ПРИКАЗ МИНИСТРА ЦИФРОВОГО РАЗВИТИЯ, ИННОВАЦИЙ И АЭРОКОСМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ РЕСПУБЛИКИ КАЗАХСТАН

от 30 сентября 2024 года №613/НК

Об утверждении Правил организации деятельности центра обработки данных и проведения международного или национального технического аудита

В соответствии пунктами 3 и 4 статьи 13-3 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые Правила организаций деятельности центра обработки данных и проведения международного или национального технического аудита.

2. Комитету телекоммуникаций Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

4. Настоящий приказ вводится в действие с 8 января 2025 года и подлежит официальному опубликованию.

Согласован Комитетом национальной безопасности Республики Казахстан

Утверждены Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 сентября 2024 года №613/НК

Правила организации деятельности центра обработки данных и проведения международного или национального технического аудита

Глава 1. Общие положения

1. Настоящие Правила разработаны в соответствии пунктами 3 и 4 статьи 13-3 Закона Республики Казахстан "Об информатизации" (далее - Закон) и определяют порядок организации деятельности центра обработки данных и проведения международного или национального технического аудита (далее - Правила).

2. В настоящих Правилах используются следующие основные понятия:

1) центр обработки данных (далее - ЦОД) - объект информационно-коммуникационной инфраструктуры, обеспечивающий отказоустойчивое и бесперебойное функционирование вычислительных ресурсов и телекоммуникационного оборудования, а также систем хранения и обработки данных;

2) национальный технический аудит центра обработки данных -добровольная оценка надежности центров обработки данных;

3) уполномоченный орган в области связи (далее - уполномоченный орган) - центральный исполнительный орган, определяемый Правительством Республики Казахстан, осуществляющий реализацию государственной политики в области связи, государственный контроль, координацию и регулирование деятельности лиц, предоставляющих услуги в области связи или пользующихся ими;

4) оперативный центр информационной безопасности (далее - ОЦИБ) - юридическое лицо или структурное подразделение юридического лица, осуществляющее деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации;

5) классификация уровней надежности ЦОД (далее - классификация ЦОД по уровню) - стандартизированная система ранжирования, используемая для классификации ЦОД на основе времени его простоя, безотказной работы и надежности;

6) собственник ЦОД - юридическое лицо, зарегистрированное на территории Республики Казахстан или физическое лицо, имеющее на праве собственности ЦОД;

7) владелец ЦОД - юридическое лицо, зарегистрированное на территории Республики Казахстан или физическое лицо, получающее во временное владение и пользование ЦОД;

8) Необходимость (от английского слова need - далее N) - это необходимое определенное количество единиц оборудования и систем, без которого ЦОД не сможет штатно функционировать.

Глава 2. Порядок организации деятельности центра обработки данных

3. ЦОД предназначен для:

1) обеспечения отказоустойчивого и бесперебойного функционирования вычислительных ресурсов и телекоммуникационного оборудования;

2) хранения и обработки данных.

4. ЦОД должен располагаться в отдельно стоящем здании и (или) сооружении или специально оборудованной части здания, сооружения.

ЦОД размещаются в отдельно стоящих зданиях и (или) сооружениях или специально оборудованной части здания, защищенной от природных катастроф (землетрясений, наводнений и других опасных природных явлений), с надлежащей гидроизоляцией и вентиляцией для поддержания оптимальных условий работы вычислительного и телекоммуникационного оборудования, наличие системы пожарной безопасности, включающей автоматическое обнаружение и тушение пожара, наличием системы контроля доступа и видеонаблюдения для обеспечения физической безопасности.

5. Здания и (или) сооружения или специально оборудованные части здания, сооружения должны соответствовать требованиям Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года №832.

6. ЦОД классифицируются по уровням и делятся на:

1) Tier I - 99,671% или 1729 минут простоя за год.

ЦОД уровня Tier I является базовым уровнем пропускной способности инфраструктуры для поддержки информационных технологий.

Tier I включает:

(схема резервирования N) отказы оборудования или ремонтные работы приводят к остановке работы всего ЦОД. В ЦОД отсутствуют фальшполы, резервные источники электроснабжения и источники бесперебойного питания. Инженерная инфраструктура не зарезервирована;

2) Tier II - 99,741% или 1361 минут простоя за год.

ЦОД уровня Tier II обеспечивает питание и охлаждение, гарантирующее более высокое качество обслуживания и безопасность при сбоях.

Tier II включает:

(схема резервирования - N + 1) минимальный уровень резервирования, в ЦОД обязательно имеются фальшполы и резервные источники электроснабжения и охлаждения, однако проведение ремонтных работ также вызывает остановку работы ЦОД;

3) Tier III - 99,982% или 95 минут простоя за год.

ЦОД уровня Tier III (схема резервирования - 2 х N или 2 х N + 1) имеет возможность проведения ремонтных работ (включая замену компонентов системы, добавление и удаление вышедшего из строя оборудования) без остановки работы ЦОД, инженерные системы однократно зарезервированы, имеется несколько каналов распределения электропитания и охлаждения, однако постоянно активен только один из них.

4) Tier IV - 99,995% или 26 минут простоя за год.

ЦОД уровня Tier IV (схема резервирования - 2 х (N + 1)) - имеется возможность проведения любых работ без остановки работы ЦОД, инженерные системы двукратно зарезервированы, то есть, продублированы как основная, так и дополнительная системы.

7. ЦОД оснащаются прецизионными системами для поддержания оптимальной температуры и влажности.

8. Резервные системы охлаждения предусматриваются для предотвращения перегрева вычислительного и телекоммуникационного оборудования в случае отказа основной системы.

9. Контроль доступа в помещения ЦОД осуществляется с помощью электронных систем идентификации.

10. Все критически важные системы ЦОД оборудуются системами мониторинга, позволяющими отслеживать их состояние в режиме реального времени.

Глава 3. Порядок проведения национального технического аудита центров обработки данных

11. После введения в эксплуатацию ЦОД проводится национальный технический аудит на добровольной основе.

12. Для обеспечения независимой оценки с целью определения классификации ЦОД по уровню собственник или владелец ЦОД направляет запрос в ОЦИБ для проведения национального технического аудита.

13. Технический аудит ЦОД осуществляется по инициативе и за счет собственника или владельца ЦОД.

14. Национальный технический аудит проводится ОЦИБ на основании договора, заключенного между ОЦИБ и собственником или владельцем ЦОД.

15. В ходе национального технического аудита оцениваются соответствие ЦОД классификации ЦОД по уровню.

16. По результатам национального технического аудита ОЦИБ выдает заключение о классификации ЦОД по уровню.

17. В случае выдачи предварительного заключения с перечнем препятствий (связанных с улучшением надежности таких как добавление второго, независимого ввода питания в здание ЦОД, закольцовывание альтернативных волоконно-оптических линий связи для получения более лучшего уровня классификации) для повышения классификации ЦОД по уровню, собственник или владелец ЦОД может устранить препятствия и запросить повторный аудит согласно договору.

18. ОЦИБ передает сведения о результатах национального технического аудита в уполномоченный орган, в течении 21 (двадцать один) рабочего дня с момента выдачи заключения согласно Приложения.

19. Собственник или владелец ЦОД размещают информацию о прохождении или не прохождении национального технического аудита ЦОД на своем интернет-ресурсе.

Глава 4. Порядок проведения международного технического аудита центров обработки данных

20. После введения в эксплуатацию ЦОД проводится международный технический аудит на добровольной основе.

21. Собственник или владелец ЦОД заключает договор на проведение международного технического аудита с международной компанией.

22. По результатам международного технического аудита собственник или владелец ЦОД получает заключение о классификации ЦОД по уровню.

23. Собственник или владелец ЦОД размещают информацию о прохождении или не прохождении международного технического аудита ЦОД на своем интернет-ресурсе.

Приложение

к Правила организации деятельности центра обработки данных и проведения международного или национального технического аудита

Заключение о классификации ЦОД по уровню

Информация о ЦОД:

1. Форма собственности _______________________________________________________

2. Год создания ______________________________________________________________

3. Адрес ____________________________________________________________________
                         (почтовый индекс, область, район, улица, № дома, телефон)

4. Контактные данные собственника или владельца ЦОД

_____________________________________________________________________________
          (Фамилия, имя, отчество (при наличии), рабочий телефон, электронный адрес)

5. Расчетный счет _____________________________________________________________
                                     ( № счета, наименование и местонахождение банка)

6. Банковские реквизиты ______________________________________________________

7. Бизнес идентификационный номер/индивидуальный идентификационный номер

_____________________________________________________________________________

8. Тип деятельности ____________________________________________________________
                                  (номер и серия лицензии, в случае лицензионной деятельности)

Классификация по уровням (Tier):

Уровень: (отметить нужное)

- [ ] Tier I

- [ ] Tier II

- [ ] Tier III

- [ ] Tier IV

Краткое описание уровня: __________________________________________________________

Оценка компонентов инфраструктуры: ________________________________________________

Соответствие требованиям уровня: ___________________________________________________

Описание проведенных тестов и испытаний:____________________________________________

Рекомендации:_____________________________________________________________________

Заключение:

Итоговый вывод о классификации уровня:______________________________________________

Подписи ответственных лиц:_________________________________________________________