. Развитие отрасли и международное сотрудничество в сфере кибербезопасности
Статья 61. Государственная поддержка развития отрасли кибербезопасности
Статья 62. Кадровое и научное обеспечение сферы цифровых технологий
Статья 63. Международное сотрудничество в сфере кибербезопасности
Глава 13. ЗАКЛЮЧИТЕЛЬНЫЕ И ПЕРЕХОДНЫЕ ПОЛОЖЕНИЯ
Статьи 64 - 64-2. Исключены
Статья 65. Ответственность за нарушение законодательства Республики Казахстан о кибербезопасности
Статья 66. Исключены
Статья 67. Порядок введения в действие настоящего Закона
Преамбула. Исключена в соответствии с Законом РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
РАЗДЕЛ 1. Заголовок раздела 1 исключен в соответствии с Законом РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1 изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 1. Основные понятия, используемые в настоящем Законе
В настоящем Законе используются следующие основные понятия:
1) средство защиты информации - программное обеспечение, технические и иные средства, предназначенные и используемые для обеспечения защиты информации;
2) пользователь с привилегированными правами - пользователь с повышенными правами доступа к цифровому объекту, обеспечивающий его штатные эксплуатационные условия функционирования;
3) критически важные цифровые объекты - цифровые объекты, нарушение или прекращение функционирования которых приводит к незаконному сбору и обработке персональных данных ограниченного доступа и иных сведений, содержащих охраняемую законом тайну, возникновению чрезвычайных ситуаций социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или для жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, «цифрового правительства»;
4) Национальный репозиторий исходных кодов - хранилище исходных кодов и скомпонованных из них исполняемых кодов цифровых объектов;
5) доменное имя - символьное (буквенно-цифровое) обозначение, сформированное в соответствии с правилами адресации Интернета, соответствующее определенному сетевому адресу и предназначенное для поименованного обращения к объекту Интернета;
6) вредоносная программа - созданная или существующая программа или программный продукт с внесенными изменениями, позволяющая осуществлять несанкционированный доступ, уничтожение, блокирование, модификацию либо копирование цифровых данных, а также нарушать функционирование цифровых объектов;
7) единый шлюз доступа к Интернету - аппаратно-программный комплекс, предназначенный для защиты цифрового объекта при доступе к Интернету и (или) сетям связи, имеющим выход в Интернет;
8) кибербезопасность - состояние защищенности цифровых объектов от нарушения их конфиденциальности, целостности или доступности;
9) аудит кибербезопасности - оценка состояния защищенности цифровых объектов на соответствие требованиям кибербезопасности;
10) исследователь кибербезопасности - специалист в сфере обеспечения кибербезопасности, участвующий в программе взаимодействия с исследователями кибербезопасности;
11) угроза кибербезопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента кибербезопасности;
12) система управления событиями кибербезопасности - программное обеспечение или аппаратно-программный комплекс, предназначенные для автоматизированного выявления событий кибербезопасности путем сбора и анализа журналов регистрации событий цифрового объекта;
13) мониторинг событий кибербезопасности - постоянное наблюдение за цифровым объектом с целью выявления и идентификации событий кибербезопасности посредством системы управления событиями кибербезопасности;
14) событие кибербезопасности - идентифицированное возникновение состояния цифрового объекта, указывающее на возможное нарушение кибербезопасности или ранее неизвестную ситуацию, которая может иметь отношение к обеспечению кибербезопасности;
15) программа взаимодействия с исследователями кибербезопасности - организационно-технические мероприятия, обеспечивающие взаимодействие исследователей кибербезопасности с цифровыми объектами для выявления в них уязвимостей;
16) система мониторинга обеспечения кибербезопасности - организационные и технические мероприятия, направленные на проведение мониторинга безопасного использования цифровых технологий;
17) центр обеспечения кибербезопасности - юридическое лицо или структурное подразделение юридического лица, являющееся резидентом Республики Казахстан без участия иностранных юридических и физических лиц, осуществляющее деятельность по защите цифровых объектов;
18) уполномоченный орган в сфере обеспечения кибербезопасности (далее - уполномоченный орган) - центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере обеспечения кибербезопасности;
19) национальный институт развития в сфере обеспечения кибербезопасности - юридическое лицо, определяемое Правительством Республики Казахстан в целях развития отрасли кибербезопасности;
20) служба реагирования на инциденты кибербезопасности - юридическое лицо или структурное подразделение юридического лица, являющееся резидентом Республики Казахстан без участия иностранных юридических и физических лиц, осуществляющее реагирование на инцидент кибербезопасности в соответствии с компетенцией, установленной настоящим Законом;
21) инцидент кибербезопасности - событие или совокупность событий, негативно влияющих на кибербезопасность цифрового объекта;
22) реагирование на инцидент кибербезопасности - действия, предпринятые для минимизации или устранения инцидента кибербезопасности, включая действия, предпринятые для защиты и восстановления штатного функционирования цифровых объектов и цифровых данных, находящихся в них, процесс, включающий в себя выявление, анализ и принятие мер для противодействия событиям или нарушениям, которые могут представлять угрозу кибербезопасности цифровых объектов;
23) отраслевой центр кибербезопасности - юридическое лицо или структурное подразделение государственного органа, осуществляющее организацию и координацию мероприятий по обеспечению кибербезопасности в отношении подведомственных организаций и (или) регулируемой сферы управления;
24) внутренний аудит кибербезопасности - объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния кибербезопасности цифровых объектов в организации, осуществляемый самой организацией в своих интересах;
25) киберкультура - совокупность норм и ценностей безопасного и ответственного поведения в цифровой среде;
26) профиль защиты - перечень минимальных требований к безопасности программных и технических средств, являющихся компонентами цифровых объектов;
27) государственная техническая служба - государственное юридическое лицо, созданное по решению Правительства Республики Казахстан;
28) уязвимость - недостаток цифрового объекта, создающий угрозу кибербезопасности;
29) технические средства - устройства, используемые для сбора, обработки, хранения, коммутации и передачи цифровых данных;
30) автоматизированная система управления технологическими процессами - объект цифровой инфраструктуры, предназначенный для автоматизации, управления, контроля и мониторинга производственных процессов в режиме реального времени;
31) классификатор цифровых объектов (далее - классификатор) - систематизированный перечень категорий, направленный на идентификацию, категоризацию, описание и учет цифровых объектов;
32) журналирование цифровых событий - процесс систематической записи, сбора и хранения цифровых записей о событиях, происходящих в цифровых объектах, с целью последующего анализа, выявления отклонений и исследования инцидентов кибербезопасности;
33) единый шлюз электронной почты «цифрового правительства» - аппаратно-программный комплекс, обеспечивающий защиту электронной почты «цифрового правительства» в соответствии с требованиями кибербезопасности.
Статья 2 изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 2. Законодательство Республики Казахстан о кибербезопасности
1. Законодательство Республики Казахстан о кибербезопасности основывается на Конституции Республики Казахстан, состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан.
2. Международные договоры, ратифицированные Республикой Казахстан, имеют приоритет перед настоящим Законом. Порядок и условия действия на территории Республики Казахстан международных договоров, участницей которых является Республика Казахстан, определяются законодательством Республики Казахстан.
Статья 3 изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 3. Сфера действия настоящего Закона
Сферой действия настоящего Закона являются общественные отношения в сфере кибербезопасности, возникающие на территории Республики Казахстан между государственными органами, физическими и юридическими лицами на всех этапах жизненного цикла цифровых объектов.
Статья 4 изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 4. Цель и принципы государственного регулирования общественных отношений в сфере кибербезопасности
1. Целью государственного регулирования общественных отношений в сфере обеспечения кибербезопасности являются достижение и поддержание защищенности цифровых объектов, обеспечивающих устойчивое развитие Республики Казахстан.
2. Государственное регулирование в сфере кибербезопасности основывается на следующих основных принципах:
1) законности;
2) обеспечения безопасности личности, общества и государства при применении цифровых технологий;
3) баланса прав, свобод и законных интересов личности, общества и государства, и их взаимная ответственность в цифровой среде;
4) соблюдения прав, свобод и законных интересов физических лиц, а также прав и законных интересов юридических лиц;
5) равенства прав, свобод и законных интересов физических и юридических лиц на участие в деятельности в сфере обеспечения кибербезопасности и использование ее результатов.
Заголовок главы 2 изложен в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Глава 2. Государственное регулирование в сфере обеспечения кибербезопасности
Статья 5 изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 5. Задачи государственного регулирования в сфере обеспечения кибербезопасности
Задачами государственного регулирования в сфере обеспечения кибербезопасности являются:
1) защита цифровых объектов и критически важных цифровых объектов на всех этапах их жизненного цикла;
2) содействие формированию и развитию отрасли кибербезопасности;
3) обеспечение условий для развития и внедрения современных решений кибербезопасности в производственные процессы;
4) повышение киберкультуры;
5) формирование и реализация единой научной, технической, государственной технологической политики в сфере кибербезопасности;
6) мониторинг обеспечения кибербезопасности цифровых объектов государственных органов, физических и юридических лиц;
7) предупреждение и оперативное реагирование на инциденты кибербезопасности, в том числе в условиях чрезвычайных ситуаций социального, природного и техногенного характера, введения чрезвычайного или военного положения;
8) развитие решений в сфере кибербезопасности и кадрового потенциала;
9) участие в международном сотрудничестве;
10) совершенствование законодательства Республики Казахстан о кибербезопасности.
Статья 6 изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 6. Компетенция Правительства Республики Казахстан в сфере обеспечения кибербезопасности
Правительство Республики Казахстан:
1) разрабатывает основные направления государственной политики в сфере обеспечения кибербезопасности и организует их осуществление;
2) определяет национальный институт развития в сфере обеспечения кибербезопасности;
3) утверждает единые требования в сферах цифровизации и обеспечения кибербезопасности;
4) утверждает национальный антикризисный план реагирования на инциденты кибербезопасности;
5) выполняет иные функции, возложенные на него Конституцией Республики Казахстан, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
Статья 7. Исключена в соответствии с Законом РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Глава 2 дополнена статьей 7-1 в соответствии с Законом РК от 28.12.17 г. № 128-VI; изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 7-1. Компетенция уполномоченного органа
Уполномоченный орган:
1) на основе и во исполнение основных направлений внутренней и внешней политики государства, определенных Президентом Республики Казахстан, и основных направлений социально-экономической политики государства, его обороноспособности, безопасности, обеспечения общественного порядка, разработанных Правительством Республики Казахстан, формирует государственную политику в сфере обеспечения кибербезопасности в соответствии с законодательством Республики Казахстан;
2) осуществляет стратегические, регулятивные, реализационные и контрольные функции;
3) разрабатывает единые требования в сферах цифровизации и обеспечения кибербезопасности;
4) утверждает перечень критически важных цифровых объектов, а также правила и критерии отнесения цифровых объектов к критически важным;
5) утверждает методику и правила проведения испытаний цифровых объектов «цифрового правительства» и критически важных цифровых объектов на соответствие требованиям кибербезопасности;
6) утверждает правила проведения мониторинга событий кибербезопасности цифровых объектов государственных органов по согласованию с Комитетом национальной безопасности Республики Казахстан;
7) утверждает правила проведения мониторинга обеспечения кибербезопасности цифровых объектов «цифрового правительства» и критически важных цифровых объектов по согласованию с Комитетом национальной безопасности Республики Казахстан;
8) утверждает правила проведения мониторинга выполнения единых требований в сферах цифровизации и обеспечения кибербезопасности;
9) осуществляет мониторинг выполнения единых требований в сферах цифровизации и обеспечения кибербезопасности;
10) осуществляет государственный контроль в сфере цифровизации, а также за соблюдением требований к электронному документу и электронной цифровой подписи;
11) направляет для исполнения предписания при выявлении нарушений требований законодательства Республики Казахстан в сферах цифровизации и обеспечения кибербезопасности;
12) осуществляет координацию деятельности по управлению цифровыми объектами при чрезвычайных ситуациях социального, природного и техногенного характера, введении чрезвычайного или военного положения;
13) участвует во вводе в промышленную эксплуатацию цифровых объектов «цифрового правительства»;
14) организует содействие собственникам, владельцам и пользователям цифровых объектов в вопросах безопасного использования цифровых технологий, включая предотвращение неправомерных действий по получению, копированию, распространению, модификации, уничтожению или блокированию цифровых ресурсов;
15) разрабатывает национальный антикризисный план реагирования на инциденты кибербезопасности;
16) определяет администратора и регистратора доменных имен, утверждает правила регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета;
17) утверждает правила функционирования единой национальной резервной платформы хранения цифровых ресурсов, периодичность резервного копирования цифровых ресурсов критически важных цифровых объектов;
18) утверждает правила функционирования единого шлюза доступа к Интернету и единого шлюза электронной почты «цифрового правительства» по согласованию с Комитетом национальной безопасности Республики Казахстан;
19) утверждает правила функционирования Национального репозитория исходных кодов;
20) утверждает профили защиты и методику разработки профилей защиты;
21) утверждает правила обмена информацией, необходимой для обеспечения кибербезопасности, между центрами обеспечения кибербезопасности, отраслевыми центрами кибербезопасности и Национальным координационным центром кибербезопасности;
22) выдает заключения в сфере обеспечения кибербезопасности на инвестиционные предложения и финансово-экономические обоснования бюджетных инвестиций на основании экспертиз государственной технической службы;
23) согласовывает техническую документацию, в том числе техническое задание, на создание или развитие цифровых объектов «цифрового правительства» на соответствие требованиям кибербезопасности на основании экспертиз государственной технической службы, за исключением цифровых объектов специальных государственных органов Республики Казахстан;
24) утверждает правила функционирования программы взаимодействия с исследователями кибербезопасности;
25) осуществляет координацию деятельности национального института развития в сфере обеспечения кибербезопасности;
26) в случае неисполнения предписания или акта об устранении нарушений в части соблюдения требований в сферах цифровизации и обеспечения кибербезопасности в установленный срок, предъявляет в суд иск о понуждении субъекта к совершению действий, указанных в предписании или акте;
27) обрабатывает персональные данные, безопасность которых нарушена, в целях информирования субъектов персональных данных на веб-портале «цифрового правительства» посредством личного кабинета;
28) осуществляет иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.
Глава 2 дополнена статьей 7-2 в соответствии с Законом РК от 28.12.17 г. № 128-VI; изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 7-2. Компетенция центральных исполнительных органов и государственных органов, непосредственно подчиненных и подотчетных Президенту Республики Казахстан, в сфере обеспечения кибербезопасности
Центральные исполнительные органы и государственные органы, непосредственно подчиненные и подотчетные Президенту Республики Казахстан:
1) обеспечивают соблюдение единых требований в сферах цифровизации и обеспечения кибербезопасности;
2) обеспечивают соблюдение базовых принципов киберкультуры, рекомендованных уполномоченным органом;
3) определяют цифровые объекты, относящиеся к критически важным цифровым объектам, в пределах своей компетенции;
4) обеспечивают рабочими местами с доступом к цифровым объектам работников Национального координационного центра обеспечения кибербезопасности, за исключением уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций, специальных государственных органов и Вооруженных Сил Республики Казахстан;
5) осуществляют иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
Компетенция центральных исполнительных органов также определяется актами Правительства Республики Казахстан.
Глава 2 дополнена статьей 7-3 в соответствии с Законом РК от 28.12.17 г. № 128-VI; изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 7-3. Компетенция местных исполнительных органов в сфере обеспечения кибербезопасности
Местные исполнительные органы:
1) обеспечивают соблюдение единых требований в сферах цифровизации и обеспечения кибербезопасности, требований по управлению данными;
2) осуществляют мониторинг выполнения единых требований в сферах цифровизации и обеспечения кибербезопасности;
3) создают условия для повышения киберкультуры;
4) определяют цифровые объекты, относящиеся к критически важным цифровым объектам, в пределах своей компетенции;
5) осуществляют государственный контроль в сфере цифровизации в отношении субъектов частного предпринимательства в пределах соответствующей административно-территориальной единицы;
6) содействуют развитию отрасли кибербезопасности, в том числе путем привлечения инвестиций;
7) осуществляют в интересах местного государственного управления иные полномочия, возлагаемые на местные исполнительные органы законодательством Республики Казахстан.
2. Местные исполнительные органы области, города республиканского значения и столицы осуществляют государственный контроль за соблюдением требований к электронному документу и электронной цифровой подписи, за исключением источников комплектования Национального архива Республики Казахстан и центральных государственных архивов.
Глава 2 дополнена статьей 7-4 в соответствии с Законом РК от 28.12.17 г. № 128-VI; изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 7-4. Государственный оперативный центр кибербезопасности
1. Государственный оперативный центр кибербезопасности:
1) осуществляет мониторинг обеспечения кибербезопасности цифровых объектов «цифрового правительства» посредством системы мониторинга обеспечения кибербезопасности Национального координационного центра кибербезопасности;
2) осуществляет мониторинг событий кибербезопасности цифровых объектов государственных органов;
3) осуществляет мероприятия по выявлению, пресечению и исследованию угроз и инцидентов кибербезопасности на цифровых объектах «цифрового правительства» и формирует рекомендации по их устранению или предотвращению;
4) осуществляет координацию мероприятий по обеспечению кибербезопасности цифровых объектов «цифрового правительства», а также реагированию на инциденты кибербезопасности;
5) обеспечивает функционирование программы взаимодействия с исследователями кибербезопасности по цифровым объектам государственных органов;
6) осуществляет совместно с оператором «цифрового правительства» мероприятия по обеспечению кибербезопасности платформы «цифрового правительства» в соответствии с регламентом обеспечения кибербезопасности платформы «цифрового правительства», утверждаемым уполномоченным органом по согласованию с Комитетом национальной безопасности Республики Казахстан;
7) оповещает уполномоченный орган в сфере защиты персональных данных о нарушении безопасности персональных данных в течение трех часов c момента его обнаружения.
2. Работники Государственного оперативного центра кибербезопасности несут ответственность за разглашение коммерческой или иной охраняемой законом тайны, полученной ими в результате своей деятельности, в соответствии с законами Республики Казахстан.
Закон дополнен статьей 7-5 в соответствии с Законом РК от 03.07.19 г. № 262-VI (введено в действие с 1 января 2020 г.); изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 7-5. Центр обеспечения кибербезопасности
1. Центр обеспечения кибербезопасности:
1) осуществляет деятельность по обнаружению, оценке, прогнозированию, локализации, нейтрализации и профилактике угроз кибербезопасности цифровых объектов, подключенных к центру обеспечения кибербезопасности;
2) принимает меры по минимизации угроз кибербезопасности, незамедлительно информирует собственника и (или) владельца цифрового объекта, а также Национальный координационный центр кибербезопасности о фактах выявления инцидентов и угроз кибербезопасности;
3) осуществляет мониторинг обеспечения кибербезопасности критически важных цифровых объектов, не относящихся к цифровым объектам «цифрового правительства»;
4) осуществляет обмен информацией, необходимой для обеспечения кибербезопасности цифровых объектов, подключенных к центру обеспечения кибербезопасности, с отраслевым центром кибербезопасности, Национальным координационным центром кибербезопасности и другими центрами обеспечения кибербезопасности;
5) осуществляет сбор, консолидацию, анализ и хранение сведений о событиях и инцидентах кибербезопасности;
6) предоставляет собственникам и (или) владельцам критически важных цифровых объектов информацию, необходимую для обеспечения кибербезопасности цифровых объектов, в том числе информацию об угрозах кибербезопасности, уязвимости программного обеспечения, устройств и технологий, способах реализации угроз кибербезопасности, предпосылках возникновения инцидентов кибербезопасности, а также методах их предупреждения и ликвидации последствий;
7) обеспечивает сохранность сведений ограниченного распространения, ставших известными центру обеспечения кибербезопасности в рамках осуществления его деятельности;
8) обеспечивает Национальному координационному центру кибербезопасности доступ к журналам регистрации событий цифровых объектов «цифрового правительства», подключенных к центру обеспечения кибербезопасности;
9) вправе создать собственную программу взаимодействия с исследователями кибербезопасности или приобрести услугу пользования программой взаимодействия с исследователями кибербезопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан;
10) обеспечивает кибербезопасность автоматизированных систем управления технологическими процессами;
11) оповещает уполномоченный орган в сфере защиты персональных данных о нарушении безопасности персональных данных в течение трех часов c момента его обнаружения;
12) вправе с согласия уполномоченного органа в сфере защиты персональных данных обрабатывать персональные данные, безопасность которых нарушена, в целях информирования субъектов персональных данных на веб-портале «цифрового правительства» посредством личного кабинета;
13) проводит национальный технический аудит центров обработки данных;
14) обеспечивает соблюдение единых требований в сферах цифровизации и обеспечения кибербезопасности на своих цифровых объектах;
15) проводит аудит кибербезопасности;
16) ведет мониторинг и журналирование цифровых событий кибербезопасности цифровых объектов, в том числе осуществляющих сбор и обработку персональных данных.
2. Центр обеспечения кибербезопасности осуществляет свою деятельность на основании лицензии на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для оперативно-розыскных мероприятий.
3. Работники центра обеспечения кибербезопасности несут ответственность за разглашение коммерческой или иной охраняемой законом тайны, полученной ими в результате своей деятельности, в соответствии с законами Республики Казахстан.
4. Требование пункта 2 настоящей статьи не распространяется на правоохранительные и специальные государственные органы Республики Казахстан, банки второго уровня Республики Казахстан, в которых функции центра обеспечения кибербезопасности осуществляются их структурными подразделениями.
Статья 7-6. Исключена в соответствии с Законом РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Закон дополнен статьей 7-7 в соответствии с Законом РК от 14.07.22 г. № 141-VII; изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 7-7. Национальная служба реагирования на компьютерные инциденты кибербезопасности
1. Национальная служба реагирования на компьютерные инциденты кибербезопасности:
1) осуществляет межотраслевую координацию по вопросам мониторинга обеспечения кибербезопасности, защиты и безопасного функционирования цифровых объектов «цифрового правительства», казахстанского сегмента Интернета, а также критически важных цифровых объектов, реагирования на инциденты кибербезопасности с проведением совместных мероприятий по обеспечению кибербезопасности в порядке, установленном законодательством Республики Казахстан;
2) содействует собственникам, владельцам и пользователям цифровых объектов по вопросам обеспечения кибербезопасности;
3) оповещает уполномоченный орган в сфере защиты персональных данных о нарушении безопасности персональных данных в течение трех часов c момента его обнаружения.
2. Работники Национальной службы реагирования на компьютерные инциденты кибербезопасности несут ответственность за разглашение коммерческой или иной охраняемой законом тайны, полученной ими в результате своей деятельности, в соответствии с законами Республики Казахстан.
Закон дополнен статьей 7-8 в соответствии с Законом РК от 14.07.22 г. № 141-VII; изложена в редакции Закона РК от 09.01.26 г. № 256-VIII (введен в действие с 12 июля 2026 г.) (см. стар. ред.)
Статья 7-8. Служба реагирования на инциденты кибербезопасности
1. Служба реагирования на инциденты кибербезопасности:
1) осуществляет сбор и анализ информации об инцидентах кибербезопасности и актуальных угрозах кибербезопасности, а также предоставляет рекомендации по их устранению;
2) вырабатывает рекомендации, направленные на противодействие угрозам кибербезопасности;
3) информирует собственников и владельцев цифровых объектов, а также Национальный координационный центр кибербезопасности о ставших известными инцидентах и угрозах кибербезопасности;
4) вправе создать собственную программу взаимодействия с исследователями кибербезопасности или приобрести услугу пользования программой взаимодействия с исследователями кибербезопасности у третьих лиц в соответствии с Гражданским кодексом Республики Казахстан;
5) оповещает уполномоченный орган в сфере защиты персональных данных о нарушении безопасности персональных данных в течение трех часов c момента его обнаружения;
6) обеспечивает соблюдение единых требований в сферах цифровизации и обеспечения кибербезопасности на своих цифровых объектах.
2. Служба реагирования на инциденты кибербезопасности осуществляет свою деятельность на основании лицензии на оказание услуг по выявлению технических каналов утечки информации и специальных технических средств, предназначенных для оперативно-розыскных мероприятий.