Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі Нұсқаулығын бекіту туралы

Қазақстан Республикасы Премьер-Министрінің Кеңсесі басшысының 2013 жылғы 14 маусымдағы № 25-1-21 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2013 жылы 02 шілдеде № 8543 тіркелді. Күші жойылды - Қазақстан Республикасы Премьер-Министрінің Кеңсесі Басшысының 2021 жылғы 15 наурыздағы № 10-4-10 бұйрығымен.

      Ескерту. Күші жойылды - ҚР Премьер-Министрінің Кеңсесі Басшысының 15.03.2021 № 10-4-10 (ресми жарияланғаннан кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      "Техникалық реттеу туралы" Қазақстан Республикасының 2004 жылғы 9 қарашадағы Заңына және Қазақстан Республикасы Үкіметінің 2002 жылғы 11 қыркүйектегі № 993 қаулысымен бекітілген Қазақстан Республикасы Премьер-Министрінің Кеңсесі туралы ереженің 12-тармағының 21) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі нұсқаулығы бекітілсін.

      2. "Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растау ережесін бекіту туралы" (Нормативтік құқықтар актілерін мемлекеттік тіркеу тізілімінде № 3923 тіркелген) Қазақстан Республикасы Премьер-Министрінің Кеңсесі Басшысының 2005 жылғы 3 қазандағы № 25-1-90 бұйрығының күші жойылған деп танылсын.

      3. Осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелген күнінен бастап қолданысқа енгізіледі.

Кеңсе Басшысы

Е. Қошанов

Қазақстан Республикасы Премьер-Министрінің Кеңсесі Басшысының 2013 жылғы 14 маусымдағы № 25-1-21 бұйрығымен бекітілді

Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық
және бағдарламалық құралдардың (бұйымдардың), ақпаратты
қорғаудың техникалық құралдарының ақпараттық қауіпсіздік
талаптарына сәйкестігін растау жөніндегі Нұсқаулық
1. Жалпы ережелер

      1. Осы Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі нұсқаулық (бұдан әрі - Нұсқаулық) мынадай нормативтік құқықтық актілерге:

      "Техникалық реттеу туралы" 2004 жылғы 9 қарашадағы Қазақстан Республикасының Заңына;

      "Қазақстан Республикасының ұлттық қауіпсіздігі туралы" 2012 жылғы 6 қаңтардағы Қазақстан Республикасының Заңына;

      "Ақпараттандыру туралы" 2007 жылғы 11 қаңтардағы Қазақстан Республикасының Заңына;

      "Электрондық құжат және электрондық цифрлық қолтаңба туралы" 2003 жылғы 7 қаңтардағы Қазақстан Республикасының Заңына сәйкес әзірленді.

      2. Нұсқаулықта "Техникалық реттеу туралы" 2004 жылғы 9 қарашадағы Қазақстан Республикасының Заңына сәйкес сәйкестікті растау мәселелері жөніндегі ұғымдар мен анықтамалар пайдаланылады.

      3. Нұсқаулық Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының (бұдан әрі - АҚҚ мен ЕТҚ) ақпараттық қауіпсіздік талаптарына сәйкестігін растауды (бұдан әрі - сәйкестікті растау) ұйымдастыру және жүргізу тәртібін нақтылайды. Сәйкестікті растау кезінде АҚҚ мен ЕТҚ сәйкестігі ақпараттық қауіпсіздік саласындағы, оның ішінде мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету уәкілетті мемлекеттік органымен, ұлттық қауіпсіздік органдарымен және басқа да мүдделі мемлекеттік органдармен келісілген ақпаратты қорғаудың техникалық құралдарын қолдану мәселелері жөніндегі нормативтік құқықтық актілердің, нақты стандарттардың талаптарына сәйкестігі расталады.

      4. Ақпараттық қауіпсіздік талаптарына сәйкестікті растауға Қазақстан Республикасының Үкіметінің 2005 жылғы 20 сәуірдегі № 367 қаулысымен бекітілген Міндетті сертификаттауға жататын өнімдер мен қызметтердің тізбесіне енген АҚҚ мен ЕТҚ жатады.

      АҚҚ мен ЕТҚ құрамына кіретін криптография (шифрлау) құралдары белгіленген тәртіппен бекітілген шифрлау құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растаудың жекелеген ережелеріне сәйкес сертификаттау нысанында сәйкестікті растауға жатады.

      Мемлекеттік құпияларды құрайтын ақпаратты өңдеуге, беруге және сақтауға арналған техникалық құралдар осы Нұсқаулықтың 7-тарауында айқындалған тәртіппен сертификаттау нысанында сәйкестікті растауға жатады.

      5. Сәйкестікті растау рәсімдерін тек сәйкестікті растау жөніндегі органдар (Орган) мен осындай сынақтарды өткізу құқығына аккредиттелген сынақ зертханалары (орталықтары) жасайды.

      Ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестігін растау жөніндегі жұмысты жүзеге асыратын сәйкестікті растау жөніндегі органдар мен сынақ зертханалары (орталықтары) өтінім иесі беретін не сәйкестікті растауды жүргізу барысында алынған мәліметтерді жарияламауды қамтамасыз етеді.

      6. Ұсынылатын мәліметтерді жарияламау талаптары өтінім иесі немесе меншік иесі мен сәйкестікті растау жөніндегі орган немесе сынақ зертханасы (орталығы) арасында жасалатын шартта және Қазақстан Республикасының мемлекеттік құпияларды қорғау туралы заңнамасына сәйкес айқындалады.

      7. Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтердің, оның ішінде АҚҚ мен ЕТҚ нақты тізбелері, АҚҚ мен ЕТҚ сәйкестігін растауды жүргізу мақсатында оларды сәйкестікті растау жөніндегі органға және/немесе сынақ зертханасына (орталығына) беру шарттары мен тәртібі Қазақстан Республикасының мемлекеттік құпияларды қорғау жөніндегі заңнамасына сәйкес айқындалады және бірлескен жұмыстарды жүргізуге арналған шарттарда көрсетіледі.

      8. Мемлекеттік органдарда қолданылатын АҚҚ мен ЕТҚ сәйкестігін растау бойынша жұмыстарды жүзеге асыратын сәйкестікті растау жөніндегі органдарда және сынақ зертханаларында (орталықтарында) Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтермен жұмыс жасауға Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің рұқсаты болуға тиіс.

2. Ақпараттық қауіпсіздік талаптарына
АҚҚ мен ЕТҚ сәйкестігін растау

      9. АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау деп, нәтижесі бойынша техникалық регламенттерде, стандарттардың ережелерінде немесе басқа да құжаттарда белгіленген талаптарға сәйкестік сертификаты түрінде сәйкестікті растау жөніндегі орган берген ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестігін құжаттамалық куәландыру болып табылатын рәсім түсініледі.

      АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау өңделетін (сақталатын) ақпараттың құпиялылық дәрежесіне байланысты сәйкестікті растауды және сынақтарды жүргізу параметрлері мен әдістерін белгілейтін нормативтік құжаттардың талаптарына сәйкес жүргізіледі.

      Өңделетін (сақталатын) ақпараттың құпиялылық дәрежесін ескере отырып, ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестігі сертификаттарының құрамынан алынған деректер АҚҚ мен ЕТҚ-ны пайдалануға берілген нұсқамаға (ақпараттық қауіпсіздік талаптары бойынша) енгізу үшін белгіленген тәртіппен пайдаланылады.

      Сәйкестік сертификаты бар АҚҚ мен ЕТҚ-ны пайдаланушылар қолданыстағы пайдалануға арналған нұсқамалардың (ақпараттық қауіпсіздік талаптары бойынша) орындалуын қамтамасыз етеді. Бұл ретте ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растауға жататын АҚҚ мен ЕТҚ-ны құрудың ұсынылатын тәртібі осы Нұсқаулықтың қосымшасына сәйкес жүзеге асырылады.

3. Ақпараттық қауіпсіздік талаптарына сәйкестікті
растау бойынша жұмыстар жүргізу

      12. АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау рәсімдердің мынадай жүйелілігін көздейді:

      сәйкестікті растау жөніндегі органға сертификаттау бойынша жұмыстар жүргізу туралы өтінім жасайтын тұлғаның (бұдан әрі - өтінім беруші) АҚҚ мен ЕТҚ-ны сертификаттау жүргізу туралы өтінімді беруі;

      сәйкестікті растау жөніндегі органның өтінімді қарау нәтижелері бойынша шешім қабылдауы;

      өтінім берушімен бірге сәйкестікті растау схемасын таңдау;

      сәйкестікті растау жөніндегі орган мен өтінім иесі арасындағы сертификаттау жөніндегі жұмыстарды жүргізуге арналған шарттың жасалуы;

      мәлімделген АҚҚ немесе ЕТҚ үлгісін (үлгілерін) Іріктеуді және сәйкестендіруді жүргізу;

      сынау нәтижелерін талдау;

      сәйкестік сертификатын беру туралы шешім қабылдау;

      сәйкестік сертификатын мемлекеттік техникалық реттеу жүйесінің тізіліміне тіркеу және оны өтінім берушіге беру;

      сертификатталған өнімге инспекциялық бақылау жүргізу (егер бұл сертификаттау схемасымен қаралса);

      сертификаттау нәтижелері туралы ақпаратты ұсыну.

      13. Мәлімделген АҚҚ мен ЕТҚ түріне және таңдап алынған сертификаттау схемасына байланысты мынадай ілеспе құжаттар өтінімге қоса беріледі:

      өтінім иесінің құрылтай құжаттары;

      АҚҚ мен ЕТҚ-ны жеткізуге жасалған инвойс, келісім-шарт (импорт кезінде);

      мәлімделген АҚҚ мен ЕТҚ үлгілерінің ұсынылатын үлгі топтамасына берілген жүкқұжат;

      АҚҚ мен ЕТҚ-ны сәйкестендіруге және АҚҚ мен ЕТҚ-ның белгіленген талаптарға сәйкестігін бағалауға мүмкіндік беретін, техникалық өлшемдерді қамтитын АҚҚ мен ЕТҚ-ның техникалық сипаттамасы;

      өндірушінің сәйкестікті растау үшін мәлімделген АҚҚ мен ЕТҚ-ны өндіру фактісін растайтын оның құжаты (егер өтінім иесі сатушы болған жағдайда);

      сынақ өткізу үшін үлгілерді іріктеу мүмкіндігі туралы;

      мемлекеттік құпияны қорғау және ақпараттық қауіпсіздікті қамтамасыз ету (АҚҚ) жөніндегі уәкілетті мемлекеттік органмен және ақпараттандыру саласында (ЕТҚ) уәкілетті органмен АҚҚ немесе ЕТҚ техникалық сипаттамаларын бағалау;

      АҚҚ мен ЕТҚ растайтын көрсеткіштеріне қойылатын талаптарды құрайтын нормативтік немесе техникалық құжаттар, сынау әдістері;

      АҚҚ және ЕТҚ функцияларын іске асыратын программалардың бастапқы кодтары, оның ішінде ақпаратты өңдеу және қорғау механизмдері.

      АҚҚ мен ЕТҚ техникалық сипаты мынаны құрауға тиіс:

      атауы, қолданылуы, АҚҚ мен ЕТҚ жиынтықтығы, олармен орындалатын функциялары;

      программалық қамтамасыз ету нұсқасы (болған жағдайда);

      электр сипаттамалары, радиосәулелеу сипаттамалары (радиоэлектрондық құралдар үшін);

      жалпы қолданыстағы деректерді беру желісіндегі қолдану шарты; іске асырылатын интерфейстерді және хаттамаларды көрсету арқылы жалпы қолданыстағы деректерді беру желісіне косу схемалары;

      криптограмманың (шифрлеу) қоса салынған құралдарының, ғаламдық спутникті навигациялық жүйелердің қабылдағыштарының болуы (болмауы) туралы мәлімет;

      климаттық және техникалық талаптарды, орналастыру тәсілдерін, электр қуатының типтерін қоса алғанда пайдалану шарттары.

      14. Өтінім және оған ілеспе құжаттама мемлекеттік, орыс және/немесе ағылшын тілдерінде ұсынылады. Өтінім иесімен шет тілінен аудармасы болған жағдайда Қазақстан Республикасының заңнамасына сәйкес оның дәлме-дәлдігін растау ұсынылады.

      Сәйкестікті растау жөніндегі органға өтінім иесі ұсынған нормативтік және техникалық құжаттамада осы ақпараттық жүйеде іске асырылған ақпаратты өңдеу мен қорғаудың барлық функциялары мен тетіктерінің толық сипаттамасы болуға тиіс.

      15. Оған қоса берілген өтінім және (немесе) құжаттар осы Ереженің 13 және 14-тармақтарында белгіленген талаптарға сәйкес болмаса, онда олар Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасына сәйкес мерзімде қайтарудың негізделген себептерін көрсете отырып, тапсырыс бойынша шешіммен бірге қайтарылуы тиіс.

      Ескертулер болмаған кезде (ескертулер жойылғаннан кейін) сәйкестікті растау органы өтінім иесіне өтінімді қарау нәтижелері бойынша шешімді жібереді және сәйкестікті растауды жүргізу үшін комиссия (бұдан әрі - комиссия) құрады.

      Егер өтінім беруші сәйкестікті растау процедуралар шарттарымен келіссе, осы жұмыстарды жүргізуге шарт жасалады.

      16. Өтінімді қарау кезінде мыналар белгіленеді:

      өтінім иесінің құрылтай құжаттарының болуы;

      өтінім иесінің Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасында белгіленген талаптарға сәйкестігі; ұсынылған құжаттаманың толықтығы.

      17. Өтінімді алдын ала қарау барысында сәйкестікті растау жөніндегі орган:

      өтінім иесіне сәйкестікті растау тәртібі мен рәсімдері, оларға сәйкестікке сәйкестікті растау жөніндегі жұмыстар жүргізілетін нормативтік талаптар туралы хабарлайды;

      өтінім иесіне сәйкестік сертификатын беру кезінде қандай шектеулер белгіленуі мүмкіндігін түсіндіреді;

      өтінім иесіне өтінімді қарау барысында анықталған кемшіліктер тізбесімен бірге жазбаша хабарлама жібереді.

      сәйкестікті растау жөніндегі орган өтінім иесіне сәйкестікті растау жөніндегі жұмыстарды жүргізуден бас тартады.

      Мұндай бас тартудың себептері мыналар болады:

      мәлімделген АҚҚ мен ЕТҚ-ға сәйкес емес құжаттаманы ұсынуы;

      өтінімді берген сәтте мәлімделген АҚҚ мен ЕТҚ-ның растайтын көрсеткіштеріне қойылатын талаптарды қамтитын нормативтік немесе техникалық құжаттар күшінің жойылуы;

      мәлімделген АҚҚ мен ЕТҚ-ның нормативтік немесе техникалық құжаттамасында сәйкестікті растау жөніндегі жұмыстарды жүргізу кезінде расталатын көрсеткіштерге қойылатын талаптарды қамтитын сынақтар әдістерінің болмауы немесе олардың толық жазылмауы;

      нормативтік немесе техникалық құжаттамада жазылған және мәлімделген АҚҚ мен ЕТҚ-ның сәйкестігін растау жөніндегі жұмыстарды жүргізу кезінде расталатын көрсеткіштердің нормативтік құжаттардың талаптарына сәйкес болмауы.

      Өтінімді қанағаттандырудан бас тартылған жағдайда сәйкестікті растау жөніндегі орган 10 күнтізбелік күн ішінде өтінім иесіне ол ұсынған барлық құжаттарды ресми түрде шешіммен бірге жібереді. Мәлімделген АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растаудан дәлелді бас тартуды шешімге қоса береді.

4. АҚҚ мен ЕТҚ үлгілерін іріктеуді және сәйкестендіруді жүргізу

      18. Мәлімделген АҚҚ немесе ЕТҚ үлгілерінің (үлгісінің) қажетті санын іріктеуді, оларды сәйкестендіруді, егер нормативтік және техникалық құжаттарда орамасы мен таңбалануы көзделген болса, олардың бар - жоқтығын және жай-күйін тексеруді өтінім иесі өкілінің қатысуымен сәйкестікті растау жөніндегі органның маманы, сынақ зертханасының (орталығының) қызметкері жүргізеді. Сәйкестікті растау жөніндегі органның тапсырмасы бойынша үлгілерді іріктеуді өтінім иесінің бұйрығымен тағайындалған, мүдделі емес ұйымдардың өкілдерінен тұратын құзыретті комиссия жүргізеді.

      Іріктеп алынатын АҚҚ немесе ЕТҚ саны, оларды іріктеу әдістемесі, сондай-ақ оларды тасымалдау және сақтау шарттары мәлімделген АҚҚ-ға немесе ЕТҚ-ға сәйкестікті растау жөніндегі нормативтік құжаттардың талаптарына сәйкес болуға тиіс.

      АҚҚ немесе ЕТҚ үлгілерін іріктеу екі данадағы актімен ресімделеді. АҚҚ немесе ЕТҚ үлгілерін сәйкестендіру нәтижелері іріктеу актісіне енгізіледі.

      Іріктелген үлгілерді өтінім берушінің қатысуымен пломбаланады (егер бұл мүмкін болса) және өнім үлгілерін іріктеу актісін және оған арналған техникалық құжаттаманы қоса сала отырып, аккредиттелген сынақ зертханасына (орталығына) жіберіледі.

5. Ақпараттық қауіпсіздік талаптары бойынша АҚҚ немесе
ЕТҚ үлгілерін сертификаттық сынау

      19. Мәлімделген АҚҚ-ның немесе ЕТҚ-ның іріктелген үлгілерін ақпараттық қауіпсіздік талаптары бойынша сертификаттық сынақтарды сәйкестікті растау жөніндегі жұмыстарды жүргізуге арналған шартқа сәйкес сынақ бағдарламасына орай белгіленген тәртіппен аккредиттелген сынақ зертханасы (орталығы) жүргізеді.

      20. Сертификаттау нысанында АҚҚ-ның немесе ЕТҚ-ның сәйкестігін растау кезінде сертификаттаудың мынадай схемалары қолданылады:

      № 2 схема - өтінім иесінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және өтінім иесінен алынған үлгілерді сертификаттық сынақты және сертификаттың қолданылу мерзімі ішінде сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді көздейді. Сәйкестік сертификаты 1 жыл мерзімге беріледі;

      № 3 схема - әзірлеушінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және әзірлеушіден алынған үлгілерді сертификаттық сынақты және сертификаттың қолданылу мерзімі ішінде сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді көздейді. Сәйкестік сертификаты 1 жыл мерзімге беріледі;

      № 5 схема - әзірлеушінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және әзірлеушіден алынған үлгілерді сертификаттық сынақты жүргізуді және сәйкестік сертификаттың қолданылу мерзімі ішінде әзірлеушінің белгіленген талаптарға сәйкес АҚҚ-ны немесе ЕТҚ-ны шығару мүмкіндігін бақылайды. Сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеру сәйкестік сертификатының қолданылу мерзімі ішінде жүргізіледі. Сәйкестік сертификаты 3 жыл мерзімге беріледі;

      № 7 схема - әзірлеушінің немесе өтінім иесінің өтінімі бойынша әзірленген АҚҚ немесе ЕТҚ партиясын сертификаттау үшін қолданылады және осы партиядан алынған үлгілерді сертификаттық сынақты көздейді. Сәйкестік сертификаты ұсынылған партияға кіретін АҚҚ-ның немесе ЕТҚ-ның сәйкестендіру белгілерін көрсете отырып, 3 жыл мерзімге беріледі.

      АҚҚ-ны немесе ЕТҚ-ны сертификаттауды жүргізу нысанында сәйкестікті растау сәйкестікті растау жөніндегі жұмыстарды жүргізу туралы шартты жасасқан күннен бастап 2 ай ішінде жүзеге асырылуы тиіс. АҚҚ немесе ЕТҚ күрделі жабдығының сәйкестігін растауды жүргізу кезінде мерзім 4 айға дейін ұлғайтылуы мүмкін.

      Аталған схемалар мемлекеттік құпияларды құрайтын, ерекшеліктері осы Нұсқаулықтың 7-бөлімімен анықталатын, ақпараттарды өңдеу, беру және сақтау техникалық құралдарын сертификаттау өткізуге таралмайды.

      21. Нормативтік құжаттамада белгіленген ақпараттық қауіпсіздік талаптарына сәйкестікке сертификаттық сынақтарды белгіленген тәртіппен аккредиттелген сынақ зертханасы (орталығы) АҚҚ және ЕТҚ түрін ескере отырып жүргізеді.

      22. Мәлімделген АҚҚ немесе ЕТҚ үлгілерін сынау нәтижелері бойынша сынақ зертханасы (орталығы) хаттама жасайды, сәйкестікті растау жөніндегі органға және мәлімдеушіге жіберіледі.

      Сертификаттау сызбасына байланысты өнімді өндіру жағдайын талдау жүргізіледі.

      Сәйкестікті растау жөніндегі орган сынақ хаттамаларын талдау, өндірісті және өнім сәйкестігі туралы басқа құжаттарды бағалаудан кейін белгіленген талаптарға өнімнің сәйкестігін бағалауды іске асырады. Осы бағалау нәтижелері сарапшы қорытындысында көрсетіледі. Осы қорытындының негізінде Орган сәйкестік сертификатын беру туралы шешім қабылдайды, оны рәсімдейді және берілген сәйкестік сертификаты тізіліміне тіркейді не болмаса сәйкестік сертификатын беруден дәлелді бас тартады.

6. Құжаттамалық куәлігін беру

      23. Шешім оң болған жағдайда сәйкестікті растау жөніндегі орган стандарттау жөніндегі нормативтік құжаттарға сәйкес сәйкестік сертификатын рәсімдейді және береді. Сәйкестік сертификатының көшірмелері өтінім берушінің өтінімі бойынша беріледі.

      Сәйкестік сертификатының қолданылуы берілген сәйкестік сертификаттарының тізілімінде көрсетілген оны берген күннен басталады.

      24. Құжаттамалық куәлігін беруден бас тарту, оның қолданылуын уақытша тоқтата тұру немесе тоқтату, оны қайтарып алу немесе күшін жою Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасына сәйкес іске асырылады.

      25. Сәйкестік сертификатының қолданылу кезеңінде сатып алынған АҚҚ-ның немесе ЕТҚ-ның қолданылу аясына сәйкес АҚҚ немесе ЕТҚ бүкіл жарамдылық (қолданылу) мерзімі ішінде Қазақстан Республикасының барлық аумағында пайдаланылады.

      26. Сәйкестік сертификатын ұстаушы:

      сәйкестік сертификаты берілген АҚҚ-ның немесе ЕТҚ-ның белгіленген талаптарға сәйкестігін қамтамасыз етеді;

      сәйкестікті растау жөніндегі органның өкілдері және сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді орындайтын адамдардың өз өкілеттіктерін кедергісіз орындауын қамтамасыз етеді;

      егер сәйкестік сертификатын қолданылу мерзімі өтсе, не сәйкестік сертификатының қолданылуы тоқтатылса немесе уақытша тоқтатылса, АҚҚ-ны немесе ЕТҚ-ны іске асыруды тоқтатады.

      27. Сәйкестікті растау жөніндегі орган егер бұл сертификаттау схемасында көзделген болса, сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді жүзеге асырады.

      Сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеру кемінде жылына бір рет жүзеге асырылады.

      Инспекциялық тексерудің кезеңділігі, мерзімі мен көлемі сәйкестікті растау жөніндегі органмен және сәйкестік сертификатын ұстаушымен келісілген бағдарламада айқындалады.

      28. Сәйкестікті растау жөніндегі орган инспекциялық тексеру нәтижелері бойынша АҚҚ-ның немесе ЕТҚ-ның белгіленген талаптарға сәйкестігі немесе сәйкессіздігі туралы қорытынды шығарады, бұл туралы сәйкестік сертификатын ұстаушыға хабарлайды, сәйкестік сертификатын қолдану уақытша тоқтағанда немесе қолданылу күші жойылғанда техникалық реттеу саласындағы уәкілетті органға және басқа мүдделі тұлғаларға да хабарлайды.

7. Өңдеу үшін арналған техникалық құралдарды, мемлекеттік
құпиялардан тұратын ақпараттарды беру және сақтау, ақпараттық
қауіпсіздік талаптарын сақтауды сертификаттық сынау

      29. Ақпараттық қауіпсіздік талаптарына сәйкестігін сертификаттық сынаудан мемлекетті құпиялардан тұратын ақпараттарды өңдеу, беру және сақтау үшін арналған техникалық құралдардың (бұдан әрі - ТҚ) барлығы өтеді.

      30. Сертификатталған ТҚ сәйкестік сертификатының жарамдылық мерзімі берілген күннен бастап үш жылды құрайды. Кешенді тораптары мен блоктары құрамын өзгерту барысында, ТҚ қайталап сертификаттау керек.

      31. Жанама электромагнитті сәулелену арналары (бұдан әрі - ЖЭМС) жөніндегі нормалар талаптарына сәйкес сертификаттық сынау нәтижесінде Нормативтік құқықтық актілерді мемлекеттік тіркеу реестрінде № 2993 болып тіркелген Қазақстан Республикасы Премьер-Министрі Кеңсесі Басшысының 2004 жылғы 29 шілдедегі № 25-1-59с бұйрығымен бекітілген Есептеуіш техникалар құралын пайдаланып мемлекеттік құпиялардан тұратын деректерді өңдеу барысында құпиялылық режимін қамтамасыз ету жөніндегі нұсқаулықпен (бұдан әрі - Нұсқаулық) бекітілген талаптармен радиотехникалық қауіпсіздік аймағын есептеу нәтижелерінің деректерімен салыстыру арқылы ЕТҚ нысандарының санаттары бойынша ТҚ жіктелуі тиіс.

      ТҚ жіктеу нәтижелері бойынша сертификаттаушы органмен ТҚ қолданылуы мүмкін ЕТҚ нысандарының санаттары бойынша ұсыныстар беріледі.

      32. Радиотехникалық қауіпсіздік аймағын есептеу үшін Ұлттық қауіпсіздік комитетімен келісілген мемлекеттік құпияларды қорғау жөніндегі уәкілетті мемлекеттік органдармен анықталатын нормалар мен әдістемелер қолданылады. Әдістемелерді әзірлеу Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісіліп, сертификаттаушы органдармен жүзеге асырылады.

      33. Қажетті жағдайда, ЖЭМС арналары бойынша ақпараттық қауіпсіздік талаптарына сәйкестігін сынаудан өзге ТҚ сертификаттау барысында өтініш берушімен анықталған, акустоэлектрлік түрленулер арнасын (микрофонды әсер), параметрлік арналарын (жанама сәулеленулердің паразиттік түрленуі), жоғарыжиілікті арналарды және сәулеленулерді т.б. табуға сынау жүргізіледі.

      34. ТҚ сәйкестігін растау жұмыстары барысында техникалық құралдардың құрамына кіретін тораптар мен блоктар туралы деректерден, соның ішінде оларды фото- және (немесе) рентген түсірілімдері бар тексерілген техникалық құралдардың тұратын электронды-құрауыш базасын енгізуді жүзеге асыру қажет.

      Мүдделі мемлекеттік органдардың сұрау беруіне орай (ӨҚК, КПМ, ҚР СВР "Сырбар" және т.б.) сертификаттаушы органдар олардың мекен-жайына көрсетілген деректер қорынан ақпараттарды жібереді.

      35. Мемлекеттік құпияны құрайтын ақпаратты өңдейтін ТҚ программалық қамтамасыз етуі ақпараттық қауіпсіздік стандарттарының талаптары бойынша жоғары деңгейлі сенімділікке сәйкес жекелей сертификаттауға тиіс.

      36. Сертификаттық сынаулар жүргізілгеннен кейін техникалық құралдың барлық құрауыш тораптары мен блоктарын тексеруші ұйымның атауларын көрсете отырып арнайы жапсырмамен және ерекше нөмір беріп, мөрлеп бекітеді. Ол жерде сертификатталған техникалық құралдар туралы деректер қорына сілтеме жасалып, өлшеу және электронды-құрауыш базаларының хаттамалары енгізіледі. Құпия ақпаратты өңдеуге арналған ТҚ жапсырмаларында оны қолдануға ұсынылатын ЕТҚ объектісінің ең жоғарғы санаты көрсетілуге тиіс. Мысалы - "3-санат бойынша сертификатталған".

      37. ТҚ сәйкестігі сертификаты не қосымша мынадай мәліметті құрауға тиіс:

      ТҚ қолдану ұсынылған ЕТҚ объектісінің санаты;

      1-, 2- және 3-санаттары бойынша радиотехникалық қауіпсіздік аймақтары есебінің нәтижелері;

      осы Нұсқаудың 36-тармағында көрсетілген тарату арналарымен айқындалуына байланысты ТҚ пайдалану бойынша шектеулер туралы ұсыныстар.

      38. Құпия ақпаратты қорғаудың техникалық құралдарын сертификаттау техникалық паспортта мәлімделген талаптарға сәйкестігін растау жолымен жүзеге асырылады.

Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі Нұсқаулығына қосымша

Ақпараттық қауіпсіздік талаптарына сәйкестігін
растауға жататын АҚҚ мен ЕТҚ-ны құрудың
ұсынылатын тәртібі

      1. Ақпараттық қауіпсіздік талаптарына сәйкестігін растауға жататын АҚҚ мен ЕТҚ-ны құру мынадай кезеңдерді:

      ақпараттық жүйеге берілетін техникалық тапсырманы әзірлеу, келісу және бекітуді;

      ақпараттық жүйеге берілетін жобалау-сметалық құжаттаманы әзірлеу және бекітуді;

      келісілген жобалық шешімдерді іске асыруды;

      бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені әзірлеуге конкурс өткізуді;

      бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені әзірлеуді;

      бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені енгізуді;

      ақпараттандыру және байланыс саласындағы уәкілетті органның нормативтік құжаттарына сәйкес оның ақпараттық жүйені салалық бағалау жүргізуін қамтиды.

      2. Ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ-ны әзірлеуге арналған техникалық тапсырма және жобалaу-сметалық құжаттама міндетті тәртіппен мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органмен, ақпараттандыру саласындағы уәкілетті органмен, ұлттық қауіпсіздік органдармен келісіледі.

Об утверждении Инструкции по подтверждению соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности

Приказ Руководителя Канцелярии Премьер-Министра Республики Казахстан от 14 июня 2013 года N 25-1-21. Зарегистрирован в Министерстве юстиции Республики Казахстан 2 июля 2013 года N 8543. Утратил силу приказом Руководителя Канцелярии Премьер-Министра Республики Казахстан от 15 марта 2021 года № 10-4-10.

Сноска. Утратил силу приказом Руководителя Канцелярии Премьер-Министра РК от 15.03.2021 № 10-4-10 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с Законом Республики Казахстан 9 ноября 2004 года «О техническом регулировании» и подпунктом 21) пункта 12 Положения о Канцелярии Премьер-Министра Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 11 сентября 2002 года № 993, ПРИКAЗЫВAЮ:

      1. Утвердить прилагаемую Инструкцию по подтверждению соответствия информационных систем, технических, программно- технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности.

      2. Признать утратившим силу Приказ Руководителя Канцелярии Премьер-Министра Республики Казахстан от 3 октября 2005 года № 25-1-90 «Об утверждении Правил обязательного подтверждения соответствия информационных систем, технических, программно- технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов № 3923).

      3. Настоящий приказ вводится в действие со дня государственной регистрации в Министерстве юстиции Республики Казахстан.

Руководитель Канцелярии

Е. Кошанов

Утверждена
приказом Руководителя Канцелярии
Премьер-Министра
Республики Казахстан
от 14 июня 2013 года № 25-1-21

Инструкция по подтверждению соответствия
информационных систем, технических, программно-технических и
программных средств (изделий), технических средств защиты
информации требованиям информационной безопасности
1. Общие положения

      1. Настоящая Инструкция по подтверждению соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности (далее - Инструкция) разработана в соответствии со следующими нормативными правовыми актами:

      Законом Республики Казахстан от 9 ноября 2004 года «О техническом регулировании»;

      Законом Республики Казахстан от 6 января 2012 года «О национальной безопасности Республики Казахстан»;

      Законом Республики Казахстан 11 января 2007 года «Об информатизации»;

      Законом Республики Казахстан 7 января 2003 года «Об электронном документе и электронной цифровой подписи».

      2. В Инструкции используются понятия и определения по вопросам подтверждения соответствия в соответствии с Законом Республики Казахстан от 9 ноября 2004 года «О техническом регулировании».

      3. Инструкция детализирует организацию и проведение подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации (далее - СЗИ и СВТ) требованиям информационной безопасности (далее - подтверждение соответствия). При подтверждении соответствия подтверждается соответствие СЗИ и СВТ требованиям нормативных правовых актов, конкретных стандартов в области информационной безопасности, в том числе по вопросам применения технических средств защиты информации, согласованными с уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности, органами национальной безопасности и другими заинтересованными государственными органами.

      4. Подтверждению соответствия требованиям информационной безопасности подлежат СЗИ и СВТ, включенные в Перечень продукции и услуг, подлежащих обязательной сертификации, утвержденным постановлением Правительства Республики Казахстан от 20 апреля 2005 года № 367.

     Средства криптографии (шифрования), входящие в состав СЗИ и СВТ, подлежат подтверждению соответствия в форме сертификации в соответствии с отдельными правилами подтверждения соответствия шифровальных средств требованиям информационной безопасности, утверждаемыми в установленном порядке.

Технические средства обработки, передачи и хранения информации, составляющей государственные секреты, подлежат подтверждению соответствия в форме сертификации в порядке, определенном разделом 7 настоящей Инструкции.

      5. Процедуры подтверждения соответствия проводят исключительно органы по подтверждению соответствия (Орган) и испытательные лаборатории (центры), аккредитованные на право проведения таких испытаний.

     Органы по подтверждению соответствия и испытательные лаборатории (центры), осуществляющие работы по подтверждению соответствия СЗИ и СВТ требованиям информационной безопасности обеспечивают неразглашение сведений, предоставляемых заявителями, либо полученных в ходе проведения подтверждения соответствия.

6. Условия неразглашения предоставляемых сведений определяются в договоре, заключаемом между заявителем или собственником сведений и органом по подтверждению соответствия или испытательной лабораторией (центром), и в соответствии с законодательством Республики Казахстан о государственных секретах.

      7. Конкретные перечни сведений, в том числе СЗИ и СВТ, составляющих государственные секреты Республики Казахстан, условия и порядок их передачи органу по подтверждению соответствия и/или испытательной лаборатории (центру) в целях проведения подтверждения соответствия СЗИ и СВТ, определяются в соответствии с законодательством Республики Казахстан о государственных секретах и указываются в договорах на проведение совместных секретных работ.

      8. Органы по подтверждению соответствия и испытательные лаборатории (центры), осуществляющие работы по подтверждению соответствия используемых в государственных органах СЗИ и СВТ, должны иметь разрешение Комитета национальной безопасности Республики Казахстан на проведение работ с использованием сведений, составляющих государственные секреты Республики Казахстан.

2. Подтверждение соответствия СЗИ и СВТ требованиям
информационной безопасности

      9. Под подтверждением соответствия СЗИ и СВТ требованиям информационной безопасности понимается процедура, результатом которой является документальное удостоверение соответствия СЗИ и СВТ требованиям информационной безопасности органом по подтверждению соответствия в виде сертификата соответствия требованиям, установленным техническими регламентами, положениями стандартов.

      10. Подтверждение соответствия СЗИ и СВТ требованиям информационной безопасности проводится в соответствии с требованиями нормативных документов, устанавливающих параметры и методы проведения  подтверждения соответствия и испытаний в зависимости от степени секретности обрабатываемой (хранимой) информации.

      11. С учетом степени секретности обрабатываемой (хранимой) информации, данные из состава сертификатов соответствия СЗИ и СВТ требованиям информационной безопасности используются в установленном порядке для внесения в предписания на эксплуатацию СЗИ и СВТ (по требованиям информационной безопасности).

     Пользователи СЗИ и СВТ, имеющих сертификат соответствия, обеспечивают выполнение действующих предписаний на эксплуатацию (по требованиям информационной безопасности). При этом рекомендуемый порядок создания СЗИ и СВТ, подлежащих подтверждению соответствия требованиям информационной безопасности, осуществляется согласно приложению к настоящей Инструкции.

3. Проведение работ по подтверждению соответствия
требованиям информационной безопасности

      12. Подтверждение соответствия СЗИ и СВТ требованиям информационной безопасности предусматривает следующую последовательность процедур:

     подача лицом заявления о проведении работ по сертификации (далее - заявитель) в орган по подтверждению соответствия заявки о проведении сертификации СЗИ или СВТ;

принятие органом по подтверждению соответствия решения по результатам рассмотрения заявки;

     выбор схемы подтверждения соответствия совместно с заявителем;

заключение между органом по подтверждению соответствия и заявителем договора на проведение работ по сертификации;

     проведение идентификации, отбора образца (образцов) заявленных СЗИ или СВТ;

анализ результатов испытаний;

     принятие решения о выдаче сертификата соответствия;

регистрация сертификата соответствия в реестре государственной системы технического регулирования и выдача его заявителю;

     осуществление инспекционного контроля за сертифицированной продукцией (если это предусмотрено схемой сертификации);

предоставление информации о результатах сертификации.

      13. К заявке, в зависимости от типа заявленного СЗИ и СВТ и выбранной схемы сертификации, прилагаются следующие сопроводительные документы:

     учредительные документы заявителя;

инвойс, контракт на поставку СЗИ и СВТ (при импорте);

     накладная на предъявляемую партию образцов заявленного СЗИ и СВТ;

техническое описание СЗИ и СВТ, содержащее технические параметры, позволяющие идентифицировать СЗИ и СВТ и оценить соответствие СЗИ и СВТ установленным требованиям;

     документ изготовителя, подтверждающий факт производства им заявляемого для подтверждения соответствия СЗИ и СВТ (в случае, если заявитель является продавцом);

о возможности отбора образцов для проведения испытаний;

     оценка технических характеристик СЗИ или СВТ уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности (СЗИ) и уполномоченным органом в сфере информатизации (СВТ);

нормативные или технические документы, содержащие требования к подтверждаемым показателям СЗИ и СВТ, методы испытаний;

     исходные коды программ, реализующих функции СЗИ и СВТ, в том числе, механизмы обработки и защиты информации.

Техническое описание СЗИ и СВТ должно содержать:

     наименование, назначение, комплектность СЗИ и СВТ, выполняемые ими функции;

версию программного обеспечения (при наличии);

     электрические характеристики, характеристики радиоизлучения (для радиоэлектронных средств);

условия применения в сети передачи данных общего пользования; схемы подключения к сети передачи данных общего пользования с указанием реализуемых интерфейсов и протоколов;

     сведения о наличии (отсутствии) встроенных средств криптографии (шифрования), приемников глобальных спутниковых навигационных систем;

условия эксплуатации, включая климатические и механические требования, способы размещения, типы электропитания.

      14. Заявка и сопроводительная документация к ней представляются на государственном, русском и/или английском языках. В случае наличия перевода с иностранного языка, заявителем представляется подтверждение его аутентичности.

     В предоставляемой заявителем в орган по подтверждению соответствия нормативной и технической документации должно быть дано полное описание всех функций и механизмов обработки и защиты информации, реализованных в данной информационной системе.

15. Заявка и (или) документы, приложенные к ней, не соответствующие требованиям пунктов 13 и 14 настоящей Инструкции, возвращается заявителю с указанием причин возврата в сроки, предусмотренные для рассмотрения заявки.

     При отсутствии замечаний (после устранения замечаний) орган по подтверждению соответствия направляет заявителю решение по результатам рассмотрения заявки.

В случае если заявитель согласен с условиями процедур подтверждения соответствия, заключается договор на проведение данных работ.

      16. При рассмотрении заявки устанавливается:

     наличие учредительных документов заявителя;

полнота представленной документации.

      17. В ходе предварительного рассмотрения заявки орган по подтверждению соответствия:

     информирует заявителя о порядке и процедурах подтверждения соответствия, нормативных требованиях, на соответствие которым будут проводиться работы по подтверждению соответствия;

разъясняет заявителю, какие могут быть установлены ограничения при выдаче сертификата соответствия;

     направляет заявителю письменное уведомление с перечнем недостатков, которые были обнаружены в ходе рассмотрения заявки, и рекомендации по их устранению;

отказывает заявителю в проведении работ по подтверждению соответствия.

     Причинами отказа являются:

представление документации, не соответствующей заявленным СЗИ и СВТ;

     утрата силы нормативных или технических документов, содержащих требования к подтверждаемым показателям заявленного СЗИ или СВТ на момент подачи заявки;

отсутствие в нормативной или технической документации на заявленные СЗИ или СВТ методов испытаний, содержащих требования к показателям, подтверждаемым при проведении работ по подтверждению соответствия, или неполное их изложение;

     несоответствие показателей, изложенных в нормативной или технической документации и подтверждаемых при проведении работ по подтверждению соответствия заявленного СЗИ или СВТ, требованиям нормативных документов.

В случае отказа в удовлетворении заявки орган по подтверждению соответствия вместе с решением в течение 10 календарных дней официально направляет заявителю все представленные им документы. К решению прилагается мотивированный отказ в подтверждении соответствия заявленного СЗИ и СВТ требованиям информационной безопасности.

4. Проведение отбора и идентификации образцов СЗИ и СВТ

      18. Идентификация заявленного СЗИ или СВТ, отбор необходимого количества образцов (образца) и, если нормативными и техническими документами предусмотрены упаковка и маркировка, проверка их наличия и состояния осуществляются специалистом органа по подтверждению соответствия, работником испытательной лаборатории (центра) в присутствии представителя заявителя. По поручению органа по подтверждению соответствия отбор образцов проводит компетентная комиссия из представителей незаинтересованных организаций, назначенная заявителем.

     Количество отбираемых образцов СЗИ или СВТ, методика их отбора, а также условия их транспортировки и хранения должны соответствовать требованиям нормативных документов по подтверждению соответствия на заявленные СЗИ или СВТ.

Отбор образцов СЗИ или СВТ оформляется актом в двух экземплярах. Результаты идентификации образцов СЗИ или СВТ заносятся в акт отбора.

     Отобранные образцы пломбируются (если это возможно) в присутствии заявителя и направляются в аккредитованную испытательную лабораторию (центр), с приложением акта отбора образцов продукции и технической документации к ним.

5. Сертификационные испытания образцов СЗИ или СВТ требованиям
информационной безопасности

      19. Сертификационные испытания требованиям информационной безопасности отобранных образцов заявленного СЗИ или СВТ согласно договору на выполнение работ по подтверждению соответствия производится аккредитованной испытательной лабораторией (центром) согласно программе испытаний.

      20. При подтверждении соответствия СЗИ или СВТ в форме проведения сертификации применяются следующие схемы сертификации:

      схема № 2 - применяется при сертификации СЗИ или СВТ по заявке заявителя и предусматривает сертификационные испытания образцов, взятых у заявителя, анализ состояния производства и инспекционную проверку за сертифицированными СЗИ или СВТ в течение срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 1 год;

      схема № 3 - применяется при сертификации СЗИ или СВТ по заявке изготовителя и предусматривает сертификационные испытания образцов, взятых у изготовителя, анализ состояния производства и инспекционную проверку за сертифицированными СЗИ или СВТ в течение срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 1 год;

      схема № 5 - применяется при сертификации СЗИ или СВТ по заявке изготовителя и предусматривает проведение сертификационных испытаний образцов, взятых у изготовителя, и контроль за возможностью изготовителя выпускать в течение срока действия сертификата соответствия СЗИ или СВТ, соответствующие установленным требованиям. Инспекционная проверка сертифицированных СЗИ или СВТ осуществляется в течение всего срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 3 года;

      схема № 7 - применяется для сертификации партии изготовленных СЗИ или СВТ по заявке изготовителя или заявителя и предусматривает сертификационные испытания образцов, взятых из этой партии. Сертификат соответствия выдается с указанием идентификационных признаков СЗИ или СВТ, входящих в представленную партию, и выдается сроком до 3 лет.

     Подтверждение соответствия в форме проведения сертификации СЗИ или СВТ должно осуществляться в течение 2 месяцев с даты заключения договора о проведении работ по подтверждению соответствия. При проведении подтверждения соответствия сложного оборудования СЗИ или СВТ срок может быть увеличен до 4 месяцев.

Указанные схемы не распространяются на порядок проведения сертификации технических средств обработки, передачи и хранения информации, составляющей государственные секреты, особенности которого определяются разделом 7 настоящей Инструкции.

      21. Сертификационные испытания проводятся аккредитованной в установленном порядке испытательной лабораторией (центром) с учетом вида СЗИ и СВТ на соответствие установленным в нормативной документации требованиям информационной безопасности.

      22. По результатам испытаний образцов заявленного СЗИ или СВТ испытательной лабораторией (центром) составляется протокол, направляется в орган по подтверждению соответствия и заявителю.

     В зависимости от схемы сертификации производится анализ состояния производства продукции.

Орган по подтверждению соответствия после анализа протоколов испытаний, оценки производства и других документов о соответствии продукции, осуществляет оценку соответствия продукции установленным требованиям. Результаты этой оценки отражают в заключении эксперта. На основании данного заключения Орган принимает решение о выдаче сертификата соответствия, оформляет и регистрирует его в реестре выданных сертификатов соответствия либо мотивированного отказа в выдаче сертификата соответствия.

6. Выдача документального удостоверения

      23. При положительном решении орган по подтверждению  соответствия оформляет и выдает сертификат соответствия согласно нормативным документам по стандартизации. Копия сертификата соответствия выдается по запросу заявителя.

     Действие сертификата соответствия начинается с даты его выдачи, указанной в реестре выданных сертификатов соответствия.

24. Отказ в выдаче, приостановление или прекращение действия, отзыв или аннулирование документального удостоверения осуществляется в соответствии с законодательством Республики Казахстан о техническом регулировании.

      25. Приобретенное в период действия сертификата соответствия СЗИ или СВТ используются на всей территории Республики Казахстан в течение всего срока годности (службы) СЗИ или СВТ в соответствии с областью применения.

      26. Держатель сертификата соответствия:

     обеспечивает соответствие установленным требованиям СЗИ или СВТ, на которые выданы сертификаты соответствия;

обеспечивает беспрепятственное выполнение своих полномочий представителями органа по подтверждению соответствия и лицами, выполняющими инспекционную проверку сертифицированных СЗИ или СВТ;

     прекращает реализацию СЗИ или СВТ, если срок действия сертификата соответствия истек, либо действие сертификата соответствия прекращено или приостановлено.

27. Орган по подтверждению соответствия осуществляет инспекционную проверку сертифицированных СЗИ или СВТ, если это предусмотрено схемой сертификации.

     Инспекционная проверка сертифицированных СЗИ или СВТ осуществляется не реже одного раза в год.

Периодичность, сроки и объем инспекционной проверки определяются программой, согласованной органом по подтверждению соответствия и держателем сертификата соответствия.

      28. Орган по подтверждению соответствия оформляет по результатам инспекционной проверки заключение о соответствии или несоответствии СЗИ или СВТ установленным требованиям, о чем информирует держателя сертификата соответствия, в случае приостановлении действия или отмене действия сертификата соответствия информирует также уполномоченный орган в области технического регулирования и других заинтересованных лиц.

7. Сертификационные испытания технических средств,
предназначенных для обработки, передачи и хранения информации,
составляющей государственные секреты, требованиям
информационной безопасности

      29. Сертификационным испытаниям на соответствие требованиям информационной безопасности подвергаются все заявленные технические средства, предназначенные для обработки, передачи и хранения информации, составляющей государственные секреты (далее - ТС).

      30. Срок действия сертификатов соответствия на сертифицированные ТС составляет три года со дня их выдачи. При изменении состава комплектующих узлов и блоков, ТС подлежит повторной сертификации.

      31. В результате сертификационных испытаний на соответствие требованиям норм по каналу побочных электромагнитных излучений (далее - ПЭМИ) должна производиться классификация ТС по категориям объектов СВТ, путем сравнения результатов расчета зон радиотехнической безопасности с требованиями, установленными Инструкцией по обеспечению режима секретности при обработке сведений, составляющих государственные секреты, с применением средств вычислительной техники, утвержденной приказом Руководителя Канцелярии Премьер-Министра Республики Казахстан от 29 июля 2004 года № 25-1-59 с, зарегистрированным в Реестре государственной регистрации нормативных правовых актов на № 2993 (далее - Инструкция).

     По результатам классификации ТС сертификационным органом выдаются рекомендации о категории объекта СВТ, на котором может применяться ТС.

32. Для расчета зон радиотехнической безопасности применяются нормы и методики, определяемые уполномоченным государственным органом по защите государственных секретов по согласованию с Комитетом национальной безопасности. Разработка методики осуществляется сертификационными органами и согласовываются с Комитетом национальной безопасности Республики Казахстан.

      33. При необходимости, определяемой заявителем, в ходе сертификации ТС кроме испытаний на соответствие требованиям информационной безопасности по каналу ПЭМИ, проводятся испытания на наличие каналов акустоэлектрических преобразований (микрофонный эффект), параметрических каналов (паразитная модуляция побочных излучений), каналов высокочастотного навязывания и облучения и др.

      34. В ходе работ по подтверждению соответствия ТС также необходимо осуществлять ведение электронно-компонентной базы проверенных технических средств, в которой должны содержаться сведения об узлах и блоках входящих в состав технических средств, включая их фото-и (или) рентгенснимки.

     В случае запросов заинтересованных государственных органов (КНБ, КПМ, СВР РК «Сырбар» и др.) сертификационные органы предоставляют в их адрес информацию из указанной базы данных.

35. Программное обеспечение ТС обработки информации, составляющей государственные секреты, должно подвергаться отдельной сертификации по требованиям стандартов информационной безопасности в соответствии с высокими уровнями доверия.

      36. После проведения сертификационных испытаний все узлы и блоки комплектующих технических средств опечатываются специальными наклейками с указанием наименования проверявшей организации и уникальным номером, к которому должна осуществляться привязка базы данных о сертифицированных технических средствах, с включением в нее протоколов измерений и электронно-компонентной базы. На наклейках ТС, предназначенных для обработки секретной информации, должна быть указана наивысшая категория объекта СВТ на котором рекомендуется его использование. Например - «Сертифицировано по 3 категории».

      37. Сертификат соответствия ТС либо его приложение должны содержать следующие сведения:

     категория объекта СВТ, на котором рекомендовано применение ТС;

результаты расчетов зон радиотехнической безопасности по 1,2 и 3 категории;

     рекомендации об ограничениях по использованию ТС, связанных с выявленными каналами утечки, указанными в пункте 36 настоящей Инструкции.

      38. Сертификация технических средств защиты секретной информации осуществляется путем подтверждения соответствия требованиям, заявленным в технических паспортах.

Приложение
к Инструкции по подтверждению
соответствия информационных систем,
технических, программно-технических
и программных средств (изделий),
технических средств защиты информации
требованиям информационной безопасности

Рекомендуемый порядок
создания СЗИ и СВТ, подлежащих подтверждению
соответствия требованиям информационной безопасности

      1. Создание СЗИ и СВТ, подлежащих подтверждению соответствия требованиям информационной безопасности, включает следующие этапы:

     разработка, согласование и утверждение технического задания на информационную систему;

разработка и утверждение проектно-сметной документации на информационную систему;

     реализация согласованных проектных решений;

проведение конкурса на разработку информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;

     разработка информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;

внедрение информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;

     проведение отраслевой оценки информационной системы уполномоченным органом в сфере информатизации и связи в соответствии с его нормативными документами.

2. Техническое задание и проектно-сметная документация на разработку СЗИ и СВТ требованиям информационной безопасности в обязательном порядке согласовывается с уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности, уполномоченным органом в сфере информатизации, органами национальной безопасности.