Об утверждении Инструкции по проведению проверок состояния защищенности информационных сетей и ресурсов государственных органов и организаций Республики Казахстан

Приказ Руководителя Канцелярии Премьер-Министра Республики Казахстан от 21 мая 2012 года № 25-1-50. Зарегистрирован в Министерстве юстиции Республики Казахстан 18 июня 2012 года № 7740.

      В соответствии с подпунктом 21) пункта 12 Положения о Канцелярии Премьер-Министра Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 11 сентября 2002 года № 993, ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемую Инструкцию по проведению проверок состояния защищенности информационных сетей и ресурсов государственных органов и организаций Республики Казахстан.

      2. Отделу по защите государственных секретов Канцелярии Премьер-Министра Республики Казахстан (Толымбеков М.И.) в установленном законодательством порядке обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан.

      3. Контроль за исполнением настоящего приказа возложить на заведующего Отделом по защите государственных секретов Канцелярии Премьер-Министра Республики Казахстан Толымбекова М.И.

      4. Настоящий приказ вводится в действие со дня государственной регистрации в Министерстве юстиции Республики Казахстан.

Руководитель Канцелярии

Е. Кошанов


      СОГЛАСОВАНО

      Генеральный прокурор

      Республики Казахстан

      _______ А. Даулбаев

      14 мая 2012 года


      СОГЛАСОВАНО

      Министр финансов

      Республики Казахстан

      ________ Б. Жамишев

      15 мая 2012 года


      СОГЛАСОВАНО

      Председатель Комитета

      национальной безопасности

      Республики Казахстан

      __________ Н. Абыкаев

      14 мая 2012 года


      СОГЛАСОВАНО

      Министр транспорта и

      коммуникации

      Республики Казахстан

      _________ А. Жумагалиев

      15 мая 2012 года


  Утверждена
приказом Руководителя
Канцелярии Премьер-Министра
Республики Казахстан
от 21 мая 2012 года № 25-1-50

Инструкция
по проведению проверок состояния защищенности информационных
сетей и ресурсов государственных органов и организаций Республики Казахстан

      Настоящая Инструкция по проведению проверок состояния защищенности информационных сетей и ресурсов государственных органов и организаций Республики Казахстан (далее - Инструкция) разработана в соответствии с законами Республики Казахстан "О государственном контроле и надзоре в Республике Казахстан" от 6 января 2011 года, "Об информатизации" от 11 января 2007 года, "О техническом регулировании" от 9 ноября 2004 года, Правилами проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, утвержденных постановлением Правительства Республики Казахстан от 30 декабря 2009 года № 2280 (далее – постановление), СТ РК ИСО/МЭК 17799-2006 "Методы обеспечения защиты. Свод правил по управлению защитой информации", ГОСТ РК ИСО/МЭК 27001-2006 "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования", СТ РК ГОСТ Р 50739-2006 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования", СТ РК 34.022-2006 "Защита информации. Требования к проектированию, установке, наладке, эксплуатации и обеспечению безопасности информационных систем" и определяют порядок проведения проверок состояния информационной безопасности в государственных органах и организациях, за исключением проверок информационных систем в защищенном исполнении*.

1. Общие положения

      1. Проверка состояния защищенности информационных сетей и ресурсов государственных органов и организаций (далее - проверка) осуществляется уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности (далее - уполномоченный орган) с привлечением соответствующих специалистов органов национальной безопасности, уполномоченного государственного органа в области информатизации, уполномоченной организации в области информатизации и соответствующих подразделений по защите государственных секретов, проверяемых государственных органов и организаций. Для проведения проверки уполномоченным органом формируется состав проверочной комиссии (далее – Комиссия), указываемый в предписании уполномоченного органа на проведение проверки.

      2. Проверки состояния защищенности информационных сетей и ресурсов государственных органов и организаций осуществляются с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых государственными органами и организациями, требованиям нормативных правовых актов и стандартов Республики Казахстан в области информационной безопасности, защиты информации.

      3. Проверка осуществляется на основании предписания уполномоченного органа, подписанного первым руководителем и заверенного гербовой печатью, с предъявлением проверяющими документов, удостоверяющих личность. Предписание готовится в 2-х экземплярах, первый экземпляр которого остается в проверяемой организации.

      4. Уполномоченный орган письменно уведомляет организацию о предстоящей проверке за 10 календарных дней до ее начала.

2. Проведение проверки

      5. Проверка состояния защищенности информационных сетей и ресурсов государственных органов и организаций включает:

      1) определение установленных на объекте технологических режимов обработки информации, используемых информационных систем, характера циркулирующей информации в информационных системах;

      2) наличие организационно-распорядительной документации, учитывающей конкретные условия функционирования средств вычислительной техники различного уровня и назначения (рабочие станции пользователей, серверное и иное периферийное оборудование, технические средства защиты информации, в том числе средства криптографической защиты информации, кроме государственных шифровальных средств), порядок работы сотрудников организации при эксплуатации средств вычислительной техники (в соответствии с постановлением):

      приказ руководителя организации, регламентирующий порядок организации обеспечения информационной безопасности;

      политика информационной безопасности организации;

      Правила паспортизации средств вычислительной техники и использования информационных ресурсов корпоративной сети;

      Инструкция о парольной защите;

      Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях;

      Инструкция по организации антивирусной защиты;

      Инструкция пользователя по эксплуатации и обслуживанию компьютерного оборудования и программного обеспечения;

      Инструкция о резервном копировании информации;

      Правила регистрации пользователей в корпоративной информационной сети организации;

      Памятка для работы системных администраторов;

      Памятка пользователей средств вычислительной техники;

      3) определение круга технических специалистов, имеющих доступ к средствам вычислительной техники, информационных систем и базам данных, проверка функционально закрепленных обязанностей сотрудников организации;

      4) организация и фактическое состояние работ по защите информации при проведении технического обслуживания, ремонта и других работ средств вычислительной техники, информационных систем и баз данных с привлечением сторонних организаций;

      5) анализ принятых мер (программных, технических, организационных), обеспечивающих защиту средств вычислительной техники, информационных систем и баз данных от несанкционированного доступа. Оценка продуктивности организационного процесса защиты информации. Достаточность технических средств обработки и защиты информации, наличие подтверждений соответствия по требованиям информационной безопасности (сертификатов);

      6) проведение анализа конфигураций активного сетевого оборудования, маршрутизаторов, коммутаторов, серверов с целью выявления уязвимых мест в системе защиты информации;

      7) проведение инструментального анализа сетевого и серверного оборудования локально-вычислительных сетей, информационных систем и баз данных с применением программно-аппаратных средств;

      8) проверка работоспособности используемых программно-аппаратных средств обнаружения и предотвращения компьютерных атак;

      9) проверка наличия лицензионных средств защиты от вредоносных программ и вирусов или сертифицированных свободно распространяемых антивирусных средств защиты;

      10) организация работы по обеспечению доступа сотрудников организации к глобальной информационной сети Интернет, анализ защищенности средств вычислительной техники от несанкционированного доступа из сети Интернет;

      11) проверка оснащения серверных и кроссовых помещений средствами контроля доступа и пожаротушения, обеспечения температурного режима, регламент доступа к серверным и кроссовым помещениям;

      12) состояние защищенности информационных ресурсов от сбоев в системе электропитания (схема резервирования, система автоматического ввода резерва);

      13) состояние линейно-кабельного оборудования локально-вычислительных сетей (наличие запирающих и опечатывающих устройств, оборудования распределительных шкафов).

      6. Проверяемая организация обеспечивает предоставление своими работниками объяснений (устно и письменно) на вопросы проверяющих, доступ к информации, в том числе к автоматизированным системам. Предоставляет возможность членам комиссии снятия копий необходимых документов, а также оказывает комиссии содействие в своевременном проведении и завершении проверки.

      7. Члены Комиссии при проведении проверки обеспечивают сохранность полученных от организации документов и конфиденциальность содержащейся в них информации.

      8. Работа Комиссии (проверяющего) завершается подведением итогов (обобщением) результатов проверки и составлением акта в произвольной форме.

      9. Акт должен содержать:

      1) дата, время и место составления акта;

      2) наименование органа контроля и надзора;

      3) дата и номер акта о назначении проверки, на основании которого проведена проверка;

      4) фамилия, имя, отчество (при его наличии) и должность лица (лиц), проводившего проверку;

      5) наименование или фамилия, имя, отчество (при его наличии) проверяемого субъекта, должность представителя физического или юридического лица, присутствовавших при проведении проверки;

      6) дата, место и период проведения проверки;

      7) сведения о результатах проверки, в том числе о выявленных нарушениях, об их характере;

      8) сведения об ознакомлении или об отказе в ознакомлении с актом представителя проверяемого субъекта, а также лиц, присутствовавших при проведении проверки, их подписи или отказ от подписи;

      9) подпись должностного лица (лиц), проводившего проверку;

      10) достоверное и обоснованное изложение состояния защищенности информационных сетей и ресурсов организации, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков;

      11) объективно отражать практическую деятельность подразделения по информатизации, ответственного за обеспечение информационной безопасности, и руководства организации по обеспечению защиты информационных сетей и ресурсов.

      Акт составляется в двух экземплярах. Первый для проверяемой организации, а второй - для уполномоченного органа.

      10. С актом знакомятся руководители организации, а при необходимости и отдельные исполнители, в части их касающейся, которые подписывают его или прилагают к нему свои письменные объяснения с замечаниями и возражениями.

      11. Об устранении выявленных в результате проверки недостатков и нарушений и реализации предложений руководитель проверяемой организации в установленные в акте сроки сообщает в уполномоченный орган и, в установленных (необходимых) случаях, в вышестоящую организацию.

Қазақстан Республикасы мемлекеттік органдары мен ұйымдарының ақпараттық желілері мен ресурстарының қорғалуы жай-күйіне тексеру жүргізу жөніндегі нұсқаулығын бекіту туралы

Қазақстан Республикасы Премьер-Министр Кеңсесі Басшысының 2012 жылғы 21 мамырдағы № 25-1-50 Бұйрығы. Қазақстан Республикасы Әділет министрлігінде 2012 жылы 18 маусымда № 7740 тіркелді.

      Қазақстан Республикасы Үкіметінің 2002 жылғы 11 қыркүйектегі № 993 қаулысымен бекітілген, Қазақстан Республикасы Премьер-Министрінің кеңсесі туралы ереженің 12-тармағының 21) тармақшасына сәйкесБҰЙЫРАМЫН:

      1. Қоса беріліп отырған Қазақстан Республикасы мемлекеттік органдары мен ұйымдарының ақпараттық желілері мен ресурстарының қорғалуы жай-күйіне тексеру жүргізу жөніндегі нұсқаулығы бекітілсін.

      2. Қазақстан Республикасы Премьер-Министрі Кеңcесінің Мемлекеттік құпияларды қорғау бөлімі (М.И. Толымбеков) осы бұйрықты заңнамада белгіленген тәртіппен Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелуін қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау Қазақстан Республикасының Премьер-Министрі Кеңсесінің Мемлекеттік құпияларды қорғау бөлімінің меңгерушісі М.И. Толымбековке жүктелсін.

      4. Осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелген күннен бастап қолданысқа енгізіледі.

Кеңсе Басшысы

Е. Қошанов

      КЕЛІСІЛДІ

      Қазақстан Республикасы

      Бас прокуроры

      __________А. Дауылбаев

      2012 жылғы 14 мамыр


      Қазақстан Республикасы

      Ұлттық қауіпсіздік

      комитетінің төрағасы

      ___________Н. Әбіқаев

      2012 жылғы 14 мамыр


      КЕЛІСІЛДІ

      Қазақстан Республикасы

      Қаржы министрі

      ___________Б. Жәмішев

      2012 жылғы 15 мамыр


      Қазақстан Республикасы

      Көлік және коммуникация

      министрі

      __________А. Жұмағалиев

      2012 жылғы 15 мамыр



  Қазақстан Республикасы
Премьер-Министр Кеңсесі
Басшысының
2012 жылғы 21 мамырдағы
№ 25-1-50 бұйрығымен
бекітілген

Қазақстан Республикасының мемлекеттік органдары мен ұйымдарының
ақпараттық желілері мен ресурстарының қорғалуы жай-күйіне
тексеру жүргізу жөніндегі нұсқаулық

      Қазақстан Республикасының мемлекеттік органдары мен ұйымдарының ақпараттық желілері мен ресурстарының қорғалуы жай-күйіне тексеру жүргізу жөніндегі нұсқаулық (бұдан әрі – Нұсқаулық) Қазақстан Республикасының 2011 жылғы 6 қаңтардағы "Қазақстан Республикасындағы мемлекеттік бақылау және қадағалау туралы", 2007 жылғы 11 қаңтардағы "Ақпараттандыру туралы", 2004 жылғы 9 қарашадағы "Техникалық реттеу туралы" заңдарына, Қазақстан Республикасы Үкіметінің 2009 жылғы 30 желтоқсандағы № 2280 қаулысымен бекітілген Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережесіне (бұдан әрі – қаулы), "Ақпараттық технология. Қорғауды қамтамасыз ету әдістері. Ақпаратты қорғаудың басқару жөніндегі ережелерінің жиынтығы" ҚР СТ ИСО/МЭК 17799-2006, "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару жүйелері. Талаптар" МЕМСТ Р ИСО/МЭК 27001-2006, "Есептегіш техника құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" ҚР СТ МЕМСТ Р 50739-2006, "Ақпаратты корғау. Ақпараттық жүйелерді жолдары жобалаудың, салуын, ретке-келтіру, эксплуатациялау және қорғауды қамтамасыз ету" ҚР СТ 34.022-2006 стандарттарына сәйкес әзірленді және қорғалған қолданыстағы ақпараттық жүйелерді тексеруді* қоспағанда мемлекеттік органдардың және ұйымдардың ақпараттық жүйелері мен ресурстарының қорғалу жай-күйіне тексеру жүргізу тәртібін белгілейді.

      _________________________________

      *ҚР СТ 34.025-2006 "Ақпаратты қорғау. Қорғалған қолданыстағы автоматтандырылған жүйелерді құру тәртібі. Жалпы ереже"

1. Жалпы ережелер

      1. Мемлекеттік органдар мен ұйымдардың ақпараттық желілері мен ресурстарының қорғаныстық жай-күйіне тексеру (бұдан әрі – тексеру) – мемелекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органмен (бұдан әрі – уәкілетті орган), ұлттық қауіпсіздік органдарының, ақпараттандыру саласындағы уәкілетті органның, ақпараттандыру саласындағы уәкілетті ұйымның және тексерілетін мемлекеттік органдар мен ұйымдардың мемлекеттік құпияларды қорғау жөніндегі тиісті бөлімшелерінен тиісті мамандарды тарта отырып жүргізіледі. Уәкілетті органмен тексеру жүргізу үшін уәкілетті органның ұйғарымында көрсетілетін тексеру комиссияның құрамы жасақталады (бұдан әрі – Комиссия).

      2. Тексеру мемлекеттік органдар мен ұйымдар іске асыратын нормативтік, ұйымдастырушылық, тәжірибелік және техникалық шаралардың Қазақстан Республикасының нормативтік құқықтық актілерінің және ақпараттық қауіпсіздікті қамтамасыз ету, ақпаратты қорғау саласындағы стандарттарының талаптарына сәйкестігін анықтау мақсатында жүзеге асырылады.

      3. Тексеру уәкілетті органның бірінші басшысы қол қойған және елтаңба мөрі басылып расталған ұйғарымның негізінде, тексерушілердің жеке басын куәландыратын құжаттарды көрсете отырып жүргізіледі. Ұйғарым 2 данада әзірленеді, оның бірінші данасы тексерілетін ұйымда қалады.

      4. Уәкілетті орган ұйымды алдағы тексеру туралы тексеру басталмас бұрын 10 күн алдын жазбаша хабардар етеді.

2. Тексерулер жүргізу

      5. Тексеру мыналарды:

      1) объектілерде қойылған ақпаратты өңдеу технологиялық режимін, қолданатын ақпараттық жүйелерді, ақпараттық жүйелердің айналымындағы ақпараттардың сипатын анықтау;

      2) әр түрлі деңгейдегі және міндеттерге арналған есептеу техникалық құралдарының (қолданушылардың жұмыс станциялары, серверлік және өзге де сырт жабдықтар, ақпаратты техникалық қорғау құралдары, оның ішінде мемлекеттік шифрлеу құралдарын қоспағанда ақпаратты криптографиялық қорғау құралдары) нақты қызметтік жағдайын ескеретін ұйымдық-өкімдік құжаттардың болуы, есептеу техникалық құралдарды пайдалану кезіндегі ұйым қызметкерлерінің жұмыс тәртібі (қаулыға сәйкес):

      ақпараттық қауіпсіздікті қамтамасыз етудегі ұйымдастыру тәртібін регламенттейтін ұйым басшысының бұйрығы;

      ұйымның ақпараттық қауіпсіздік саясаты;

      Есептеу техникасы құралдарын паспорттандыру және корпоративтік желілердегі ақпараттық ресурстарды пайдалану ережесі;

      Парольдік қорғау туралы нұсқаулық;

      Штаттан тыс (дағдарыстық) жағдайларда пайдаланушылардың іс-қимыл тәртібі туралы нұсқаулық;

      Вирусқа қарсы қорғауды ұйымдастыру жөніндегі нұсқаулық;

      Пайдаланушының компьютерлік жабдықтар мен бағдарламалық қамтамасыз етуді пайдалану жөніндегі нұсқаулығы;

      Ақпаратты резервтік көшіру туралы нұсқаулық;

      Ұйымдардың корпоративтік ақпараттық желілерін пайдаланушыларды тіркеу ережесі;

      Жүйелік әкімшілердің жұмысы үшін жадынама;

      Есептеу техникасы құралдарын пайдаланушыға жадынама;

      3) есептеу техникасы құралдарына, ақпараттық жүйелерге және деректер базасына қол жеткізуге мүмкіндігі бар техникалық мамандар тобын анықтау, ұйым қызметкерлерінің функционалды бекітілген міндеттерін тексеру;

      4) есептеу техникасы құралдарын, ақпараттық жүйелер мен деректер базаларын басқа ұйымдарды тарта отырып техникалық қызмет көрсету, жөндеу және басқа да жұмыстар жүргізу кезінде ақпаратты қорғау жөніндегі жұмыстардың ұйымдастыру және ақиқат жағдайы;

      5) рұқсатсыз қолжетімділіктен есептеу техникасы құралдарын, ақпараттық жүйелер мен деректер базаларын қорғауды қамтамасыз етуде қабылданған (бағдарламалық, техникалық, ұйымдастырушылық) шараларды талдау. Ақпараты қорғаудағы ұйымдастырушылық үдерістің өнімділігін бағалау. Ақпараты техникалық өңдеу және қорғау құралдарының жеткіліктілігі, ақпараттық қауіпсіздік талаптары жөніндегі сәйкестікті растаудың (сертификаттың) болуы;

      6) ақпаратты қорғау жүйесіндегі осал жерлерді анықтау мақсатында белсенді желілік жабдақтардың, маршрутизаторлардың, коммутаторлардың, серверлердің үйлесімділігіне талдау жүргізу;

      7) программалық-аппараттық құралдарды пайдалана отырып локалды-есептеу желілерінің, ақпараттық жүйелер мен деректер базаларының желілік және серверлік жабдықтарына құралдық талдау жүргізу;

      8) компьютерлік шабуылдарды табу және болдырмауда қолданылатын бағдарламалық-аппараттық құралдардың жұмысқа қабілеттілігін тексеру;

      9) зиян келтіретін бағдарламалар мен вирусқа қарсы лицензияланған қорғау құралдарының немесе сертификатталған еркін таратылатын вирусқа қарсы қорғау құралдарының болуын тексеру;

      10) ғаламдық ақпараттық Интернет желісіне ұйым қызметкерлерінің қолжетімділігін қамтамасыз ету жөніндегі жұмыстарды ұйымдастыру, Интернет желісінен рұқсатсыз қолжетімділігінен/енуден есептеу техникасы құралдарының қорғалғандығына талдау;

      11) серверлік және кроссалық бөлмелеріне бақылау қолжетімділік және өрт сөндіру, температуралық режимді қамтамасыз ету құралдарымен жабдықталғандығын тексеру, серверлік және кроссалық бөлмелерге қолжетімділік регламентінің болуы;

      12) электрмен қоректендіру жүйесінің жаңылысынан (сбой) ақпараттық ресурстардың қорғалу жағдайы (резерв схемасы, резервті автоматты қосу жүйесі);

      13) локалды-есептеу жүйесіндегі сызықтық-кабельдік жабдақтардың жай-күйі (құлыптау және мөрлеу керек-жарақтарының, тарату шкафтары жабдықтарының болуы).

      6. Тексерілетін ұйым өз қызметкерлерінің Комиссия мүшелерінің сұрақтарына түсіндірмелер (ауызша және жазбаша түрде) ұсынуын, ақпаратқа, оның ішінде автоматтандырылған жүйелерге қолжетімділігін қамтамасыз етеді. Комиссия мүшелеріне қажетті құжаттардың көшірмелерін түсіруіне мүмкіндік береді, сондай-ақ, тексеруді комиссияның уақытылы жүргізуіне және аяқтауына көмек көрсетеді.

      7. Комиссия мүшелері тексеру жүргізу кезінде ұйымнан алынған құжаттардың сақталуын және олардағы ақпараттың құпиялылығын қамтамасыз етеді.

      8. Комиссияның (тексеруші) жұмысы тексеру нәтижелерінің қорытындысын шығарумен (жинақтаумен) және еркін нұсқадағы акт жасаумен аяқталады.

      9. Акт мыналарды:

      1) актінің жасалған күні, уақыты және орны;

      2) бақылау және қадағалау органының атауы;

      3) оның негізінде тексеру жүргізілген, тексеруді тағайындау туралы акті жасалған күні мен оның нөмірі;

      4) тексеру жүргізген адамның (адамдардың) тегі, аты, әкесінің аты (ол болған жағдайда) және лауазымы;

      5) тексерілетін субъектінің атауы немесе тегі, аты, әкесінің аты (ол болған жағдайда), тексеруді жүргізу кезінде сол жерде болған жеке немесе заңды тұлға өкілінің лауазымы;

      6) тексерудің жүргізілген күні, орны және кезеңі;

      7) тексерудің нәтижелері туралы, оның ішінде анықталған бұзушылықтар туралы, олардың сипаты туралы мәліметтер;

      8) тексерілетін субъекті өкілінің, сондай-ақ тексеруді жүргізу кезінде қатысқан адамның актімен танысуы туралы немесе танысудан бас тартуы туралы мәліметтер, олардың қолы немесе қол қоюдан бас тартуы;

      9) тексеруді жүргізген лауазымды адамның (адамдардың) қолы көрсетіледі.

      10) ұйымдардың ақпараттық желілер мен ресурстардың қорғалу жай-күйін, тиісті құжаттар мен фактілерге жасай отырып табылған кемшіліктер мен бұзушылықтарды, оларды жою жөнінде нақты мерзімдерді көрсете отырып қорытындылар мен ұсыныстарды анық және дәлелді жазуды құрайды;

      11) ақпараттық қауіпсіздікті қамтамасыз етуге жауапты ақпараттандыру бөлімшелерінің, және ақпараттық желілер мен ресурстардың қорғалуын қамтамасыз ету жөніндегі ұйым басшыларының тәжірибелік қызметтерін объективті көрсетеді.

      Акт екі данада жасалады. Оның біріншісі тексерілетін ұйым үшін, ал екіншісі уәкілетті орган үшін.

      10. Актімен ұйым басшылары және қажет болған жағдайда оларға қатысты бөлігінде олар қол қоятын немесе оған өздерінің ескертулері мен қарсылықтарын жазбаша түсіндірмелермен қосымша салып, жекелеген орындаушылар танысады.

      11. Тексеру нәтижесінде табылған кемшіліктер мен бұзушылықтарды жою және ұсыныстарды іске асырғандығы туралы тексерілген ұйымның басшысы актіде белгіленген мерзімде уәкілетті органға және белгіленген (қажетті) жағдайда жоғары тұрған ұйымға хабарлайды.