Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растау ережесін бекіту туралы

Қазақстан Республикасы Премьер-Министрінің Кеңсесі басшысының 2005 жылғы 3 қазандағы N 25-1-90 Бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2005 жылғы 4 қарашада тіркелді. Тіркеу N 3923. Күші жойылды - Қазақстан Республикасы Премьер-Министрінің Кеңсесі басшысының 2013 жылғы 14 маусымдағы № 25-1-21 бұйрығымен

      Ескерту. Күші жойылды - ҚР Премьер-Министрінің Кеңсесі басшысының 14.06.2013 № 25-1-21 бұйрығымен.

      "Техникалық реттеу туралы" Қазақстан Республикасының 2004 жылғы 9 қарашадағы  Заңының 17-бабының 8-тармағына және Қазақстан Республикасы Үкіметінің 2002 жылғы 11 қыркүйектегі N 993 қаулысымен бекітілген Қазақстан Республикасы Премьер-Министрінің Кеңсесі туралы  ереженің 12-тармағының 21) тармақшасына сәйкес  БҰЙЫРАМЫН:
      1. Қоса беріліп отырған Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растау ережесі бекітілсін.
      2. Осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелген күнінен бастап қолданысқа енгізіледі.

      Кеңсе Басшысы

      КЕЛІСІЛДІ

      Қазақстан Республикасы
      Ұлттық қауіпсіздік
      комитетінің төрағасы

      КЕЛІСІЛДІ
      Қазақстан Республикасының
      Индустрия және сауда
      бірінші вице-министрі

Қазақстан Республикасы  
Премьер-Министрінің    
Кеңсесі Басшысының    
2005 жылғы 3 қазандағы 
N 25-1-90 бұйрығымен  
бекітілген       

  Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық
және бағдарламалық құралдардың (бұйымдардың), ақпаратты
қорғаудың техникалық құралдарының ақпараттық қауіпсіздік
талаптарына сәйкестігін міндетті растау ережесі

  1. Жалпы ережелер

      1. Осы Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растау ережесі (бұдан әрі - Ереже) мынадай нормативтік құқықтық кесімдерге сәйкес әзірленді:
      "Техникалық реттеу туралы" Қазақстан Республикасының  Заңына ;
      "Қазақстан Республикасының ұлттық қауіпсіздігі туралы" Қазақстан Республикасының  Заңына ;
      "Ақпараттандыру туралы" Қазақстан Республикасының  Заңына ;
      "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының  Заңына .

      2. Ережеде "Техникалық реттеу туралы" Қазақстан Республикасының  Заңына сәйкес сәйкестікті реттеу мәселелері жөніндегі түсініктер мен анықтамалар пайдаланылады.

      3. Ереже Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының (бұдан әрі - АҚҚ мен ЕТҚ) ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растауды (бұдан әрі - сәйкестікті растау) ұйымдастыру және жүргізу тәртібін айқындайды. АҚҚ мен ЕТҚ сәйкестігін міндетті растау ақпараттық қауіпсіздік талаптарына сәйкестікті міндетті растау рәсімі жолымен мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету уәкілетті мемлекеттік органымен, ұлттық қауіпсіздік органдарымен және басқа да мүдделі мемлекеттік органдармен келісілген техникалық реттеу, соның ішінде ақпаратты қорғаудың техникалық құралдарын қолдану мәселелері бойынша нормативтік құқықтық актілерге, стандарттарға және құжаттарға сәйкес жүргізіледі.      

      4. Ақпараттық қауіпсіздік талаптарына сәйкестікті растауға Қазақстан Республикасының Үкіметінің 2005 жылғы 20 сәуірдегі N 367 қаулысымен бекітілген Міндетті түрде сертификаттауға жататын өнімдер мен қызметтердің  тізбесіне енген АҚҚ мен ЕТҚ жатады.
      Белгіленген тәртіппен бекітілетін АҚҚ мен ЕТҚ құрамына кіретін криптография (шифрлау) құралдары ақпараттық қауіпсіздік талаптарына шифрлау құралдарының сәйкестігін растаудың жекелеген ережелеріне сәйкес міндетті сертификаттау нысанында сәйкестікті міндетті растауға жатады.

      5. Ақпараттық қауіпсіздік талаптары бойынша АҚҚ мен ЕТҚ сәйкестігін растау жөніндегі жұмысты жүзеге асыратын сәйкестікті растау жөніндегі органдар және сынақ зертханалары (орталықтары) Қазақстан Республикасының мемлекеттік құпияларды қорғау жөніндегі заңнамасында көзделген тәртіппен өтінім иесі беретін не сәйкестікті растауды жүргізу барысында алынған мәліметтерді жарияланғандығы үшін жауаптылықта болады.
      Ұсынылатын мәліметтерді жариялаумен шарттары өтінім иесі немесе мәліметтердің иесі мен сәйкестікті растау жөніндегі орган немесе сынақ зертханасы (орталығы) арасында жасалатын шартта және Қазақстан Республикасының мемлекеттік құпияларды қорғау жөніндегі заңнамасына сәйкес айқындалады.

      6. Қазақстан Республикасының  мемлекеттік құпияларын құрайтын мәліметтердің, оның ішінде АҚҚ мен ЕТҚ нақты тізбелері, оларды АҚҚ мен ЕТҚ сәйкестігін растауды жүргізу мақсатында сәйкестікті растау жөніндегі органға және/немесе сынақ зертханасына (орталығына) беру шарттары мен тәртібі Қазақстан Республикасының мемлекеттік құпияларды қорғау жөніндегі заңнамасына сәйкес айқындалады және бірлескен жұмыстарды жүргізуге арналған шарттарда көрсетіледі.

      7. Мемлекеттік органдарда қолданылатын АҚҚ мен ЕТҚ сәйкестігін растау жөніндегі жұмысты жүзеге асыратын сәйкестікті растау жөніндегі органдарда және сынақ зертханаларында (орталықтарында) Қазақстан Республикасының мемлекеттік  құпияларын құрайтын мәліметтерді пайдалана отырып, жұмыстар жүргізуге Қазақстан Республикасы  ұлттық қауіпсіздік комитетінің рұқсаты болуы тиіс.

      8. Құжаттамалық куәлік Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасында белгіленген тәртіппен беріледі.

  2. Ақпараттық қауіпсіздік талаптары бойынша
АҚҚ мен ЕТҚ сәйкестігін растау

      9. АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау деп, нәтижесі - сәйкестікті растау жөніндегі орган Қазақстан Республикасының техникалық реттеу саласындағы заңнамада белгіленген тәртіппен келісілген және бекітілген, нормативтік құжаттардың талаптарына сәйкестік сертификаты түріндегі ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестігін құжаттамалық куәландыру болып табылатын рәсім түсініледі.

      10. АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау өңделетін (сақталатын) ақпараттың құпиялылық дәрежесіне байланысты сәйкестікті растауды және сынақтарды жүргізу өлшемі мен әдістерін белгілейтін нормативтік құжаттардың талаптарына сәйкес жүргізіледі.

      11. Өңделетін (сақталатын) ақпараттың құпиялылық дәрежесін ескере отырып, ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестік сертификаттарының құрамындағы деректер АҚҚ мен ЕТҚ-ны пайдалануға берілген нұсқамаға (ақпараттық қауіпсіздік талаптары бойынша) енгізу үшін белгіленген тәртіппен пайдаланылады.
      Сәйкестік құжаттамалық куәлігі бар АҚҚ мен ЕТҚ-ны пайдаланушылар қолданыстағы пайдалануға берілген нұсқамалардың (ақпараттық қауіпсіздік талаптары бойынша) орындалуын қамтамасыз етеді. Бұл жерде Ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растауға жататын АҚҚ мен ЕТҚ-ны құрудың ұсынылатын тәртібі осы Ереженің қосымшасына сәйкес іске асырылады.

  3. Ақпараттық қауіпсіздік талаптарына сәйкестікті
растау жөніндегі жұмыстарды жүргізу тәртібі

      12. АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау рәсімдердің мынадай кезеңділігін көздейді:
      өтінім иесінің сәйкестікті растау жөніндегі органға белгіленген талаптарға сәйкестікті растайтын құжаттарға АҚҚ мен ЕТҚ-ны міндетті сертификаттауды жүргізу туралы өтінімді беруі;
      сәйкестікті растау жөніндегі органның өтінімді қарау нәтижелері бойынша шешім қабылдауы, оның ішінде сәйкестікті растау схемасын таңдауы;
      сәйкестікті растау жөніндегі орган мен өтінім иесі арасындағы міндетті сертификаттау жөніндегі жұмыстарды жүргізуге арналған шарттың жасалуы;
      мәлімделген АҚҚ немесе ЕТҚ үлгісін (үлгілерін) іріктеуді және сәйкестендіруді жүргізу;
      мәлімделген АҚҚ немесе ЕТҚ үлгісін (үлгілерін) сертификаттаудың келісілген схемасына сәйкес міндетті сертификаттау жөніндегі жұмыстарды жүргізу;
      сынақтар нәтижелерін талдау;
      құжаттамалық куәлікті беру мүмкіндігі туралы шешім қабылдау;
      құжаттамалық куәлікті техникалық реттеу жөніндегі заңнамада белгіленген тәртіппен тіркеу және оны өтінім иесіне беру.
      Әрбір кезекті рәсім алдыңғы рәсімнің оң қорытындысы болған кезде орындалады.

      13. Мәлімделген АҚҚ мен ЕТҚ түріне және таңдап алынған сертификаттау схемасына байланысты мынадай ілеспе құжаттар өтінімге қоса беріледі:
      өтінім иесінің құрылтай құжаттары;
      АҚҚ мен ЕТҚ-ны жеткізуге жасалған инвойс, келісім-шарт (импорт кезінде);
      мәлімделген АҚҚ мен ЕТҚ үлгілерінің ұсынылатын партиясына берілген жүкқұжат;
      АҚҚ мен ЕТҚ-ны сәйкестендіруге және АҚҚ мен ЕТҚ-ның белгіленген талаптарға сәйкестігін бағалауға мүмкіндік беретін, техникалық өлшемдерді қамтитын АҚҚ мен ЕТҚ-ның техникалық сипаттамасы;
      өндірушінің сәйкестікті міндетті растау үшін мәлімделген АҚҚ мен ЕТҚ-ны өндіру фактісін растайтын оның құжаты (егер өтінім иесі сатушы болған жағдайда);
      сынақ өткізу үшін үлгілерді іріктеу мүмкіндігі;
      мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органның (АҚҚ) және ақпараттандыру саласындағы (ЕТҚ) уәкілетті органның АҚҚ мен ЕТҚ-ның техникалық сипаттамаларын бағалауы;
      АҚҚ мен ЕТҚ расталушы көрсеткіштерінің талаптарын құрайтын нормативтік немесе техникалық құжаттар, сынақ әдістері;
      АҚҚ мен ЕТҚ функцияларын, оның ішінде ақпаратты өңдеу мен қорғау тетіктерін іске асыратын бағдарламалардың бастапқы кодтары.
      АҚҚ мен ЕТҚ-ның техникалық сипаттамасы мыналарды қамтуы тиіс: АҚҚ мен ЕТҚ атауы, мақсаты, жинақталуы, олар орындайтын функциялар; бағдарламалық қамтамасыз ету нұсқасы (бар болған жағдайда); электрлік сипаттамалары, радио сәуле тарату сипаттамалары (радио электронды құралдар үшін); жалпы пайдаланымдағы деректер беру желісінде қолдану шарттары; іске асырылатын интерфейстер мен хаттамаларды көрсете отырып, жалпы пайдаланымдағы деректер беру торабына қосу схемасы; орнатылған криптография (шифрлау) құралдарының, жаһандық спутниктік навигациялық жүйелер қабылдағыштарының болуы (болмауы) туралы мәліметтер; климаттық және механикалық талаптарды қоса алғанда, пайдалану шарттары, орналасу тәсілдері, электрмен қоректендіру түрлері.

      14. Өтінім және оған ілеспе құжаттама мемлекеттік, орыс және/немесе ағылшын тілдерінде ұсынылады; өтінім иесімен шет тілінен аудармасы болған жағдайда Қазақстан Республикасының заңнамасына сәйкес оның дәлме-дәлдігін растау ұсынылуы тиіс.
      Сәйкестікті растау жөніндегі органға өтінім иесі ұсынған нормативтік және техникалық құжаттамада осы ақпараттық жүйеде іске асырылған ақпаратты өңдеу мен қорғаудың барлық функциялары мен тетіктерінің толық сипаттамасы болуы тиіс.

      15. Оған қоса берілген өтінім және (немесе) құжаттар осы Ереженің 13 және 14-тармақтарында белгіленген талаптарға сәйкес болмаса, онда олар Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасына сәйкес мерзімде қайтарудың негізделген себептерін көрсете отырып, тапсырыс бойынша шешіммен бірге қайтарылуы тиіс.
      Ескертулер болмаған кезде (ескертулер жойылғаннан кейін) сәйкестікті растау органы өтінім иесіне өтінімді қарау нәтижелері бойынша шешімді жібереді және сәйкестікті растауды жүргізу үшін комиссия (бұдан әрі - комиссия) құрады.
      Сәйкестікті растау жөніндегі органның өтінім бойынша оң шешім қабылдауы сәйкестікті растау жөніндегі жұмыстарды жүргізуге арналған шартты жасасу үшін негіздеме болып табылады.

      16. Өтінімді қарау кезінде мыналар белгіленеді:
      өтінім иесінің құрылтай құжаттарының болуы;
      өтінім иесінің Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасында белгіленген талаптарға сәйкестігі;
      ұсынылған құжаттаманың толықтығы.

      17. Өтінімді алдын ала қарау барысында сәйкестікті растау жөніндегі орган:
      қажет болған кезде өтінім иесінен өтінімде ұсынылған барлық мәселелер бойынша түсіндірмелер сұрата алады;
      өтінім иесіне сәйкестікті растау тәртібі мен рәсімдері, оларға сәйкестікке сәйкестікті растау жөніндегі жұмыстар жүргізілетін нормативтік талаптар туралы хабарлайды;
      өтінім иесіне сәйкестік сертификатын беру кезінде қандай шектеулер белгіленуі мүмкіндігін түсіндіреді;
      өтінім иесіне өтінімді қарау барысында анықталған кемшіліктер тізбесімен бірге жазбаша хабарлама жібереді.
      сәйкестікті растау жөніндегі орган өтінім иесіне сәйкестікті растау жөніндегі жұмыстарды жүргізуден бас тартады. Мұндай бас тартудың себептері мыналар бола алады:
      мәлімделген АҚҚ мен ЕТҚ-ға сәйкес емес құжаттаманы ұсынуы;
      өтінімді берген сәтте мәлімделген АҚҚ мен ЕТҚ-ның растайтын көрсеткіштеріне қойылатын талаптарды қамтитын нормативтік немесе техникалық құжаттар күшінің жойылуы;
      мәлімделген АҚҚ мен ЕТҚ-ның нормативтік немесе техникалық құжаттамасында сәйкестікті растау жөніндегі жұмыстарды жүргізу кезінде расталатын көрсеткіштерге қойылатын талаптарды қамтитын сынақтар әдістерінің болмауы немесе олардың толық жазылмауы;
      нормативтік немесе техникалық құжаттамада жазылған және мәлімделген АҚҚ мен ЕТҚ-ның сәйкестігін растау жөніндегі жұмыстарды жүргізу кезінде расталатын көрсеткіштердің нормативтік құжаттардың талаптарына сәйкес болмауы.
      Өтінімді қанағаттандырудан бас тартылған жағдайда сәйкестікті растау жөніндегі орган 10 күн ішінде өтінім иесіне ол ұсынған барлық құжаттарды ресми түрде шешіммен бірге жібереді. Мәлімделген АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растаудан дәлелді бас тартуды шешімге қоса береді.

  4. АҚҚ мен ЕТҚ үлгілерін іріктеуді және
сәйкестендіруді жүргізу

      18. Мәлімделген АҚҚ немесе ЕТҚ үлгілерінің (үлгісінің) қажетті санын іріктеуді, оларды сәйкестендіруді, егер нормативтік және техникалық құжаттарда орамасы мен таңбалануы көзделген болса, олардың бар-жоқтығын және жай-күйін тексеруді өтінім иесі өкілінің қатысуымен сәйкестікті растау жөніндегі органның маманы, сынақ зертханасының (орталығының) қызметкері жүргізеді. Сәйкестікті растау жөніндегі органның тапсырмасы бойынша үлгілерді іріктеуді өтінім иесінің бұйрығымен тағайындалған, мүдделі емес ұйымдардың өкілдерінен тұратын құзыретті комиссия жүргізуі мүмкін.
      Іріктеп алынатын АҚҚ немесе ЕТҚ саны, оларды іріктеу әдістемесі, сондай-ақ оларды тасымалдау және сақтау шарттары мәлімделген АҚҚ-ға немесе ЕТҚ-ға сәйкестікті растау жөніндегі нормативтік құжаттардың талаптарына сәйкес болуға тиіс.
      АҚҚ немесе ЕТҚ үлгілерін іріктеу екі данадағы актімен ресімделеді. АҚҚ немесе ЕТҚ үлгілерін сәйкестендіру нәтижелері іріктеу актісіне енгізіледі.
      Оң нәтиже кезінде іріктелген үлгілер сәйкестікті растау жөніндегі орган айқындаған аккредиттелген сынақ зертханасына (орталығына) жіберіледі.

      19. Сәйкестендіру нәтижесі теріс болған кезде мәлімделген АҚҚ немесе ЕТҚ сертификаттауға жатпайды, бұл туралы еркін нысанда акт жасалады, ол  10 күн ішінде ресми түрде өтінім иесіне жіберіледі. АҚҚ немесе ЕТҚ үлгілері өтінім иесіне қайтарылады.

  5. Ақпараттық қауіпсіздік талаптары бойынша
АҚҚ немесе ЕТҚ үлгілерін сертификаттық сынау

      20. Мәлімделген АҚҚ-ның немесе ЕТҚ-ның іріктелген үлгілерін ақпараттық қауіпсіздік талаптары бойынша сертификаттық сынақтарды сәйкестікті растау жөніндегі жұмыстарды жүргізуге арналған шартқа сәйкес сынақ бағдарламасына орай белгіленген тәртіппен аккредиттелген сынақ зертханасы (орталығы) жүргізеді.

      21. Сертификаттау нысанында АҚҚ-ның немесе ЕТҚ-ның сәйкестігін растау кезінде сертификаттаудың мынадай схемалары қолданылады:
      N 2 схема - өтінім иесінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және өтінім иесінен алынған үлгілерді сертификаттық сынақты және сертификаттың қолданылу мерзімі ішінде сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді көздейді. Сәйкестік сертификаты 1 жыл мерзімге беріледі;
      N 3 схема - әзірлеушінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және әзірлеушіден алынған үлгілерді сертификаттық сынақты және сертификаттың қолданылу мерзімі ішінде сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді көздейді. Сәйкестік сертификаты 1 жыл мерзімге беріледі;
      N 5 схема - әзірлеушінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және әзірлеушіден алынған үлгілерді сертификаттық сынақты жүргізуді және сәйкестік сертификаттың қолданылу мерзімі ішінде әзірлеушінің белгіленген талаптарға сәйкес АҚҚ-ны немесе ЕТҚ-ны шығару мүмкіндігін бақылайды. Сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеру сәйкестік сертификатының қолданылу мерзімі ішінде жүргізіледі. Сәйкестік сертификаты 3 жыл мерзімге беріледі;
      N 7 схема - әзірлеушінің немесе өтінім иесінің өтінімі бойынша әзірленген АҚҚ немесе ЕТҚ партиясын сертификаттау үшін қолданылады және осы партиядан алынған үлгілерді сертификаттық сынақты көздейді. Сәйкестік сертификаты ұсынылған партияға кіретін АҚҚ-ның немесе ЕТҚ-ның сәйкестендіру белгілерін көрсете отырып, 3 жыл мерзімге беріледі.
      АҚҚ-ны немесе ЕТҚ-ны сертификаттауды жүргізу нысанында сәйкестікті міндетті растау сәйкестікті растау жөніндегі жұмыстарды жүргізу туралы шартты жасасқан күннен бастап 2 ай ішінде жүзеге асырылуы тиіс. АҚҚ немесе ЕТҚ күрделі жабдығының сәйкестігін растауды жүргізу кезінде мерзім 4 айға дейін ұлғайтылуы мүмкін.

      22. Нормативтік құжаттамада белгіленген ақпараттық қауіпсіздік талаптарына сәйкестікке сертификаттық сынақтарды белгіленген тәртіппен аккредиттелген сынақ зертханасы (орталығы) АҚҚ және ЕТҚ түрін ескере отырып жүргізеді.

      23. Мәлімделген АҚҚ немесе ЕТҚ үлгілерін сынау нәтижелері бойынша сынақ зертханасы (орталығы) техникалық реттеу саласындағы заңнамада белгіленген нысан бойынша жасалады, оған комиссияның барлық мүшелері қол қояды және сәйкестікті растау жөніндегі органға ресми түрде жіберіледі.
      Сәйкестікті растау жөніндегі орган сертификаттық сынақтардың құжаттамалық ресімделген нәтижелерін алғаннан кейін 10 күннен аспайтын мерзімде сәйкестік сертификатын беру немесе беруден дәлелді бас тарту туралы шешім қабылдайды.

  6. Құжаттамалық куәлігін беру

      24. Шешім оң болған жағдайда сәйкестікті растау жөніндегі орган құжаттамалық куәлігін ресімдейді және белгіленген үлгідегі құжаттамалық куәлігінің көшірмелерін техникалық реттеу саласындағы, мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі, ақпараттандыру саласындағы уәкілетті мемлекеттік органдарға және ұлттық қауіпсіздік органдарына жібереді.

      25. АҚҚ-ның және ЕТҚ-ның нақты түріне ақпараттық қауіпсіздік талаптары бойынша сәйкестікті растаудың таңдап алынған схемасында көзделген рәсімдер аяқталғаннан кейін сәйкестікті растау жөніндегі орган нысаны мен толтыру тәртібін техникалық реттеу саласындағы уәкілетті орган белгілейтін бланкідегі тіркелген құжаттамалық куәлігін береді. Қажет болған жағдайда құжаттамалық куәлігінің көшірмелерін нысаны мен толтыру тәртібін уәкілетті орган белгілейтін бланкіде сәйкестікті растау жөніндегі орган береді.
      Құжаттамалық куәліктің қолданылуы берілген құжаттамалық куәліктердің тізілімінде көрсетілген оны берген күннен басталады.

      26. Құжаттамалық куәлігін беруден бас тарту, оның қолданылуын уақытша тоқтата тұру немесе тоқтату, оны қайтарып алу немесе күшін жою Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасымен реттеледі.

      27. Құжаттамалық куәлікті ұстаушы АҚҚ және ЕТҚ паспортында және оған ілеспе техникалық құжаттамада құжаттамалық куәлікті ұстаушы АҚҚ-ның және ЕТҚ-ның белгіленген талаптарға сәйкестігіне кепілдік беретінін растау болып табылатын тіркелген құжаттамалық куәлік туралы мәліметтерді көрсетеді.

      28. Құжаттамалық куәлігінің қолданылу кезеңінде сатып алынған АҚҚ-ның немесе ЕТҚ-ның қолданылу аясына сәйкес АҚҚ немесе ЕТҚ бүкіл жарамдылық (қолданылу) мерзімі ішінде Қазақстан Республикасының барлық аумағында пайдаланылуы мүмкін.

      29. Құжаттамалық куәлігін ұстаушы:
      тіркелген құжаттамалық куәліктері бар АҚҚ-ның немесе ЕТҚ-ның белгіленген талаптарға сәйкестігін қамтамасыз етеді;
      сәйкестікті растау жөніндегі органның өкілдері және сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді орындайтын адамдардың өз өкілеттіктерін кедергісіз орындауын қамтамасыз етеді;
      егер құжаттамалық куәлігінің қолданылу мерзімі өтсе, не құжаттамалық куәлігінің қолданылуы тоқтатылса немесе уақытша тоқтатылса, АҚҚ-ны немесе ЕТҚ-ны іске асыруды тоқтатады.

      30. Сәйкестікті растау жөніндегі орган егер бұл сертификаттау схемасында көзделген болса, сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді жүзеге асырады.
      Сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеру кемінде жылына бір рет жүзеге асырылады.
      Инспекциялық тексерудің кезеңділігі, мерзімі мен көлемі сәйкестікті растау жөніндегі органмен және құжаттамалық куәлікті ұстаушымен келісілген бағдарламада айқындалады.

      31. Сәйкестікті растау жөніндегі орган инспекциялық тексеру нәтижелері бойынша АҚҚ-ның немесе ЕТҚ-ның белгіленген талаптарға сәйкестігі немесе сәйкессіздігі туралы қорытынды шығарады, бұл туралы құжаттамалық куәлікті ұстаушыға хабарлайды.

Ақпараттық жүйелердің, техникалық,    
бағдарламалық-техникалық және      
бағдарламалық құралдардың       
(бұйымдардың), ақпаратты қорғаудың   
техникалық құралдарының ақпараттық   
қауіпсіздік талаптарына сәйкестігін  
міндетті растау ережесіне     
қосымша               

Ақпараттық қауіпсіздік талаптарына сәйкестігін
міндетті растауға жататын АҚҚ мен ЕТҚ-ны құрудың
ұсынылатын тәртібі

      1. Ақпараттық қауіпсіздік талаптары бойынша сәйкестікті міндетті растауға жататын АҚҚ мен ЕТҚ-ны құру мынадай кезеңдерді қамтиды:
      ақпараттық жүйеге берілетін техникалық тапсырманы әзірлеу, келісу және бекітуді;
      ақпараттық жүйеге берілетін жобалау-сметалық құжаттаманы әзірлеу және бекітуді;
      келісілген жобалық шешімдерді іске асыруды;
      бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені әзірлеуге конкурс өткізуді;
      бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені әзірлеуді;
      бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені енгізуді;
      әзірленген ақпараттық жүйені бюджеттік бағдарлама әкімшісінің куәлік Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасында белгіленген тәртіппен қабылдауды;
      ақпараттандыру және байланыс саласындағы уәкілетті органның нормативтік құжаттарына сәйкес оның ақпараттық жүйені салалық бағалауды жүргізуді.
      2. Ақпараттық қауіпсіздік талаптары бойынша АҚҚ мен ЕТҚ-ны әзірлеуге берілетін техникалық тапсырма және жобалау-сметалық құжаттама міндетті тәртіппен мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органмен, ақпараттандыру және байланыс, ұлттық қауіпсіздік қамтамасыз ету салаларындағы уәкілетті органдармен келісіледі.

Об утверждении Правил обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности

Приказ Руководителя Канцелярии Премьер-Министра Республики Казахстан от 3 октября 2005 года N 25-1-90. Зарегистрирован в Министерстве юстиции Республики Казахстан 4 ноября 2005 года N 3923. Утратил силу приказом Руководителя Канцелярии Премьер-Министра Республики Казахстан от 14 июня 2013 года N 25-1-21

      Сноска. Утратил силу приказом Руководителя Канцелярии Премьер-Министра РК от 14.06.2013 № 25-1-21.

      В соответствии с пунктом 8 статьи 17 Закона Республики Казахстан от 9 ноября 2004 года "О техническом регулировании" и подпунктом 21) пункта 12 Положения о Канцелярии Премьер-Министра Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 11 сентября 2002 года N 993,  ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности.

      2. Настоящий приказ вводится в действие со дня государственной регистрации в Министерстве юстиции Республики Казахстан.

       Руководитель Канцелярии
 

           СОГЛАСОВАНО                         СОГЛАСОВАНО
     Председатель Комитета               Первый вице-министр
   национальной безопасности             индустрии и торговли
     Республики Казахстан                Республики Казахстан
 

  Утверждены                    
приказом Руководителя Канцелярии        
Премьер-Министра                 
Республики Казахстан               
от 3 октября 2005 года N 25-1-90        

  Правила обязательного подтверждения
соответствия информационных систем, технических,
программно-технических и программных средств
(изделий), технических средств защиты информации
требованиям информационной безопасности
      1. Общие положения

      1. Настоящие Правила обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности (далее - Правила) разработаны в соответствии со следующими нормативными правовыми актами:
       Законом Республики Казахстан "О техническом регулировании";
       Законом Республики Казахстан "О национальной безопасности Республики Казахстан";
       Законом Республики Казахстан "Об информатизации";
       Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи".

      2. В Правилах используются понятия и определения по вопросам подтверждения соответствия в соответствии с Законом Республики Казахстан "О техническом регулировании".

      3. Правила определяют порядок организации и проведения обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации (далее - СЗИ и СВТ) требованиям информационной безопасности (далее - подтверждение соответствия). Обязательное подтверждение соответствия СЗИ и СВТ проводится путем процедуры обязательного подтверждения соответствия требованиям информационной безопасности согласно требованиям нормативных правовых актов, стандартов и документов технического регулирования, в том числе по вопросам применения технических средств защиты информации, согласованными с уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности, органами национальной безопасности и другими заинтересованными государственными органами.

      4. Обязательному подтверждению соответствия требованиям информационной безопасности подлежат СЗИ и СВТ, включенные в Перечень продукции и услуг, подлежащих обязательной сертификации, утвержденным  постановлением Правительства Республики Казахстан от 20 апреля 2005 года N 367.
      Средства криптографии (шифрования), входящие в состав СЗИ и СВТ, подлежат обязательному подтверждению соответствия в форме обязательной сертификации в соответствии с отдельными правилами подтверждения соответствия шифровальных средств требованиям информационной безопасности, утверждаемыми в установленном порядке.

      5. Органы по подтверждению соответствия и испытательные лаборатории (центры), осуществляющие работы по подтверждению соответствия СЗИ и СВТ требованиям информационной безопасности, несут ответственность за разглашение сведений, предоставляемых заявителями, либо полученных в ходе проведения подтверждения соответствия, в порядке, предусмотренном законодательством Республики Казахстан о государственных секретах.
      Условия неразглашения предоставляемых сведений определяются в договоре, заключаемом между заявителем или собственником сведений и органом по подтверждению соответствия или испытательной лабораторией (центром), и в соответствии с законодательством Республики Казахстан о государственных секретах.

      6. Конкретные перечни сведений,в том числе СЗИ и СВТ, составляющих государственные секреты Республики Казахстан, условия и порядок их передачи органу по подтверждению соответствия и/или испытательной лаборатории (центру) в целях проведения подтверждения соответствия СЗИ и СВТ, определяются в соответствии с законодательством Республики Казахстан о государственных секретах и указываются в договорах на проведение совместных секретных работ.

      7. Органы по подтверждению соответствия и испытательные лаборатории (центры), осуществляющие работы по подтверждению соответствия используемых в государственных органах СЗИ и СВТ, должны иметь разрешение Комитета национальной безопасности Республики Казахстан на проведение работ с использованием сведений, составляющих государственные секреты Республики Казахстан.

      8. Документальное удостоверение выдается в порядке, установленном законодательством Республики Казахстан о техническом регулировании.
 

    2. Подтверждение соответствия СЗИ и СВТ
требованиям информационной безопасности

      9. Под подтверждением соответствия СЗИ и СВТ требованиям информационной безопасности понимается процедура, результатом которой является документальное удостоверение соответствия СЗИ и СВТ требованиям информационной безопасности органом по подтверждению соответствия в виде декларации о соответствии или сертификата соответствия требованиям нормативных документов, согласованных и утвержденных в порядке, установленном законодательством Республики Казахстан о техническом регулировании.

      10. Подтверждение соответствия СЗИ и СВТ требованиям информационной безопасности проводится в соответствии с требованиями нормативных документов, устанавливающих параметры и методы проведения подтверждения соответствия и испытаний в зависимости от степени секретности обрабатываемой (хранимой) информации.

      11. С учетом степени секретности обрабатываемой (хранимой) информации, данные из состава сертификатов соответствия СЗИ и СВТ требованиям информационной безопасности используются в установленном порядке для внесения в предписания на эксплуатацию СЗИ и СВТ (по требованиям информационной безопасности).
      Пользователи СЗИ и СВТ, имеющих документальное удостоверение соответствия, обеспечивают выполнение действующих предписаний на эксплуатацию (по требованиям информационной безопасности). При этом рекомендуемый порядок создания СЗИ и СВТ, подлежащих обязательному подтверждению соответствия требованиям информационной безопасности, осуществляется согласно  приложению к настоящим Правилам.
 

    3. Порядок проведения работ по подтверждению
соответствия требованиям информационной безопасности

      12. Подтверждение соответствия СЗИ и СВТ требованиям информационной безопасности предусматривает следующую последовательность процедур:
      подача заявителем в орган по подтверждению соответствия заявки о проведении обязательной сертификации СЗИ или СВТ с документами, подтверждающими соответствие установленным требованиям;
      принятие органом по подтверждению соответствия решения по результатам рассмотрения заявки, в том числе, выбор схемы подтверждения соответствия;
      заключение между органом по подтверждению соответствия и заявителем договора на проведение работ по обязательной сертификации;
      проведение отбора и идентификации образца (образцов) заявленных СЗИ или СВТ;
      проведение работ по обязательной сертификации в соответствии с согласованной схемой сертификации образца (образцов) заявленного СЗИ или СВТ;
      анализ результатов испытаний;
      принятие решения о возможности выдачи документального удостоверения;
      регистрация документального удостоверения в установленном законодательством Республики Казахстан о техническом регулировании порядке и выдача его заявителю.
      Каждая последующая процедура выполняется при положительных результатах предыдущей процедуры.

      13. К заявке, в зависимости от типа заявленного СЗИ и СВТ и выбранной схемы сертификации, прилагаются следующие сопроводительные документы:
      учредительные документы заявителя;
      инвойс, контракт на поставку СЗИ и СВТ (при импорте);
      накладная на предъявляемую партию образцов заявленного СЗИ и СВТ;
      техническое описание СЗИ и СВТ, содержащее технические параметры, позволяющие идентифицировать СЗИ и СВТ и оценить соответствие СЗИ и СВТ установленным требованиям;
      документ изготовителя, подтверждающий факт производства им заявляемого для обязательного подтверждения соответствия СЗИ и СВТ (в случае, если заявитель является продавцом);
      о возможности отбора образцов для проведения испытаний;
      оценка технических характеристик СЗИ или СВТ уполномоченным государственным органом по защите государственных секретов и обеспечению информационной безопасности (СЗИ) и уполномоченным органом в сфере информатизации (СВТ);
      нормативные или технические документы, содержащие требования к подтверждаемым показателям СЗИ и СВТ, методы испытаний;
      исходные коды программ, реализующих функции СЗИ и СВТ, в том числе, механизмы обработки и защиты информации.
      Техническое описание СЗИ и СВТ должно содержать: наименование, назначение, комплектность СЗИ и СВТ, выполняемые ими функции; версию программного обеспечения (при наличии); электрические характеристики, характеристики радиоизлучения (для радиоэлектронных средств); условия применения в сети передачи данных общего пользования; схемы подключения к сети передачи данных общего пользования с указанием реализуемых интерфейсов и протоколов; сведения о наличии (отсутствии) встроенных средств криптографии (шифрования), приемников глобальных спутниковых навигационных систем; условия эксплуатации, включая климатические и механические требования, способы размещения, типы электропитания.

      14. Заявка и сопроводительная документация к ней представляются на государственном, русском и/или английском языках. В случае наличия перевода с иностранного языка, заявителем должно быть представлено подтверждение его аутентичности.
      В предоставляемой заявителем в орган по подтверждению соответствия нормативной и технической документации должно быть дано полное описание всех функций и механизмов обработки и защиты информации, реализованных в данной информационной системе.

      15. Если заявка и (или) документы, приложенные к ней, не соответствуют требованиям, устанавливаемым пунктами 13 и 14 настоящих Правил, то они подлежат возврату вместе с решением по заявке с указанием обоснованных причин возврата в установленные сроки в соответствии с законодательством Республики Казахстан о техническом регулировании.
      При отсутствии замечаний (после устранения замечаний) орган по подтверждению соответствия направляет заявителю решение по результатам рассмотрения заявки и создает комиссию для проведения подтверждения соответствия (далее - комиссия).
      Принятие органом по подтверждению соответствия положительного решения по заявке является основанием для заключения договора на проведение работ по подтверждению соответствия.

      16. При рассмотрении заявки устанавливается:
      наличие учредительных документов заявителя;
      соответствие заявителя требованиям, установленным законодательством Республики Казахстан о техническом регулировании;
      полнота представленной документации.

      17. В ходе предварительного рассмотрения заявки орган по подтверждению соответствия:
      при необходимости может запросить у заявителя разъяснения по всем вопросам, представленным в заявке;
      информирует заявителя о порядке и процедурах подтверждения соответствия, нормативных требованиях, на соответствие которым будут проводиться работы по подтверждению соответствия;
      разъясняет заявителю, какие могут быть установлены ограничения при выдаче сертификата соответствия;
      направляет заявителю письменное уведомление с перечнем недостатков, которые были обнаружены в ходе рассмотрения заявки, и рекомендации по их устранению;
      отказывает заявителю в проведении работ по подтверждению соответствия. Причинами отказа могут быть:
      представление документации, не соответствующей заявленным СЗИ и СВТ;
      утрата силы нормативных или технических документов, содержащих требования к подтверждаемым показателям заявленного СЗИ или СВТ на момент подачи заявки;
      отсутствие в нормативной или технической документации на заявленные СЗИ или СВТ методов испытаний, содержащих требования к показателям, подтверждаемым при проведении работ по подтверждению соответствия, или неполное их изложение;
      несоответствие показателей, изложенных в нормативной или технической документации и подтверждаемых при проведении работ по подтверждению соответствия заявленного СЗИ или СВТ, требованиям нормативных документов.
      В случае отказа в удовлетворении заявки орган по подтверждению соответствия вместе с решением в течение 10 дней официально направляет заявителю все представленные им документы. К решению прилагается мотивированный отказ в подтверждении соответствия заявленного СЗИ и СВТ требованиям информационной безопасности.
 

    4. Проведение отбора и идентификации образцов СЗИ и СВТ

      18. Отбор необходимого количества образцов (образца) заявленного СЗИ или СВТ, их идентификация и, если нормативными и техническими документами предусмотрены упаковка и маркировка, проверка их наличия и состояния осуществляются специалистом органа по подтверждению соответствия, работником испытательной лаборатории (центра) в присутствии представителя заявителя. По поручению органа по подтверждению соответствия отбор образцов может проводить компетентная комиссия из представителей незаинтересованных организаций, назначенная приказом заявителя.
      Количество отбираемых образцов СЗИ или СВТ, методика их отбора, а также условия их транспортировки и хранения должны соответствовать требованиям нормативных документов по подтверждению соответствия на заявленные СЗИ или СВТ.
      Отбор образцов СЗИ или СВТ оформляется актом в двух экземплярах. Результаты идентификации образцов СЗИ или СВТ заносятся в акт отбора.
      При положительном результате отобранные образцы направляются в аккредитованную испытательную лабораторию (центр), определенную органом по подтверждению соответствия.

      19. При отрицательном результате идентификации заявленные СЗИ или СВТ не подлежат подтверждению соответствия, о чем составляется акт в произвольной форме, который в течение 10 дней официально направляется заявителю. Образцы СЗИ или СВТ возвращаются заявителю.
 

    5. Сертификационные испытания образцов СЗИ или СВТ 
требованиям информационной безопасности

      20. Сертификационные испытания требованиям информационной безопасности отобранных образцов заявленного СЗИ или СВТ согласно договору на выполнение работ по подтверждению соответствия производится аккредитованной в установленном порядке испытательной лабораторией (центром) согласно программе испытаний.

      21. При подтверждении соответствия СЗИ или СВТ в форме проведения сертификации применяются следующие схемы сертификации:
      схема N 2 - применяется при сертификации СЗИ или СВТ по заявке заявителя и предусматривает сертификационные испытания образцов, взятых у заявителя и инспекционную проверку за сертифицированными СЗИ или СВТ в течение срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 1 год;
      схема N 3 - применяется при сертификации СЗИ или СВТ по заявке изготовителя и предусматривает сертификационные испытания образцов, взятых у изготовителя, и инспекционную проверку за сертифицированными СЗИ или СВТ в течение срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 1 год;
      схема N 5 - применяется при сертификации СЗИ или СВТ по заявке изготовителя и предусматривает проведение сертификационных испытаний образцов, взятых у изготовителя, и контроль за возможностью изготовителя выпускать в течение срока действия сертификата соответствия СЗИ или СВТ, соответствующие установленным требованиям. Инспекционная проверка сертифицированных СЗИ или СВТ осуществляется в течение всего срока действия сертификата соответствия. Сертификат соответствия выдается сроком на 3 года;
      схема N 7 - применяется для сертификации партии изготовленных СЗИ или СВТ по заявке изготовителя или заявителя и предусматривает сертификационные испытания образцов, взятых из этой партии. Сертификат соответствия выдается с указанием идентификационных признаков СЗИ или СВТ, входящих в представленную партию, и выдается сроком на 3 года.
      Обязательное подтверждение соответствия в форме проведения сертификации СЗИ или СВТ должно осуществляться в течение 2 месяцев с даты заключения договора о проведении работ по подтверждению соответствия. При проведении подтверждения соответствия сложного оборудования СЗИ или СВТ срок может быть увеличен до 4 месяцев.

      22. Сертификационные испытания проводятся аккредитованной в установленном порядке испытательной лабораторией (центром) с учетом вида СЗИ и СВТ на соответствие установленным в нормативной документации требованиям информационной безопасности.

      23. По результатам испытаний образцов заявленного СЗИ или СВТ испытательной лабораторией (центром) составляется протокол по установленной в соответствии с законодательством Республики Казахстан о техническом регулировании форме, который подписывается всеми членами комиссии и официально направляется в орган по подтверждению соответствия.
      Орган по подтверждению соответствия после получения документально оформленных результатов сертификационных испытаний в срок не более 10 дней принимает решение о выдаче или мотивированном отказе в выдаче сертификата соответствия.
 

    6. Выдача документального удостоверения

      24. При положительном решении орган по подтверждению соответствия оформляет документальное удостоверение и направляет копии установленного образца документального удостоверения в уполномоченный орган в области технического регулирования, уполномоченный государственный орган по защите государственных секретов и обеспечению информационной безопасности, уполномоченный орган в сфере информатизации и органы национальной безопасности.

      25. После завершения процедур, предусмотренных выбранной схемой подтверждения соответствия требованиям информационной безопасности на конкретный тип СЗИ и СВТ органом по подтверждению соответствия выдается зарегистрированное документальное удостоверение на бланке, форма и порядок заполнения которого устанавливаются уполномоченным органом в области технического регулирования. В необходимых случаях копии документального удостоверения выдаются органом по подтверждению соответствия на бланке, форма и порядок заполнения которого устанавливаются уполномоченным органом.
      Действие документального удостоверения начинается с даты его выдачи, указанной в реестре выданных документальных удостоверений.

      26. Отказ в выдаче, приостановление или прекращение действия, отзыв или аннулирование документального удостоверения осуществляется в соответствии законодательством Республики Казахстан о техническом регулировании.

      27. Держатель документального удостоверения указывает в паспорте и сопроводительной технической документации на СЗИ и СВТ сведения о зарегистрированных документальных удостоверениях, которые являются подтверждением того, что держатель документального удостоверения гарантирует соответствие СЗИ и СВТ установленным требованиям.

      28. Приобретенное в период действия документального удостоверения СЗИ или СВТ может использоваться на всей территории Республики Казахстан в течение всего срока годности (службы) СЗИ или СВТ в соответствии с областью применения.

      29. Держатель документального удостоверения:
      обеспечивает соответствие установленным требованиям СЗИ или СВТ, на которые имеются зарегистрированные документальные удостоверения;
      обеспечивает беспрепятственное выполнение своих полномочий представителями органа по подтверждению соответствия и лицами, выполняющими инспекционную проверку сертифицированных СЗИ или СВТ;
      прекращает реализацию СЗИ или СВТ, если срок действия документального удостоверения истек, либо действие документального удостоверения прекращено или приостановлено.

      30. Орган по подтверждению соответствия осуществляет инспекционную проверку сертифицированных СЗИ или СВТ, если это предусмотрено схемой сертификации.
      Инспекционная проверка сертифицированных СЗИ или СВТ осуществляется не реже одного раза в год.
      Периодичность, сроки и объем инспекционной проверки определяются программой, согласованной органом по подтверждению соответствия и держателем документального удостоверения.

      31. Орган по подтверждению соответствия оформляет по результатам инспекционной проверки заключение о соответствии или несоответствии СЗИ или СВТ установленным требованиям, о чем информирует держателя документального удостоверения.
 

    Приложение                 
к Правилам обязательного подтверждения   
соответствия информационных систем,    
технических, программно-технических     
и программных средств (изделий),      
технических средств защиты информации   
требованиям информационной безопасности  

Рекомендуемый порядок
создания СЗИ и СВТ, подлежащих обязательному
подтверждению соответствия требованиям
информационной безопасности

      1. Создание СЗИ и СВТ, подлежащих обязательному подтверждению соответствия требованиям информационной безопасности, включает следующие этапы:
      разработка, согласование и утверждение технического задания на информационную систему;
      разработка и утверждение проектно-сметной документации на информационную систему;
      реализация согласованных проектных решений;
      проведение конкурса на разработку информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;
      разработка информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;
      внедрение информационной системы в соответствии с утвержденными техническим заданием и проектно-сметной документацией;
      приемка разработанной информационной системы администратором бюджетной программы в порядке, установленном законодательством Республики Казахстан о техническом регулировании;
      проведение отраслевой оценки информационной системы уполномоченным органом в сфере информатизации и связи в соответствии с его нормативными документами.
      2. Техническое задание и проектно-сметная документация на разработку СЗИ и СВТ требованиям информационной безопасности в обязательном порядке согласовывается с уполномоченным государственным органам по защите государственных секретов и обеспечению информационной безопасности, уполномоченным органом в сфере информатизации, органами национальной безопасности.