On approval of the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements

Decree of the Government of the Republic of Kazakhstan dated May 23, 2016 No. 298. Abolished by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047

      Unofficial translation

      Footnote. Abolished by the Decree of the Government of the Republic of Kazakhstan dated December 31, 2019 No. 1047 (it is put into effect after ten calendar days after the date of its first official publication).

      In accordance with subparagraph 5) of article 6 of the Law of the Republic of Kazakhstan dated November 24, 2015 "On Informatization" the Government of the Republic of Kazakhstan HEREBY DECREES:

      1. To approve the attached Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements.

      2. to recognize invalid some of the decisions of the Government of the Republic of Kazakhstan in accordance with the annex to this decree.

      3. This decree shall come into force upon expiry of ten calendar days after the date of its first official publication.

Prime Minister
of the Republic of Kazakhstan	К. Massimov

Approved by the decree of the Government of the Republic of Kazakhstan dated May 23, 2016 no. 298

Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements

1. General provisions

      1. These Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements (hereinafter referred to as the Rules) have been developed in accordance with subparagraph 5) article 6 of the Law of the Republic of Kazakhstan dated November 24, 2015 "On Informatization" and shall determine the procedure of certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements.

      2. These Rules shall not apply to the certification of information systems in secure execution, classified as state secrets.

      3. Main definitions, terms and concepts used in the Rules:

      1) an authorized body in the sphere of ensuring information security (hereinafter referred to as the authorized body) means the central executive body, exercising management and intersectoral coordination in the sphere of ensuring information security;

      2) State Technical Service means the republican state enterprise on the right of economic management, created by decision of the Government of the Republic of Kazakhstan;

      3) an applicant means a possessor (owner) of the object of certification, or his authorized person, submitted an application for certification of the object of certification for compliance with the requirements of information security;

      4) information security in the sphere of informatization

      (hereinafter referred to as the information security) means the state of security of electronic information resources, information systems, information and communication infrastructure from external and internal threats;

      5) the information and communication infrastructure means the set of objects of information and communication infrastructure, designed to ensure the functioning of technological environment in order to generate electronic information resources and provide access to them;

      6) objects of certification mean the information system, "e-government" information and communication platform, Internet resource;

      7) a hardware and software complex – the set of software and hardware used together to solve problems of a certain type;

      8) the information system means the organizationally ordered set of information and communication technologies, maintenance personnel and technical documentation that implement certain technological actions through information interaction and designed to solve specific functional problems;

      9) "e-government" information and communication platform means a technological platform, designed to implement a service model of informatization;

      10) the Internet resource – electronic information resource displayed in text, graphic, audiovisual or other form, placed on a hardware-software complex, having a unique network address and (or) domain name and functioning in the Internet;

      11) is excluded by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no. 178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication);

      12) certificate of compliance of the information system, “e-government” information and communication platform, the Internet resource of a state body with information security requirements (hereinafter referred to as the certificate) means the document, confirming the fact of compliance of the object of certification with information security requirements;

      13) Act on certification examination means a document that includes information about the actual state of security of the object of certification;

      14) certification for compliance with information security requirements (hereinafter referred to as the certification) – organizational and technical activities on determining the state of security of the objects subject to certification, as well as their compliance with information security requirements;

      15) certification examination means a set of organizational and technical activities, aimed at study, analysis, assessment of technical documentation of the object of certification, examination of the state of organization of works for meeting the information security requirements;

      16) technical documentation on information security (hereinafter referred to as the TD on IS) means a set of documents, developed in accordance with uniform requirements in the field of information and communication technologies and ensuring information security (hereinafter referred to as the UR) and regulating general requirements, principles and rules for ensuring information security of the object of certification.

      Footnote. Paragraph 3 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no. 178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      4. Putting into commercial operation the information system of a state body, the information system related to the critical objects of the information and communication infrastructure, the non-state information system integrated with the information system of a state body or designed to generate electronic information resources of a state body, the Internet resource of a state body and the "e-government" information and communication platform shall be strictly subject to availability of the certificate.

      5. The objects of compulsory certification shall be:

      1) the information system of a state body;

      2) the information system of a state legal entity, non-state information system integrated with the information system of a state body or designed for generation of state electronic information resources.

      The requirements established in this subparagraph do not apply to information systems of financial organizations when they are integrated through an external gateway of "electronic government" put into commercial operation;

      3) the information system, related to critical objects of information and communication infrastructure;

      4) "e-government" information and communication platform;

      5) the Internet resource of a state body.

      Certification of compliance with information security requirements for object of certifications specified in this paragraph shall not be required when using services of the national certification center of the Republic of Kazakhstan for the authentication of an electronic digital signature.

      Footnote. Paragraph 5 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      6. Non-state information systems and the Internet resources may be certified for compliance with information security requirements at the initiative of the possessor (owner) or person authorized by him.

      7. Certification shall consist of the following main stages:

      1) acceptance of the application for certification and verification of the package of documents for compliance with the form and completeness;

      2) certification examination;

      3) consideration of the results of the certification examination by the authorized body;

      4) making the decision by the authorized body.

      Footnote. Paragraph 7 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      8. Certification of the objects of certification for compliance with the information safety requirements shall be carried out by the authorized body.

      9. Certification examination of the objects of certification shall be carried out by the State Technical Service.

      10. is excluded by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no. 178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      11. The possessor or the owner of the object of certification that is subject to compulsory certification, or his authorized person, shall annually no later than March 1 send to the authorized body a list of objects planned for certification in the current year in the form according to annex 1 to these Rules.

      12. The application for certification for compliance with information security requirements shall be accepted by the authorized body no later than November 1 of the current year.

      2. Certification procedure

      13. The applicant shall submit an application for certification for compliance with information security requirements to the authorized body, in the form according to annex 2 to these Rules with provision of the following documents:

      1) a copy of an identity document (for individuals);

      2) a copy of the terms of reference, if the terms of reference is not available, technical specification shall be sent to the Internet resource;

      3) the general functional diagram of the object of certification indicating the unique network addresses of the servers and the administrator's workstation used, as well as the local network diagram approved by the owner (owner), an explanatory note to the general functional diagram certified by the applicant’s signature and seal;

      4) copies of the of TD on IS, approved by the possessor (owner) of the object of certification certified by the signature and seal of the applicant according to annex 3 to these Rules;

      5) list of objects of informatization integrated with the object of certification, in the form according to annex 4 to these Rules, approved by the possessor of the object of certification and certified by the signature and seal of the applicant (where there are objects of informatization integrated with the object of certification);

      6) copies of the lists of technical and software aids included into the composition of the object of certification approved by the possessor (owner) , in the form according to annexes 5 and 6 to these Rules, certified by the signature and seal of the applicant (in case if the object of certification does not use the information and communication services);

      7) copies of a contract for use the information and communication services attached with technical characteristics and contract for provision of information and communication services (in case if the object of certification use the information and communication services).

      14. Upon receipt of the application, the authorized body within three working days shall verify the compliance of the application and the documents attached to the application with the requirements to the form and completeness established by these Rules.

      15. If the application and / or documents do not comply with the established requirements, the authorized body shall return them to the applicant indicating the reasons for the return.

      16. If the application and the attached documents comply with the requirements for the form and completeness, the authorized body shall send the application with the attached documents to the State Technical Service during the period established by paragraph 14 of these Rules.

      17. After receiving the application and the attached documents, the State Technical Service shall send two copies of the contract for the provision of certification examination services no later than three working days to the applicant. The applicant, within five working days from the date of receipt of the copies of the contract, shall sign and return one copy to the State Technical Service.

      In case if after the specified period the contract signed by the applicant is not submitted to the state technical service, the application for certification shall be considered canceled.

      18. The cost of the certification examination shall be established by the national security bodies in agreement with the antimonopoly body.

      Footnote. Paragraph 18 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      19. The term of the certification examination shall not exceed thirty working days from the date of entry into force of the contract for the provision of certification examination services.

      If the information system under certification is geographically distributed, the term of the certification examination shall not exceed forty working days.

      Footnote. Paragraph 19 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      20. The State Technical Service shall conduct the certification examination of the certification object in accordance with the methodology for the certification examination of the information system, the "e-government" information and communication platform, the Internet resource for compliance with information security requirements, approved by the authorized body.

      21. The applicant shall provide the State Technical Service with the access to the premise, to equipment and documentation of the object of certification for performance of the certification examination in accordance with the terms of the contract for the provision of certification examination services.

      22. The certification examination shall include:

      1) preliminary analysis of the original data of the object of certification;

      2) analysis and assessment of compliance of the TD on IS of the object of certification with the requirements of normative legal acts and standards in the sphere of information security and information protection, adopted in the territory of the Republic of Kazakhstan;

      3) examination of the object of certification and assessment of actual meeting the requirements established by the TD on IS, organizational and management, operational documentation of the object of certification and normative legal acts and standards in the sphere of information security and information protection adopted in the territory of the Republic of Kazakhstan;

      4) instrumental examination of the components of the object of certification.

      23. The State Technical Service shall not be authorized to disclose information, constituting the commercial or other secret protected by law, which became known to it during the work on certification examination of the object of certification.

      24. Based on the results of the certification examination, the State Technical Service shall draw up the certification examination certificate, which includes information about the actual state of security of the object of certification.

      25. The act on certification examination shall be drawn up in triplicate, one of which remains in the State Technical Service, and the rest are transferred to the authorized body - for the authorized body and the applicant.

      Footnote. Paragraph 25 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).
      26. is excluded by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no. 178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      27. Based on the act on certification examination, within three working days, the authorized body shall take one of the following decisions:

      1) on issuance of a certificate;

      2) on refusal to issue a certificate;

      3) on rectifying by the applicant of deficiencies identified.

      The decision on rectifying by the applicant of deficiencies identified shall be made no more than once upon an application for certification.

      Footnote. Paragraph 27 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      28. In the case of a positive decision on certification, the authorized body within three working days from the date of the decision shall send to the applicant an act on certification examination and certificate in the form, according to annex 7 to these Rules, and make relevant entry to the register of certificates.

      Footnote. Paragraph 28 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      29. The register of certificates shall be maintained by the authorized body and contain the following information:

      1) name of the object of certification;

      2) possessor (owner) of the object of certification;

      3) developer of the object of certification;

      4) details of the act on certification examination (act of additional certification examination);

      5) details of the certificate;

      6) recall, return of the certificate;

      7) termination of the certificate.

      The register of certificates shall be maintained in a paper format.

      30. In case of making the decision on refusal to issue the certificate, the authorized body within three working days from the date of making the decision shall send an act on the certification examination to the applicant.

      After rectifying the deficiencies identified, the applicant shall have the right to submit an application for certification of this object in accordance with the procedure established by these Rules.

      Footnote. Paragraph 30 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      31. In case of making the decision on rectifying the deficiencies identified, the authorized body within three working days from the date of the decision shall send an act on certification examination to the applicant.

      In case if the applicant rectifies the deficiencies identified, within twenty working days he shall notify the authorized body of their rectification and shall submit documents for additional certification examination. Additional certification examination shall be performed free of charge.

      Additional period shall be calculated from the date of receipt by the applicant of the mentioned documents.

      Footnote. Paragraph 31 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      32. Absence of rectification of deficiencies within twenty working days shall constitute the grounds for the refusal to the applicant.

      33. The authorized body within three working days from the date of receipt of the notification shall inform the State Technical Service on necessity to perform additional certification examination.

      34. The State Technical Service, within fifteen working days from the date of receipt of a notification on performance of additional certification examination from the authorized body, shall perform the additional certification examination of the object of certification.

      35. By results of the additional certification examination, the State Technical Service shall draft an act of additional certification examination, which includes the information on rectification of deficiencies identified during the certification examination of the object of certification.

      The act of additional certification examination shall be made in three copies, one of which remains in the State Technical Service, and the remaining are transferred to the authorized body for the authorized body and applicant.

      Footnote. Paragraph 35 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).
      36. is excluded by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no. 178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      37. The authorized body within three working days from the date of receipt of the acts of additional certification examination shall take one of the following decisions:

      1) on issuance of the certificate;

      2) on refusal to issue the certificate.

      Footnote. Paragraph 37 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      38. In case of making the positive decision by results of the additional certification examination, the authorized body within three working days shall send to the applicant the act of additional certification examination and the certificate in the form, according to annex 7 to these Rules, and shall enter relevant information into the register of certificates.

      Footnote. Paragraph 38 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      39. In case of making the decision on refusal to issue the certificate by results of the additional certification examination, the applicant after rectifying the deficiencies identified shall have the right to submit an application for the certification of this object in accordance with the procedure, established by these Rules.

      40. The certificate shall be issued for the period of commercial operation of the object of certification, except for the “e-government” information and communication platform, subject to (ensuring) during the specified period, the conditions of functioning and functionality of the object of certification, the hardware-software complex and information and communication technologies that ensure the processing of protected information and determine the security of information are unchanged.

      The certificate of the "e-government" information and communication platform shall be issued for the period of one year.

      41. Upon expiration of the certificate, the object of certification shall be subject to the certification in accordance with the procedure, established by these Rules.

      42. Objects of certification that are subject to compulsory certification, except for the "e-government" information and communication platform, within one year from the date of receipt of the certificate, shall be connected to the information system of information security monitoring and shall notify thereof the authorized body.

      43. In case of a change in conditions of functioning and functionality of the object of certification, the possessor or owner of the object of certification after completion of works on its development, shall send to the authorized body a notification on the need to perform its re-certification in accordance with the procedure, established by these Rules, attached with the description of all changes made.

      Responsibility for performance of the established conditions of functioning of the object of certification, technology of processing the protected information and information security requirements shall be vested upon the possessor and (or) the owner of the object of certification.

      44. The authorized body from the date of the receipt of notification within three working days shall make a decision on re-certification of the object of certification.

      Footnote. Paragraph 44 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      45. The authorized body shall make a decision on recalling the certificate in the following cases:

      1) failure to comply with the requirements, specified in paragraph 41 of these Rules;

      2) availability of a written application of the possessor or owner of the object of certification;

      3) noncompliance of the object of certification with information security requirements identified during the audit, performed in accordance with the Entrepreneur Code of the Republic of Kazakhstan;

      4) change of conditions of functioning and functionality of the object of certification, indicated in paragraph 5 of these Rules;

      5) cessation of operation of the object of certification, specified in paragraph 5 of these Rules.

      Footnote. Paragraph 45 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

      46. A copy of decision on recalling the certificate shall be send to the possessor (owner) of the object of certification, which within three working days from the date of receipt of the copy of the mentioned decision, shall return the certificate to the authorized body, and when necessary, shall send the application for certification of the object of certification in accordance with the procedure, established by these Rules.

      47. Introduction of a new service software product, change of a service software product shall not entail revocation of the certificate of the "e-government" information and communication platform.

      48. In cases of loss, deterioration or damage of the certificate, the possessor (owner) of the object of certification shall send a notification to the authorized body indicating the reasons. The authorized body within five working days from the date of receipt of the notification shall issue a duplicate of the certificate.

Annex 1 to the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements form

List of objects planned for certification in the current year

item no.	Possessor (owner)of the object of certification	Name of the object of certification	Lifecycle state of the object of certification	Planned date for certification	Details of the act of testing of the object of certification
1	2	3	4	5	6

Annex 2 to the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements

      Footnote. Paragraph 2 as amended by the decree of the Government of the Republic of Kazakhstan dated 09.04.2018 no.178 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

form

      To ____________________________

      (name of the certification body)

APPLICATION

for certification for compliance with information security requirements

      __________________________________________________________________________

      (name, BIN/IIN*, surname, name, patronymic (if any) of the applicant)

      hereby request to perform the certification of

      _______________________________________________________

      (name of the object of certification)

      for compliance with information security requirements.

      1. Original data on the object of certification, submitted for certification for compliance with information security requirements, are provided on ____ sheet.

      2. _______________________________________________________________________

      (name, surname, name, patronymic (if any) of the applicant)

      shall be obliged to provide the required documents and provide the conditions for certification of the object of certification for compliance with information security requirements.

      ____________________________ (signature) Seal "_____" _________________ 20___

      *business identification number/individual identification number

Annex 3 to the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements

List of technical documentation on information security

      1. Information Security Policy.

      2. Information Security Risk Assessment Methodology.

      3. Rules for the identification, classification and marking of assets related to the information processing facilities.

      4. Rules for ensuring the continuous operation of assets related to information processing facilities.

      5. Rules for inventory and passportization of computer equipment, telecommunications equipment and software.

      6. Rules for internal audit of information security.

      7. Rules for the use of cryptographic means of information protection in the object of certification (this document is mandatory for certification objects that use cryptographic means of information protection).

      8. Rules for differentiation of access rights to electronic resources of the object of certification.

      9. Rules for using the Internet and e-mail.

      10. Rules for organizing the authentication procedure.

      11. Rules for organizing the antivirus control.

      12. Rules for using mobile devices and storage media.

      13. Rules for organizing physical protection of information processing facilities and a safe environment for the functioning of information resources of the object of certification.

      14. Administrator manual on support of the object of certification.

      15. Regulation on information backup and recovery of the object of certification.

      16. Instructions on the procedure for users to respond to information security incidents and in emergency (crisis) situations.

Annex 4 to the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements form

List of the objects of informatization, integrated with the object of certification

item no.	Name of the object of informatization	Possessor (owner)	Nature of interaction
1	2	3	4

Annex 5 to the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements form

List of hardware

item no.	Manufacturer, model	Serial/ inventory number	Information Security Certificate Number (if any)	Physical location	Type (according to technical documentation)	Main functional purpose (according to program documentation to the object of certification)	Utilized methods of information protection	Developer, name, version (of integrated software)	IP addresses
1	2	3	4	5	6	7	8	9

	Annex 6 to the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements
	form

List of software

item no.	Developer	Name	Version	Place of installation (from the list of hardware)	Type (according to program documentation)	Main functional purpose (according to program documentation)	Utilized methods of information protection
1	2	3	4	5	6	7	8

	Annex 7 to the Rules for certification of the information system, the "e-government" information and communication platform, the Internet resource of a state body for compliance with information security requirements
	form

CERTIFICATE no. ____
of compliance of the object of certification
with information security requirements

      ___________________________________________________________________

      (name of the object of certification)

      ___________________________________________________________________

      Valid until "__" _______ 20__ no. ____

      This is to certify that:

      ____________________________________________________________________

      (name of the object of certification)

      complies with information security requirements, standards in the field of information security. The composition of a complex of software and hardware / “e-government” information and communication platform / the Internet resource of a state body is attached according to the annex to the certificate.

      The processing of _______________information is allowed subject to the results

            (restricted, publicly-accessible, etc.)

      of certification examination at the object of certification.

      When operating the object of certification it shall be prohibited:

      ____________________________________________________________________.

      (restrictions that may affect the effectiveness of measures and

      information security)

      Control over the effectiveness of the implemented measures and protection aids shall remain with the relevant subdivision of the applicant.

      Detailed results of the certification examination are given in the act of certification examination я (no. ____ dated "___" 20___).

      The present certificate of compliance of the object of certification with information security requirements in issued for the period of _____________________________,

      (certificate validity)

      during which the constancy of the conditions of functioning and functionality of the object of certification must be ensured.

      The list of characteristics, the changes of which must be notified to the state technical service:

      1) _____________________________;

      2) _____________________________.

      Chairman _________________________________________________

      (surname, name, patronymic (if any)

      Seal "____" ____________ 20__

	Annex To the certificate no. ________ dated ___________________
	form

      Table no. 1

Item no.	Manufacturer, model	Serial/inventory number	Information Security Certificate Number (if any)	Physical location	Type (according to technical documentation)	Main functional purpose (according to program documentation to the object of certification)	Utilized methods of information protection	Developer, name, version (of integrated software)
1	2	3	4	5	6	7	8	9

      Table no. 2

item no.	Developer	Name	Version	Place of installation (from the list of hardware)	Type (according to program documentation)	Main functional purpose (according to program documentation)	Utilized methods of information protection
1	2	3	4	5	6	7	8

Annex to the decree of the Government of the Republic of Kazakhstan dated May 23, 2016 no. 298

List of invalid certain decisions of the Government
of the Republic of Kazakhstan

      1. Decree of the Government of the Republic of Kazakhstan dated December 30, 2009 no. 2280 "On approval of the Rules for the certification of state information systems and non-state information systems integrated with state information systems for compliance with information security requirements and standards adopted in the Republic of Kazakhstan" (Collected Acts of the President and the Government of the Republic of Kazakhstan, 2010., no. 4, art. 39).

      2. Decree of the Government of the Republic of Kazakhstan dated November 3, 2011 no. 1285 "On amendments and additions to the decree of the Government of the Republic of Kazakhstan dated December 30, 2009 no. 2280 "On approval of the Rules for the certification of state information systems and non-state information systems integrated with state information systems for compliance with information security requirements and standards adopted in the Republic of Kazakhstan"(Collected Acts of the President and the Government of the Republic of Kazakhstan, 2012., no. 1, art. 7).

      3. Decree of the Government of the Republic of Kazakhstan dated September 25, 2012 no. 1241 "On approval of standards of state services in the field of information technologies and on amendments to the decrees of the Government of the Republic of Kazakhstan dated July 20, 2010 no. 745 "On approval of the register of state services provided to individuals and legal entities лицам" and dated December 30, 2009 no. 2280 "On approval of the Rules for the certification of state information systems and non-state information systems integrated with state information systems for compliance with information security requirements and standards adopted in the Republic of Kazakhstan" (Collected Acts of the President and the Government of the Republic of Kazakhstan, 2012., no. 71, art. 1047).

      4. Paragraph 5 of amendments, which are made to certain decisions of the Government of the Republic of Kazakhstan, approved by the decree of the Government of the Republic of Kazakhstan dated January 28, 2013 no. 49 "On certain issues of State Technical Service" (Collected Acts of the President and the Government of the Republic of Kazakhstan, 2013., no. 12, art. 226).

      5. Paragraph 3 of amendments, which are made to certain decisions of the Government of the Republic of Kazakhstan, approved by the decree of the Government of the Republic of Kazakhstan от 21 мая 2013 no. 507 "On amendments to certain decisions of the Government of the Republic of Kazakhstan" (Collected Acts of the President and the Government of the Republic of Kazakhstan, 2013., no. 34, art. 505).

Об утверждении Правил проведения аттестации информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

Постановление Правительства Республики Казахстан от 23 мая 2016 года № 298. Утратило силу постановлением Правительства Республики Казахстан от 31 декабря 2019 года № 1047.

      Сноска. Утратило силу постановлением Правительства РК от 31.12.2019 № 1047 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 5) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила проведения аттестации информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности.

      2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению.

      3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Премьер-Министр Республики Казахстан	К. Масимов

Утверждены постановлением Правительства Республики Казахстан от 23 мая 2016 года № 298

Правила
проведения аттестации информационной системы,
информационно-коммуникационной платформы "электронного
правительства", интернет-ресурса государственного органа на
соответствие требованиям информационной безопасности

1. Общие положения

      1. Настоящие Правила проведения аттестации информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" и определяют порядок проведения аттестации информационных систем, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности.

      2. Настоящие Правила не распространяются на проведение аттестации информационных систем в защищенном исполнении, отнесенных к государственным секретам.

      3. Основные определения, термины и понятия, используемые в Правилах:

      1) уполномоченный орган в сфере обеспечения информационной безопасности (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере обеспечения информационной безопасности;

      2) государственная техническая служба – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

      3) заявитель – собственник (владелец) объекта аттестации либо уполномоченное им лицо, подавший заявление на проведение аттестации объекта аттестации на соответствие требованиям информационной безопасности;

      4) информационная безопасность в сфере информатизации

      (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем, информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      5) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      6) объекты аттестации – информационная система, информационно-коммуникационная платформа "электронного правительства", интернет-ресурс;

      7) аппаратно-программный комплекс – совокупность программного обеспечения и технических средств, совместно применяемых для решения задач определенного типа;

      8) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      9) информационно-коммуникационная платформа "электронного правительства" – технологическая платформа, предназначенная для реализации сервисной модели информатизации;

      10) интернет-ресурс – электронный информационный ресурс, отображаемый в текстовом, графическом, аудиовизуальном или ином виде, размещаемый на аппаратно-программном комплексе, имеющий уникальный сетевой адрес и (или) доменное имя и функционирующий в интернете;

      11) исключен постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования);

      12) аттестат соответствия информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа требованиям информационной безопасности (далее – аттестат) – документ, подтверждающий факт соответствия объекта аттестации требованиям информационной безопасности;

      13) акт аттестационного обследования – документ, включающий в себя сведения о фактическом состоянии защищенности объекта аттестации;

      14) аттестация на соответствие требованиям информационной безопасности (далее – аттестация) – организационно-технические мероприятия по определению состояния защищенности объектов, подлежащих аттестации, а также их соответствия требованиям информационной безопасности;

      15) аттестационное обследование – комплекс организационно-технических мероприятий, направленных на изучение, анализ, оценку технической документации объекта аттестации, обследование состояния организации работ по выполнению требований информационной безопасности;

      16) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта аттестации.

      Сноска. Пункт 3 с изменениями, внесенными постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. Ввод в промышленную эксплуатацию информационной системы государственного органа, информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры, негосударственной информационной системы, интегрированной с информационной системой государственного органа или предназначенной для формирования электронных информационных ресурсов государственного органа, интернет-ресурса государственного органа и информационно-коммуникационной платформы "электронного правительства" допускается только при наличии аттестата.

      5. Объектами обязательной аттестации являются:

      1) информационная система государственного органа;

      2) информационная система государственного юридического лица, негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для формирования государственных электронных информационных ресурсов.

      Требования, установленные в настоящем подпункте, не распространяются на информационные системы финансовых организаций при их интеграции через внешний шлюз "электронного правительства", введенный в промышленную эксплуатацию;

      3) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;

      4) информационно-коммуникационная платформа "электронного правительства";

      5) интернет-ресурс государственного органа.

      При использовании сервисов национального удостоверяющего центра Республики Казахстан по проверке подлинности электронной цифровой подписи прохождение аттестации на соответствие требованиям информационной безопасности для объектов аттестации, указанных в настоящем пункте, не требуется.

      Сноска. Пункт 5 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. Негосударственные информационные системы и интернет-ресурсы могут быть аттестованы на соответствие требованиям информационной безопасности по инициативе собственника (владельца) либо уполномоченного им лица.

      7. Аттестация состоит из следующих основных этапов:

      1) прием заявления на проведение аттестации и проверка пакета документов на соответствие форме и комплектность;

      2) аттестационное обследование;

      3) рассмотрение результатов аттестационного обследования уполномоченным органом;

      4) принятие решения уполномоченным органом.

      Сноска. Пункт 7 с изменением, внесенным постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      8. Аттестация объектов аттестации на соответствие требованиям информационной безопасности проводится уполномоченным органом.

      9. Аттестационное обследование объектов аттестации проводится государственной технической службой.

      10. Исключен постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      11. Собственник либо владелец объекта аттестации, подлежащего обязательной аттестации, или уполномоченное им лицо ежегодно не позднее 1 марта направляет уполномоченному органу перечень объектов, планируемых к аттестации в текущем году, по форме согласно приложению 1 к настоящим Правилам.

      12. Заявление на проведение аттестации на соответствие требованиям информационной безопасности принимается уполномоченным органом не позднее 1 ноября текущего года.

2. Порядок проведения аттестации

      13. Заявитель подает заявление на проведение аттестации на соответствие требованиям информационной безопасности в уполномоченный орган по форме согласно приложению 2 к настоящим Правилам с предоставлением следующих документов:

      1) копии документа, удостоверяющего личность (для физических лиц);

      2) копии технического задания, в случае отсутствия технического задания на интернет-ресурс направляется техническая спецификация;

      3) общей функциональной схемы объекта аттестации с указанием используемых уникальных сетевых адресов серверов и рабочей станции администратора, а также локальной схемы сети, утвержденных собственником (владельцем), пояснительной записки к общей функциональной схеме, заверенной подписью и печатью заявителя;

      4) копии утвержденных собственником (владельцем) ТД по ИБ объекта аттестации, заверенных подписью и печатью заявителя, согласно приложению 3 к настоящим Правилам;

      5) перечня объектов информатизации, интегрированных с объектом аттестации, по форме согласно приложению 4 к настоящим Правилам, утвержденного собственником объекта аттестации и заверенного подписью и печатью заявителя (при наличии объектов информатизации, интегрированных с объектом аттестации);

      6) копии утвержденных собственником (владельцем) перечней технических и программных средств, входящих в состав объекта аттестации, по форме согласно приложениям 5 и 6 к настоящим Правилам, заверенных подписью и печатью заявителя (в случае, если объект аттестации не использует информационно-коммуникационные услуги);

      7) копии договора на использование информационно-коммуникационных услуг с приложением технической характеристики и договора об оказании информационно-коммуникационных услуг (в случае, если объект аттестации использует информационно-коммуникационные услуги).

      14. После получения заявления уполномоченный орган в течение трех рабочих дней осуществляет проверку соответствия заявления и прилагаемых к заявлению документов требованиям к форме и комплектности, установленным настоящими Правилами.

      15. В случае несоответствия заявления и (или) документов установленным требованиям, уполномоченный орган возвращает их заявителю с указанием причин возврата.

      16. В случае соответствия заявления и приложенных документов требованиям к форме и комплектности, уполномоченный орган в течение срока, установленного пунктом 14 настоящих Правил, направляет заявление с приложенными документами в государственную техническую службу.

      17. После получения заявления и приложенных документов государственная техническая служба не позднее трех рабочих дней направляет заявителю два экземпляра договора на оказание услуг по аттестационному обследованию. Заявитель в течение пяти рабочих дней с даты получения экземпляров договора подписывает и возвращает один экземпляр государственной технической службе.

      В случае, если по истечении указанного срока подписанный заявителем экземпляр договора не представлен государственной технической службе, заявление на проведение аттестации считается аннулированным.

      18. Стоимость аттестационного обследования устанавливается органами национальной безопасности по согласованию с антимонопольным органом.

      Сноска. Пункт 18 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      19. Срок аттестационного обследования не должен превышать тридцати рабочих дней с даты вступления в силу договора на оказание услуг по аттестационному обследованию.

      В случае, если аттестуемая информационная система является территориально распределенной, срок аттестационного обследования составляет не более сорока рабочих дней.

      Сноска. Пункт 19 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      20. Государственная техническая служба проводит аттестационное обследование объекта аттестации в соответствии с методикой проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса на соответствие требованиям информационной безопасности, утвержденной уполномоченным органом.

      21. Заявитель обеспечивает государственной технической службе доступ в помещение, к оборудованию и документации объекта аттестации для проведения аттестационного обследования в соответствии с условиями договора на оказание услуг по аттестационному обследованию.

      22. Аттестационное обследование включает:

      1) предварительный анализ исходных данных объекта аттестации;

      2) анализ и оценку соответствия ТД по ИБ объекта аттестации требованиям нормативных правовых актов и стандартов в сфере информационной безопасности и защиты информации, принятых на территории Республики Казахстан;

      3) обследование объекта аттестации и оценку фактического выполнения требований, установленных ТД по ИБ, организационно-распорядительной, эксплуатационной документацией объекта аттестации и нормативными правовыми актами и стандартами в сфере информационной безопасности и защиты информации, принятых на территории Республики Казахстан;

      4) инструментальное обследование компонентов объекта аттестации.

      23. Государственная техническая служба не вправе разглашать сведения, составляющие коммерческую или иную охраняемую законом тайну, ставшие ей известными при проведении работ по аттестационному обследованию объекта аттестации.

      24. По результатам аттестационного обследования государственная техническая служба составляет акт аттестационного обследования, который включает в себя сведения о фактическом состоянии защищенности объекта аттестации.

      25. Акт аттестационного обследования составляется в трех экземплярах, один из которых остается в государственной технической службе, а оставшиеся передаются в уполномоченный орган − для уполномоченного органа и заявителя.

      Сноска. Пункт 25 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      26. Исключен постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      27. На основании акта аттестационного обследования в течение трех рабочих дней уполномоченный орган принимает одно из следующих решений:

      1) о выдаче аттестата;

      2) об отказе в выдаче аттестата;

      3) об устранении заявителем выявленных несоответствий.

      Решение об устранении заявителем выявленных несоответствий принимается не более одного раза по заявлению на проведение аттестации.

      Сноска. Пункт 27 с изменением, внесенным постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      28. В случае принятия положительного решения об аттестации, уполномоченный орган в течение трех рабочих дней с даты принятия решения направляет заявителю акт аттестационного обследования и аттестат по форме, согласно приложению 7 к настоящим Правилам, и вносит соответствующие сведения в реестр аттестатов.

      Сноска. Пункт 28 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      29. Реестр аттестатов ведется уполномоченным органом и содержит следующие сведения:

      1) наименование объекта аттестации;

      2) собственник (владелец) объекта аттестации;

      3) разработчик объекта аттестации;

      4) реквизиты акта аттестационного обследования (акта дополнительного аттестационного обследования);

      5) реквизиты аттестата;

      6) отзыв, возврат аттестата;

      7) прекращение действия аттестата.

      Реестр аттестатов ведется в бумажной форме.

      30. В случае принятия решения об отказе в выдаче аттестата, уполномоченный орган в течение трех рабочих дней с даты принятия решения направляет заявителю акт аттестационного обследования.

      После устранения выявленных несоответствий заявитель вправе подать заявление на проведение аттестации данного объекта в порядке, установленном настоящими Правилами.

      Сноска. Пункт 30 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      31. В случае принятия решения об устранении выявленных несоответствий, уполномоченный орган в течение трех рабочих дней с даты принятия решения направляет заявителю акт аттестационного обследования.

      В случае устранения заявителем выявленных несоответствий, в течение двадцати рабочих дней он уведомляет уполномоченный орган об их устранении и представляет документы для дополнительного аттестационного обследования. Дополнительное аттестационное обследование проводится бесплатно.

      Дополнительный срок исчисляется с даты получения заявителем указанных документов.

      Сноска. Пункт 31 с изменением, внесенным постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      32. Отсутствие в течение двадцати рабочих дней уведомления об устранении замечаний является основанием для отказа заявителю.

      33. Уполномоченный орган в течение трех рабочих дней с даты получения уведомления извещает государственную техническую службу о необходимости проведения дополнительного аттестационного обследования.

      34. В течение пятнадцати рабочих дней с даты поступления от уполномоченного органа уведомления о проведении дополнительного аттестационного обследования государственная техническая служба проводит дополнительное аттестационное обследование объекта аттестации.

      35. По результатам дополнительного аттестационного обследования государственная техническая служба составляет акт дополнительного аттестационного обследования, который включает в себя сведения об устранении замечаний, выявленных при проведении аттестационного обследования объекта аттестации.

      Акт дополнительного аттестационного обследования составляется в трех экземплярах, один из которых остается в государственной технической службе, а оставшиеся передаются в уполномоченный орган для уполномоченного органа и заявителя.

      Сноска. Пункт 35 с изменением, внесенным постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      36. Исключен постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      37. Уполномоченный орган в течение трех рабочих дней с даты получения актов дополнительного аттестационного обследования принимает одно из следующих решений:

      1) о выдаче аттестата;

      2) об отказе в выдаче аттестата.

      Сноска. Пункт 37 с изменением, внесенным постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      38. В случае принятия положительного решения по результатам дополнительного аттестационного обследования, уполномоченный орган в течение трех рабочих дней направляет заявителю акт дополнительного аттестационного обследования и аттестат по форме, согласно приложению 7 к настоящим Правилам, и вносит соответствующие сведения в реестр аттестатов.

      Сноска. Пункт 38 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      39. В случае принятия решения об отказе в выдаче аттестата по результатам дополнительного аттестационного обследования, заявитель после устранения выявленных несоответствий вправе подать заявление на проведение аттестации данного объекта в порядке, установленном настоящими Правилами.

      40. Аттестат выдается на срок промышленной эксплуатации объекта аттестации, за исключением информационно-коммуникационной платформы "электронного правительства", при соблюдении (обеспечении) в течение указанного срока неизменности условий функционирования и функциональности объекта аттестации, аппаратно-программного комплекса и информационно-коммуникационных технологий, обеспечивающих обработку защищаемой информации и определяющих безопасность информации.

      Аттестат информационно-коммуникационной платформы "электронного правительства" выдается на один год.

      41. По истечении срока действия аттестата объект аттестации подлежит аттестации в порядке, установленном настоящими Правилами.

      42. Объекты аттестации, подлежащие обязательной аттестации, за исключением информационной-коммуникационной платформы "электронного правительства", в течение одного года с даты получения аттестата подключаются к информационной системе мониторинга обеспечения информационной безопасности государственной технической службы и уведомляют об этом уполномоченный орган.

      43. В случае изменения условий функционирования и функциональности объекта аттестации, собственник или владелец объекта аттестации после завершения работ по его развитию направляет в уполномоченный орган уведомление о необходимости проведения его повторной аттестации в порядке, установленном настоящими Правилами, с приложением описания всех произведенных изменений.

      Ответственность за выполнение установленных условий функционирования объекта аттестации, технологии обработки защищаемой информации и требований по информационной безопасности возлагается на собственника и (или) владельца объекта аттестации.

      44. Уполномоченный орган со дня получения уведомления в течение трех рабочих дней принимает решение о проведении повторной аттестации объекта аттестации.

      Сноска. Пункт 44 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      45. Уполномоченный орган принимает решение об отзыве аттестата в следующих случаях:

      1) невыполнения требований, указанных в пункте 41 настоящих Правил;

      2) наличия письменного заявления собственника или владельца объекта аттестации;

      3) несоответствия объекта аттестации требованиям информационной безопасности, выявленного при проверке, проведенной в соответствии с Предпринимательским кодексом Республики Казахстан;

      4) изменения условий функционирования и функциональности объекта аттестации, указанного в пункте 5 настоящих Правил;

      5) прекращения эксплуатации объекта аттестации, указанного в пункте 5 настоящих Правил.

      Сноска. Пункт 45 с изменениями, внесенными постановлением Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      46. Копия решения об отзыве аттестата направляется собственнику (владельцу) объекта аттестации, который в течение трех рабочих дней с даты получения копии указанного решения возвращает аттестат уполномоченному органу и, в случае необходимости, направляет заявление на проведение аттестации объекта аттестации в порядке, установленном настоящими Правилами.

      47. Внедрение нового сервисного программного продукта, изменение сервисного программного продукта не влечет отзыва аттестата информационно-коммуникационной платформы "электронного правительства".

      48. В случаях утери, повреждения или порчи аттестата, собственник (владелец) объекта аттестации направляет в уполномоченный орган уведомление с указанием причин. Уполномоченный орган в течение пяти рабочих дней с даты получения уведомления выдает дубликат аттестата.

Приложение 1 к Правилам проведения аттестации информационной системы, информационно- коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

      форма

Перечень объектов,
планируемых к аттестации в текущем году

№ п/п	Собственник (владелец) объекта аттестации	Наименование объекта аттестации	Этап жизненного цикла объекта аттестации	Планируемая дата для прохождения аттестации	Реквизиты акта испытаний объекта аттестации
1	2	3	4	5	6

Приложение 2 к Правилам проведения аттестации информационной системы, информационно- коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

      Сноска. Приложение 2 в редакции постановления Правительства РК от 09.04.2018 № 178 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      форма

Кому ____________________________ (наименование органа по аттестации)

                                    ЗАЯВЛЕНИЕ
на проведение аттестации на соответствие требованиям информационной безопасности

      ________________________________________________________________________________
            (наименование, БИН/ИИН*, Ф.И.О. (при его наличии) заявителя)
просит провести аттестацию _______________________________________________________
                              (наименование объекта аттестации)
на соответствие требованиям информационной безопасности.

      1. Исходные данные по объекту аттестации, представленному к аттестации на соответствие
требованиям информационной безопасности, на ____ листах прилагаются.

      2. ________________________________________________________________________________
                  (наименование, Ф.И.О. (при его наличии) заявителя)
обязуется представить необходимые документы и создать условия для проведения
аттестации объекта аттестации на соответствие требованиям информационной безопасности.

      ____________________________ (подпись) М.П. "_____" _________________ 20___ года

      *бизнес-идентификационный номер/индивидуальный идентификационный номер

Приложение 3 к Правилам проведения аттестации информационной системы, информационно- коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

Перечень технической документации
по информационной безопасности

      1. Политика информационной безопасности.

      2. Методика оценки рисков информационной безопасности.

      3. Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации.

      4. Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации.

      5. Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения.

      6. Правила проведения внутреннего аудита информационной безопасности.

      7. Правила использования криптографических средств защиты информации в объекте аттестации (данный документ является обязательным для объектов аттестации, использующих криптографические средства защиты информации).

      8. Правила разграничения прав доступа к электронным ресурсам объекта аттестации.

      9. Правила использования сети интернет и электронной почты.

      10. Правила организации процедуры аутентификации.

      11. Правила организации антивирусного контроля.

      12. Правила использования мобильных устройств и носителей информации.

      13. Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов объекта аттестации.

      14. Руководство администратора по сопровождению объекта аттестации.

      15. Регламент резервного копирования и восстановления информации объекта аттестации.

      16. Инструкция о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

Приложение 4 к Правилам проведения аттестации информационной системы, информационно- коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

      форма

Перечень объектов информатизации,
интегрированных с объектом аттестации

№ п/п	Наименование объекта информатизации	Собственник (владелец)	Характер взаимодействия
1	2	3	4

Приложение 5 к Правилам проведения аттестации информационной системы, информационно- коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

      форма

Перечень технических средств

№ п\п	Производитель, модель	Серийный/инвентарный номер	Номер сертификата по информационной безопасности (при наличии)	Физическое месторас- положение	Тип (согласно технической документации)	Основное функциональное назначение (согласно программной документации к объекту аттестации)	Используемые методы защиты информации	Разработчик, название, версия (встроенного программного обеспечения)	IP адреса
1	2	3	4	5	6	7	8	9

Приложение 6 к Правилам проведения аттестации информационной системы, информационно- коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

      форма

Перечень программных средств

№ п\п	Разработчик	Название	Версия	Место установки (из перечня технических средств)	Тип (согласно программной документации)	Основное функциональное назначение (согласно программной документации)	Используемые методы защиты информации
1	2	3	4	5	6	7	8

Приложение 7 к Правилам проведения аттестации информационной системы, информационно- коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

      форма

АТТЕСТАТ № ____
соответствия объекта аттестации
требованиям информационной безопасности ___________________________________________________________________

      (наименование объекта аттестации)

      ___________________________________________________________________

      Действителен до "__" _______ 20__ года № ____

      Настоящим Аттестатом удостоверяется, что:

      _____________________________________________________________________

      (наименование объекта аттестации)

      соответствует требованиям информационной безопасности, стандартам в области информационной безопасности. Состав комплекса программных и технических средств информационной системы /информационно-коммуникационной платформы "электронного правительства"/ интернет-ресурса государственного органа прилагается согласно приложению к аттестату.

      С учетом результатов аттестационного обследования на объекте аттестации разрешается обработка ________________________ информации.

      (служебная, общедоступная и т.п.)

      При эксплуатации объекта аттестации запрещается:

      ____________________________________________________________________.

      (ограничения, которые могут повлиять на эффективность мер и

      средств защиты информации)

      Контроль за эффективностью реализованных мер и средств защиты возлагается на соответствующие подразделения заявителя.

      Подробные результаты аттестационного обследования приведены в акте аттестационного обследования (№ ____ от "___" 20___ года).

      Настоящий аттестат соответствия объекта аттестации требованиям информационной безопасности выдан на _____________________________,

      (срок действия аттестата)

      в течение которых(ого) должна быть обеспечена неизменность условий функционирования и функциональности объекта аттестации.

      Перечень характеристик, об изменениях которых в обязательном порядке следует извещать государственную техническую службу:

      1) _____________________________;

      2) _____________________________.

      Председатель _________________________________________________

      (Ф.И.О. (при его наличии)

      МП "____" ____________ 20__ г.

Приложение

      к аттестату № ________

      от ___________________

      форма

      Таблица № 1

№ п\п	Производитель, модель	Серийный/инвентарный номер	Номер сертификата по информационной безопасности (при наличии)	Физическое месторас- положение	Тип (согласно технической документации)	Основное функциональное назначение (согласно программной документации к объекту аттестации)	Используемые методы защиты информации	Разработчик, название, версия (встроенного программного обеспечения)
1	2	3	4	5	6	7	8	9

      Таблица № 2

№ п\п	Разработчик	Название	Версия	Место установки (из перечня технических средств)	Тип (согласно программной документации)	Основное функциональное назначение (согласно программной документации)	Используемые методы защиты информации
1	2	3	4	5	6	7	8

Приложение к постановлению Правительства Республики Казахстан от 23 мая 2016 года № 298

Перечень
утративших силу некоторых решений Правительства
Республики Казахстан

      1. Постановление Правительства Республики Казахстан от 30 декабря 2009 года № 2280 "Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам" (САПП Республики Казахстан, 2010 г., № 4, ст. 39).

      2. Постановление Правительства Республики Казахстан от 3 ноября 2011 года № 1285 "О внесении изменений и дополнений в постановление Правительства Республики Казахстан от 30 декабря 2009 года № 2280 "Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам"(САПП Республики Казахстан, 2012 г., № 1, ст. 7).

      3. Постановление Правительства Республики Казахстан от 25 сентября 2012 года № 1241 "Об утверждении стандартов государственных услуг в сфере информационных технологий и о внесении изменений в постановления Правительства Республики Казахстан от 20 июля 2010 года № 745 "Об утверждении реестра государственных услуг, оказываемых физическим и юридическим лицам" и от 30 декабря 2009 года № 2280 "Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам" (САПП Республики Казахстан, 2012 г., № 71, ст. 1047).

      4. Пункт 5 изменений, которые вносятся в некоторые решения Правительства Республики Казахстан, утвержденных постановлением Правительства Республики Казахстан от 28 января 2013 года № 49 "О некоторых вопросах государственной технической службы" (САПП Республики Казахстан, 2013 г., № 12, ст. 226).

      5. Пункт 3 изменений, которые вносятся в некоторые решения Правительства Республики Казахстан, утвержденных постановлением Правительства Республики Казахстан от 21 мая 2013 года № 507 "О внесении изменений в некоторые решения Правительства Республики Казахстан" (САПП Республики Казахстан, 2013 г., № 34, ст. 505).