Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности

Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 30 марта 2018 года № 16694. Утратил силу приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования)

      Сноска. Утратил силу приказом Министра цифрового развития, оборонной и аэрокосмической промышленности РК от 03.06.2019 № 111/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить:

      1) Методику проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

      2) Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

      2. Признать утратившим силу приказ исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 63 "Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 13207, опубликован 1 марта 2016 года в информационно-правовой системе "Әділет").

      3. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) в течение десяти календарных дней после государственной регистрации настоящего приказа направление его копии на официальное опубликование в периодические печатные издания;

      4) размещение настоящего приказа на официальном интернет-ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      5) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) 3) и 4) настоящего пункта.

      4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр оборонной и
аэрокосмической
промышленности
Республики Казахстан
Б. Атамкулов

  Приложение 1
к приказу Министра
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 14 марта 2018 года № 40/НҚ

Методика
проведения испытаний сервисного программного продукта,
информационно-коммуникационной платформы "электронного
правительства", интернет-ресурса государственного органа и
информационной системы на соответствие требованиям информационной
безопасности

Глава 1. Общие положения

      1. Настоящая Методика проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации.

      2. В настоящей Методике используются следующие основные понятия и сокращения:

      1) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;

      2) экспертный метод – метод поиска и результат его применения, полученный на основании использования персонального мнения эксперта или коллективного мнения группы экспертов;

      3) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

      4) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний.

      3. Проведение испытания включает:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры.

Глава 2. Анализ исходных кодов

      4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков (программных закладок и уязвимостей) программного обеспечения (далее – ПО).

      5. Анализ исходных кодов проводится для ПО, перечисленного в акте приема-передачи исходных кодов объектов испытаний, согласно Правилам проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее- Правила).

      6. Если при проведении испытания выявится необходимость проведения повторного анализ исходных кодов до окончания срока испытания, заявитель обращается с запросом в ГТС и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 25 Правил.

      7. Выявление недостатков ПО проводится с использованием предназначенного для анализа исходного кода программного средства на основании исходных кодов, предоставленных заказчиком.

      8. Анализ исходных кодов включает:

      1) выявление недостатков ПО;

      2) фиксацию результатов анализа исходного кода.

      9. Выявление недостатков ПО осуществляется в следующем порядке:

      1) проводится подготовка исходных данных (загрузка исходных кодов сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа, информационная система (далее-ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

      2) запускается программное средство, предназначенное для выявления недостатков ПО;

      3) проводится анализ программных отчетов на наличие ложных срабатываний;

      4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

      10. Объем работ по анализу исходного кода определяется размером исходного кода.

      11. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ, в Протоколе анализа исходных кодов (Произвольная форма).

      12. По окончанию проведенного анализа исходных кодов при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив ГТС.

      13. ГТС обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.

Глава 3. Испытание функций информационной безопасности

      14. Оценка функций сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информатизации.

      15. Испытание функций информационной безопасности включает:

      1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информатизации;

      2) фиксацию результатов оценки.

      16. Перечень функций информационной безопасности приведены в приложении 1 настоящей Методики.

      17. Испытание функций информационной безопасности проводятся в разрезе серверов и виртуальных ресурсов.

      18. Результаты испытаний функций информационной безопасности фиксируются ответственным исполнителем данного вида работ в Протоколе испытаний функций информационной безопасности (Произвольная форма).

Глава 4. Нагрузочное испытание

      19. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.

      20. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.

      21. Параметры нагрузочного испытания предоставляются заявителем в Анкете-вопроснике о характеристиках объекта испытаний согласно приложению 2 Правил.

      22. Нагрузочное испытание осуществляется в следующем порядке:

      1) проводится подготовка к испытанию;

      2) проводится испытание;

      3) фиксируются результаты испытания.

      23. Подготовка к испытанию включает:

      1) определение сценария испытания;

      2) определение временных и количественных характеристик испытания;

      3) согласование времени проведения испытания c заказчиком.

      24. Проведение испытания включает:

      1) настройка конфигурации и сценария испытания в специализированное программное средство;

      2) запуск специализированного программного средства;

      3) регистрация нагрузки на объект испытаний;

      4) формирование и выдача отчета нагрузочного испытания.

      25. Работы по проведению нагрузочного тестирования проводятся для одного объекта испытаний по количеству вариантов подключений пользователей и вариантов интеграционного взаимодействия объекта испытаний.

      26. Результаты нагрузочного испытания фиксируются ответственным исполнителем данного вида работ в Протоколе нагрузочного испытания (произвольная форма).

Глава 5. Обследование сетевой инфраструктуры

      27. Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры.

      28. Обследование сетевой инфраструктуры включает:

      1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информатизации;

      2) обследование сетевой инфраструктуры заявителя;

      3) фиксацию полученных результатов.

      29. Перечень функций защиты сетевой инфраструктуры приведены в приложении 2 настоящей Методики.

      30. Работы по обследованию сетевой инфраструктуры, проводятся для каждой подсети (сегмента сети) объекта испытаний.

      31. Результаты обследования сетевой инфраструктуры фиксируются ответственным исполнителем данного вида работ в Протоколе обследования сетевой инфраструктуры (произвольная форма).

  Приложение 1
к Методике проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного
правительства", интернет-ресурса
государственного органа и
информационной системы на
соответствие требованиям
информационной безопасности

Перечень функций информационной безопасности


п/п

Наименование функций

Содержание функций

1

2

3

Аудит безопасности

1

Автоматическая реакция аудита безопасности

Осуществление генерации записи в регистрационном журнале, локальной или удаленной сигнализация администратору об обнаружении нарушения безопасности

2

Генерация данных аудита безопасности

Наличие протоколирования, по крайней мере, запуска и завершения регистрационных функций, а также всех событий базового уровня аудита, т.е. в каждой регистрационной записи присутствие даты и времени события, типа события, идентификатора субъекта и результата (успех или неудача) события

3

Анализ аудита безопасности

Осуществление (с целью выявления вероятных нарушений), по крайней мере, путем накопления и/или объединения неуспешных результатов использования механизмов аутентификации, а также неуспешных результатов выполнения криптографических операций

4

Просмотр аудита безопасности

Обеспечение и предоставление администратору возможности просмотра (чтения) всей регистрационной информации. Прочим пользователям доступ к регистрационной информации должен быть закрыт, за исключением явно специфицированных случаев

5

Выбор событий аудита безопасности

Наличие избирательности регистрации событий, основывающейся, по крайней мере, на следующих атрибутах:
идентификатор объекта;
идентификатор субъекта;
адрес узла сети;
тип события;
дата и время события

6

Хранение данных аудита безопасности

Наличие регистрационной информации о надежности защиты от несанкционированной модификации

Организация связи

7

Неотказуемость отправления

Предоставление пользователям/субъектам свидетельства идентичности отправителя некоторой информации, чтобы отправитель не смог отрицать факт передачи информации, поскольку свидетельство отправления (например, цифровая подпись) доказывает связь между отправителем и переданной информацией

8

Неотказуемость получения

Обеспечение невозможности отрицания получателем информации факта ее получения

Криптографическая поддержка

9

Управление криптографическими ключами

Наличие поддержки:
1) генерации криптографических ключей;
2) распределения криптографических ключей;
3) управления доступом к криптографическим ключам;
4) уничтожения криптографических ключей

10

Криптографические операции

Наличие для всей информации, передаваемой по доверенному каналу, шифрования и контроля целостности в соответствии с требованиями технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информатизации.

Защита данных пользователя

11

Политика управления доступом

Осуществление разграничения доступа для пользователей, прямо или косвенно выполняющих операции с сервисом безопасности

12

Функции управления доступом

Применение функций разграничения доступа основывается, по крайней мере, на следующих атрибутах безопасности:
идентификаторы субъектов доступа;
идентификаторы объектов доступа;
адреса субъектов доступа;
адреса объектов доступа;
права доступа субъектов

13

Аутентификация данных

Поддержка гарантии правильности специфического набора данных, который впоследствии используется для верификации того, что содержание информации не было подделано или модифицировано мошенническим путем

14

Экспорт данных за пределы действия функций безопасности ОИ (далее - ФБО)

Обеспечение при экспорте данных пользователя из OИ защиты и сохранности или игнорирования их атрибутов безопасности

15

Политика управления информационными потоками

Обеспечение предотвращения раскрытия, модификации и/или недоступности данных пользователя при их передаче между физически разделенными частями сервиса безопасности

16

Функции управления информационными потоками

Организация и обеспечение контроля доступа к хранилищам данным с целью исключения бесконтрольного распространения информации, содержащейся в них (управление информационными потоками для реализации надежной защиты от раскрытия или модификации в условиях недоверенного ПО)

17

Импорт данных из-за пределов действия ФБО

Наличие механизмов для передачи данных пользователя в OИ таким образом, чтобы эти данные имели требуемые атрибуты безопасности и защиту

18

Передача в пределах ОИ

Наличие защиты данных пользователя при их передаче между различными частями OИ по внутреннему каналу

19

Защита остаточной информации

Обеспечение полной защиты остаточной информации, то есть недоступности предыдущего состояния при освобождении ресурса

20

Откат текущего состояния

Наличие возможности отмены последней операции или ряда операций, ограниченных некоторым пределом (например, периодом времени), и возврат к предшествующему известному состоянию. Откат предоставляет возможность отменить результаты операции или ряда операций, чтобы сохранить целостность данных пользователя

21

Целостность хранимых данных

Обеспечение защиты данных пользователя во время их хранения в пределах ФБО

22

Защита конфиденциальности данных пользователя при передаче между ФБО

Обеспечение конфиденциальности данных пользователя при их передаче по внешнему каналу между ОИ и другим доверенным продуктом ИТ. Конфиденциальность осуществляется путем предотвращения несанкционированного раскрытия данных при их передаче между двумя оконечными точками. Оконечными точками могут быть ФБО или пользователь

23

Защита целостности данных пользователя при передаче между ФБО

обеспечивается целостность данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также возможность их восстановления при обнаруживаемых ошибках

Идентификация и аутентификация

24

Отказы аутентификации

Наличие возможности при достижении определенного администратором числа неуспешных попыток аутентификации отказать субъекту в доступе, сгенерировать запись регистрационного журнала и сигнализировать администратору о вероятном нарушении безопасности

25

Определение атрибутов пользователя

Для каждого пользователя необходимо поддерживать, по крайней мере, следующие атрибуты безопасности:
идентификатор;
аутентификационная информация (например, пароль);
права доступа (роль)

26

Спецификация секретов

Если аутентификационная информация обеспечивается криптографическими операциями, поддерживается также открытые и секретные ключи

27

Аутентификация пользователя

Наличие механизмов аутентификации пользователя, предоставляемых ФБО

28

Идентификация пользователя

Обеспечение:
1) успешности идентификации и аутентификации каждого пользователя до разрешения любого действия, выполняемого сервисом безопасности от имени этого пользователя;
2) возможностей по предотвращению применения аутентификационных данных, которые были подделаны или скопированы у другого пользователя;
3) аутентификации любого представленного идентификатора пользователя;
4) повторной аутентификации пользователя по истечении определенного администратором интервала времени;
5) предоставления пользователю функций безопасности только со скрытой обратной связью во время выполнения аутентификации

29

Связывание пользователь-субъект

Следует ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя

Управление безопасностью

30

Управление отдельными функциями ФБО

Наличие единоличного права администратора на определение режима функционирования, отключения, подключения, модификации режимов идентификации и аутентификации, управления правами доступа, протоколирования и аудита

31

Управление атрибутами безопасности

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, создания атрибутов безопасности, правил управления потоками информации. При этом необходимо обеспечить присваивание атрибутам безопасности только безопасных значений

32

Управление данными ФБО

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, очистки, определения типов регистрируемых событий, размеров регистрационных журналов, прав доступа субъектов, сроков действия учетных записей субъектов доступа, паролей, криптографических ключей

33

Отмена атрибутов безопасности

Наличие осуществления отмены атрибутов безопасности в некоторый момент времени.
Только у уполномоченных администраторов имеется возможность отмены атрибутов безопасности, ассоциированных с пользователями. Важные для безопасности полномочия отменяются немедленно

34

Срок действия атрибута безопасности

Обеспечение возможности установления срока действия атрибутов безопасности

35

Роли управления безопасностью

1) Обеспечение поддержки, по крайней мере, следующих ролей: уполномоченный пользователь, удаленный пользователь, администратор.
2) Обеспечение получения ролей удаленного пользователя и администратора только по запросу

Защита ФБО

36

Безопасность при сбое

Сохранение сервисом безопасного состояния при аппаратных сбоях (вызванных, например, перебоями электропитания)

37

Доступность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать доступность, всех данных при их передаче между ним и удаленным доверенным продуктом ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

38

Конфиденциальность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать конфиденциальность всех данных при их передаче между ним и удаленным доверенным продуктом ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

39

Целостность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать целостность всех данных при их передаче между ним и удаленным доверенным продуктом ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

40

Передача данных ФБО в пределах ОИ

Сервис предоставляет возможность верифицировать доступность, Предоставление сервисом возможности конфиденциальность и целостность всех данных при их передаче между ним и удаленным доверенным изделием ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

41

Физическая защита ФБО

Осуществление физической защиты ФБО

42

Надежное восстановление

Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно, сервис переходит в режим аварийной поддержки, позволяющей вернуться к безопасному состоянию.
После аппаратных сбоев обеспечивается возврат к безопасному состоянию с использованием автоматических процедур

43

Обнаружение повторного использования

Обеспечение обнаружения сервисом повторного использования аутентификационных данных, отказа в доступе, генеририрования записи регистрационного журнала и сигнализирования администратору о вероятном нарушении безопасности

44

Посредничество при обращениях

Обеспечение вызова и успешного выполнения функций, осуществляющих политику безопасности сервиса, прежде, чем разрешается выполнение любой другой функции сервиса

45

Разделение домена

Поддержка отдельного домена для собственного выполнения функций безопасности, который защищает их от вмешательства и искажения недоверенными субъектами

46

Протокол синхронизации состояний

Обеспечение синхронизации состояний при выполнении идентичных функций на серверах

47

Метки времени

Предоставление для использования функциями безопасности надежных меток времени

48

Согласованность данных между ФБО

Обеспечение согласованной интерпретации регистрационной информации, а также параметров используемых криптографических операций

49

Согласованность данных ФБО при дублировании в пределах ОИ

Обеспечение согласованности данных функций безопасности при дублировании их в различных частях объекта испытаний. Когда части, содержащие дублируемые данные, разъединены, согласованность обеспечивается после восстановления соединения перед обработкой любых запросов к заданным функциям безопасности

50

Самотестирование ФБО

Для демонстрации правильности работы функций безопасности при запуске, периодически в процессе нормального функционирования и/или по запросу администратора выполнение пакета программ самотестирования.
У администратора наличие возможности верифицировать целостность данных и выполняемого кода функций безопасности

Использование ресурсов

51

Отказоустойчивость

Обеспечение доступности функциональных возможностей объекта испытаний даже в случае сбоев. Примеры таких сбоев: отключение питания, отказ аппаратуры, сбой ПО

52

Приоритет обслуживания

Обеспечение управления использованием ресурсов пользователями и субъектами в пределах своей области действия так, что высокоприоритетные операции в пределах объекта испытаний всегда будут выполняться без препятствий или задержек со стороны операций с более низким приоритетом

53

Распределение ресурсов

Обеспечение управления использованием ресурсов пользователями и субъектами таким образом, чтобы не допустить несанкционированные отказы в обслуживании из-за монополизации ресурсов другими пользователями или субъектами


Доступ к ОИ

54

Ограничение области выбираемых атрибутов

Ограничение как атрибутов безопасности сеанса, которые может выбирать пользователь, так и атрибутов субъектов, с которыми пользователь может быть связан, на основе метода или места доступа, порта, с которого осуществляется доступ, и/или времени (например, времени суток, дня недели)

55

Ограничение на параллельные сеансы

Ограничение максимального числа параллельных сеансов, предоставляемых одному пользователю. У этой величины подразумеваемое значение устанавливается администратором

56

Блокирование сеанса

Принудительное завершение сеанса работы по истечении установленного администратором значения длительности бездействия пользователя

57

Предупреждения перед предоставлением доступа к ОИ

Обеспечение возможности еще до идентификации и аутентификации отображения для потенциальных пользователей предупреждающего сообщения относительно характера использования объекта испытаний

58

История доступа к ОИ

Обеспечение возможности отображения для пользователя, при успешном открытии сеанса, истории неуспешных попыток получить доступ от имени этого пользователя. Эта история может содержать дату, время, средства доступа и порт последнего успешного доступа к объекту испытаний, а также число неуспешных попыток доступа к объекту испытаний после последнего успешного доступа идентифицированного пользователя

59

Открытие сеанса с ОИ

Обеспечение сервисом способности отказать в открытии сеанса, основываясь на идентификаторе субъекта, пароле субъекта, правах доступа субъекта

Функции защиты от вредоносного кода

60

Наличие средств антивирусной защиты

Применение для защиты от вредоносного кода средств мониторинга, обнаружения и блокирования или удаления вредоносного кода на серверах и при необходимости, на рабочих станциях объекта испытаний

61

Лицензии для средств антивирусной защиты

Наличие у средств антивирусной защиты лицензии (приобретенной, ограниченной, свободно распространяемой) на сервера и рабочие станции

62

Обновление баз сигнатур и программного обеспечения средств антивирусной защиты

Обеспечение регулярного обновления и поддержания в актуальном состоянии средств антивирусной защиты

63

Управление доступом к средствам антивирусной защиты

Осуществление централизованного управления и конфигурирования средств антивирусной защиты

64

Управление защитой от вредоносного кода на внешних электронных носителях информации
средствами антивирусной защиты

Обеспечение управлением защитой от вредоносного кода на внешних электронных носителях информации проверки и блокировки файлов и при необходимости носителей информации.

Безопасность при обновлении ПО

65

Регулярное обновления ПО

Обеспечение регулярного обновления общесистемного и прикладного ПО серверов и рабочих станций

66

Обновление ПО в сетевых средах без доступа к серверам обновления в Интернете

Обеспечение обновления ПО в сетевых средах без доступа к серверам обновления в Интернете от специализированного сервера обновлений

Безопасность при внесении изменений в прикладное ПО

67

Среда разработки и тестирования прикладного ПО

Обеспечение наличия среды для разработки и тестирования прикладного ПО, изолированной от среды промышленной эксплуатации прикладного ПО

67

Разграничение доступа в средам разработки и тестирования прикладного ПО

Обеспечение управления доступом к средам разработки и тестирования прикладного ПО для программистов и администраторов

69

Система развертывания прикладного ПО

Наличие системы развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации

70

Разграничение доступа к системе развертывания прикладного ПО

Обеспечение управления доступом к системе развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации

  Приложение 2
к Методике проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного
правительства", интернет-ресурса
государственного органа и
информационной системы на
соответствие требованиям
информационной безопасности

Перечень функций защиты сетевой инфраструктуры


п/п

Наименование функций

Содержание функций

1

2

3

1

Идентификация и аутентификация

Обеспечение безопасности сервисов, предоставляемых сетевой инфраструктурой и предохранения соответствующих данных путем ограничения доступа через соединения к уполномоченному персоналу (внутри или за пределами организации)

2

Отметки аудитов (формирование и наличие отчетов о событиях, связанных с безопасностью сетевых соединений)

Достаточную информацию по следам аудита сбойных ситуаций и действительных событий следует фиксировать, чтобы иметь возможность тщательного критического обзора подозреваемых и действительных происшествий

3

Обнаружение вторжения

Обеспечение наличия средств, позволяющих прогнозировать вторжения (потенциальные вторжения в сетевую инфраструктуру), выявлять их в реальном масштабе времени и поднимать соответствующую тревогу

4

Управление сетевой безопасностью

Наличие мер по управлению защитой сетевых ресурсов, обеспечивающих предохранение от несанкционированного доступа ко всем портам дистанционной диагностики (виртуальным или физическим). Наличие шлюзов безопасности для связи между сетями.

5

Межсетевые экраны

Для каждого межсетевого экрана необходимо наличие отдельного документа, определяющего политику (безопасность) доступа к сервисам, и реализацию его для каждого соединения, обеспечивающих гарантию прохождения через это соединение только разрешенного трафика

6

Защита конфиденциальности целостности данных, передаваемых по сетям

В обстоятельствах, когда важно сохранить конфиденциальность и целостность данных, следует предусматривать криптографические меры защиты, чтобы шифровать информацию, проходящую через сетевые соединения

7

Неотказуемость от совершенных действий по обмену информацией

В случае, когда требуется представить свидетельство передачи информации по сети, используются следующие защитные меры:
1) протоколы связи, которые дают подтверждение факта отправки документа;
2) протоколы приложения, которые требуют представления исходного адреса или идентификатора и проверки на присутствие данной информации;
3) межсетевые экраны, где проверяются форматы адресов отправителя и получателя на достоверность синтаксиса и согласованность с информацией в соответствующих директориях;
4) протоколы, которые подтверждают факты доставки информации в рамках межсетевых взаимодействий;
5) протоколы, которые включают механизмы, разрешающие устанавливать последовательность информации

8

Обеспечение непрерывной работы и восстановления

Наличие защитных мер, обеспечивающих продолжение функции бизнеса в случае стихийного бедствия путем обеспечения способности к восстановлению каждой деловой операции в подходящий интервал времени после прерывания

9

Доверенный канал

1) предоставление для связи с удаленным доверенным ИТ-продуктом канала, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия;
2) обеспечение у обеих сторон возможности инициировать связь через доверенный канал.

10

Доверенный маршрут

1) предоставление для связи с удаленным пользователем маршрута, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия;
2) обеспечение у пользователя возможности инициировать связь через доверенный маршрут;
3) для начальной аутентификации удаленного пользователя и удаленного управления использование доверенного маршрута является обязательным.

  Приложение 2
к приказу Министра
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 14 марта 2018 года № 40/НҚ

Правила
проведения испытаний сервисного программного продукта,
информационно-коммуникационной платформы "электронного
правительства", интернет-ресурса государственного органа и
информационной системы на соответствие требованиям
информационной безопасности

Глава 1. Общие положения

      1. Настоящие Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - Правила) разработаны в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и определяют порядок проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы (далее – объекты испытаний) на соответствие требованиям информационной безопасности.

      2. Испытания на соответствие требованиям информационной безопасности проводятся в обязательном порядке или по инициативе собственника или владельца.

      3. В настоящих Правилах используются следующие основные понятия и сокращения:

      1) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      2) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      3) исходные коды - исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске.

      4) интернет-ресурс – электронный информационный ресурс, отображаемый в текстовом, графическом, аудиовизуальном или ином виде, размещаемый на аппаратно-программном комплексе, имеющий уникальный сетевой адрес и (или) доменное имя и функционирующий в Интернете;

      5) государственная техническая служба (далее – ГТС) - республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

      6) заявитель – собственник (владелец) сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса, информационной системы, а также физическое или юридическое лицо, уполномоченное собственником (владельцем) сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса, информационной системы, подавший(ее) заявку на проведение испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса, информационной системы на соответствие требованиям информационной безопасности;

      7) сервисный программный продукт – программный продукт, предназначенный для реализации информационно-коммуникационной услуги;

      8) информационно-коммуникационная платформа "электронного правительства" – технологическая платформа, предназначенная для реализации сервисной модели информатизации;

      4. К объектам испытаний, подлежащим обязательным испытаниям на соответствие требованиям информационной безопасности, относятся:

      1) сервисный программный продукт;

      2) информационно-коммуникационная платформа "электронного правительства";

      3) интернет-ресурс государственного органа;

      4) информационная система государственного органа;

      5) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;

      6) негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для формирования государственных электронных информационных ресурсов.

      5. Информационной системе государственного органа и негосударственной информационной системе для использования сервисов Национального удостоверяющего центра Республики Казахстан по проверке подлинности электронной цифровой подписи прохождение испытаний на соответствие требованиям информационной безопасности не требуется.

      6. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информатизации.

      7. В состав испытаний объекта испытаний, за исключением сервисного программного продукта и информационно-коммуникационной платформы "электронного правительства" входят следующие виды работ:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры.

      8. В случае отсутствия исходного кода объекта испытания, решение о необязательности проведения анализа исходного кода объекта испытаний устанавливается решением уполномоченного органа в сфере обеспечения информационной безопасности (далее - уполномоченный орган) по запросу заявителя.

      9. В испытания сервисного программного продукта входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности.

      10. В испытания информационно - коммуникационной платформы "электронного правительства" входит:

      1) испытание функций информационной безопасности;

      2) нагрузочное испытание;

      3) обследование сетевой инфраструктуры.

      11. В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шин или другое).

      12. Испытания проводятся:

      1) по одному виду работ;

      2) по нескольким видам работ;

      3) в полном составе видов работ.

      13. Цены на проведение каждого вида работ, входящих в испытания, устанавливаются согласно пункту 2 статьи 14 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации".

      14. Расчет стоимости проведения испытаний осуществляется на основании данных анкеты-вопросника о характеристиках объекта испытаний, исходных кодов компонентов и модулей объекта испытаний с библиотеками на компакт-диске и цен, установленных в соответствии с порядком по пункту 12 настоящих Правил.

Глава 2. Порядок проведения испытаний сервисного программного
продукта, информационно-коммуникационной платформы "электронного
правительства", интернет-ресурса государственного органа и
информационной системы на соответствие требованиям
информационной безопасности

      15. Для проведения испытаний заявителем в ГТС в письменном виде подается заявка на проведение испытаний (далее – заявка) согласно Приложению 1 настоящих Правил, с предоставлением следующих документов:

      1) копии документа, удостоверяющего личность (для физических лиц);

      2) заверенные подписью и печатью (при наличии) заявителя копии учредительных документов (при наличии) и справки или свидетельства о государственной регистрации юридического лица (для юридических лиц);

      3) анкета-вопросник о характеристиках объекта испытаний согласно Приложению 2 настоящих Правил;

      4) перечень технической документации, необходимой для проведения испытаний, согласно Приложению 3 настоящих Правил;

      5) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, а также схемы баз данных (на языке описания данных) объекта испытаний, на компакт-диске;

      6) документ, уполномочивающий заявителя собственником (владельцем) подать заявку на проведение испытаний (при необходимости).

      16. В случае, если заявитель осуществляет закупки посредством веб-портала государственных закупок, заявка на проведение испытаний принимается не позднее 1 ноября текущего года.

      17. ГТС в течение пяти рабочих дней со дня получения заявки осуществляет проверку полноты документов указанных в пункте 15 настоящих Правил.

      18. В случае несоответствия заявки и приложенных документов в соответствии с требованиями, указанными в пункте 15 настоящих Правил, заявка возвращается заявителю с указанием причин возврата.

      19. При наличии полного пакета документов указанных в пункте 15 настоящих Правил, ГТС в течение пяти рабочих дней направляет заявителю:

      1) проект технической спецификации к договору на проведение испытаний, если заявитель осуществляет закупки посредством веб-портала государственных закупок. Заявитель в течение трех рабочих дней со дня получения проекта технической спецификации размещает на веб-портале государственных закупок проект договора о государственных закупках способом из одного источника путем прямого заключения договора о государственных закупках;

      2) два экземпляра договора на проведение испытаний, если заявитель осуществляет закупки без применения веб-портала государственных закупок. Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в ГТС;

      20. Срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик объекта испытаний.

      В случае невозможности согласования сроков проведения испытания, заявка возвращается заявителю без удовлетворения с указанием возможности обратиться в уполномоченный орган для определения сроков испытаний.

      21. Для проведения испытаний заявитель обеспечивает для ГТС:

      1) физический доступ к рабочему месту пользователя, серверному и сетевому оборудованию, сети телекоммуникаций объекта испытаний и созданной на время испытаний среде, аналогичной промышленной;

      2) демонстрацию функций объекта испытаний, согласно требованиям технической документации.

      22. В случае невозможности обеспечения Заявителем требований пункта 21 настоящих Правил, испытания приостанавливаются на время, необходимое Заявителю для их обеспечения с учетом подписания дополнительного соглашения к договору на продление его срока исполнения.

      23. Испытания проводятся согласно Методике проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности.

      24. В случае, если при проведении испытаний выявилось расхождение между данными анкеты-вопросника о характеристиках объекта испытаний, поданной в соответствии с подпунктом 3) пункта 15 настоящих Правил и фактическим состоянием объекта испытаний, заявитель направляет в ГТС обновленную анкету-вопросник о характеристиках объекта испытаний. Обновленная анкета-вопросник о характеристиках объекта испытаний (при необходимости) будет основанием для заключения дополнительного соглашения на продление срока испытаний и изменение стоимости проведения испытаний.

      25. При необходимости, если при проведении испытаний выявится необходимость проведения повторного испытания по одному или по нескольким видам испытаний до окончания срока испытания, заявитель обращается с запросом в ГТС и заключается дополнительное соглашение о проведении повторного испытания по этим видам работ.

      26. Результаты каждого вида работ, входящих в испытания, и рекомендации по устранению выявленных несоответствий вносятся в отдельный протокол, оформляемый в двух экземплярах, один из которых выдается заявителю.

      27. На основании комплекта протоколов ГТС оформляет Акт испытаний (далее - Акт испытаний) согласно Приложению 4 настоящих Правил в двух экземплярах (по одному для ГТС и заявителя).

      28. Испытания признаются положительными при наличии Акта испытаний с положительным заключением, выдаваемого после проведения всех видов работ, входящих в испытания, и наличия по ним протоколов с положительными результатами.

      29. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение месяца со дня получения Акта испытаний либо протоколов по проведенным работам и направил в ГТС запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий и акта приема-передачи исходных кодов объекта испытаний согласно Приложению 5 настоящих Правил, ГТС на безвозмездной основе в течение десяти рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      30. При проведении повторных испытаний после исправления несоответствий, связанных с внесением изменений в программное обеспечение объекта испытаний, анализ исходного кода проводится в обязательном порядке, даже если ранее он был выполнен без несоответствий. При этом заявитель к запросу на проведение повторных испытаний прикладывает исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске.

      31. В случае выявления несоответствий при проведении повторных испытаний ГТС оформляет Акт испытаний или протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 2 настоящих Правил.

      32. В случае изменения условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет в ГТС заявку о необходимости проведения испытания в порядке, установленном главой 2 настоящих Правил, с приложением описания всех произведенных изменений.

      33. При утере, порче или повреждении протоколов и (или) Акта испытаний владелец объекта испытаний направляет в ГТС уведомление с указанием причин.

      34. ГТС в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов и (или) Акта испытаний.

      35. Срок действия Акта испытаний с положительным результатом ограничивается сроком промышленной эксплуатации объекта испытаний или до момента начала модернизации объекта испытаний.

      36. Срок действия протокола по отдельному виду испытания, не включенный в Акт испытаний по пункту 27 настоящих Правил не превышает 1 год.

  Приложение 1
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного
правительства", интернет-ресурса
государственного органа и
информационной системы на
соответствие требованиям
информационной безопасности
Форма

                        Заявка на проведение испытаний
___________________________________________________________________________
                        (наименование объекта испытаний)
на соответствие требованиям информационной безопасности (далее – испытания)
1._________________________________________________________________________
                  (наименование организации-заявителя, Ф.И.О. заявителя)
___________________________________________________________________________
            (почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит провести испытания __________________________________________________
            (наименование объекта испытаний, номер версии, дата разработки)
в составе следующих видов работ:
1) _______________________________________________________________________
2) _______________________________________________________________________
3) _______________________________________________________________________
4) _______________________________________________________________________
      (перечень видов работ согласно пункта 7 / 8 / 9 / 10 настоящих Правил
                              указать нужный пункт))
2. Сведения о владельце (собственнике) испытываемого объекта испытаний
_________________________________________________________________________
                        (наименование или Ф.И.О.)
_________________________________________________________________________
                  (область, город, район, почтовый адрес, телефон)
3. Сведения о разработчике испытываемого объекта испытаний
_________________________________________________________________________
            (информация о разработчике, наименование или Ф.И.О. авторов)
_________________________________________________________________________
                  (область, город, район, почтовый адрес, телефон)
4. Краткая аннотация на объект испытаний или его назначение
_________________________________________________________________________
(назначение, применение, новизна, аналоги и т.п., используемые средства разработки)
4. Дополнительные сведения:
_________________________________________________________________________
Руководитель организации – заявителя/ Ф.И.О., заявителя ______ (подпись, дата)
(место печати) при наличии

  Приложение 2
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного
правительства", интернет-ресурса
государственного органа и
информационной системы на
соответствие требованиям
информационной безопасности
Форма

                              Анкета-вопросник
                        о характеристиках объекта испытаний
      1. Наименование объекта испытаний:
________________________________________________________________________
________________________________________________________________________
      2. Реквизиты разработчика объекта испытаний:
      1) наименование разработчика: _______________________________________
_______________________________________________________________________;
      2) адрес: г._________, ул. ____________________;
      3) телефон: _________, факс: ___________________;
      4) адрес электронной почты: Е-mail: ________@_______.
      3. Данные лица, ответственного за заполнение настоящей анкеты и связь
с государственной технической службой:
      1) фамилия, имя, отчество: __________________________________________;
      2) должность: _____________________________________________________;
      3) телефон рабочий: _________, телефон сотовый: ______________________;
      4) адрес электронной почты: Е-mail: ______@_______.
      4. Классификация объекта испытаний
      1) класс электронных информационных ресурсов ___________;
      2) класс программного обеспечения _____/_____.
                              (прикладное / общесистемное)
      Примечание. Приложить утвержденную схему классификации по схеме
классификации объектов информатизации из Приложения 2 к Правилам
классификации объектов информатизации, утвержденный Приказом
исполняющего обязанности Министра по инвестициям и развитию Республики
Казахстан от 28 января 2016 года № 135 (зарегистрирован в Реестре
государственной регистрации нормативных правовых актов за № 13349,
опубликован 17 марта 2016 года в информационно-правовой системе "Әділет").
      5. Архитектура объекта испытаний:
      1) приложить утвержденную функциональную схему объекта испытаний,
с указанием:
      расположения компонентов и модулей объекта испытаний;
      связей между компонентами или модулями;
      интеграционного взаимодействия с другими объектами информатизации;
      направления основных информационных потоков;
      мест и способов подключения пользователей;
      мест и технологий хранения данных;
      используемых локальных, ведомственных (корпоративных) и
глобальных сетей;
      применяемого резервного оборудования;
      2) приложить утвержденную схему сети передачи данных/сети
телекоммуникаций объекта испытаний с указанием:
      архитектуры и характеристик сети;
      серверного оборудования;
      сетевого и коммуникационного оборудования;
      адресации и применяемых сетевых технологий;
      решения(й) по обеспечению отказоустойчивости и резервированию.
      6. Информация об объекте испытаний:
      1) информация о серверном оборудовании (заполнить таблицу):


п/п

Наименование сервера или виртуального ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики
сервера или используемых заявленных виртуальных ресурсов

ПО, ОС, приложения и библиотеки установленные на серверах или используемые виртуальные сервисы
(состав программной среды)

IP-адрес

1

2

3

4

5

6

7















      2) местонахождение серверного оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О.) при наличии

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      3) характеристики резервного оборудования (заполнить таблицу):


п/п

Наименование сервера или виртуального ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики
сервера или используемых заявленных виртуальных ресурсов

ПО, ОС, приложения и библиотеки установленные на серверах или используемые виртуальные сервисы
(состав программной среды)

IP-адрес

Метод резервирования

1

2

3

4

5

6

7

8

















      4) местонахождение резервного серверного оборудования (заполнить
таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О.) при наличии

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      5) информация по рабочим станциям администраторов (заполнить
таблицу):


п/п

Роль администратора

Количество учетных записей администраторов

Наличие доступа к Интернет

Наличие удаленного доступа к серверу

IP-адрес рабочей станции администратора

Характеристики рабочей станции администратора

1

2

3

4

5

6

7















      6) информация о пользователях (заполнить таблицу):


п/п

Роль пользователя

Перечень типовых действий пользователя

Способ и адрес подключения пользователей

Максимальное количество пользователей

Максимальное количество, обрабатываемых запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7








      7) Информация об интеграционном взаимодействии объекта испытаний, в
том числе, планируемые (заполнить таблицу):


п/п

Наименование интеграционной связи (объекта информатизации)

Владелец (собственник) интегрируемого объекта

Действующая / планируемая

Наличие модуля интеграции

Используемые протоколы интеграции

Максимальное количество запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

















      8) информация о средствах, используемых для мониторинга
работоспособности серверного, сетевого оборудования, системных служб и
процессов, свободного дискового пространства (заполнить таблицу):


п/п

Наименование средств мониторинга

Назначение мониторинга

Ответственный сотрудник за мониторинг

Периодичность проведении анализа

1

2

3

4

5











      9) информация об анализе журналов событий (заполнить таблицу):


п/п

Наименование сервисов, журнала событий

Средства для анализа

Периодичность проведения анализа

Срок хранения журналов событий

Места хранения журналов событий

1

2

3

4

5

6













      10) языковая среда разработки испытываемого образца (заполнить
таблицу):


п/п

Наименование модуля

Применяемый язык программирования

Используемые библиотеки, компоненты и файлы

Объем исходного кода, Мбайт

1

2

3

4

5











      11) структура корпоративной сети (заполнить таблицу):


п/п

Наименование сегмента сети

Количество межсетевых соединений

Аппаратно-программные средства защиты сети

Другие средства защиты сетей

1

2

3

4

5











      7. Документирование испытываемого объекта (заполнить таблицу):


п/п

Наименование документа

Наличие

Количество страниц

Дата утверждения

Стандарт,
в соответствии с которым был разработан документ

1

2

3

4

5

6

1.

Техническое задание или задание на проектирование сервисного программного продукта





2.

Руководство пользователя





3.

Текст программы





4.

Описание программы





      8. Наличие другой документации, предусмотренной стандартами
(заполнить таблицу):


п/п

Наименование документа

Обозначение

Количество страниц

Дата утверждения

Стандарт,
в соответствии с которым разработан документ

1

2

3

4

5

6







      9. Сведения о ранее пройденных видах работ или испытаниях (номер
протокола, дата):
___________________________________________________________________________
      10. Наличие лицензии на испытываемый объект (наличие авторских
прав, наличие соглашения с организацией-разработчиком на предоставление
исходного кода) _____________________________________________________________
___________________________________________________________________________
      11. Дополнительная информация: ________________________________________
___________________________________________________________________________
___________________________________________________________________________
Примечание: расшифровка аббревиатур:
ПО – программное обеспечение
ОС – операционное обеспечение

  Приложение 3
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного
правительства", интернет-ресурса
государственного органа и
информационной системы
на соответствие требованиям
информационной безопасности

                                    Перечень
            технической документации, необходимой для проведения испытаний

      1. Техническое задание или задание на проектирование сервисного программного продукта (для сервисного программного продукта).

      2. Руководство пользователя.

      3. Текст программы (за исключением ИКП ЭП и объектов испытаний, в которых отсутствует исходный код).

      4. Описание программы (за исключением ИКП ЭП и объектов испытаний, в которых отсутствует исходный код).

  Приложение 4
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного
правительства", интернет-ресурса
государственного органа и
информационной системы
на соответствие требованиям
информационной безопасности
  "Утверждаю"
Директор Государственной
технической службы
_____________ ____________
(Ф.И.О.)             (подпись )
"_____" ___________ 20__ г.
  Форма

                              Акт испытаний №___
                        "_____" ___________ 20__ г.
_________________________________________________________________________
                  (наименование объекта испытаний (далее – ОИ))
_________________________________________________________________________
            (наименование организации-заявителя / Ф.И.О. заявителя)
      1. В соответствии с Заявкой на проведение испытаний на соответствие
требованиям информационной безопасности (далее – испытания) от "___"
___________20__г. и Договором №___ от "___" ___________20__г.
Государственная техническая служба провела испытание
________________________________________________________________________
                              (наименование ОИ)
      в составе следующих работ:
      1) анализ исходных кодов;
      2) испытание функций информационной безопасности;
      3) нагрузочное испытание;
      4) обследование сетевой инфраструктуры.
      2. В ходе испытаний установлено:
      1) по анализу исходного кода:
      анализ исходных кодов ОИ завершен без ошибок (при отсутствии
недостатков ПО);
      анализ исходных кодов ОИ завершен с ошибками (при наличии
недостатков ПО);
      анализ исходных кодов ОИ не проводился на основании (указать
основание по пункту 8, 9 или 10 настоящих Правил);
      Протокол (номер и дата протокола анализ исходных кодов ОИ);
      2) по испытаниям функций информационной безопасности:
      реализация функций информационной безопасности ОИ соответствуют
требованиям ИБ (при отсутствии несоответствий);
      реализация функций информационной безопасности ОИ не соответствуют
требованиям ИБ (при наличии несоответствий);
      Протокол (номер и дата протокола испытания функций информационной
безопасности ОИ);
      3) по нагрузочному испытанию:
      нагрузочное испытание прошло успешно (при стабильном и устойчивом
функционировании (без сбоев) ОИ при заданных параметрах);
      нагрузочное испытание прошло не успешно (при нарушениях
стабильности и устойчивости (наличие сбоев) функционирования ОИ при
заданных параметрах);
      Протокол (номер и дата протокола нагрузочного испытания);
      4) по обследованию сетевой инфраструктуры:
      безопасность сетевой инфраструктуры соответствует требованиям ИБ (при
отсутствии несоответствий и уязвимостей, влияющих на безопасное
функционирование ОИ);
      безопасность сетевой инфраструктуры не соответствует требованиям ИБ
(при наличии несоответствий, влияющих на безопасное функционирование
ОИ);
      Протокол (номер и дата протокола обследования сетевой инфраструктуры
ОИ).
                              Заключение
      На основании проведенных испытаний ______________________________
                                    (наименование объекта испытаний)
      соответствует / не соответствует требованиям информационной
безопасности.

СОГЛАСОВАНО:

ПОДГОТОВЛЕНО:

_____________________________
(должность)
_____________________________
(подпись) (Ф.И.О.) при наличии
"_____" ______________20____ г.

_____________________________
(должность)
_____________________________
(подпись) (Ф.И.О.) при наличии
"____" _____________20____ г.

 
  Приложение 5
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного
правительства", интернет-ресурса
государственного органа и
информационной системы на
соответствие требованиям
информационной безопасности
  Форма

                              Акт приема-передачи
                        исходных кодов объекта испытаний
_________________________________________________________________________
                  (наименование объекта испытаний (далее – ОИ))
_________________________________________________________________________
            (наименование организации-заявителя / Ф.И.О. заявителя)
"_____" ___________ 20__ г.
Версия передаваемого ПО ___________.
Количество дисков ________.


п/п

Маркировка диска

Наименование каталога на диске

Наименование файла

Размер файла, Мбайт

Применяемый язык программирования (при необходимости)

Дата модификации файла

1

2

3

4

5

6

7
















Передал:

Принял:

_____________________________
(должность)
_____________________________
(подпись) (Ф.И.О.) при наличии
"_____" ______________20____ г.

_____________________________
(должность)
_____________________________
(подпись) (Ф.И.О.) при наличии
"____" _____________20____ г.

      Зарегистрирован в Журнале регистрации образцов №_ "___" _______ 20__ г.
      Зарегистрировал ______________________________
                  (подпись) (Ф.И.О.) при наличии

Сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы

Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 14 наурыздағы № 40/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 30 наурызда № 16694 болып тіркелді. Күші жойылды - Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығымен

      Ескерту. Күші жойылды – ҚР Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 03.06.2019 № 111/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1 бабының 5) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Мыналар:

      1) осы бұйрыққа 1-қосымшаға сәйкес Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;

      2) осы бұйрыққа 2-қосымшаға сәйкес Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.

      2. "Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 26 қаңтардағы № 63 бұйрығының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13207 болып тіркелген, "Әділет" ақпараттық-құқықтық жүйесінде 2016 жылғы 1 наурызда жарияланған) күші жойылды деп танылсын.

      3. Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгiленген тәртiппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық мемлекеттік тіркелген күнінен бастап күнтізбелік он күн ішінде оның көшірмелерін қазақ және орыс тілдерінде баспа және электрондық түрде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу және ресми жариялау үшін "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

      3) осы бұйрық мемлекеттік тіркелген күнінен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспа басылымдарына ресми жариялау үшін жіберуді;

      4) осы бұйрықты ресми жариялағаннан кейін Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің ресми интернет-ресурсында орналастыруды;

      5) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2) 3) және 4) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      5. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Қорғаныс және аэроғарыш өнеркәсібі
министрі
Б. Атамқұлов

  Қазақстан Республикасы
Қорғаныс және аэроғарыш
өнеркәсібі министрінің
2018 жылғы 14 наурыздағы
№ 40/НҚ бұйрығына
1-қосымша

Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі 1-тарау. Жалпы ережелер

      1. Осы Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйені олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өткізуді жүргізу әдістемесі (бұдан әрі – Әдістеме) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 7-1-бабының 5) тармақшасына сәйкес әзірленді.

      2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) осалдық – бағдарламалық қамтылымда жұмыс қабілеттілігін бұзуға немесе белгіленген рұқсаттардан тыс қандай болсын заңсыз іс-әрекеттерді орындауға мүмкіндік беретін бағдарламалық қамтылымдағы кемшілік;

      2) сараптамалық әдіс – сарапшының жеке пікірін немесе сарапшылар тобының ұжымдық пікірін пайдалану негізінде алынған іздестіру әдісі мен оны қолдану нәтижесі;

      3) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі - ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнім арасындағы өзара іс-қимыл құралы;

      4) сенімді бағыт – сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін пайдаланушы мен ОҚФ арасындағы өзара іс-қимыл құралы.

      3. Сынақтар жүргізу мыналарды қамтиды:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау;

      4) желілік инфрақұрылымды тексеріп қарау.

2-тарау. Бастапқы кодтарды талдау

      4. Сынақ объектілерінің бастапқы кодтарын талдау бағдарламалық қамтылымның (бұдан әрі – БҚ) кемшіліктерін (бағдарламалық белгілер мен осалдықтарды) айқындау мақсатында жүргізіледі.

      5. Бастапқы кодтарды талдау Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларына (бұдан әрі-Қағидалар) сәйкес сынақ объектілерінің бастапқы кодтарын қабылдау-беру актісінде тізімделген БҚ үшін жүргізіледі.

      6. Сынақтар жүргізу кезінде сынақ мерзімі аяқталғанға дейін бастапқы кодтарды қайта талдау жүргізу қажеттілігі айқындалған жағдайда, өтініш беруші МТҚ-ға сұрау салумен жүгінеді және Қағидалардың 25-тармағына сәйкес бастапқы кодтарға қайтадан талдау жүргізу туралы қосымша келісім жасалады.

      7. БҚ кемшіліктерін айқындау өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.

      8. Бастапқы кодтарды талдау:

      1) БҚ кемшіліктерін айқындауды;

      2) бастапқы кодты талдау нәтижелерін белгілеуді қамтиды.

      9. БҚ кемшіліктерін айқындау мынадай тәртіппен жүзеге асырылады:

      1) бастапқы деректерді дайындау жүргізіледі (сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсы мен ақпараттық жүйенің (бұдан әрі-АО) бастапқы кодтарын жүктеу, сканерлеу режимін (қарқынды және/немесе статикалық) таңдау, сканерлеу режимдерінің сипаттамаларын баптау);

      2) БҚ кемшіліктерін айқындауға арналған бағдарламалық құрал іске қосылады;

      3) жалған іске қосылулардың болуына бағдарламалық есептерді талдау жүргізіледі;

      4) сипаттамасы, бағдары (файлға дейінгі жолы) мен тәуекел деңгейі (жоғары, орташа, төмен) көрсетілген БҚ айқындалған кемшіліктерінің тізбесін қамтитын есеп қалыптастырылады.

      10. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады.

      11. Бастапқы кодтарды талдау нәтижелері осы жұмыс түрлерінің жауапты орындаушысымен бастапқы кодтарды талдау хаттамасында тіркеледі (Еркін нысанда).

      12. Бастапқы кодтарды талдау жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде сынақ объектісінің бастапқы кодтары таңбаланады және мөр басылған түрінде МТҚ мұрағатына жауапты сақтауға тапсырылады.

      13. МТҚ сынақтар аяқталғаннан кейін олардың құпиялылығын кем дегенде үш жыл сақтай отырып, алынған бастапқы кодтарды сақтауды қамтамасыз етеді.

3-тарау. Ақпараттық қауіпсіздік функцияларын сынау

      14. Сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің функцияларын ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау (бұдан әрі-ақпараттық қауіпсіздік функцияларын сынау) олардың техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.

      15. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды:

      1) қауіпсіздік функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкестігін бағалау;

      2) бағалау нәтижелерін тіркеу.

      16. Ақпараттық қауіпсіздік функцияларының тізбесі осы Әдістеменің 1-қосымшасында беріледі.

      17. Ақпараттық қауіпсіздік функцияларын сынау серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі.

      18. Ақпараттық қауіпсіздік функцияларын сынау нәтижелерін осы жұмыс түрлерінің жауапты орындаушысы Ақпараттық қауіпсіздік функцияларын сынау хаттамасында тіркейді (еркін нысанда).

4-тарау. Жүктемелік сынау

      19. Жүктемелік сынау сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауды бағалау мақсатында жүргізіледі.

      20. Жүктемелік сынау дербес деректер жалған деректермен алмастырылған сынақ объектісін штаттық пайдалану ортасында автоматтандырылған сценарийлер негізінде мамандандырылған бағдарламалық құралды пайдалана отырып жүргізіледі.

      21. Өтініш беруші жүктемелік сынау параметрлерін Қағидалардың 2-қосымшасына сәйкес сынақ объектісінің сипаттамалары туралы Сауалнама-сұраулықта ұсынады.

      22. Жүктемелік сынау мынадай тәртіппен жүзеге асырылады:

      1) сынауға дайындық жүргізіледі;

      2) сынақ жүргізіледі;

      3) сынақ нәтижелері тіркеледі.

      23. Сынауға дайындық мыналарды қамтиды:

      1) сынау сценарийін анықтау;

      2) сынаудың уақытша және сандық сипаттамаларын анықтау;

      3) сынау жүргізу уақытын тапсырыс берушімен келісу.

      24. Сынау жүргізу:

      1) мамандандырылған бағдарламалық құралға сынау сценарийі мен конфигурациясын баптауды;

      2) мамандандырылған бағдарламалық құралды іске қосуды;

      3) сынақ объектісіне жүктеуді тіркеуді;

      4) жүктемелік сынаудың есебін қалыптастыру және беруді қамтиды.

      25. Жүктемелік тестілеу жүргізу жөніндегі жұмыстар бір сынақ объектісіне пайдаланушыларды қосу нұсқалары мен сынақ объектісінің интеграциялық өзара іс-қимылының нұсқалар саны бойынша жүргізіледі.

      26. Жүктемелік сынау нәтижелерін осы жұмыс түрлерінің жауапты орындаушысы Жүктемелік сынау хаттамасында тіркейді (еркін нысанда).

5-тарау. Желілік инфрақұрылымды тексеріп қарау

      27. Желілік инфрақұрылымды тексеріп қарау желілік инфрақұрылымның қауіпсіздігін бағалау мақсатында жүргізіледі.

      28. Желілік инфрақұрылымды тексеріп қарау мыналарды қамтиды:

      1) желілік инфрақұрылымның қорғалу функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкестігін бағалау;

      2) өтініш берушінің желілік инфрақұрлымын тексеріп қарау;

      3) алынған нәтижелерді тіркеу.

      29. Желілік инфрақұрылымның қорғалу функцияларының тізбесі осы Әдістеменің 2-қосымшаснда беріледі.

      30. Желілік инфрақұрылымды зерттеп қарау бойынша жұмыстар сынақ объектісінің әрбір кіші желісіне (желі сегментіне) жүргізіледі.

      31. Желілік инфрақұрылымды зерттеп қарау нәтижелерін осы жұмыс түрлерінің жауапты орындаушысы Желілік инфрақұрылымды зерттеп қарау хаттамасында тіркейді (еркін нысанда).

  Сервистік бағдарламалық
өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік
органның интернет-ресурсына
және ақпараттық жүйеге
олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу әдістемесіне
1-қосымша

Ақпараттық қауіпсіздік функцияларының тізбесі

р/с

Функциялардың атауы

Функциялардың мазмұны

1

2

3

Қауіпсіздік аудиті

1

Қауіпсіздік аудитінің автоматты әрекет етуі

Тіркеу журналына жазба енгізуді, қауіпсіздікті бұзушылықты айқындау туралы әкімшіге локалдық немесе қашықтықтан сигнал беруді жүзеге асыру

2

Қауіпсіздік аудитінің деректерін өндіру

Хаттамалаудың, ең болмаса, тіркеу функцияларын іске қосу мен аяқтаудың, сондай-ақ аудиттің базалық деңгейіндегі барлық оқиғалардың болуы, яғни, әрбір тіркеу жазбасында оқиғаның мерзімі мен уақытының, оқиға түрінің, субъектіні сәйкестендіргіш пен оқиға нәтижесінің (сәттілігі немесе сәтсіздігі) болуы

3

Қауіпсіздік аудитін талдау

Сәйкестендіру тетіктерін пайдаланудың ең болмаса, сәтсіз нәтижелерін, сондай-ақ криптографиялық операцияларды орындаудың сәтсіз нәтижелерін жинақтау және/немесе біріктіру арқылы (ықтимал кемшіліктерді айқындау мақсатында) жүзеге асыру

4

Қауіпсіздік аудитін қарау

Барлық тіркеу ақпаратын қарау (оқу) мүмкіндігін қамтамасыз ету және әкімшіге беру. Өзге пайдаланушыларға тіркеу ақпаратына қолжетімділік айқын ерекше оқиғаларды қоспағанда, жабық болуы тиіс.

5

Қауіпсіздік аудитінің оқиғаларын таңдау

Оқиғаларды тіркеудің, ең болмаса, мынадай атрибуттарға негізделетін іріктеудің болуы:объектіні сәйкестендіргіш;
субъектіні сәйкестендіргіш;
желі торабының мекенжайы;
оқиға түрі;
оқиға мерзімі мен уақыты

6

Қауіпсіздік аудитінің деректерін сақтау

рұқсатсыз түрлендіруден сенімді қорғау туралы тіркеу ақпаратының болуы.

Байланысты ұйымдастыру

7

Жіберуден бас тартпаушылық

Жіберуші куәлігі жіберуші мен жіберілген ақпарат арасындағы байланысты (мысалы, цифрлық қолтаңба) дәлелдейтін, ақпаратты жіберу фактісінен бас тартпауы үшін пайдаланушыларға/ жіберушінің ұқсастығын куәландыру субъектілеріне кейбір ақпаратты беру

8

Алудан бас тартпаушылық

Алушының ақпаратты алу фактісінен бас тарту мүмкінсіздігін қамтамасыз ету

Криптографиялық қолдау

9

Криптографиялық кілттерді басқару

Мыналарды қолдаудың болуы:
1) криптографиялық кілттерді құру;
2) криптографиялық кілттерді бөлу;
3) криптографиялық кілттерге қолжетімділікті басқару;
4) криптографиялық кілттерді жою

10

Криптографиялық операциялар

Техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкес сенімді арна арқылы жіберілетін барлық ақпарат үшін тұтастығын шифрлаудың және бақылаудың болуы

Пайдаланушының деректерін қорғау

11

Қолжетімділікті басқару саясаты

Қауіпсіздік сервисімен тікелей немесе жанама операцияларды орындайтын пайдаланушылар үшін қолжетімділікті бөлуді жүзеге асыру

12

Қолжетімділікті басқару функциялары

Қолжетімділікті бөлу функцияларын пайдалану, ең болмаса, мынадай қауіпсіздік атрибуттарына негізделуі тиіс:
қол жеткізу субъектілерін сәйкестендіргіштер;
қол жеткізу объектілерін сәйкестендіргіштер;
қол жеткізу субъектілерінің мекенжайлары;қол жеткізу объектілерінің мекенжайлары;
субъектілердің қол жеткізу құқықтары.

13

Деректерді теңестіру

Ақпараттың мазмұны айлакерлік жолымен ұқсастырылмағанын немесе түрлендірілмегенін кейін тексеру үшін пайдаланылатын өзіндік деректер жинағының дұрыстығы кепілдігін қолдау

14

Деректерді СО қауіпсіздік функцияларының (бұдан әрі-ОҚФ) әрекетінен тыс экспорттау

Пайдаланушының деректерін СО экспорттау кезінде оларды қорғау мен сақталуын немесе қауіпсіздік атрибуттарын ескермеуді қамтамасыз ету

15

Ақпараттық ағындарды басқару саясаты

Пайдаланушының деректерін қауіпсіздік сервисінің физикалық бөлінген бөліктері арасында жіберген кезде оларды ашуға, түрлендіруге және/немесе қолжетімді болуына жол бермеуді қамтамасыз ету

16

Ақпараттық ағындарды басқару функциялары

Деректер қоймасында қамтылған ақпаратты бақылаусыз таратуға жол бермеу мақсатында оған қолжетімділікті ұйымдастыру және қамтамасыз ету (БҚ сенімсіз болған жағдайда жариялаудан немесе түрлендіруден сенімді қорғауды іске асыру үшін ақпараттық ағындарды басқару)

17

Деректерді ОҚФ әрекетінен тыс жерден импорттау

Пайдаланушының деректерін олардың талап етілетін қауіпсіздік және қорғау атрибуттары болатындай етіп СО жіберуге арналған тетіктердің болуы

18

СО шегінде жіберу

Пайдаланушының деректерін ішкі арна бойынша СО түрлі бөліктері арасында жіберген кезде қорғаудың болуы

19

Қалған ақпаратты қорғау

Қалған ақпаратты толық қорғауды қамтамасыз ету, яғни ресурс босаған кезде алдыңғы жай-күйінің қолжетімсіздігін қамтамасыз ету

20

Ағымдағы жай-күйін кері қалпына келтіру

Кейбір шектелген (мысалы, уақыт аралығымен) соңғы операцияны немесе бірқатар операцияны жою және алдыңғы белгілі жай-күйге қайту мүмкіндігінің болуы.
Кері қалпына қайтару пайдаланушы деректерінің тұтастығын сақтау үшін операцияның немесе бірнеше операция нәтижелерін жоюға мүмкіндік береді.

21

Сақталатын деректердің тұтастығы

Пайдаланушының деректерін ОҚФ шегінде сақтаған кезде олардың қорғалуын қамтамасыз ету

22

ОҚФ арасында жіберген кезде пайдаланушы деректерінің құпиялылығын қорғау

Пайдаланушының деректерін ОҚФ арасында сыртқы арна немесе АТ басқа сенімді өнімі бойынша жіберген кезде олардың құпиялылығын қамтамасыз ету. Құпиялылық деректерді екі соңғы нүкте арасында жіберген кезде оларға рұқсатсыз қол жеткізуді болдырмау жолымен жүзеге асырылады. Соңғы нүктелер ОҚФ немесе пайдаланушы бола алады.

23

ОҚФ арасында жіберген кезде пайдаланушы деректерінің тұтастығын қорғау

Пайдаланушының деректерін ОҚФ және АТ басқа сенімді өнімі арасында жіберген кезде олардың тұтастығы, сондай-ақ айқындалған қателер кезінде оларды қалпына келтіру мүмкіндігі қамтамасыз етілуі тиіс.

Сәйкестендіру және теңестіру

24

Теңестіруден бас тарту

Сәтсіз теңестіру талаптарының белгілі санына келгенде әкімшінің субъектіге қол жеткізуге рұқсат бермеу, тіркеу журналына жазба енгізу мен әкімшіге қауіпсіздіктің ықтимал бұзушылық туралы сигнал беру мүмкіндігінің болуы

25

Пайдаланушының атрибуттарын анықтау

Әрбір пайдаланушы үшін, ең болмаса, келесі қауіпсіздік атрибуттарын қолдау қажет:
- сәйкестендіргіш;
- теңестірілген ақпарат (мысалы, пароль);
- қол жеткізу құқығы (рөлі).

26

Құпиялардың ерекшелігі

Егер теңестірілген ақпарат криптографиялық операциялармен қамтамасыз етілсе, сондай-ақ ашық және құпия кілттеріне қолдау көрсетілуі қажет.

27

Пайдаланушыны теңестіру

ОҚФ ұсынатын пайдаланушы теңестіру тетіктерінің болуы

28

Пайдаланушыны сәйкестендіру

1) Қауіпсіздік сервисі осы пайдаланушының атынан орындайтын кез келген іс-қимыл аяқталғанға дейін әрбір пайдаланушы сәтті сәйкестендірілуге және теңестіруді;
2) Басқа пайдаланушыдан көшіріп алынған немесе ұқсастырып жасалған теңестірілген деректерді пайдалануға жол бермеу мүмкіндіктерін;
3) Пайдаланушының ұсынылған кез келген сәйкестендіргішін теңестіру қажет;
4) Әкімші белгілеген уақыт интервалы аяқталғаннан кейін пайдаланушыны қайтадан теңестіруіді;
5) Теңестіруді орындаған кезде қауіпсіздік функциялары пайдаланушыға тек қана жасырын кері байланысқа рұқсат беруді
Қамтамасыз ету

29

Пайдаланушы-субъект байланыстырушы

Пайдаланушының тиісті қауіпсіздік атрибуттарын осы пайдаланушы атынан әрекет ететін субъектілермен байланыстыру керек

Қауіпсіздікті басқару

30

ОҚФ жеке функцияларын басқару

Жұмыс істеу, ажырату, қосу, сәйкестендіру мен теңестіру режимдерін түрлендіру, қолжетімділік, хаттамалау және аудит құқығын басқару режимдерін анықтауға әкімшінің жеке құқығының болуы.

31

Қауіпсіздік атрибуттарын басқару

Қауіпсіздіктің түсіндірілетін мәндерін өзгертуге, сұрастыруға, атрибуттарын өзгертуге, жоюға, құруға әкімшінің жеке құқығының болуы. Бұл ретте, қауіпсіздік атрибуттарына тек қана қауіпсіздік мәндер беруді қамтамасыз ету қажет

32

ОҚФ деректерін басқару

Тіркелетін оқиғалардың түсіндірілетін мәндерін өзгертуге, сұрастыруға, өзгертуге, жоюға, тазалауға, түрлерін анықтауға, тіркеу журналдарының өлшемін, субъектілердің қол жеткізу құқықтарын, қол жеткізу субъектілерінің есептік жазбаларының, парольдерінің, криптографиялық кілттерінің жарамдылық мерзімдерін өзгертуге әкімшінің жеке құқығының болуы.

33

Қауіпсіздік атрибуттарын жою

Уақыттың кейбір сәттерінде қауіпсіздік атрибуттарын бұзуды жүзеге асырудың болуы. Пайдаланушылармен байланыстырылған қауіпсіздік атрибуттарын бұзу мүмкіндігі тек қана уәкілетті әкімшілерде болуы тиіс. Қауіпсіздік үшін маңызды өкілеттіктер дереу жойылуы тиіс.

34

Қауіпсіздік атрибутының қолданыс мерзімі

Қауіпсіздік атрибуттарының қолданыс мерзімін белгілеу мүмкіндігін қамтамасыз ету

35

Қауіпсіздікті басқару рөлдері

1) Ең болмаса, мынадай рөлдерді қолдауды қамтамасыз ету: уәкілетті пайдаланушы, қашықтықтан пайдаланушы, әкімші.
2) Қашықтықтан пайдаланушы мен әкімші рөлдерін тек қана сұрау бойынша алуды қамтамасыз ету

ОҚФ қорғау

36

Кідіру кезіндегі қауіпсіздік

Сервиспен аппараттық кідірістер кезінде (мысалы, электр қуатының іркілісінен орын алған) қауіпсіз жай-күйді сақтау

37

ОҚФ экспортталатын деректерінің қолжетімділігі

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс

38

ОҚФ экспортталатын деректерінің құпиялылығы

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің құпиялылығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беру

39

ОҚФ экспортталатын деректерінің тұтастығы

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беру

40

ОҚФ деректерін СО шегінде жіберу

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін, құпиялылығы мен тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік береді

41

ОҚФ физикалық қорғау

ОҚФ физикалық қорғауды жүзеге асыру

42

Сенімді қалыпқа келтіру

Кідірулер немесе қызмет көрсету тоқтатылғаннан кейін автоматты түрде қалпына келтіру мүмкін болмаса, сервис қауіпсіз жай-күйге қайтаруға мүмкіндік беретін авариялық қолдау режиміне ауысады. Аппараттық кідірістерден кейін автоматты рәсімдерді қолданумен қауіпсіз жай-күйге кері қайту қамтамасыз етіледі

43

Екінші рет пайдалануды айқындау

Сервистің теңестірілген деректердің қайтадан пайдаланылуын айқындауын, қол жеткізуге жол бермеуге, тіркеу журналына жазба енгізуін және әкімшіге қауіпсіздіктің ықтимал бұзылуы туралы сигнал беруін қамтамасыз ету

44

Өтініштер беру кезіндегі делдалдық

Сервистің қауіпсіздік саясатын жүзеге асыратын функциялар сервистің кез келген басқа функциясын орындауға рұқсат етілгенге дейін шақырылып, сәтті орындалуын қамтамасыз ету

45

Доменді бөлу

Қауіпсіздік функциялары оларды сенімсіз субъектілердің араласуы мен бұрмалауынан қорғайтын меншікті орындауға арналған жеке доменді қолдап отыру

46

Жай-күйлерді синхрондау хаттамасы

Серверлерде ұқсас функцияларды орындаған кезде жай-күйлерді синхрондауды қамтамасыз ету

47

Уақыт белгілері

Қауіпсіздік функцияларының пайдалануына сенімді уақыт белгілерін ұсыну

48

ОҚФ арасындағы деректердің келісілушілігі

Тіркелетін ақпаратты, сондай-ақ қолданылатын криптографиялық операциялар параметрлерін келісімді түсіндіруді қамтамасыз ету

49

СО шегінде қайталау кезінде ОҚФ деректерінің келісілушілігі

СО түрлі бөліктерінде қайталаған кезде қауіпсіздік функциялары деректерінің үйлесмілігін қамтамасыз ету. Қайталанатын деректерді қамтитын бөліктер ажыратылғанда, үйлесімділік көрсетілген қауіпсіздік функцияларына кез келген сұрауларды өңдеу алдындағы қосылуды қалпына келтіргеннен кейін қамтамасыз етіледі

50

ОҚФ өзін-өзі тестілеу

Іске қосу кезінде қауіпсіздік функциялары жұмысының дұрыстығын көрсету үшін қылыпты жұмыс процесінде және/немесе әкімшінің сұрауы бойынша мерзімді түрде өзін-өзі тестілеу пакетін орындау.
Әкімшінің қауіпсіздік функциялары деректері мен орындалатын кодтың тұтастығын тексеру мүмкіндігі болуы тиіс

Ресурстарды қолдану

51

Істен шығуға қарсы тұрушылық

Кідірулер кезінде де сынақ объектісінің функционалдық мүмкіндіктерінің қолжетімділігін қамтамасыз ету. Осындай кідірістердің үлгілері: қуат көзін ажырату, аппаратураның жұмыс істемей қалуы, БҚ іркілісі

52

Қызмет көрсетудің басымдылығы

Пайдаланушылардың немесе субъектілердің өздерінің әрекет ету аясында ресурстарды пайдалануын сынақ объектісі шегіндегі басымдылығы жоғары операциялар басымдылығы төмен операциялар жағынан кедергісіз және кідіріссіз орындалатын етіп басқаруды қамтамасыз ету

53

Ресурстарды бөлу

Басқа пайдаланушылардың немесе субъектілердің ресурстарды монополиялауы себепті қызмет көрсетуден рұқсатсыз бас тартуға жол бермеу үшін пайдаланушылардың және субъектілердің ресурстарды пайдалануын басқаруды қамтамасыз ету

СО-ға қолжетімлілік

54

Таңдалатын атрибуттардың аясын шектеу

Қолжетімділік әдісі немесе орны және/немесе уақыты негізінде (мысалы, тәулік уақыты, апта күні) қол жеткізу жүзеге асырылып отырылған порттан пайдаланушы таңдай алатын қауіпсіздік атрибуттарымен қатар пайдаланушы байланыста болуы мүмкін субъектілердің атрибуттарын да шектеу

55

Қатарлас сеанстарды шектеу

Бір пайдаланушыға ұсынылатын қатарлас сеанстардың барынша көп санын шектеу. Бұл шаманың ұйғарынды мәнін әкімші белгілейді.

56

Сеансты бұғаттау

Пайдаланушы әрекетсіздігі ұзақтығының әкімші белгілеген мәні аяқталғаннан кейін жұмыс сеансы мәжбүрлі аяқтау.

57

СО-ға қол жеткізуге рұқсат беру алдында алдын алу

Сәйкестендіруге және теңестіруге дейін әлеуетті пайдаланушылар үшін сынақ объектісінің пайдаланудың сипатына қатысты ескерту хабарламасын көрсету мүмкіндігін қамтамасыз ету

58

СО-ға қолжетімділік тарихы

Сеансты сәтті ашқан кезде пайдаланушы үшін осы пайдаланушы атынан қолжетімділікті алудың сәтсіз әрекеттерінің тарихын алу мүмкіндігін қамтамасыз ету. Бұл тарих қол жеткізу мерзімін, уақытын, құралдарын және СО соңғы рет сәтті қолжетімділік портын, сондай-ақ сәйкестендірілген пайдаланушының соңғы сәтті қол жеткізуінен кейінгі СО сәтсіз қол жеткізу әрекеттерінің санын қамтуы мүмкін.

59

СО-мен сеансты ашу

Субъектіні сәйкестендіргішке, субъектінің пароліне, субъектінің қолжетімділік құқықтарына негізделе отырып, сервистің сеансты ашуға жол бермеуге қабілеттігін қамтамасыз ету.

Зиянды кодтан қорғау функциялары

60

Вирустарға қарсы қорғау құралдарының болуы

Зиянды кодтан қорғану үшін серверлерден, қажеттілік туындаған жағдайда сынақ объектісінің жұмыс станцияларынан зиянды кодты анықтау және бұғаттау немесе жою, мониторинг құралдарын қолдану

61

Вирустарға қарсы қорғау құралдарына арналған лицензия

Серверлерге және жұмыс станцияларына вирустарға қарсы қорғау құралдарының лицензиялары (сатып алынған, шектелген, еркін таратылатын) болуы тиіс

62

Вирустарға қарсы қорғау сигнатуралары базасын және бағдарламалық қамтылымды жаңарту

Вирустарға қарсы қорғау құралдарының ұдайы жаңартылып, өзекті күйде болуын қамтамасыз ету

63

Вирустарға қарсы қорғау құралдарына қолжетімділікті басқару

Вирустарға қарсы қорғау құралдарын орталықтандырылған басқару мен конфигурациялауды жүзеге асыру

64

Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан вирустарға қарсы құралдарымен қорғауды басқару

Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан қорғау файлдардың, қажет болса ақпарат тасығыштардың тексерісін және бұғатталуын қамтамасыз ету

БҚ жаңартылуы кезіндегі қауіпсіздік

65

БҚ ұдайы жаңартылуы

Серверлер мен жұмыс станцияларының жалпыжүйелік және қолданбалы БҚ ұдайы жаңартылуын қамтамасыз ету

66

Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ жаңартылуы

Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ мамандандырылған арнайы жаңарту серверінен жаңартылуын қамтамасыз ету

Қолданбалы БҚ-ға өзгеріс енгізу кезіндегі қауіпсіздік

67

Қолданбалы БҚ әзірлеу және тестілеу ортасы

Қолданбалы БҚ әзірлеу және тестілеу үшін өнеркәсіптік пайдалану ортасынан изоляцияланған ортамен қамтамасыз ету

68

Қолданбалы БҚ әзірлеу және тестілеу ортасына қол жеткізудің аражігін ажырату

Бағдарламашылар мен әкімшілер үшін қолданбалы БҚ әзірлеу және тестілеу орталарына қол жеткізуді басқаруын қамтамасыз ету

69

Қолданбалы БҚ өрістету жүйесі

Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ өрістету (тарату) жүйесінің болуы

70

Қолданбалы БҚ өрістету жүйесіне қол жеткізудің аражігін ажырату

Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ ажырату жүйесіне қол жеткізу құқығын қамтамасыз ету.

  Сервистік бағдарламалық
өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік
органның интернет-ресурсына
және ақпараттық жүйеге
олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу әдістемесіне
2-қосымша

Желілік инфрақұрылымды қорғау функцияларының тізбесі

р/с№

Функциялардың атауы

Функциялардың мазмұны

1

2

3

1

Сәйкестендіру және теңестіру

Уәкілетті персоналға қосу арқылы қолжетімділікті шектеу жолымен (ұйым ішінде немесе одан тыс жерде) телекоммуникация желісі ұсынатын сервистердің қауіпсіздігін және тиісті деректердің сақталуын қамтамасыз ету.

2

Аудиттерді белгілеу (желілік қосылулардың қауіпсіздігіне байланысты оқиғалар туралы есептер қалыптастыру және олардың бар болуы)

Күдікті және нақты оқиғаларды мұқият шолу мүмкіндігінің болуы үшін аудитті жүргізу барысындағы кідіру жағдайлары мен нақты оқиғалары бойынша жеткілікті ақпаратты белгілеу керек

3

Басып кіруді айқындау

Басып кіруді болжауға (телекоммуникация желілеріне ықтимал енулер), оларды нақты уақыт масштабында айқындауға және тиісті алаңдаушылықты туғызуға мүмкіндік беретін құралдардың бар болуын қамтамасыз ету

4

Желілік қауіпсіздікті басқару

Дистанционды диагностиканың барлық порттарына (виртуалды және физикалық) заңсыз қол жетімділіктен сақтануды қамтамасыз ететін желілік ресурстарды қорғауды басқару бойынша шаралардың болуы. Желілер арасындағы байланыс үшін қауіпсіздік шлюздерінің болуы

5

Желіаралық экрандар

Әрбір желіаралық экран үшін сервистерге қолжетіміділік саясатын (қауіпсіздік) белгілейтін жеке құжат әзірлеу және осы қосылу арқылы тек қане рұқсат етілген трафиктің өтуіне кепілдік беру үшін оны әрбір қосылуда жүзеге асыру қажет

6

Желі арқылы жіберілетін деректердің тұтастығын, құпиялығын сақтау

Деректер құпиялығын және тұтастығын сақтау маңызды болған жағдайларда желілік қосылым арқылы өтетін ақпаратты шифрлеу үшін қорғаныстың криптографиялық шараларын көздеген жөн

7

Ақпарат алмасу бойынша жасалған іс-қимылдардан бас тартпаушылық

Ақпаратты желі бойынша жіберудің растауын ұсыну талап етілетін жағдайда, мынадай қорғау шараларын қолданылды:
1) құжатты жіберу фактісін растайтын байланыс хаттамалары;2) бастапқы адресті немесе сәйкестендіргішті ұсынуды және аталған ақпараттың бар болуын тексеруді талап ететін қосымшалардың хатамалары;3) жіберуші мен алушы мекенжайларының форматтары синтаксистің дұрыстығына және тиісті директорийлердегі ақпаратпен үйлесімділікке қатысты тексерілетін желіаралық экрандар;4) желіаралық өзара іс-қимыл шеңберінде ақпаратты жеткізу фактілерін растайтын хаттамалар;
5) ақпараттың реттілігін белгілеуге рұқсат беретін тетіктерді қамтитын хаттамалар

8

Үздіксіз жұмыс және қалыпқа келуді қамтамасыз ету

Әрбір іскерлік операцияның үзілуден кейінгі керекті уақыт итервалында қалыпқа келу қабілетін қамтамасыз ету жолымен төтенше жағдайлар кезіндегі үзілген бизнес функцияларының жалғасуын қамтамасыз ететін қорғаныс шараларының болуы

9

Сенімді арна

1) Қашықтықтағы сенімді АТ-өнімімен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестірудің, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсыну;2) сенімді арна арқылы екі тараптарда байланыстарды бастамалауға мүмкіндікті қамтамасыз ету

10

Сенімді бағдар

1) Қашықтықтағы пайдаланушымен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестіретін, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсыну;
2) Пайдаланушының байланыстарды сенімді арна арқылы бастамалауға мүмкіндікті қамтамасыз ету;
3) Қашықтықтағы пайдаланушы мен қашықтықтан басқаруды бастапқы аутентификациялау үшін сенімді бағдарды пайдалану міндетті болып табылады.

  Қазақстан Республикасы
Қорғаныс және аэроғарыш
өнеркәсібі министрінің
2018 жылғы 14 наурыздағы
№ 40/НҚ бұйрығына
2-қосымша

Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары 1-тарау. Жалпы ережелер

      1. Осы Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 7-1-бабының 5) тармақшасына сәйкес әзірленді және сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге (бұдан әрі – сынақ объектілері) олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібін айқындайды.

      2. Ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар міндетті түрде немесе меншік иесінің не иеленушінің бастамасы бойынша жүргізіледі.

      3. Осы Қағидаларда мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің, ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;

      2) ақпараттық жүйе – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсететін персонал мен техникалық құжаттаманың ұйымдастырушылық ретке келтірілген жиынтығы;

      3) бастапқы кодтар – сынау объектісінің компакт-дискіде сәтті компиляциялануы үшін файлдар мен кітапханаларды қоса алғанда сынау объектілерінің модульдері мен компоненттерінің бастапқы кодтары;

      4) интернет-ресурс – аппараттық-бағдарламалық кешенде орналастырылатын, мәтіндік, графикалық, аудиовизуалды немесе өзге де түрде бейнеленетін, бірегей желілік мекенжайы және (немесе) домендік атауы бар және (немесе) Интернет желісінде жұмыс істейтін, электрондық ақпараттық ресурс;

      5) мемлекеттік техникалық қызмет (бұдан әрі – МТҚ) – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорны;

      6) өтініш беруші – сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, интернет-ресурстың, ақпараттық жүйенің иесі (иеленуші), сондай-ақ сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, интернет-ресурстың, ақпараттық жүйенің иесі (иеленуші) өкілеттік берген сервистік бағдарламалық өнімді, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, интернет-ресурсты, ақпараттық жүйені ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;

      7) сервистік бағдарламалық өнім – ақпараттық-коммуникациялық қызметті іске асыруға арналған бағдарламалық өнім;

      8) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы – ақпараттандырудың сервистік моделін іске асыруға арналған технологиялық платформа.

      4. Ақпараттық қауіпсіздік талаптарына сәйкестікке міндетті сынақ жүргізілетін сынақ объектілеріне мыналар жатады:

      1) сервистік бағдарламалық өнім;

      2) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;

      3) мемлекеттік органның интернет-ресурсы;

      4) мемлекеттік органның ақпараттық жүйесі;

      5) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйе;

      6) мемлекеттік органның ақпараттық жүйесімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйе.

      5. Қазақстан Республикасы ұлттық куәландырушы органының электрондық цифрлық қолтаңбаның түпнұсқалылығын тексеру бойынша сервистерін пайдалануға арналған мемлекеттік органның ақпараттық жүйесі мен мемлекеттік емес ақпараттық жүйесіне ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өту талап етілмейді.

      6. Объектілерді АҚ талаптарына сәйкестігіне сынау (бұдан әрі – сынақ) сынақ өткізу объектілерінің техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкестігін бағалау бойынша жұмыстарды қамтиды.

      7. Сервистік бағдарламалық өнімді және "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектілерін сынақтан өткізудің құрамына мынадай жұмыс түрлері кіреді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау;

      4) желілік инфрақұрылымды тексеріп қарау.

      8. Сынақ объектісінің бастапқы коды болмаған жағдайда сынақ объектісінің бастапқы кодына талдау жүргізудің міндетті еместігі туралы шешім өтінім берушінің сұрау салуы бойынша ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның (бұдан әрі – уәкілетті орган) шешімімен белгіленеді.

      9. Сервистік бағдарламалық өнімді сынауға:

      1) бастапқы кодтарын талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау кіреді.

      10. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынақтан өткізуге:

      1) ақпараттық қауіпсіздік функцияларын сынау;

      2) жүктемелік сынау;

      3) желілік инфрақұрылымын тексеріп қарау кіреді.

      11. Сынақ объектісінің басқа ақпараттандыру объектісімен интеграциялануы (қолданыстағы немесе жоспарлы) жағдайында, сынақтар сынақ объектісінің құрамына интеграциялауды қамтамасыз ететін компоненттер енгізу (интеграциялау модулі, ішкі интеграциялау жүйесі, интеграциялық шина немесе басқа) арқылы жүргізіледі.

      12. Сынақтар:

      1) бір жұмыс түрі бойынша;

      2) бірнеше жұмыс түрлері бойынша;

      3) жұмыс түрлерінің толық құрамында жүргізіледі.

      13. Сынақ жүргізуге кіретін жұмыстардың әрбір түрін жүргізу бағалары "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 14-бабының 2-тармақшасына сәйкес белгіленеді.

      14. Сынақ жүргізу құнының есебі осы Қағидалардың 12-тармағы бойынша бекітілген тәртіпке сәйкес белгіленген сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық деректерінің, сынақ объектісінің компакт-дискіде кітапханаларымен берілген компоненттері мен модульдерінің бастапқы кодтары мен бағалардың негізінде жүзеге асырылады.

2-тарау. Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібі

      15. Сынақтар жүргізу үшін өтініш беруші мынадай құжаттарды ұсына отырып, МТҚ-ға қағаз түрінде осы Қағидаларға 1-қосымшаға сәйкес сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді:

      1) жеке басты куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін);

      2) құрылтайшы құжаттардың және заңды тұлғаны мемлекеттiк тiркеу туралы анықтаманың немесе куәліктің өтініш берушінің қолымен және мөрімен куәландырылған көшірмелері (заңды тұлғалар үшiн);

      3) осы Қағидаларға 2-қосымшаға сәйкес нысан бойынша СО сипаттамалары туралы сауалнама-сұраулық;

      4) осы Қағидаларға 3-қосымшаға сәйкес сынақтар жүргізуге қажетті техникалық құжаттаманың тізбесі;

      5) сәтті компиляция үшін қажетті сынақ объектілері компоненттерінің және қажетті кітапханалары мен файлдары бар модульдерінің бастапқы кодтары, сынақ объектісінің компакт-дискідегі дерекқорларының схемасы (мәліметтерді сипаттау тілінде);

      6) меншік иесі (иеленуші) сынақтар жүргізу туралы өтінім беруге өтініш берушіге өкілеттік беретін құжат (қажет болған кезде).

      16. Өтініш беруші сатып алуды мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған жағдайда, сынықтар жүргізуге өтінім ағымдағы жылдың 1 қарашасынан кешіктірмей қабылданады.

      17. МТҚ өтінімді алған күнінен бастап бес жұмыс күні ішінде осы Қағидалардың 15-тармағында көрсетілген талаптарға сәйкес өтінімді тексеруді жүзеге асырады. 

      18. Осы Қағидалардың 15-тармағында көрсетілген талаптарға сәйкес өтінім және қоса берілген құжаттар сәйкес келмеген жағдайда, өтінім қайтару себептерін көрсете отырып, өтініш берушіге кері қайтарылады. 

      19. Осы Қағидалардың 15-тармағында көрсетілген пакеттер топтамасы толық болған кезде МТҚ бес күн ішінде өтінім берушіге:

      1) сатып алуды өтініш беруші мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған кезде, сынақтар жүргізуге арналған шартқа техникалық ерекшеліктің жобасын жібереді. Өтініш беруші техникалық ерекшеліктің жобасын алған күнінен бастап үш жұмыс күні ішінде мемлекеттік сатып алу веб-порталына мемлекеттік сатып алу туралы шартты тікелей жасау арқылы бір көзден алу тәсілімен мемлекеттік сатып алу туралы шарттың жобасын орналастырады;

      2) сатып алуды өтініш беруші мемлекеттік сатып алу веб-порталын қолданусыз жүзеге асырған кезде, сынақтар жүргізуге арналған шарттың екі данасын жібереді. Өтініш беруші жоғарыда көрсетілген шарттың екі данасын алған күнінен бастап бес жұмыс күні ішінде оларға қол қояды және шарттың бір данасын МТҚ-ға қайтарады.

      20. Сынақтар мерзімі өтініш берушімен келісіледі және сынақтар жүргізу бойынша жұмыстардың көлемі мен сынақ объектісінің сыныптау сипаттамаларына байланысты болады. 

      Сынақтар мерзімін келісу мүмкін болмаған жағдайда, өтінім сынақтар мерзімін айқындау үшін уәкілетті органға жүгіну мүмкіндігі көрсетіліп, қанағаттандырусыз өтініш берушіге кері қайтарылады.

      21. Сынақтар жүргізу үшін өтініш беруші МТҚ-ға мыналарды қамтамасыз етеді:

      1) пайдаланушының жұмыс орнына, серверлік және желілік жабдыққа, сынақ объектісінің телекоммуникациялық желісіне және сынақ уақытына өндірістікке ұқсас құрылған ортаға нақты қолжетімділік;

      2) сынақ объектісінің функцияларын техникалық құжаттама талаптарына сәйкес көрсету.

      22. Өтініш берушінің осы Қағидалардың 21-тармағының талаптарын қамтамасыз ету мүмкінсіздігі жағдайында, шартқа оны орындау мерзімін ұзарту туралы қосымша келісімге қол қоюды ескере отырып, сынақтар Өтініш берушіге оларды қамтамасыз ету үшін қажетті уақытқа тоқтатылады.

      23. Сынақтар Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.

      24. Сынақтар жүргізу кезінде осы Қағидалардың 15-тармағының

      3) тармақшасына сәйкес ұсынылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақ объектісінің нақты жай-күйі арасында айырмашылық айқындалған жағдайда, өтініш беруші МТҚ-ға сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты жібереді. Сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулық (қажет болған кезде) сынақ мерзімін ұзартуға және сынақтар жүргізу құнын өзгеруге қосымша келісім жасаудың негіздемесі болып табылады.

      25. Қажет болған кезде, сынақтар кезінде сынақ мерзімі аяқталғанға дейін жұмыстардың бір немесе бірнеше түрі бойынша қайтадан сынақтар жүргізу қажеттілігі айқындалса, өтініш беруші сұрау салумен МТҚ-ға жүгінеді және осы жұмыс түрлері бойынша қайтадан сынақ жүргізу туралы қосымша келісім жасалады.

      26. Сынаққа кіретін әрбір жұмыс түрінің нәтижелері және анықталған сәйкессіздіктерді жою жөніндегі ұсынымдар екі данада ресімделетін жеке хаттамаға енгізіліп, біреуі өтініш берушіге беріледі.

      27. Хаттамалар жинағының негізінде МТҚ екі данада (МТҚ мен өтініш беруші үшін бір-бірден) осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша Сынақтар актісін ресімдейді. 

      28. Сынақтарға кіретін барлық жұмыс түрлерін өткізгеннен берілетін оң қорытындысы бар Сынақтар актісі болған кезде және олар бойынша оң нәтиже бар хаттамалар болған кезде сынақтар оң болып танылады.

      29. Егер өтініш беруші сынақ кезінде анықталған сәйкессіздіктерді Сынақтар актісін немесе атқарылған жұмыстар бойынша хаттамаларды алған сәттен бастап бір ай ішінде жойса және айқындалған сәйкессіздіктерді түзету нәтижелерімен салыстыру кестесін және осы Қағидаларға 5-қосымшаға сәйкес сынақ объектісінің бастапқы кодтарын қабылдау-тапсыру актісін қоса бере отырып, МТҚ-ға қайтадан сынақтар жүргізуге сұрау салу жіберсе, МТҚ өтініш берушіден хабарламаны алған күннен бастап он жұмыс күні ішінде аталған жұмыс түрлері бойынша тиісті құжаттарды ресімдей отырып, ақысыз негізде қайтадан сынақтар жүргізеді.

      Белгіленген мерзімді өткізіп алу осы Қағидаларда белгіленген жалпы тәртіпте сынақтар жүргізу үшін негіздеме болып табылады.

      30. Сынақ объектісінің бағдарламалық қамтылымына өзгерістер енгізуге байланысты сәйкессіздіктерді жойғаннан кейін қайтадан сынақ жүргізген кезде бастапқы кодты талдау бұрын сәйкессіздіктер айқындалмай орындалғанына қарамасатан, міндетті тәртіппен жүргізіледі. Бұл ретте өтініш беруші қайтадан сынақтар жүргізу туралы сұрау салуға сынақ объектісінің компакт-дискіге сәтті компиляциясы үшін қажетті кітапханалары мен файлдары бар сынақ объектісі компоненттерінің және модульдерінің бастапқы кодтарын қоса береді.

      31. Қайтадан сынақтар жүргізген кезде сәйкессіздіктер анықталған жағдайда, МТҚ Сынақтар актісін немесе теріс қорытынды бар хаттаманы ресімдейді, одан кейін сынақтар осы Қағидалардың 2-тарауында белгіленген тәртіппен жүргізіледі.

      32. Ақпараттандыру объектісінің жұмыс істеу жағдайлары мен функционалдығына өзгерістер енгізген кезде ақпараттандыру объектісінің иесі немесе иеленушісі өзгерістерге әкелген жұмыстарды аяқтағаннан кейін МТҚ-ға барлық жүргізілген өзгерістердің сипаттамасын қоса беріп, осы Қағидалардың 2-тарауында белгіленген тәртіппен сынақтар жүргізу қажеттілігі туралы өтінім жібереді.

      33. Сынақтар хаттамалары және (немесе) Актісі жоғалған, бүлінген немесе зақымдалған кезде сынақ объектісін иеленуші себептерін көрсете отырып, МТҚ-ға хабарлама жібереді.

      34. МТҚ хабарламаны алған күнінен бастап бес жұмыс күні ішінде сынақтар хаттамаларының және (немесе) Актісінің телнұсқасын береді.

      35. Оң нәтижесімен Сынақтар актісінің жарамдылық мерзімі сынақ объектісін өнеркәсіптік пайдалану мерзімімен немесе сынақ объектісін жаңғыртуды бастау сәтіне дейін шектеледі.

      36. Осы Қағидалардың 27-тармағы бойынша Сынақтар актісіне енгізілмеген сынақтың жеке түрі бойынша хаттаманың жарамдылық мерзімі 1 жылдан аспайды.

  Сервистік бағдарламалық
өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік
органның интернет-ресурсына
және ақпараттық жүйеге
олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
1-қосымша
Нысан

      ____________________________________________________________________

                                          (сынақтар жүргізу объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкестігіне (бұдан әрі –сынақтар)

Сынақтар жүргізуге өтінім

      1.__________________________________________________________________

      (өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә.)

      ____________________________________________________________________

            (өтініш берушінің пошталық мекенжайы, e-mail және телефоны, облыс, қала, аудан)

      мынадай жұмыстар құрамымен:

      1) _________________________________________________________________

      2) _________________________________________________________________

      3) _________________________________________________________________

      4) _________________________________________________________________

      (осы Қағидалардың 7/8/9/10 тармағына сәйкес жұмыс түрлерінің тізбесі

      (қажетті тармақты көрсету))

      _________________________________________ сынақтар жүргізуді сұрайды.

      (сынақ объектісінің атауы, нұсқасының нөмірі, әзірлеу күні)

      2. Сыналатын сынақ объектісінің иесі (иеленушісі) туралы мәліметтер

      ___________________________________________________________________

      (атауы немесе Т.А.Ә.)

      ___________________________________________________________________

      (облыс, қала, аудан, пошталық мекенжайы, телефоны)

      3. Сыналатын сынақ объектісінің әзірлеушісі туралы мәліметтер

      ___________________________________________________________________

                        (әзірлеуші туралы ақпарат, авторлар атауы немесе Т.А.Ә.)

      ___________________________________________________________________

      (облыс, қала, аудан, пошталық мекенжайы, телефоны)

      4. Сынақ объектісіне қысқаша аңдатпа немесе оның мақсаты

      ___________________________________________________________________

      (мақсаты, пайдаланылуы, жаңалығы, аналогтары және т.б., қолданылатын

      әзірлеу құралдары)

      5. Қосымша мәліметтер:_________________________________________________

      Өтініш беруші ұйымның басшысы/ өтініш берушінің Т.А.Ә. ______________

      (қолы, күні) (мөрдің орны) болған кезде

  Сервистік бағдарламалық
өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік
органның интернет-ресурсына
және ақпараттық жүйеге
олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу
қағидаларына 1-қосымша
Нысан

Сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық

      1. Сынақ объектісінің атауы: _______________________________________________

      __________________________________________________________________________

      2. Сынақ объектісі әзірлеушісінің деректері:

      1) әзірлеушінің атауы: _____________________________________________________;

      2) мекенжайы: ___________ қ., ____________ к.;

      3) телефоны: _________, факс: _________;

      4) электрондық пошта мекенжайы: E-mail: _________________________@_________.

      3. Осы сауалнаманы толтыру және мемлекеттік техникалық қызметпенбайланысу үшін

      жауапты тұлғаның деректері:

      1) тегі, аты, әкесінің аты: ____________ ___________________ ___________________;

      2) лауазымы: _____________________________________________________________;

      3) жұмыс телефоны:_________, ұялы телефоны: ________________________;

      4) электрондық пошта мекенжайы: E-mail: __________________@_________.

      4. Сынақ объектісінің сыныптауы:

      1) электрондың ақпараттық ресурстардың сыныбы ___________;

      2) бағдарламалық қамтамасыз етуің сыныбы ___________/_____.

      (қолданбалы / жалпыжүйелік)

      Ескертпе: Қазақстан Республикасы Инвестициялар және даму министрінің 2016 жылғы 28 қаңтардағы № 135 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тіркелімінде № 13349 болып тіркелген, "Әділет" ақпараттық-құқықтық жүйесінде 2016 жылғы 17 наурызда жарияланған) бекітілген Ақпараттандыру объектілерін сыныптау қағидаларына 2-қосымшадан алынған ақпараттандыру объектілерін сыныптау схемасы бойынша бектілген схемасын қоса беру.

      5. Сынақ объектінің архитектурасы:

      1) мыналар:

      сынақ объектінің компоненттері мен модульдерінің орналасуы;

      компоненттері мен модульдері арасындағы байланыстары;

      басқа ақпараттандыру объектілерімен интеграциялық өзара іс-қимылы;

      негізгі ақпараттық ағындардың бағыттары;

      пайдаланушылар қосылған орындары мен тәсілдері;

      деректерді сақтау орындары мен технологиялары;

      пайдаланылатын локальдық, ведомстволық (корпоративтік) және жаһандық желілері;

      қолданылатын резервтік жабдық көрсетіліп бекітілген сынақ объектінің функционалдық схемасын қоса беру;

      2) мыналар:

      желінің архитектурасы мен сипаттамалары;

      серверлік жабдығы;

      желілік және коммуникациялық жабдығы;

      адрестеу мен қолданылатын желілік технологиялар;

      жұмыс істемей қалуы болмаушылығын қамтамасыз ету және резервтеу жөніндегі шешім(дер) көрсетіліп бекітілген сынақ объектінің деректерді беру желісінің/телекоммуникация желісінің схемасын қоса беру.

      6. Сынақ объектісі туралы ақпарат:

      1) серверлерлік жабдық туралы ақпарат (кестені толтыру):

р/с№

Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары

Серверлерде орнатылған БҚ, ОЖ, қосымшалар мен кітапханалар немесе пайдаланатын виртуалды сервистер (бағдарламалық ортаның құрамы)

IP-мекенжайы

1

2

3

4

5

6

7















      2) серверлерлік жабдық орналасқан орны (кестені толтыру):

р/с

Серверлік үй-жайдың иеленушісі

Серверлік үй-жайдың иеленушісінің заңды мекенжайы

Серверлік үй-жайдың нақты орналасқан орны -мекенжайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә) болған кезде

Жауапты тұлғалардың телефондары (жұмыс, ұялы)

1

2

3

4

5

6













      3) серверлерлік жабдықтың сипаттамалары (кестені толтыру):

р/с№

Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы)

Мақсаты
(орындайтын функционалдық міндеттері)

Саны

Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары

Серверлерде орнатылған БҚ, ОЖ, қосымшалар мен кітапханалар немесе пайдаланатын виртуалды сервистер (бағдарламалық ортаның құрамы)

IP-мекенжайы

Резервтеу әдісі

1

2

3

4

5

6

7

8

















      4) резервтік серверлерлік жабдық орналасқан орны (кестені толтыру):

р/с

Серверлік үй-жайдың иеленушісі

Серверлік үй-жайдың иеленушісінің заңды мекенжайы

Серверлік үй-жайдың нақты орналасқан орны -мекенжайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә.) болған кезде

Жауапты тұлғалардың телефондары (жұмыс, ұялы)

1

2

3

4

5

6













      5) әкімшілердің жұмыс станциялары бойынша ақпарат (кестені толтыру):

р/с

Әкімшінің рөлі

Әкімшілердің есептік жазбаларының саны

Интернетке қолжетімділіктің болуы

Серверге қашықтықтан қолжетімділіктің болуы

Әкімші жұмыс станциясының IP-мекенжайы

Әкімші жұмыс станциясының сипаттамалары

1

2

3

4

5

6

7















      6) пайдаланушылар туралы ақпарат (кестені толтыру):

р/с

Пайдаланушының рөлі

Пайдаланушының типтік іс-қимылдарының тізбесі

Пайдаланушыларды қосу әдісі мен мекенжайы

Пайдаланушыларды авторизациялау әдісі (қажет кезінде)

Пайдаланушылардың ең көп саны

Секундына өңделетін сұраулардың (пакеттердің) барынша көп саны

Сұраулар арасында күтудің ең ұзақ уақыты

1

2

3

4


5

6

7









      7) сынақ объектісінің интеграциялық өзара іс-қимылы, соның ішінде болжамды, туралы ақпарат (кестені толтыру):

р/с

Интеграциялық байланыстың (ақпараттандыру объектісінің) атауы

Интеграциялау объектісінің иеленушісі (иесі)

Қолданыстағы/ жоспарлы

Интеграциялау модулінің болуы

Пайдаланылатын интеграциялау хаттамалары

Авторизация тәсілі (қажет болған кезде)

Секундына сұраулардың (пакеттердің) барынша көп саны

Сұраулар арасында күтудің ең ұзақ уақыты

1

2

3

4

5

6


7

8



















      8) серверлік, желілік жабдықтың, жүйе қызметтері мен процессорлардың, бос дискілік кеңістіктің жұмыс қабілеттігі мониторингі үшін пайдаланылатын құралдар туралы ақпарат (кестені толтыру):

р/с

Мониторингі құралдарының атауы

Мониторингтің мақсаты

Мониторинг жүргізуге жауапты қызметкер

Талдау жүргізудің мерзімділігі

1

2

3

4

5











      9) оқиғалар журналдарын талдау туралы ақпарат (кестені толтыру):

р/с

Сервистердің, оқиғалар журналының атауы

Талдауға арналған құралдар

Талдау жүргізудің мерзімділігі

Оқиғалар журналдарын сақтау мерзімі

Оқиғалар журналдарын сақтау орындары

1

2

3

4

5

6













      10) сыналатын үлгіні әзірлеудің тілдік ортасы (кестені толтыру):

р/с

Модульдің атауы

Қолданылатын бағдарламалау тілі

Пайдаланылатын кітапханалар, компоненттер мен файлдар

Бастапқы кодтың көлемі, Мбайт

1

2

3

4

5











      11) корпоративтік желінің құрылымы (кестені толтыру):

р/с

Желі сегментінің атауы

Желіаралық қосылулардың саны

Желіні қорғаудың аппараттық-бағдарламалық құралдары

Желілерді қорғаудың басқа құралдары

1

2

3

4

5











      7. Сыналатын объектіні құжаттау (кестені толтыру):

р/с

Құжаттың атауы

Бар болуы

Парақтар саны

Бекітілген күні

Оған сайкес құжат әзірленген стандарт

1

2

3

4

5

6

1.

Техникалық тапсырма немесе сервистік бағдарламалық өнімді жобалауға тапсырма





2.

Пайдаланушының басшылығы





3.

Бағдарламаның мәтіні





4.

Бағдарламаның сипаттамасы





      8. Стандарттарда көзделген басқа құжаттаманың болуы (кестені толтыру):

р/с

Құжаттың атауы

Белгіленуі

Парақтар саны

Бекітілген күні

Оған сайкес құжат әзірленген стандарт

1

2

3

4

5

6







      9. Бұрын өткен жұмыс түрлері немесе сынақтар туралы мәліметтер (хаттаманың нөмірі, күні):

      _________________________________________________________________

      10. Сыналатын объектіге лицензияның болуы (авторлық құқықтың болуы, бастапқы

      кодты ұсынуға әзірлеуші ұйыммен келісімнің болуы)

      __________________________________________________________________

      __________________________________________________________________

      11. Қосымша ақпарат: _______________________________________________

      __________________________________________________________________

      Ескертпе: аббервиатуралардың толық жазылуы:

      БҚ – бағдарламалық қамтылым

      ОЖ – операциялық қамтылым

  Сервистік бағдарламалық
өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік
органның интернет-ресурсына
және ақпараттық жүйеге
олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
3-қосымша

Сынақтар жүргізуге қажетті техникалық құжаттаманың тізбесі

      1) Сервистік бағдарламалық өнімді жобалауға техникалық тапсырма немесе тапсырма (сервистік бағдарламалық өнімге).

      2) Пайдаланушының басшылығы.

      3) Бағдарламаның мәтіні (ЭҮ АКП және бастапқы кодтары жоқ сынақ объектілерін қоспағанда).

      4) Бағдарламаның сипаттамасы (ЭҮ АКП және бастапқы кодтары жоқ сынақ объектілерін қоспағанда).

  Сервистік бағдарламалық
өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік
органның интернет-ресурсына
және ақпараттық жүйеге
олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
4-қосымша
  "Бекітемін"
Мемлекеттік техникалық
қызмет директоры
_______________ ____________
(Т.А.Ә.) (қолы)
20_ жылғы "_____" __________
  Нысан

      ______________________________________________________________________________

      (өтініш беруші ұйымның атауы/ өтініш берушінің Т.А.Ә.)

      ______________________________________________________________________________

                        (сынақ объектісінің (бұдан әрі – СО) атауы)

      20 __ жылғы "____" ______________ № ____

сынақтар актісі

      1. Мемлекеттік техникалық қызмет 20 __ жылғы "____" ______________ ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу туралы (бұдан әрі – сынақтар) Өтінімге және 20 __ жылғы "____" ______________ №___ шартқа сәйкес мынадай жұмыстар құрамында

      __________________________________________________

      (СО атауы)

      сынақтар жүргізді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынақтан өткізу;

      4) желілік инфрақұрылымды тексеріп қарау.

      2. Сынақ барысында мыналар анықталды:

      1) бастапқы кодты талдау бойынша:

      СО бастапқы кодтарын талдау қатесіз аяқталды (БҚ кемшіліктері болмаған жағдайда);

      СО бастапқы кодтарын талдау қателермен аяқталды (БҚ кемшіліктері орын алған жағдайда);

      СО бастапқы кодтарын талдау (осы Қағидалардың 8,9 және 10 тармағы бойынша негіздемесін көрсету) негізінде жүргізілген жоқ;

      Хаттама (СО бастапқы кодтарын талдау хаттамасының нөмірі мен күні);

      2) ақпараттық қауіпсіздік функцияларын сынау бойынша:

      СО ақпараттық қауіпсіздік функцияларын іске асыру АҚ талаптарына сәйкес (сәйкессіздіктер болмаған жағдайда);

      СО ақпараттық қауіпсіздік функцияларын іске асыру АҚ талаптарына сәйкес емес (сәйкессіздіктер орын алған жағдайда);

      Хаттама (СО ақпараттық қауіпсіздік функцияларын сынау хаттамасының нөмірі мен күні);

      3) жүктемелік сынау бойынша:

      жүктемелік сынау сәтті өтті (СО белгіленген параметрлер кезінде үздіксіз және тұрақты (кідірістерсіз) жұмыс істеуі);

      жүктемелік сынау сәтсіз өтті (СО белгіленген параметрлер кезінде үздіксіз және тұрақты жұмыс істеуінің бұзылуы (кідірістердің орын алуы);

      Хаттама (жүктемелік сынау хаттамасының нөмірі мен күні);

      4) желілік инфрақұрылымды тексеріп қарау бойынша:

      желілік инфрақұрылымның қауіпсіздігі АҚ талаптарына сәйкес (СО қауіпсіз жұмыс істеуіне ықпал ететін сәйкессіздіктер мен осалдықтар болмаған жағдайда);

      желілік инфрақұрылымның қауіпсіздігі АҚ талаптарына сәйкес емес (СО қауіпсіз жұмыс істеуіне ықпал ететін сәйкессіздіктер мен осалдықтар орын алған жағдайда);

      Хаттама (СО желілік инфрақұрылымын тексеріп қарау хаттамасының нөмірі мен күні).

Қорытынды

      Жүргізілген сынақтар негізінде _____________________________________

      (сынақ объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкес / сәйкес емес.

      КЕЛІСІЛДІ:                                     ДАЙЫНДАЛДЫ:

      ___________________________             ____________________________

      (лауазымы)                                    (лауазымы)

      ______________ ____________                   ___________ ________________

      (қолы) (Т.А.Ә.) болған кезде             (қолы) (Т.А.Ә.) болған кезде

      20__ жылғы "__" ______                         20__ жылғы "__" ______

  Сервистік бағдарламалық
өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік
органның интернет-ресурсына
және ақпараттық жүйеге
олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
5-қосымша
Нысан

Сынақ объектісінің бастапқы кодтарын қабылдау – беру актісі

      ____________________________________________________________________

                        (Сынақ объектісінің (бұдан әрі-СО) атауы)

      ____________________________________________________________________

                        (өтініш беруші ұйымның атауы / өтініш берушінің Т.А.Ә.)

      20__ жылғы "_____" ___________

      Берілетін БҚ нұсқасы ___________.

      Дискілер саны ________.

р/с№

Дискінің таңбалауы

Дискідегі каталогтың атауы

Файлдың атауы

Файлдың көлемі, Мбайт

Пайдаланылатын бағдарламалау тілі
(қажет болған кезде)

Файл түрлендірілген күні

1

2

3

4

5

6

7
















Табыстады:

Қабылдады:

_____________________________
(лауазымы)
_____________________________
(қолы) (Т.А.Ә.) болған кезде
20____жылғы "_____" _________

_____________________________
(лауазымы)
_____________________________
(қолы) (Т.А.Ә.) болған кезде
20____ жылғы "____" _________

      Үлгілерді тіркеу журналында 20__ жылығы "_" _______ №_ болып тіркелді.

      Тіркеген _______________________________

      (қолы) (Т.А.Ә.) болған кезде