Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы

Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 26 қаңтардағы № 63 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2016 жылы 24 ақпанда № 13207 болып тіркелді. Күші жойылды - Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 14 наурыздағы № 40/НҚ бұйрығымен

      Ескерту. Күші жойылды – ҚР Қорғаныс және аэроғарыш өнеркәсібі министрінің 14.03.2018 № 40/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашдағы Қазақстан Республикасының Заңы 7-бабының 16) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Мыналар:

      1) осы бұйрыққа 1-қосымшаға сәйкес Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;

      2) осы бұйрыққа 2-қосымшаға сәйкес Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.

      2. "Бағдарламалық өнімдерді, бағдарламалық кодтарды сынақтан өткізу, оларды және нормативтік құжаттаманы тіркеу, беру, сақтау, депозитке берудің толықтығын қамтамасыз ету және оларды тіркеу, депозитарийге беру мен сақтау туралы мәліметтерді ұсыну ережесін бекіту туралы" Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі Төрағасының 2009 жылғы 1 желтоқсандағы № 480 бұйрығының (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 5981 болып тіркелген және Қазақстан Республикасы орталық атқарушы және өзге де орталық мемлекеттік органдарының актілер жинағында 2010 жылғы 20 сәуірде жарияланған) күші жойылды деп танылсын.

      3. Қазақстан Республикасы Инвестициялар және даму министрлігінің Байланыс, ақпараттандыру және ақпарат комитеті (Т.Б. Қазанғап):

      1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін оның көшірмелерін баспа және электрондық түрде күнтізбелік он күн ішінде мерзімді баспа басылымдарында және "Әділет" ақпараттық-құқықтық жүйесінде ресми жариялауға, сондай-ақ тіркелген бұйрықты алған күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін Республикалық құқықтық ақпарат орталығына жіберуді;

      3) осы бұйрықты Қазақстан Республикасы Инвестициялар және даму министрлігінің интернет-ресурсында және мемлекеттік органдардың интранет-порталында орналастыруды;

      4) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Инвестициялар және даму министрлігінің Заң департаментіне осы бұйрықтың 3-тармағының 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Инвестициялар және даму вице-министріне жүктелсін.

      5. Осы бұйрық оның алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының


Инвестициялар және даму


министрінің міндетін атқарушы

Ж. Қасымбек


  Қазақстан Республикасы
Инвестициялар және даму
министрінің міндетін атқарушының
2016 жылғы 26 қаңтардағы
№ 63 бұйрығына
1-қосымша

Сервистік бағдарламалық өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық
қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу
әдістемесі
1. Жалпы ережелер

      1. Осы Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйені олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өткізуді жүргізу әдістемесі (бұдан әрі - Әдістеме) "Ақпараттандыру туралы" 2015 жылғы 25 қарашадағы Қазақстан Республикасы заңының 7-бабы 16) тармақшасына сәйкес әзірленді.

      2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) ақпараттық қауіпсіздік функцияларын сынау – сервистік бағдарламалық өнімді, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын және ақпараттық жүйені ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау;

      2) жүктемелік сынау – жоспарлы, көтеріңкі және өте жоғары жүктемелер кезінде сынау объектілерінің қол жетімділігін, тұтастығын және құпиялықты сақтауды бағалау;

      3) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорн;

      4) осалдық – бағдарламалық қамтамасыз етуде жұмыс қабілеттілігін бұзуға немесе белгіленген рұқсаттардан тыс қандай болсын заңсыз іс-әрекеттерді орындауға мүмкіндік беретін бағдарламалық қамтамасыз етудегі кемшілік;

      5) сараптамалық әдіс – сарапшының жеке пікірін немесе сарапшылар тобының ұжымдық пікірін пайдалану негізінде алынған іздестіру әдісі мен оны қолдану нәтижесі;

      6) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі – ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнім арасындағы өзара іс-қимыл;

      7) сенімді бағдар – функцияларды өзара іс-қимыл қауіпсіздігін қамтамасыз ету арқылы орындауға арналған пайдаланушылардың сынақ объектілерінің қауіпсіздік саясатын қолдауда сенімдікті қамтамасыз ететін пайдаланушылар мен ОҚФ арасындағы өзара іс-қимыл құралы;

      8) сервистік бағдарламалық өнімді, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын және ақпараттық жүйені қауіпсіздік талаптарына сәйкестігіне сынау (бұдан әрі – сынау) – ақпараттық қауіпсіздік талаптарына сынақ объектілерін бағалау жөніндегі техникалық іс-шаралар;

      9) сынау объектілері (бұдан әрі – СО) - сервистік бағдарламалық өнім, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы, мемлекеттік органның интернет-ресурсы, ақпараттық жүйе.

      3. Сынақтан өткізуді жүргізу мыналарды қамтиды:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау;

      4) телекоммуникация желілерін және серверлік жабдықты тексеріп қарау.

2. Бастапқы кодтарды талдау

      4. СО бастапқы кодтарын талдау бағдарламалық қамтамасыз етудің (бұдан әрі – БҚ) кемшіліктерін (бағдарламалық белгілер мен осалдықтарды) айқындау мақсатында жүргізіледі.

      5. БҚ кемшіліктерін айқындау тапсырыс беруші ұсынған бастапқы кодтардың негізінде бағдарламалық құралдың талдауға арналған бастапқы кодын пайдалана отырып жүргізіледі.

      6. Бастапқы кодтарды талдау:

      1) БҚ кемшіліктерін айқындауды;

      2) бастапқы кодты талдау нәтижелерін белгілеуді қамтиды.

      7. БҚ кемшіліктерін айқындау мынадай тәртіппен жүзеге асырылады:

      1) бастапқы деректерді дайындау жүргізіледі (СО бастапқы кодтарын жүктеу, сканерлеу режимін (қарқынды және/немесе статикалық) таңдау, сканерлеу режимдерінің сипаттамаларын күйге келтіру);

      2) БҚ кемшіліктерін айқындауға арналған бағдарламалық құрал іске қосылады;

      3) жалған іске қосылулардың болуына бағдарламалық есептерді талдау жүргізіледі;

      4) сипаттамасы, бағдары (файлға дейінгі жолы) мен тәуекел деңгейі (жоғары, орташа, төмен) көрсетілген БҚ айқындалған кемшіліктерінің тізбесін қамтитын есеп қалыптастырылады.

      8. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады.

      9. Бастапқы кодтарды талдау нәтижелері Бастапқы кодтарды талдау хаттамасында белгіленеді.

      10. СО бастапқы кодтарын талдауды жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде СО бастапқы кодтары таңбаланады және мөр басылған түрінде мемлекеттік техникалық қызметтің мұрағатына жауапты сақтауға тапсырылады.

3. Ақпараттық қауіпсіздік функцияларын сынау

      11. Ақпараттық қауіпсіздік функцияларын сынау олардың стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.

      12. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды:

      1) қауіпсіздік функцияларының өтініш берушімен келісілген стандарттың талаптарына сәйкестігін бағалау;

      2) бағалау нәтижелерін белгілеу.

      13. Қауіпсіздік функцияларының мазмұны осы Әдістемеге 1-қосымшаға сәйкес ақпараттық қауіпсіздік функцияларының тізбесінде келтірілген.

      14. Ақпараттық қауіпсіздік функцияларын сынау нәтижелері Ақпараттық қауіпсіздік функцияларын сынау хаттамасында тіркеледі.

4. Жүктемелік сынау

      16. Жүктемелік сынау нақты пайдаланушылардың жұмысына сәйкес келетің жүктемемен СО қол жетімділігін, тұтастығын және құпиялығын сақтауды бағалау мақсатында жүргізіледі.

      17. Жүктемелік сынау СО пайдаланушыларының жұмысын тапсырыс беруші ұсынған мындай орталардың бірінде қамтитын автоматты сценарийлер негізінде арнайы бағдарламалық құралды (бұдан әрі - БҚ) пайдалана отырып жүргізіледі:

      СО штаттық пайдалану ортасына ұқсас тестілік орта;

      дербес деректер жоқ СО штаттық пайдалану ортасы;

      дербес деректер жалған деректерге ауыстырылған СО штаттық пайдалану ортасы.

      18. Өтініш беруші жүктемелік сынау параметрлерін СО сипаттамалары туралы сауалнама-сұраулықта ұсынады және мыналарды қамтиды:

      1) пайдаланушы рөлдерінің тізбесі;

      2) пайдаланушының типтік іс-қимыл тізбесі;

      3) пайдаланушылардың ең көп саны;

      4) секундына өңделетін сұраулардың ең көп саны және сұраулар арасындағы күту уақыты.

      19. Жүктемелік сынау мынадай тәртіппен жүзеге асырылады:

      1) сынауға дайындық жүргізіледі;

      2) сынақ жүргізіледі;

      3) сынақ нәтижелері тіркеледі.

      20. Сынауға дайындық мыналарды қамтиды:

      1) виртуалды пайдаланушылардың операцияларын, сондай-ақ оқиғалар мен олардың іс-қимылының ерекшеліктерін сипаттай отырып сынақ сценарийінің сараптамалық әдісін әзірлеу;

      2) әрбір операцияның уақытша сипаттамалары мен сынаққа қатысатын виртуалды пайдаланушылардың санын анықтау;

      3) виртуалды пайдаланушылардың скриптерін қалыптастыру және:

      әрбір виртуалды пайдаланушы;

      бірнеше виртуалды пайдаланушы бір мезгілде орындайтын міндеттерді анықтау;

      4) сынақтар жүргізу уақытын тапсырыс берушімен келісу.

      21. Сынақ жүргізу:

      1) СО-ға жиынтық жүктемені бөлуді, оның процесінде бірнеше виртуалды пайдаланушыға белгілі міндеттерді бір мезгілде орындау жөніндегі нұсқаулықтар беріледі;

      2) конфигурацияны күйге келтіру мен сынақ сценарийін мамандандырылған БҚ жазуды;

      3) мамандандырылған бағдарламалық құралды іске қосуды;

      4) виртуалды пайдаланушының әрбір скриптінде белгіленген барлық транзакциялардың жазбалары (өңделген СО-ға сұрау салулар) қамтитын бағдарламалық есепті қалыптастыруды және беруді қамтиды.

      22. Жүктемелік тестілеуді жүргізу жұмыстары СО пайдалану нұсқаларының саны бойынша бір СО үшін жүргізіледі.

      23. Жүктемелік сынақ нәтижелері Жүктемелік сынақ хаттамасында тіркеледі.

5. Телекоммуникациялар желісін және серверлік
жабдықты тексеріп қарау

      24. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау телекоммуникациялар желісі мен серверлік жабдықтың қауіпсіздігін бағалау, сондай-ақ оның компоненттері (сервер, жұмыс станциялары, желілік жабдық) пайдаланатын БҚ осалдықтарын айқындау мақсатында жүргізіледі.

      25. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау мыналарды қамтиды:

      1) телекоммуникациялар желісін және серверлік жабдықты қорғау функцияларының ҚР СТ ИСО/МЭК 13335-5-2008 "Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару. 5-бөлік. Желіні қорғауды басқару жөніндегі нұсқау" талаптарына сәйкестігін бағалау;

      2) БҚ осалдықтарын айқындау;

      3) алынған нәтижелерді белгілеу.

      26. Телекоммуникациялар желісін және серверлік жабдықты қорғау функцияларының мазмұны осы Әдістемеге 2-қосымшада сәйкес телекоммуникациялар желісін және серверлік жабдықты қорғау функцияларының тізбесінде келтірілген.

      27. БҚ осалдықтарын айқындау өтініш беруші ұсынған СО компоненттеріне қол жеткізуге арналған есептік жазбалардың негізінде бағдарламалық-аппараттық кешенді (бұдан әрі – БАК) пайдалана отырып жүргізіледі.

      28. БҚ осалдықтарын айқындау мыналарды қамтиды:

      1) БАК күйге келтіру (локальдық және қашықтықтан тексерулерді жүргізуге арналған есептік жазбаларды жазу, аспаптық тексеріп қарау режимін таңдау);

      2) БАК іске қосу;

      3) айқындалған осалдықтардың сипаттамасын, саны мен деңгейін көрсете отырып олардың тізбесін қамтитын бағдарламалық есепті қалыптастыру және беру.

      29. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау бойынша жұмыстар, сондай-ақ СО компоненттерін аспаптық тексеріп қарау әр ішкі желі (желі сегменті) үшін бөлек жүргізіледі.

      30. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау нәтижелері Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау хаттамасында тіркеледі.

  Сервистік бағдарламалық өнімге,
"электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық
жүйеге олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне сынақтар
жүргізу әдістемесіне
1-қосымша

Ақпараттық қауіпсіздік функцияларының тізбесі

р/с

Функциялардың атауы

Функциялардың мазмұны

1

2

3

Қауіпсіздік аудиті

(тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)

1

Қауіпсіздік аудитінің автоматты әрекет етуі

Тіркеу журналына жазба енгізуді жүзеге асыру, қауіпсіздікті бұзушылықты айқындау туралы әкімшіге локальдық немесе қашықтықтан сигнал беру

2

Қауіпсіздік аудитінің деректерін өндіру

Хаттамалаудың, ең болмаса, тіркеу функцияларын іске қосу мен аяқтаудың, сондай-ақ аудиттің базалық деңгейіндегі барлық оқиғалардың болуы. Яғни, әрбір тіркеу жазбасында оқиғаның мерзімі мен уақыты, оқиға түрі, субъектіні сәйкестендіргіш және оқиға нәтижесі (сәттілігі немесе сәтсіздігі) көрсетілуі тиіс

3

Қауіпсіздік аудитін талдау

Сәйкестендіру тетіктерін пайдаланудың ең болмаса, сәтсіз нәтижелерін, сондай-ақ криптографиялық операцияларды орындаудың сәтсіз нәтижелерін жинақтау және/немесе біріктіру арқылы (ықтимал кемшіліктерді айқындау мақсатында) жүзеге асыру

4

Қауіпсіздік аудитін қарау

Барлық тіркеу ақпаратын қарау (оқу) мүмкіндігін қамтамасыз ету және әкімшіге беру. Өзге пайдаланушыларға тіркеу ақпаратына қолжетімділік айқын ерекше оқиғаларды қоспағанда, жабық болуы тиіс.

5

Қауіпсіздік аудитінің оқиғаларын таңдау

Оқиғаларды тіркеудің, ең болмаса, мынадай атрибуттарға негізделетін іріктеудің болуы:

объектіні сәйкестендіргіш;

субъектіні сәйкестендіргіш;

желі торабының мекенжайы;

оқиға түрі;

оқиға мерзімі мен уақыты

6

Қауіпсіздік аудитінің деректерін сақтау

Тіркеу ақпараты рұқсатсыз түрлендіруден сенімді қорғалған болуы тиіс.

Байланысты ұйымдастыру

(тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)

7

Жіберуден бас тартпаушылық

Жіберуші куәлігі жіберуші мен жіберілген ақпарат арасындағы байланысты (мысалы, цифрлық қолтаңба) дәлелдейтін, ақпаратты жіберу фактісінен бас тартпауы үшін пайдаланушыларға/ жіберушінің ұқсастығын куәландыру субъектілеріне кейбір ақпаратты беру

8

Алудан бас тартпаушылық

Алуышының ақпаратты алу фактісінен бас тарту мүмкінсіздігін қамтамасыз ету

9

Киптографиялық қолдау (тексеру СО ақпаратты криптографиялық қорғау құралдары бөлінісінде жүргізіледі)

10

Киптографиялық кілттерді басқару

Мыналарды қолдаудың болуы:

1) киптографиялық кілттерді құру;

2) киптографиялық кілттерді бөлу;

3) киптографиялық кілттерге қолжетімділікті басқару;

4) киптографиялық кілттерді жою

11

Криптографиялық операциялар

Сенімді арна арқылы жіберілетін барлық ақпарат үшін стандарттардың талаптарына сәйкес тұтастығын шифрлаудың және бақылаудың болуы

Пайдаланушының деректерін қорғау

(тексеру серверлер (виртуалды ресурстар) бөлінісінде жүргізіледі)

12

Қолжетімділікті басқару саясаты

Қауіпсіздік сервисімен тікелей немесе жанама операцияларды орындайтын пайдаланушылар үшін қолжетімділікті бөлуді жүзеге асыру

13

Қолжетімділікті басқару функциялары

Қолжетімділікті бөлу функцияларын пайдалану, ең болмаса, мынадай қауіпсіздік атрибуттарына негізделуі тиіс:

қол жеткізу субъектілерін сәйкестендіргіштер;

қол жеткізу объектілерін сәйкестендіргіштер;

қол жеткізу субъектілерінің мекенжайлары;

қол жеткізу объектілерінің мекенжайлары;

субъектілердің қол жеткізу құқықтары.

14

Деректерді тексеру

Ақпараттың мазмұны айлакерлік жолымен ұқсастырылмағанын немесе түрлендірілмегенін кейін тексеру үшін пайдаланылуы мүмкін өзіндік деректер жинағының дұрыстығы кепілдігін қолдау.

15

Деректерді СО қауіпсіздік функцияларының (бұдан әрі-ОҚФ) әрекетінен тыс экспорттау


Пайдаланушының деректерін СО экспорттау кезінде оларды қорғау мен сақталуын немесе қауіпсіздік атрибуттарын ескермеуді қамтамасыз ету

16

Ақпараттық ағындарды басқару саясаты


Пайдаланушының деректерін қауіпсіздік сервисінің физикалық бөлінген бөліктері арасында жіберген кезде оларды ашуға, түрлендіруге және/немесе қолжетімді болуына жол бермеуді қамтамасыз ету

17

Ақпараттық ағындарды басқару функциялары


Деректер қоймасында қамтылған ақпаратты бақылаусыз таратуға жол бермеу мақсатында оған қолжетімділікті ұйымдастыру және қамтамасыз ету (БҚ сенімсіз болған жағдайда жариялаудан немесе түрлендіруден сенімді қорғауды іске асыру үшін ақпараттық ағындарды басқару)

18

Деректерді ОҚФ әрекетінен тыс жерден импорттау


Пайдаланушының деректерін олардың талап етілетін қауіпсіздік және қорғау атрибуттары болатындай етіп СО жіберуге арналған тетіктердің болуы

19

СО шегінде жіберу

Пайдаланушының деректерін ішкі арна бойынша СО түрлі бөліктері арасында жіберген кезде қорғаудың болуы

20

Қалған ақпаратты қорғау


Қалған ақпаратты толық қорғауды қамтамасыз ету, яғни ресурс босаған кезде алдыңғы жай-күйінің қолжетімсіздігін қамтамасыз ету

21

Ағымдағы жай-күйін кері қалпына келтіру

Кейбір шектелген (мысалы, уақыт аралығымен) соңғы операцияны немесе бірқатар операцияны жою және алдыңғы белгілі жай-күйге қайту мүмкіндігінің болуы.

Кері қалпына қайтару пайдаланушы деректерінің тұтастығын сақтау үшін операцияның немесе бірнеше операция нәтижелерін жоюға мүмкіндік береді.

22

Сақталатын деректердің тұтастығы

Пайдаланушының деректерін ОҚФ шегінде сақтаған кезде олардың қорғалуын қамтамасыз ету

23

ОҚФ арасында жіберген кезде пайдаланушы деректерінің құпиялылығын қорғау



Пайдаланушының деректерін ОҚФ арасында сыртқы арна немесе АТ басқа сенімді өнімі бойынша жіберген кезде олардың құпиялылығын қамтамасыз ету. Құпиялылық деректерді екі соңғы нүкте арасында жіберген кезде оларға рұқсатсыз қол жеткізуді болдырмау жолымен жүзеге асырылады. Соңғы нүктелер ОҚФ немесе пайдаланушы бола алады.

24

ОҚФ арасында жіберген кезде пайдаланушы деректерінің тұтастығын қорғау

Пайдаланушының деректерін ОҚФ және АТ басқа сенімді өнімі арасында жіберген кезде олардың тұтастығы, сондай-ақ айқындалған қателер кезінде оларды қалпына келтіру мүмкіндігі қамтамасыз етілуі тиіс.

Сәйкестендіру және теңестіру

(тексеру сәйкестендіру мен аутентификацияны орындайтын серверлердің және виртуалды есурстар бөлінісінде жүргізіледі)

25

Теңестіруден бас тарту

Сәтсіз теңестіру талаптарының белгілі санына келгенде әкімшінің субъектіге қол жеткізуге рұқсат бермеу, тіркеу журналына жазба енгізу мен әкімшіге қауіпсіздіктің ықтимал бұзушылық туралы сигнал беру мүмкіндігінің болуы

26

Пайдаланушының атрибуттарын анықтау

Әрбір пайдаланушы үшін, ең болмаса, келесі қауіпсіздік атрибуттарын қолдау қажет:

- сәйкестендіргіш;

- теңестірілген ақпарат (мысалы, пароль);

- қол жеткізу құқығы (рөлі).

27

Құпиялардың ерекшелігі

Егер теңестірілген ақпарат криптографиялық операциялармен қамтамасыз етілсе, сондай-ақ ашық және құпия кілттеріне қолдау көрсетілуі қажет.

28

Пайдаланушыны теңестіру

ОҚФ ұсынатын пайдаланушы теңестіру тетіктерінің болуы

29

Пайдаланушыны сәйкестендіру

1) Қауіпсіздік сервисі осы пайдаланушының атынан орындайтын кез келген іс-қимыл аяқталғанға дейін әрбір пайдаланушы сәтті сәйкестендірілуге және теңестіруге тиіс;

2) Басқа пайдаланушыдан көшіріп алынған немесе ұқсастырып жасалған теңестірілген деректерді пайдалануға жол бермеу мүмкіндіктері болуы тиіс;

3) Пайдаланушының ұсынылған кез келген сәйкестендіргішін теңестіру қажет;

4) Әкімші белгілеген уақыт интервалы аяқталғаннан кейін пайдаланушыны қайтадан теңестіруі тиіс;

5) Теңестіруді орындаған кезде қауіпсіздік функциялары пайдаланушыға тек қана жасырын кері байланысқа рұқсат беруі тиіс

30

Пайдаланушы-субъект байланыстырушы


Пайдаланушының тиісті қауіпсіздік атрибуттарын осы пайдаланушы атынан әрекет ететін субъектілермен байланыстыру керек

Қауіпсіздікті басқару

(тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)

31

ОҚФ жеке функцияларын басқару


Жұмыс істеу, ажырату, қосу, сәйкестендіру мен теңестіру режимдерін түрлендіру, қолжетімділік, хаттамалау және аудит құқығын басқару режимдерін анықтауға әкімшінің жеке құқығының болуы.

32

Қауіпсіздік атрибуттарын басқару


Қауіпсіздіктің түсіндірілетін мәндерін өзгертуге, сұрастыруға, атрибуттарын өзгертуге, жоюға, құруға әкімшінің жеке құқығының болуы. Бұл ретте, қауіпсіздік атрибуттарына тек қана қауіпсіздік мәндер беруді қамтамасыз ету қажет

33

ОҚФ деректерін басқару


Тіркелетін оқиғалардың түсіндірілетін мәндерін өзгертуге, сұрастыруға, өзгертуге, жоюға, тазалауға, түрлерін анықтауға, тіркеу журналдарының өлшемін, субъектілердің қол жеткізу құқықтарын, қол жеткізу субъектілерінің есептік жазбаларының, парольдерінің, криптографиялық кілттерінің жарамдылық мерзімдерін өзгертуге әкімшінің жеке құқығының болуы.

34

Қауіпсіздік атрибуттарын жою


Уақыттың кейбір сәттерінде қауіпсіздік атрибуттарын бұзуды жүзеге асырудың болуы. Пайдаланушылармен байланыстырылған қауіпсіздік атрибуттарын бұзу мүмкіндігі тек қана уәкілетті әкімшілерде болуы тиіс. Қауіпсіздік үшін маңызды өкілеттіктер дереу жойылуы тиіс.

35

Қауіпсіздік атрибутының қолданыс мерзімі

Қауіпсіздік атрибуттарының қолданыс мерзімін белгілеу мүмкіндігін қамтамасыз ету

36

Қауіпсіздікті басқару рөлдері

1) Ең болмаса, мынадай рөлдерді қолдауды қамтамасыз ету: уәкілетті пайдаланушы, қашықтықтан пайдаланушы, әкімші.

2) Қашықтықтан пайдаланушы мен әкімші рөлдерін тек қана сұрау бойынша алуды қамтамасыз ету

Биресмилікті қамтамасыз ету

(тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)

37

Құпиялық

Пайдаланушының ресурсты немесе СО қызметін өзінің сәйкестендіргішін ашпай пайдалану мүмкіндігін қамтамасыз ету

38

Бүркеншек атау

Пайдаланушының ресурсты немесе қызметті өзінің сәйкестендіргішін ашпай, сонымен қатар осы пайдалану үшін жауапты болып пайдалану мүмкіндігін қамтамасыз ету

39

Бейәлуметтік мүмкінсіздігі


Пайдаланушының ресурстарды немесе қызметтерді, олардың пайдаланылғанын байланыстыруға ешкімге мүмкіндік бермей, бірнеше рет пайдалану мүмкіндігін қамтамасыз ету

40

Жасырындық

1) Ресурсты немесе қызметті пайдалану туралы ақпаратты кімге болсын, әсіресе үшінші тарапқа ұсынбай, пайдаланушының ресурстарды немесе қызметті пайдалану мүмкіндігін қамтамасыз ету;

2) Әкімшінің қауіпсіздік сервисінің ресурстарын пайдалануды бақылау мүмкіндігі болуы тиіс

ОҚФ қорғау

(тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)

41

Кідіру кезіндегі қауіпсіздік

Сервис аппараттық кідірістер кезінде (мысалы, электр қуатының іркілісінен орын алған) қауіпсіз жай-күйді сақтауға тиіс

42

ОҚФ экспортталатын деректерінің қолжетімділігі


Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс

43

ОҚФ экспортталатын деректерінің құпиялылығы


Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің құпиялылығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс

44

ОҚФ экспортталатын деректерінің тұтастығы

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс

45

ОҚФ деректерін СО шегінде жіберу

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін, құпиялылығы мен тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс

46

ОҚФ физикалық қорғау

ОҚФ физикалық қорғау жүзеге асырылуы тиіс

47

Сенімді қалпына келтіру


Кідірулер немесе қызмет көрсету тоқтатылғаннан кейін автоматты түрде қалпына келтіру мүмкін болмаса, сервис қауіпсіз жай-күйге қайтаруға мүмкіндік беретін авариялық қолдау режиміне ауысу керек. Аппараттық кідірістерден кейін автоматты рәсімдерді қолданумен қауіпсіз жай-күйге кері қайту қамтамасыз етілуі тиіс

48

Екінші рет пайдалануды айқындау


Сервис теңестірілген деректердің қайтадан пайдаланылуын айқындауға, қолжеткізуге жол бермеуге, тіркеу журналына жазба енгізуге және әкімшіге қауіпсіздіктің ықтимал бұзылуы туралы сигнал беруге тиіс

49

Өтініштер беру кезіндегі делдалдық


Сервистің қауіпсіздік саясатын жүзеге асыратын функциялар сервистің кез келген басқа функциясын орындауға рұқсат етілгенге дейін шақырылып, сәтті орындалуы керек

50

Доменді бөлу

Қаупісіздік функциялары оларды сенімсіз субъектілердің араласуы мен бұрмалауынан қорғайтын меншікті орындауға арналған жеке доменді қолдауға тиіс

51

Жай-күйді синхрондау хаттамасы

Жай-күйлерді синхрондау қамтамасыз етілуі тиіс

52

Уақыт белгілері

Қауіпсіздік функцияларының пайдалануына сенімді уақыт белгілері ұсынылуы тиіс

53

ОҚФ арасындағы деректердің келісілушілігі


Тіркелетін ақпаратты, сондай-ақ қолданылатын криптографиялық операциялар параметрлерін келісімді түсіндіру қамтамасыз етілуі тиіс

54

СО шегінде қайталау кезінде ОҚФ деректерінің келісілушілігі



СО түрлі бөліктерінде қайталаған кезде қауіпсіздік функциялары деректерінің келісу қамтамасыз етілуі тиіс. Қайталанатын деректерді қамтитын бөліктер ажыратылғанда, үйлесімділік көрсетілген қауіпсіздік функцияларына кез келген сұрауларды өңдеу алдындағы қосылуды қалпына келтіргеннен кейін қамтамасыз етілуі тиіс

55

ОҚФ өзін өзі тестілеу


Іске қосу кезінде қауіпсіздік функциялары жұмысының дұрыстығын көрсету үшін қылыпты жұмыс процесінде және/немесе әкімшінің сұрауы бойынша мерзімді түрде өзін өзі тестілеу пакеті орындалу керек.

Әкімшінің қауіпсіздік функциялары деректері мен орындалатын кодтың тұтастығын тексеру мүмкіндігі болуы тиіс

Ресурстарды пайдалану

(тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)

56

Істеп шығуға қарсы тұрушылық

Кідірулер кезінде де СО функционалдық мүмкіндіктеріне қолжетімділік қамтамасыз етілуі тиіс. Осындай кідірістердің үлгілері: қуат көзін ажырату, аппаратураның жұмыс істемей қалуы, бағдарламалық қамтамасыз етудің іркілісі

57

Қызмет көрсетудің басымдылығы


Пайдаланушылардың немесе субъектілердің өздерінің әрекет ету аясында ресурстарды пайдалануын СО шегіндегі басымдылығы жоғары операциялар басымдылығы төмен операциялар жағынан кедергісіз және кідіріссіз орындалатын етіп басқаруды қамтамасыз ету

58

Ресурстарды бөлу

Басқа пайдаланушылардың немесе субъектілердің ресурстарды монополиялауы себепті қызмет көрсетуден рұқсатсыз бас тартуға жол бермеу үшін пайдаланушылардың және субъектілердің ресурстарды пайдалануын басқару қамтамасыз етілуге тиіс

СО-ға қолжетімділік

(тексеру жалпы СО үшін жүргізіледі)

59

Таңдалатын атрибуттардың аясын шектеу


Қолжетімділік әдісі немесе орны және/немесе уақыты негізінде (мысалы, тәулік уақыты, апта күні) қол жеткізу жүзеге асырылып отырылған порттан пайдаланушы таңдай алатын қаупісзідік атрибуттарымен қатар пайдаланушы байланыста болуы мүмкін субъектілердің атрибуттары да шектелуге тиіс

60

Қатарлас сеанстарды шектеу


Бір пайдаланушыға ұсынылатын қатарлас сеанстардың барынша көп саны шектелуі тиіс. Бұл шаманың әкімші белгілейтін ұйғарынды мәні болуы тиіс.

61

Сеансты бұғаттау

Пайдаланушы әрекетсіздігі ұзақтығының әкімші белгілеген мәні аяқталғаннан кейін жұмыс сеансы мәжбүрлі аяқталуы тиіс.

62

СО-ға қол жеткізуге рұқсат беру алдында алдын алу

Сәйкестендіруге және теңестіруге дейін әлеуетті пайдаланушылар үшін СО пайдаланудың сипатына қатысты ескерту хабарламасын көрсету мүмкіндігі қамтамасыз етілуі тиіс

63

СО-ға қолжетімділік тарихы

Сеансты сәтті ашқан кезде пайдаланушы үшін осы пайдаланушы атынан қолжетімділікті алудың сәтсіз әрекеттерінің тарихын алу мүмкіндігі қамтамасыз етілуі тиіс. Бұл тарих қол жеткізу мерзімін, уақытын, құралдарын және СО соңғы рет сәтті қолжетімділік портын, сондай-ақ сәйкестендірілген пайдаланушының соңғы сәтті қол жеткізуінен кейінгі СО сәтсіз қол жеткізу әрекеттерінің санын қамтуы мүмкін.

64

СО-мен сеансты ашу


Субъектіні сәйкестендіргішке, субъектінің пароліне, субъектінің қолжетімділік құқықтарына негізделе отырып, сервис сеансты ашуға жол бермеуге қабілетті болуы тиіс.

Сенімді бағдарды/арнаны қамтамасыз ету

(тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)

65

Сенімді арна



1) Қашықтықтағы сенімді АТ- өнімімен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестірудің, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсынуға тиіс;

2) Екі тараптың байланыстарды сенімді арна арқылы бастамалауға мүмкіндігі болуы тиіс.

66

Сенімді бағдар

1) Қашықтықтағы пайдаланушымен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестіретін, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсынуға тиіс;

2) Пайдаланушының байланыстарды сенімді арна арқылы бастамалауға мүмкіндігі болуы тиіс;

3) Қашықтықтағы пайдаланушы мен қашықтықтан басқаруды бастапқы аутентификациялау үшін сенімді бағдарды пайдалану міндетті болып табылады.

  Сервистік бағдарламалық өнімге,
"электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық
жүйеге олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне сынақтар
жүргізу әдістемесіне
2-қосымша

Телекоммуникациялар желісін және серверлік жабдықты қорғау
функцияларының тізбесі

р/с

Функциялардың атауы

Функциялардың мазмұны

1

2

3

1

Сәйкестендіру және теңестіру

Уәкілетті персоналға қосу арқылы қолжетімділікті шектеу жолымен (ұйым ішінде немесе одан тыс жерде) телекоммуникация желісі ұсынатын сервистердің қауіпсіздігін және тиісті деректердің сақталуын қамтамасыз ету.

2

Аудиттерді белгілеу (желілік қосылулардың қауіпсіздігіне байланысты оқиғалар туралы есептер қалыптастыру және олардың бар болуы)

Күдікті және нақты оқиғаларды мұқият шолу мүмкіндігінің болуы үшін аудитті жүргізу барысындағы кідіру жағдайлары мен нақты оқиғалары бойынша жеткілікті ақпаратты белгілеу керек

3

Басып кіруді айқындау

Басып кіруді болжауға (телекоммуникация желілеріне ықтимал енулер), оларды нақты уақыт масштабында айқындауға және тиісті алаңдаушылықты туғызуға мүмкіндік беретін құралдардың бар болуын қамтамасыз ету

4

Зиянды кодтан сақтап қалу


Зиянды кодтан сақтап қалу үшін мыналарды қамтитын қорғау шараларының болуы:

1) нұсқаларын, кем дегенде, апта сайын жаңарту арқылы сканерлеуші бағдарламалық қамтамасыз етуді қазіргі уақыт деңгейінде қолдау;

2) зиянды кодтың жүйеге басып кіру мүмкіндігін азайтуға бағытталған рәсімдер мен практикалық іс-қимылдарды жалпы реттейтін басшылық нұсқаулардың бар болуы.

5

Желіні қорғауды басқару

Қашықтықтан диагностикалаудың барлық порттарына (виртуалды немесе физикалық) рұқсатсыз қол жеткізуден сақтандыруды қамтамасыз ететін қорғау шараларының болуы.

6

Желіаралық экрандар

Әрбір желіаралық экран үшін сервистерге қолжетіміділік саясатын (қауіпсіздік) белгілейтін жеке құжат әзірлеу және осы қосылу арқылы тек қане рұқсат етілген трафиктің өтуіне кепілідік беру үшін оны әрбір қосылуда жүзеге асыру қажет

7

Желілер арқылы деректермен алмасудың құпиялылығы


Құпиялылықты сақтау маңызды болған жағдайларда желілік қосылулар арқылы өтетін ақпаратты шифрлау үшін криптографиялық қорғау шаралары қарастырылуы тиіс

8

Желілер бойынша жіберілетін деректердің тұтастығы


Деректердің тұтастығын сақтау маңызды болған жағдайларда желілік қосылулар арқылы өтетін ақпаратты қорғау үшін цифрлық қолтаңба мен хабарламаның тұтастығын қорғау шаралары қарастырылуы тиіс

9

Ақпарат алмасу бойынша жасалған іс-қимылдардан бас тартпаушылық


Ақпаратты желі бойынша жіберудің растауын ұсыну талап етілетін жағдайда, мынадай қорғау шараларын пайдалану керек:

1) құжатты жіберу фактісін растайтын байланыс хаттамалары;

2) бастапқы адресті немесе сәйкестендіргішті ұсынуды және аталған ақпараттың бар болуын тексеруді талап ететін қосымшалардың хатамалары;

3) жіберуші мен алушы мекнжайларының форматтары синтаксистің дұрыстығына және тиісті директорийлердегі ақпаратпен үйлесімділікке қатысты тексерілетін желіаралық экрандар;

4) желіаралық өзара іс-қимыл шеңберінде ақпаратты жеткізу фактілерін растайтын хаттамалар;

5) ақпараттың реттілігін белгілеуге рұқсат беретін тетіктерді қамтитын хаттамалар

10

Үздіксіз жұмысты және қалпына келтіруді қамтамасыз ету


Табиғи апат жағдайында әрбір іскери операцияның үзілістен кейін үйлесімді уақыт аралығында қалпына келу қабілетін қамтамасыз ету арқылы бизнес функцияларын жалғастыруды қамтамасыз ететін қорғау шараларының болуы.

  Қазақстан Республикасы
Инвестициялар және даму
министрінің міндетін атқарушының
2016 жылғы 26 қаңтардағы
№ 63 бұйрығына
2-қосымша

Сервистік бағдарламалық өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық
қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу
қағидалары
1. Жалпы ережелер

      1. Осы Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 7-бабының 16) тармақшасына сәйкес әзірленді және сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге (бұдан әрі – сынақ объектілері) олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақта жүргізу тәртібін айқынтайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің, ақпараттық-коммуникациялық инфроқұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;

      2) ақпараттық жүйе – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсететін персонал мен техникалық құжаттаманың ұйымдастырушылың ретке келтірілген жиынтығы;

      3) интернет-ресурс – аппараттық-бағдарламалық кешенде орналастырылатын, мәтіндік, графикалық, аудиовизуалды немесе өзге де түрде бейнеленетін, бірегей желілік мекенжайы және (немесе) домендік атауы бар және (немесе) Интернет желісінде жұмыс істейтін, электрондық ақпараттық ресурс;

      4) мемлекеттік техникалық қызмет (бұдан әрі – МТҚ) – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорны;

      5) өтініш беруші – сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, интернет-ресурстың, ақпараттық жүйенің иесі (иеленуші), сондай-ақ сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, интернет-ресурстың, ақпараттық жүйенің иесі (иеленуші) өкілеттік берген сервистік бағдарламалық өнімді, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, интернет-ресурсты, ақпараттық жүйені ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;

      6) сервистік бағдарламалық өнім – ақпараттық-коммуникациялық қызметті іске асыруға арналған бағдарламалық өнім;

      7) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы – ақпараттандырудың сервистік моделін іске асыруға арналған технологиялық платформа.

      3. Сынақ объектілері:

      1) сервистік бағдарламалық өнім;

      2) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;

      3) мемлекеттік органның интернет-ресурсы;

      4) ақпараттық жүйе болып табылады.

      4. Объектілерді АҚ талаптарына сәйкестігіне сынау (бұдан әрі – сынақ) сынақ өткізу объектілерінің Қазақстан Республикасының аумағында қабылданған, стандарттармен белгіленген АҚ талаптарына сәйкестігін бағалау бойынша жұмыстарды қамтиды.

      5. Сынаққа:

      1) бастапқы кодтарын талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау;

      4) телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау кіреді.

      6. Мемлекеттік органның немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған ақпараттық жүйенің мемлекеттік емес ақпараттық жүйемен интеграциялануы жағдайында, оның бастапқы кодын талдауға қосымша интеграция компоненттерінің (интеграциялау модулі, ішкі интеграциялау жүйесі, интеграциялық шина) бастапқы кодтарын талдау жүргізіледі.

      7. Сынақтар:

      1) бір жұмыс түрі бойынша;

      2) бірнеше жұмыс түрлері бойынша;

      3) жұмыс түрлерінің толық құрамында жүргізіледі мүмкін.

      8. Сынаққа өткізулерге кіретін жұмыстың әрбір түрін жүргізудің құнын монополияға қарсы органмен келісім бойынша ақпараттандыру саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) белгілейді.

2. Сервистік бағдарламалық өнімге, "электрондық үкіметтің"
ақпараттық-коммуникациялық платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық
қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібі

      9. Сынвақтан өткізулер жүргізу үшін Өтініш беруші мынадай құжаттарды ұсына отырып, МТҚ-ға осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның, интернет-ресурсына олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді:

      1) жеке басты куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін);

      2) құрылтайшы құжаттардың және заңды тұлғаны мемлекеттiк тiркеу туралы анықтаманың немесе куәліктің өтініш берушінің қолымен және мөрімен куәландырылған көшірмелері (заңды тұлғалар үшiн);

      3) осы Қағидаларға 2-қосымшаға сәйкес нысан бойынша СО сипаттамалары туралы сауалнама-сұраулық;

      4) осы Қағидаларға 3-қосымшаға сәйкес Техникалық құжаттама тізбесіне сәйкес техникалық құжаттама;

      5) сынақ объектілері компоненттерінің және компакт-дискіге сәтті орнату үшін қажетті кітапханалары мен файлдары бар модульдерінің бастапқы кодтары.

      10. МТҚ өтінімді алған сәттен бастап бес жұмыс күні ішінде осы Қағидалардың 9-тармағында көрсетілген талаптарға сәйкес өтінімді тексеруді жүзеге асырады.

      11. Осы Қағидалардың 9-тармағында көрсетілген талаптарға сәйкес өтінім және қоса берілген құжаттар сәйкес келмеген жағдайда, өтінім қайтару себептерін көрсете отырып, кері қайтарылады.

      12. Осы Қағидалардың 9-тармағында көрсетілген талаптарға сәйкес өтінім және қоса берілген құжаттар сәйкес болған кезде МТҚ бес жұмыс күні ішінде өтініш берушіге сынақтар жүргізуге арналған шарттың екі данасын жібереді. Өтініш беруші жоғарыда көрсетілген шарттың екі данасын алған күнінен бастап бес жұмыс күні ішінде оларға қол қояды және шарттың бір данасын МТҚ-ға қайтарады.

      13. Сынақтар мерзімі өтініш берушімен келісіледі және СО сынақтары өткізу бойынша жұмысатрдың көлемі мен сыныптау сипаттамаларына байланысты болады.

      14. Сынақтар жүргізу үшін өтініш беруші МТҚ-ны мыналармен қамтамасыз етеді:

      1) пайдаланушының жұмыс орнына, серверлік және желілік жабдыққа, сынақ объектісінің телекоммуникациялық желісіне және сынақ уақытына өндірістікке ұқсас құрылған ортаға нақты қолжетімділік;

      2) сынақ объектісінің функцияларын техникалық құжаттама талаптарына сәйкес көрсету.

      15. Сынақтар Заңның 14-бабының 7) тармақшасына сәйкес сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.

      16. Сынаққа кіретін әрбір жұмыс түрінің нәтижелері және анықталған сәйкессіздіктерді жою жөніндегі ұсынымдар екі данада ресімделетін жеке хаттамаға енгізіліп, біреуі өтініш берушіге беріледі.

      17. Егер өтініш беруші сынақ кезінде анықталған сәйкессіздіктерді сынақтар актісін немесе атқарылған жұмыстар бойынша хаттамаларды алған сәттен бастап бір ай ішінде жойса, МТҚ өтініш берушіден хабарламаны алған күннен бастап он жұмыс күні ішінде аталған жұмыс түрлері бойынша тиісті құжаттарды ресімдей отырып, ақысыз негізде қайтадан сынақтар жүргізеді.

      Белгіленген мерзімді өткізіп алу осы Қағидаларда белгіленген жалпы тәртіпте сынақтар жүргізу үшін негіздеме болып табылады.

      18. Қайтадан сынақтар жүргізген кезде сәйкессіздіктер анықталған жағдайда, МТҚ сынақтар актісін немесе теріс қорытынді бар хаттаманы ресімдейді, одан кейін сынақтар осы Қағидалардың 2-тарауында белгіленген жалпы тәртіппен жүргізіледі.

      19. Хаттамалар жинағының негізінде МТҚ екі данада (МТҚ мен өтініш беруші үшін бір-бірден) атқарылған жұмыстар туралы мәліметтерді, олардың нәтижелерін анықталған сәйкессіздіктерді жою жөнінде қорытынды мен ұсынымдарды (болған кезде) қамтитың осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша Сынақтар актісін ресімдейді.

      20. Сынақтар кіретін жұмыстардың барлық түрлерін өткізгеннен кейін берілетін оң қорытындысы бар сынақтар актісі болған кезде және олар бойынша оң нәтиже бар хаттамалар болған кезде оң болып танылады.

      21. СО-ға өзгерістер енгізген кезде сынақтар жүргізуді оның иесі (иеленушісі) қамтамасыз еткен кезде МТҚ осы Қағидалармен белгіленген жалпы тәртіппен қайтадан сынақтар жүргізеді.

      22. Сынақтар хаттамалары және (немесе) актісі жоғалған, бүлінген немесе зақымдалған кезде сынақ объектісін иеленуші себептерін көрсете отырып, МТҚ-ға хабарлама жібереді.

      МТҚ хабарламаны алған күнінен бастап бес жұмыс күні ішінде сынақтар хаттамаларының және (немесе) актісінің телнұсқасын береді.

  Сервистік бағдарламалық өнімге,
"электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық
жүйеге олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне сынақтар
жүргізу қағидаларына
1-қосымша

      Нысан

      _____________________________________________________________________

      (сынақтар өткізу объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкестігіне (бұдан әрі –

      сынақтар)

Сынақтар жүргізуге өтінім

      1.___________________________________________________________________

      (өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә.)

      _____________________________________________________________________

      (өтініш берушінің пошталық мекенжайы, e-mail және телефоны,

      облыс, қала, аудан)

      мынадай жұмыстар құрамымен:

      1) __________________________________________________________________

      2) __________________________________________________________________

      3) __________________________________________________________________

      4) __________________________________________________________________

      (ҚР Инвестициялар және даму министрінің 20____ жылғы "____" _______

      №_______ бұйрығымен бекітілген Сервистік бағдарламалық

      өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық

      платформасына, мемлекеттік органның интернет-ресурсына және

      ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына

      сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жұмыстар түрінің

      тізбесі)

      _________________________________________ сынақтар жүргізуді сұрайды.

      (сынақ объектісінің атауы, нұсқасының нөмірі, әзірлеу күні)

      2. Сынақ объектінің әзірлеушісі туралы мәліметтер

      _____________________________________________________________________

      (әзірлеуші туралы ақпарат, авторлар атауы немесе Т.А.Ә.)

      _____________________________________________________________________

      (облыс, қала, аудан, пошталық мекенжайы, телефоны)

      3. Сынақтар объектісіне қысқаша аңдатпа _____________________________

      _____________________________________________________________________

      (мақсаты, пайдаланылуы, жаңалығы, ұқсастығы және т.б.,

      қолданылатын әзірлеу құралдары)

      4. Қосымша мәліметтер:

      _____________________________________________________________________

      Өтініш беруші ұйымның басшысы/ өтініш берушінің Т.А.Ә. ______________

      (қолы, мерзімі)

  Сервистік бағдарламалық өнімге,
"электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық
жүйеге олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне сынақтар
жүргізу қағидаларына
2-қосымша

      Нысан

Сынақ объектісінің сипаттамалары туралы
сауалнама-сұраулық

      1. Сынақ объектісінің атауы:_________________________________________

      _____________________________________________________________________

      2. Сынақтан өткізу объектісін әзірлеушінің деректері:

      1) әзірлеушінің атауы: ______________________________________________

      ____________________________________________________________________;

      2) мекенжайы: ___________ қ., ____________ к.;

      3) телефоны:_________, факс: _________;

      4) электрондық пошта мекенжайы: E-mail: __________________@_________.

      3. Осы сауалнаманы толтыру және мемлекеттік техникалық қызметпен

      байланысу үшін жауапты тұлғаның деректері:

      1) тегі, аты, әкесінің аты: ____________ ____________ ______________;

      2) лауазымы: _______________________________________________________;

      3) телефоны:_________, факс: _________;

      4) электрондық пошта мекенжайы: E-mail: __________________@_________.

      4. Сынақ объектінің сәулеті (резервілеудің барлық байланыстары мен

      күйге келтірулер көрсетілген СО сәулетінің схемасын қоса беру):

      1) серверлер туралы ақпарат (кестені толтыру):

Сервердің немесе виртуалды ресурстың атауы

Мақсаты

Саны

Сервердің немесе пайдаланылатын мәлімделген виртуалды ресурстың сипаттамалары

Серверлерде орнатылған БҚ, ОЖ, қосымшалар мен кітапханалар немесе пайдаланатын виртуалды ресурстар

IP-мекенжайы

1

2

3

4

5

6








      2) әкімшілердің жұмыс станциялары бойынша ақпарат (кестені толтыру):

Әкімшінің рөлі

Әкімшілердің есептік жазбаларының саны

Интернетке қолжетімділіктің болуы

Серверге қашықтықтан қолжетімділіктің болуы

Әкімші жұмыс станциясының IP-мекенжайы

Әкімші жұмыс станциясының сипаттамалары

1

2

3

4

5

6




















      3) пайдаланушылар туралы ақпарат (кестені толтыру):

Пайдаланушының рөлі

Пайдаланушының типтік іс-қимылдарының тізбесі

Пайдаланушының жұмыс станциясының техникалық сипаттамаларына қойылатын ең төменгі талаптар

Пайдаланушылардың барынша көп саны

Секундына өңделетін сұраулардың барынша көп саны/сұраулар арасындағы күту уақыты

Жұмыс станциясында орнатылған БҚ, ОЖ, қосымшалар мен кітапханалар

1

2

3

4

5

6




















      4) резервтік жабдықтың сипаттамалары (кестені толтыру):

Сервердің немесе виртуалды ресурстың атауы

Мақсаты

Саны

Сервердің немесе пайдаланатын мәлімделген виртуалды ресурстың сипаттамалары

Серверлерде орнатылған БҚ, ОЖ, қосымшалар мен кітапханалар немесе пайдаланылатын виртуалды ресурстар

IP-мекенжайы

Резервілеу әдісі

1

2

3

4

5

6

7
















      5) серверлік, желілік жабдықтың, жүйе қызметтері мен процессорлардың, бос дискілік кеңістіктің жұмыс қабілеттігі мониторингі үшін пайдаланылатын құралдар туралы ақпарат (кестені толтыру):

Мониторингі құралдарының атауы

Мониторингтің мақсаты

Мониторинг жүргізуге жауапты қызметкер

Мониторингі нәтижелері бойынша талдау жүргізу туралы ақпарат

1

2

3

4














      6) журналдық оқиғаларды талдау туралы ақпарат (кестені толтыру):

Сервистердің атауы

Талдауға арналған құралдар

Талдау жиілігі

1

2

3








      7) сыналатын үлгіні әзірлеудің тілдік ортасы (кестені толтыру):

Жүйе модульдерінің атауы

Бағдарламалау тілдері

Пайдаланылатын кітапханалар

Бастапқы код және пайдаланылатын кітапханалар, файлдар көлемі, Мбайт

1

2

3











      8) корпоративтік желінің құрылымы (кестені толтыру):

Ішкі желінің (желі сегментінің) атауы

Желіаралық қосылулардың саны

Желіні қорғаудың аппараттық-бағдарламалық құралдарының саны

Желіні қорғаудың басқа құралдары

Мониторингі құралдары

















      5. Қосымша мәліметтер:

      1) пайдаланылатын деректерді тарату желісінің/телекоммуникациялар желісінің конфигурациясы және сипаттамсы (схемасын қоса беру):

      ____________________________________________________________________;

      2) резервтік деректерді тарату желісінің/ телекоммуникациялар желісінің конфигурациясы және сипаттамасы (схемасын қоса беру):

      ____________________________________________________________________

      6. Сыналатын объекті құжаттамалау (кестені толтыру)

р/с №

Құжаттың атауы

Бар болуы

Парақтар саны

Бекітілген күні

Оған сайкес құжат әзірленген стандарт

1

2

3

4

5

6

1

Техникалық тапсырма немесе сервистік бағдарламалық өнімді жобалауға тапсырма





2

Пайдаланушының нұсқауы





3

Бағдарламаның мәтіні





4

Бағдарламаның сипаттамасы





5

Функционалдық схемасы немесе "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы ресурстарының сипаттамасы






      7. Сыналатын объектінің бастапқы кодтарының әзірлеу ортасын кеңейтумен компиляцияға дайындығы (нұсқасы, атауы, дискіде ұсыну):

      ____________________________________________________________________

      8. Стандарттарда көзделген басқа құжаттаманың болуы:

р/с №

Құжаттың атауы

Белгіленуі

Парақтар саны

Бекітілген күні

Оған сайкес құжат әзірленген стандарт

1

2

3

4

5

6








      9. Бұрын өткен жұмыс түрлері немесе сынақтар туралы мәліметтер (хаттаманың нөмірі, күні):

      _____________________________________________________________________

      10. Сыналатын объектіге лицензияның болуы (авторлық құқықтың болуы, бастапқы кодты ұсынуға әзірлеуші ұйыммен келісімнің болуы)

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      11. Қосымша ақпарат:_________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Ескертпе: аббервиатуралардың толық жазылуы:

      БҚ – бағдарламалық қамтамасыз ету

      ОЖ – операциялық қамтамасыз ету

  Сервистік бағдарламалық өнімге,
"электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық
жүйеге олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне сынақтар
жүргізу қағидаларына
3-қосымша

Техникалық құжаттама тізбесі

      1) Сервистік бағдарламалық өнімді жобалауға техникалық тапсырма немесе тапсырма.

      2) Пайдаланушының нұсқауы.

      3) Бағдарламаның мәтіні.

      4) Бағдарламаның сипаттамасы.

      5) Функционалдық схемасы немесе "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы ресурстарының сипаттамасы.

  Сервистік бағдарламалық өнімге,
"электрондық үкіметтің"
ақпараттық-коммуникациялық
платформасына, мемлекеттік органның
интернет-ресурсына және ақпараттық
жүйеге олардың ақпараттық қауіпсіздік
талаптарына сәйкестігіне сынақтар
жүргізу қағидаларына
4-қосымша

      "Бекітемін"

      Мемлекеттік техникалық қызмет

      директоры

      _______________ ____________

      (Т.А.Ә.) (қолы)

      20_ жылғы "_____" ___________

      Нысан

      _____________________________________________________________________

      (сынақ объектісінің (бұдан әрі – СО) атауы)

20 __ жылғы "____" ______________ № ____
сынақтар актісі

      20 _ жылғы "____" ______________ дейін жарамды

      1. Мемлекеттік техникалық қызмет 20 __ жылғы "____"

      ___________________

      ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу туралы (бұдан әрі – сынақтар) өтінімге сәйкес мынадай жұмыстар құрамында

      _____________________________________________________________________

      (СО атауы)

      сынақтар жүргізді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынақтан өткізу;

      4) телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау.

      2. Сынақ барысында мыналар анықталды:

      1) бастапқы кодты талдау бойынша:

      СО бастапқы кодтарын талдау қатесіз аяқталды (БҚ кемшіліктері болмаған жағдайда);

      СО бастапқы кодтарын талдау қателермен аяқталды және оларды жойғаннан кейін СО бастапқы кодтарын қайтадан талдау қажет (БҚ кемшіліктері орын алған жағдайда);

      2) ақпараттық қауіпсіздік функцияларын сынау бойынша:

      СО ақпараттық қауіпсіздік функцияларын іске асыру АҚ талаптарына сәйкес (сәйкессіздіктер болмаған жағдайда);

      СО ақпараттық қауіпсіздік функцияларын іске асыру АҚ талаптарына сәйкес емес (сәйкессіздіктер орын алған жағдайда);

      3) жүктемелік сынау бойынша:

      жүктемелік сынау сәтті өтті (СО белгіленген параметрлер кезінде үздіксіз және тұрақты (кідірістерсіз) жұмыс істеуі);

      жүктемелік сынау сәтсіз өтті (СО белгіленген параметрлер кезінде үздіксіз және тұрақты жұмыс істеуінің бұзылуы (кідірістердің орын алуы);

      4) телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау бойынша:

      телекоммуникациялар желісінің және серверлік жабдықтың қауіпсіздігі АҚ талаптарына сәйкес (СО қауіпсіз жұмыс істеуіне ықпал ететін сәйкессіздіктер мен осалдықтар болмаған жағдайда);

      телекоммуникациялар желісінің және серверлік жабдықтың қауіпсіздігі АҚ талаптарына сәйкес емес (СО қауіпсіз жұмыс істеуіне ықпал ететін сәйкессіздіктер мен осалдықтар орын алған жағдайда).

      Қорытынды

      Жүргізілген сынақтар негізінде ________________________________

      (сынақ объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкес / сәйкес емес.

      Анықталған сәйкессіздіктерді жою және қайтадан сынақтар жүргізу ұсынылады (Теріс қорытындысы бар акт берілген жағдайда).

      КЕЛІСІЛДІ: ӘЗІРЛЕНДІ:

      ________________________ ________________________

      (лауазымы) (лауазымы)

      ___________ ____________ ___________ ____________

      (қолы) (Т.А.Ә.) (қолы) (Т.А.Ә.)

      болған кезде болған кезде

      20__ жылғы "__" ______ 20__ жылғы "__" ______

Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности

Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 63. Зарегистрирован в Министерстве юстиции Республики Казахстан 24 февраля 2016 года № 13207. Утратил силу приказом Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования)

      Сноска. Утратил силу приказом Министра оборонной и аэрокосмической промышленности РК от 14.03.2018 № 40/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 16) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить:

      1) Методику проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

      2) Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

      2. Признать утратившим силу приказ Председателя Агентства Республики Казахстан по информатизации и связи от 1 декабря 2009 года № 480 "Об утверждении Правил испытаний, регистрации, передачи, хранения, обеспечения полноты депонирования и представления сведений о регистрации, передаче и хранении программных продуктов, программных кодов и нормативно-технической документации в депозитарий" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 5981, опубликованный 20 апреля 2010 года в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан).

      3. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Қазаңғап Т.Б.) обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) направление копии настоящего приказа в печатном и электронном виде на официальное опубликование в периодические печатные издания и информационно-правовую систему "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан, а также в Республиканский центр правовой информации в течение десяти календарных дней со дня получения зарегистрированного приказа для включения в эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;

      4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 3 настоящего приказа.

      4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Исполняющий обязанности


Министра по инвестициям и развитию


Республики Казахстан

Ж. Касымбек


  Приложение 1
к приказу исполняющего обязанности
Министра по инвестициям и развитию
Республики Казахстан
от 26 января 2016 года № 63

Методика
проведения испытаний сервисного программного продукта,
информационно-коммуникационной платформы "электронного
правительства", интернет-ресурса государственного органа и
информационной системы на соответствие требованиям
информационной безопасности
1. Общие положения

      1. Настоящая Методика проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствие с подпунктом 16) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации.

      2. В настоящей Методике используются следующие основные понятия и сокращения:

      1) испытание функций информационной безопасности – оценка функций сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы (далее – объекты испытаний) на соответствие требованиям информационной безопасности;

      2) нагрузочное испытание – оценка соблюдения доступности, целостности и конфиденциальности объектов испытаний при плановых, повышенных и пиковых нагрузках;

      3) государственная техническая служба – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

      4) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;

      5) экспертный метод – метод поиска и результат его применения, полученный на основании использования персонального мнения эксперта или коллективного мнения группы экспертов;

      6) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

      7) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

      8) испытание сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее – испытание) – технические мероприятия по оценке объектов испытаний требованиям информационной безопасности;

      9) объекты испытаний (далее – ОИ) – сервисный программный продукт, информационно-коммуникационная платформа "электронного правительства", интернет-ресурс государственного органа, информационная система.

      3. Проведение испытания включает:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сети телекоммуникаций и серверного оборудования.

2. Анализ исходных кодов

      4. Анализ исходных кодов ОИ проводится с целью выявления недостатков (программных закладок и уязвимостей) программного обеспечения (далее – ПО).

      5. Выявление недостатков ПО проводится с использованием предназначенного для анализа исходного кода программного средства на основании исходных кодов, предоставленных заказчиком.

      6. Анализ исходных кодов включает:

      1) выявление недостатков ПО;

      2) фиксацию результатов анализа исходного кода.

      7. Выявление недостатков ПО осуществляется в следующем порядке:

      1) проводится подготовка исходных данных (загрузка исходных кодов ОИ, выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

      2) запускается программное средство, предназначенное для выявления недостатков ПО;

      3) проводится анализ программных отчетов на наличие ложных срабатываний;

      4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

      8. Объем работ по анализу исходного кода определяется размером исходного кода.

      9. Результаты анализа исходных кодов фиксируются в Протоколе анализа исходных кодов.

      10. По окончанию проведенного анализа исходных кодов ОИ при условии его положительного результата, исходные коды ОИ маркируются и сдаются в опечатанном виде на ответственное хранение в архив государственной технической службы.

3. Испытание функций информационной безопасности

      11. Испытание функций информационной безопасности осуществляется с целью оценки их соответствия требованиям стандартов согласованных с заявителем.

      12. Испытание функций информационной безопасности включает:

      1) оценку соответствия функций безопасности требованиям стандартов согласованных с заявителем;

      2) фиксацию результатов оценки.

      13. Содержание функций информационной безопасности приведено в перечне функций информационной безопасности, согласно приложению 1 к настоящей Методике.

      14. Результаты испытаний функций информационной безопасности фиксируются в Протоколе испытаний функций информационной безопасности.

4. Нагрузочное испытание

      15. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности ОИ под нагрузкой, соответствующей работе реальных пользователей.

      16. Нагрузочное испытание проводится с использованием специализированного программного средства (далее – ПС) на основании автоматических сценариев, включающих работу пользователей ОИ в одной из следующих сред, предоставленных заказчиком:

      тестовой среды, аналогичной среде штатной эксплуатации ОИ;

      среды штатной эксплуатации ОИ, в которой отсутствуют персональные данные;

      среды штатной эксплуатации ОИ, в которой персональные данные заменены на фиктивные.

      17. Параметры нагрузочного испытания предоставляются заявителем в Анкете-вопроснике о характеристиках ОИ и включают:

      1) перечень ролей пользователя;

      2) перечень типовых действий пользователя;

      3) максимальное количество пользователей;

      4) максимальное количество, обрабатываемых запросов в секунду и время ожидания между запросами.

      18. Нагрузочное испытание осуществляется в следующем порядке:

      1) проводится подготовка к испытанию;

      2) проводятся испытание;

      3) фиксируются результаты испытания.

      19. Подготовка к испытанию включает:

      1) разработку экспертным методом сценария испытания с описанием операций виртуальных пользователей, а также событий и особенностей их поведения;

      2) определение временных характеристик каждой операции и количества виртуальных пользователей, участвующих в испытаниях;

      3) формирование скриптов виртуальных пользователей и определение задач, которые будут выполняться:

      каждым виртуальным пользователем;

      одновременно несколькими виртуальными пользователями;

      4) согласование времени проведения испытания c заказчиком.

      20. Проведение испытания включает:

      1) распределение совокупной нагрузки на ОИ, в процессе которой нескольким виртуальным пользователям выдаются инструкции по одновременному выполнению определенных задач;

      2) настройку конфигурации и вписывание сценария испытания в специализированное ПС;

      3) запуск специализированного программного средства;

      4) формирование и выдачу программного отчета, включающего записи всех транзакций (обработанные запросы к ОИ), определенных в каждом скрипте виртуального пользователя.

      21. Работы по проведению нагрузочного тестирования проводятся для одного ОИ по количеству вариантов использования ОИ.

      22. Результаты нагрузочного испытания фиксируются в Протоколе нагрузочного испытания.

5. Обследование сети телекоммуникаций и серверного оборудования

      23. Обследование сети телекоммуникаций и серверного оборудования проводится с целью оценки безопасности сети телекоммуникаций и серверного оборудования, а также выявления уязвимостей ПО, используемого его компонентами (сервер, рабочие станции, сетевое оборудование).

      24. Обследование сети телекоммуникаций и серверного оборудования включает:

      1) оценку соответствия функций защиты сети телекоммуникаций и серверного оборудования требованиям стандартов согласованных с заявителем;

      2) выявление уязвимостей ПО;

      3) фиксацию полученных результатов.

      25. Содержание функций защиты сети телекоммуникаций и серверного оборудования приведено в перечне функций защиты сети телекоммуникаций и серверного оборудования, согласно приложению 2 к настоящей Методике.

      26. Выявление уязвимостей ПО проводится с использованием программно-аппаратного комплекса (далее – ПАК), на основании учетных записей для доступа к компонентам ОИ, предоставленных заявителем.

      27. Выявление уязвимостей ПО включает:

      1) настройку ПАК (прописка учетной записи для проведения локальных и удаленных проверок, выбор режима инструментального обследования);

      2) запуск ПАК;

      3) формирование и выдачу программного отчета, включающего в себя перечень выявленных уязвимостей с указанием их описания, количества и уровня.

      28. Работы по обследованию сети телекоммуникаций и серверного оборудования, а также инструментальное обследование компонентов ОИ проводятся для каждой подсети (сегмента сети) в отдельности.

      29. Результаты обследования сети телекоммуникаций и серверного оборудования фиксируются в Протоколе обследования сети телекоммуникаций и серверного оборудования.

  Приложение 1
к Методике проведения испытаний сервисного
программного продукта, информационно-коммуникационной
платформы "электронного правительства", интернет-ресурса
государственного органа и информационной системы на
соответствие требованиям информационной безопасности

Перечень функций информационной безопасности

п/п

Наименование функций

Содержание функций

1

2

3

Аудит безопасности

(проверка проводится в разрезе серверов и виртуальных ресурсов)

1

Автоматическая реакция аудита безопасности

Осуществление генерации записи в регистрационном журнале, локальной или удаленной сигнализация администратору об обнаружении нарушения безопасности

2

Генерация данных аудита безопасности

Наличие протоколирования, по крайней мере, запуска и завершения регистрационных функций, а также всех событий базового уровня аудита. То есть в каждой регистрационной записи должны присутствовать дата и время события, тип события, идентификатор субъекта и результат (успех или неудача) события

3

Анализ аудита безопасности

Осуществление (с целью выявления вероятных нарушений), по крайней мере, путем накопления и/или объединения неуспешных результатов использования механизмов аутентификации, а также неуспешных результатов выполнения криптографических операций

4

Просмотр аудита безопасности

Обеспечение и предоставление администратору возможности просмотра (чтения) всей регистрационной информации. Прочим пользователям доступ к регистрационной информации должен быть закрыт, за исключением явно специфицированных случаев

5

Выбор событий аудита безопасности

Наличие избирательности регистрации событий, основывающейся, по крайней мере, на следующих атрибутах:

идентификатор объекта;

идентификатор субъекта;

адрес узла сети;

тип события;

дата и время события

6

Хранение данных аудита безопасности

Регистрационная информация должна быть надежно защищена от несанкционированной модификации

Организация связи

(проверка проводится в разрезе серверов и виртуальных ресурсов)

7

Неотказуемость отправления

Предоставление пользователям/субъектам свидетельства идентичности отправителя некоторой информации, чтобы отправитель не смог отрицать факт передачи информации, поскольку свидетельство отправления (например, цифровая подпись) доказывает связь между отправителем и переданной информацией

8

Неотказуемость получения

Обеспечение невозможности отрицания получателем информации факта ее получения

Криптографическая поддержка

(проверка проводится в разрезе средств криптографической защиты информации в ОИ)

9

Управление криптографическими ключами

Наличие поддержки:

1) генерации криптографических ключей;

2) распределения криптографических ключей;

3) управления доступом к криптографическим ключам;

4) уничтожения криптографических ключей

10

Криптографические операции

Наличие для всей информации, передаваемой по доверенному каналу, шифрования и контроля целостности в соответствии с требованиями стандартов

Защита данных пользователя

(проверка проводится в разрезе серверов (виртуальных ресурсов))

11

Политика управления доступом

Осуществление разграничения доступа для пользователей, прямо или косвенно выполняющих операции с сервисом безопасности

12

Функции управления доступом

Применение функций разграничения доступа должно основываться, по крайней мере, на следующих атрибутах безопасности:

идентификаторы субъектов доступа;

идентификаторы объектов доступа;

адреса субъектов доступа;

адреса объектов доступа;

права доступа субъектов

13

Аутентификация данных

Поддержка гарантии правильности специфического набора данных, который может быть впоследствии использован для верификации того, что содержание информации не было подделано или модифицировано мошенническим путем

14

Экспорт данных за пределы действия функций безопасности ОИ (далее - ФБО)

Обеспечение при экспорте данных пользователя из OИ защиты и сохранности или игнорирования их атрибутов безопасности

15

Политика управления информационными потоками

Обеспечение предотвращения раскрытия, модификации и/или недоступности данных пользователя при их передаче между физически разделенными частями сервиса безопасности

16

Функции управления информационными потоками

Организация и обеспечение контроля доступа к хранилищам данным с целью исключения бесконтрольного распространения информации, содержащейся в них (управление информационными потоками для реализации надежной защиты от раскрытия или модификации в условиях недоверенного ПО)

17

Импорт данных из-за пределов действия ФБО

Наличие механизмов для передачи данных пользователя в OИ таким образом, чтобы эти данные имели требуемые атрибуты безопасности и защиту

18

Передача в пределах ОИ

Наличие защиты данных пользователя при их передаче между различными частями OИ по внутреннему каналу

19

Защита остаточной информации

Обеспечение полной защиты остаточной информации, то есть недоступности предыдущего состояния при освобождении ресурса

20

Откат текущего состояния

Наличие возможности отмены последней операции или ряда операций, ограниченных некоторым пределом (например, периодом времени), и возврат к предшествующему известному состоянию. Откат предоставляет возможность отменить результаты операции или ряда операций, чтобы сохранить целостность данных пользователя

21

Целостность хранимых данных

Обеспечение защиты данных пользователя во время их хранения в пределах ФБО

22

Защита конфиденциальности данных пользователя при передаче между ФБО

Обеспечение конфиденциальности данных пользователя при их передаче по внешнему каналу между ОИ и другим доверенным продуктом ИТ. Конфиденциальность осуществляется путем предотвращения несанкционированного раскрытия данных при их передаче между двумя оконечными точками. Оконечными точками могут быть ФБО или пользователь

23

Защита целостности данных пользователя при передаче между ФБО

Должна обеспечиваться целостность данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также возможность их восстановления при обнаруживаемых ошибках

Идентификация и аутентификация

(проверка проводится в разрезе серверов и виртуальных ресурсов, выполняющих идентификацию и аутентификацию)

24

Отказы аутентификации

Наличие возможности при достижении определенного администратором числа неуспешных попыток аутентификации отказать субъекту в доступе, сгенерировать запись регистрационного журнала и сигнализировать администратору о вероятном нарушении безопасности

25

Определение атрибутов пользователя

Для каждого пользователя необходимо поддерживать, по крайней мере, следующие атрибуты безопасности:

идентификатор;

аутентификационная информация (например, пароль);

права доступа (роль)

26

Спецификация секретов

Если аутентификационная информация обеспечивается криптографическими операциями, должны поддерживаться также открытые и секретные ключи

27

Аутентификация пользователя

Наличие механизмов аутентификации пользователя, предоставляемых ФБО

28

Идентификация пользователя

1) Каждый пользователь должен быть успешно идентифицирован и аутентифицирован до разрешения любого действия, выполняемого сервисом безопасности от имени этого пользователя;

2) Должны иметься возможностей по предотвращению применения аутентификационных данных, которые были подделаны или скопированы у другого пользователя;

3) Следует аутентифицировать любой представленный идентификатор пользователя;

4) Необходимо повторно аутентифицировать пользователя по истечении определенного администратором интервала времени;

5) Функции безопасности должны предоставлять пользователю только скрытую обратную связь во время выполнения аутентификации

29

Связывание пользователь-субъект

Следует ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя

Управление безопасностью

(проверка проводится в разрезе серверов и виртуальных ресурсов)

30

Управление отдельными функциями ФБО

Наличие единоличного права администратора на определение режима функционирования, отключения, подключения, модификации режимов идентификации и аутентификации, управления правами доступа, протоколирования и аудита

31

Управление атрибутами безопасности

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, создания атрибутов безопасности, правил управления потоками информации. При этом необходимо обеспечить присваивание атрибутам безопасности только безопасных значений

32

Управление данными ФБО

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, очистки, определения типов регистрируемых событий, размеров регистрационных журналов, прав доступа субъектов, сроков действия учетных записей субъектов доступа, паролей, криптографических ключей

33

Отмена атрибутов безопасности

Наличие осуществления отмены атрибутов безопасности в некоторый момент времени.

Только у уполномоченных администраторов должна быть возможность отмены атрибутов безопасности, ассоциированных с пользователями. Важные для безопасности полномочия должны отменяться немедленно

34

Срок действия атрибута безопасности

Обеспечение возможности установления срока действия атрибутов безопасности

35

Роли управления безопасностью

1) Обеспечение поддержки, по крайней мере, следующих ролей: уполномоченный пользователь, удаленный пользователь, администратор.

2) Обеспечение получения ролей удаленного пользователя и администратора только по запросу

Обеспечение приватности

(проверка проводится в разрезе серверов и виртуальных ресурсов)

36

Анонимность

Обеспечение возможности того, чтобы пользователь мог использовать ресурс или услугу OИ без раскрытия своего идентификатора

37

Псевдонимность

Обеспечение возможности того, чтобы пользователь мог использовать ресурс или услугу без раскрытия своего идентификатора, оставаясь в то же время ответственным за это использование

38

Невозможность ассоциации

Обеспечение возможности того, чтобы пользователь мог неоднократно использовать ресурсы или услуги, не давая никому возможности связать вместе их использование

39

Скрытность

1) Обеспечение возможности того, чтобы пользователь мог использовать ресурс или услугу без предоставления кому-либо, в особенности третьей стороне, информации об использовании ресурса или услуги.

2) Администратор должен иметь возможность наблюдать за использованием ресурсов сервиса безопасности

Защита ФБО

(проверка проводится в разрезе серверов и виртуальных ресурсов)

40

Безопасность при сбое

Сервис должен сохранять безопасное состояние при аппаратных сбоях (вызванных, например, перебоями электропитания)

41

Доступность экспортируемых данных ФБО

Сервис должен предоставлять возможность верифицировать доступность, всех данных при их передаче между ним и удаленным доверенным продуктом ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

42

Конфиденциальность экспортируемых данных ФБО

Сервис должен предоставлять возможность верифицировать конфиденциальность всех данных при их передаче между ним и удаленным доверенным продуктом ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

43

Целостность экспортируемых данных ФБО

Сервис должен предоставлять возможность верифицировать целостность всех данных при их передаче между ним и удаленным доверенным продуктом ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

44

Передача данных ФБО в пределах ОИ

Сервис должен предоставлять возможность верифицировать доступность, конфиденциальность и целостность всех данных при их передаче между ним и удаленным доверенным изделием ИТ и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены

45

Физическая защита ФБО

Должна осуществляться физическая защита ФБО

46

Надежное восстановление

Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно, сервис должен перейти в режим аварийной поддержки, позволяющей вернуться к безопасному состоянию.

После аппаратных сбоев должен обеспечиваться возврат к безопасному состоянию с использованием автоматических процедур

47

Обнаружение повторного использования

Сервис должен обнаруживать повторное использование аутентификационных данных, отказать в доступе, сгенерировать запись регистрационного журнала и сигнализировать администратору о вероятном нарушении безопасности

48

Посредничество при обращениях

Функции, осуществляющие политику безопасности сервиса, должны вызываться и успешно выполняться прежде, чем разрешается выполнение любой другой функции сервиса

49

Разделение домена

Функции безопасности должны поддерживать отдельный домен для собственного выполнения, который защищает их от вмешательства и искажения недоверенными субъектами

50

Протокол синхронизации состояний

Должна обеспечиваться синхронизации состояний

51

Метки времени

Для использования функциями безопасности должны предоставляться надежные метки времени

52

Согласованность данных между ФБО

Должна обеспечиваться согласованная интерпретация регистрационной информации, а также параметров используемых криптографических операций

53

Согласованность данных ФБО при дублировании в пределах ОИ

Должна обеспечиваться согласованность данных функций безопасности при дублировании их в различных частях ОИ. Когда части, содержащие дублируемые данные, разъединены, согласованность должна обеспечиваться после восстановления соединения перед обработкой любых запросов к заданным функциям безопасности

54

Самотестирование ФБО

Для демонстрации правильности работы функций безопасности при запуске, периодически в процессе нормального функционирования и/или по запросу администратора должен выполняться пакет программ самотестирования.

У администратора должна быть возможность верифицировать целостность данных и выполняемого кода функций безопасности

Использование ресурсов

(проверка проводится в разрезе серверов и виртуальных ресурсов)

55

Отказоустойчивость

Должна обеспечиваться доступность функциональных возможностей ОИ даже в случае сбоев. Примеры таких сбоев: отключение питания, отказ аппаратуры, сбой программного обеспечения

56

Приоритет обслуживания

Должно обеспечиваться управление использованием ресурсов пользователями и субъектами в пределах своей области действия так, что высокоприоритетные операции в пределах ОИ всегда будут выполняться без препятствий или задержек со стороны операций с более низким приоритетом

57

Распределение ресурсов

Должно обеспечиваться управление использованием ресурсов пользователями и субъектами таким образом, чтобы не допустить несанкционированные отказы в обслуживании из-за монополизации ресурсов другими пользователями или субъектами

58

Доступ к ОИ (проверка проводится для ОИ в целом)

59

Ограничение области выбираемых атрибутов

Должны ограничиваться как атрибуты безопасности сеанса, которые может выбирать пользователь, так и атрибуты субъектов, с которыми пользователь может быть связан, на основе метода или места доступа, порта, с которого осуществляется доступ, и/или времени (например, времени суток, дня недели)

60

Ограничение на параллельные сеансы

Должно ограничиваться максимальное число параллельных сеансов, предоставляемых одному пользователю. У этой величины должно быть подразумеваемое значение, устанавливаемое администратором

61

Блокирование сеанса

По истечении установленного администратором значения длительности бездействия пользователя сеанс работы должен принудительно завершаться

62

Предупреждения перед предоставлением доступа к ОИ

Должна обеспечиваться возможность еще до идентификации и аутентификации отобразить для потенциальных пользователей предупреждающее сообщение относительно характера использования ОИ

63

История доступа к ОИ

Должна обеспечиваться возможность отображения для пользователя, при успешном открытии сеанса, истории неуспешных попыток получить доступ от имени этого пользователя. Эта история может содержать дату, время, средства доступа и порт последнего успешного доступа к ОИ, а также число неуспешных попыток доступа к ОИ после последнего успешного доступа идентифицированного пользователя

64

Открытие сеанса с ОИ

Сервис должен быть способен отказать в открытии сеанса, основываясь на идентификаторе субъекта, пароле субъекта, правах доступа субъекта

Обеспечение доверенного маршрута/канала

(проверка проводится в разрезе серверов и виртуальных ресурсов)

65

Доверенный канал

1) для связи с удаленным доверенным ИТ-продуктом функции безопасности должны предоставлять канал, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия).

2) у обеих сторон должна быть возможность инициирования связи через доверенный канал

66

Доверенный маршрут

1) для связи с удаленным пользователем функции безопасности должны предоставлять маршрут, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия.

2) у пользователя должна быть возможность инициирования связи через доверенный маршрут.

3) для начальной аутентификации удаленного пользователя и удаленного управления использование доверенного маршрута является обязательным

  Приложение 2
к Методике проведения испытаний сервисного
программного продукта, информационно-коммуникационной
платформы "электронного правительства", интернет-ресурса
государственного органа и информационной системы на
соответствие требованиям информационной безопасности

Перечень функций защиты сети телекоммуникаций
и серверного оборудования

п/п

Наименование функций

Содержание функций

1

2

3

1

Идентификация и аутентификация

Обеспечение безопасности сервисов, предоставляемых сетью телекоммуникаций и предохранения соответствующих данных путем ограничения доступа через соединения к уполномоченному персоналу (внутри или за пределами организации)

2

Отметки аудитов (формирование и наличие отчетов о событиях, связанных с безопасностью сетевых соединений)

Достаточную информацию по следам аудита сбойных ситуаций и действительных событий следует фиксировать, чтобы иметь возможность тщательного критического обзора подозреваемых и действительных происшествий

3

Обнаружение вторжения

Обеспечение наличия средств, позволяющих прогнозировать вторжения (потенциальные вторжения в сети телекоммуникаций), выявлять их в реальном масштабе времени и поднимать соответствующую тревогу

4

Предохранение от вредоносного кода

Наличие защитных мер для предохранения от вредоносного кода, включающих в себя:

1) поддержка сканирующего программного обеспечения на современном уровне путем, по меньшей мере, еженедельного обновления версий;

2) наличие руководящих указаний, регламентирующих в общих чертах процедуры и практические действия, направленные на уменьшение возможности поступления вредоносного кода в систему

5

Управление защитой сети

Наличие защитных мер, обеспечивающих предохранение от несанкционированного доступа ко всем портам дистанционной диагностики (виртуальным или физическим)

6

Межсетевые экраны

Для каждого межсетевого экрана необходимо наличие отдельного документа, определяющего политику (безопасность) доступа к сервисам, и реализацию его для каждого соединения, обеспечивающих гарантию прохождения через это соединение только разрешенного трафика

7

Конфиденциальность обмена данными по сетям

В обстоятельствах, когда важно сохранить конфиденциальность, следует предусматривать криптографические меры защиты, чтобы шифровать информацию, проходящую через сетевые соединения

8

Целостность данных, передаваемых по сетям

В обстоятельствах, когда важно сохранить целостность данных, следует предусматривать цифровую подпись и меры защиты целостности сообщения, чтобы предохранять информацию, проходящую через сетевые соединения

9

Неотказуемость от совершенных действий по обмену информацией

В случае, когда требуется представить свидетельство передачи информации по сети, должны использоваться следующие защитные меры:

1) протоколы связи, которые дают подтверждение факта отправки документа;

2) протоколы приложения, которые требуют представления исходного адреса или идентификатора и проверки на присутствие данной информации;

3) межсетевые экраны, где проверяются форматы адресов отправителя и получателя на достоверность синтаксиса и согласованность с информацией в соответствующих директориях;

4) протоколы, которые подтверждают факты доставки информации в рамках межсетевых взаимодействий;

5) протоколы, которые включают механизмы, разрешающие устанавливать последовательность информации

10

Обеспечение непрерывной работы и восстановления

Наличие защитных мер, обеспечивающих продолжение функции бизнеса в случае стихийного бедствия путем обеспечения способности к восстановлению каждой деловой операции в подходящий интервал времени после прерывания

  Приложение 2
к приказу исполняющего обязанности
Министра по инвестициям и развитию
Республики Казахстан
от 26 января 2016 года № 63

Правила
проведения испытаний сервисного программного продукта,
информационно-коммуникационной платформы "электронного
правительства", интернет-ресурса государственного органа и
информационной системы на соответствие требованиям
информационной безопасности
1. Общие положения

      1. Настоящие Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - Правила) разработаны в соответствии с подпунктом 16) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и определяют порядок проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы (далее – объекты испытаний) на соответствие требованиям информационной безопасности.

      2. В настоящих Правилах используются следующие основные понятия и сокращения:

      1) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      2) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      3) интернет-ресурс – электронный информационный ресурс, отображаемый в текстовом, графическом, аудиовизуальном или ином виде, размещаемый на аппаратно-программном комплексе, имеющий уникальный сетевой адрес и (или) доменное имя и функционирующий в Интернете;

      4) государственная техническая служба (далее – ГТС) - республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

      5) заявитель – собственник (владелец) сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса, информационной системы, а также физическое или юридическое лицо, уполномоченное собственником (владельцем) сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса, информационной системы, подавший(ее) заявку на проведение испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса, информационной системы на соответствие требованиям информационной безопасности;

      6) сервисный программный продукт – программный продукт, предназначенный для реализации информационно-коммуникационной услуги;

      7) информационно-коммуникационная платформа "электронного правительства" – технологическая платформа, предназначенная для реализации сервисной модели информатизации.

      3. Объектами испытаний являются:

      1) сервисный программный продукт;

      2) информационно-коммуникационная платформа "электронного правительства";

      3) интернет-ресурс государственного органа;

      4) информационная система.

      4. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям ИБ, установленных стандартами, принятыми на территории Республики Казахстан.

      5. В испытания входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сети телекоммуникаций и серверного оборудования.

      6. В случае интеграции информационной системы государственного органа или предназначенной для формирования государственных электронных информационных ресурсов с негосударственной информационной системой дополнительно к анализу ее исходного кода проводится анализ исходных кодов компонентов интеграции (модуль интеграции, подсистема интеграции, интеграционная шина).

      7. Испытания проводятся:

      1) по одному виду работ;

      2) по нескольким видам работ;

      3) в полном составе видов работ.

      8. Стоимость проведения каждого вида работ, входящих в испытания, устанавливается уполномоченным органом в сфере информатизации (далее - уполномоченный орган) по согласованию с антимонопольным органом.

2. Порядок проведения испытаний сервисного программного
продукта, информационно-коммуникационной платформы
"электронного правительства", интернет-ресурса государственного
органа и информационной системы на соответствие требованиям
информационной безопасности

      9. Для проведения испытаний заявителем в ГТС подается заявка на проведение испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее – заявка) по форме, согласно приложению 1 к настоящим Правилам с предоставлением следующих документов:

      1) копии документа, удостоверяющего личность (для физических лиц);

      2) заверенные подписью и печатью заявителя копии учредительных документов и справки или свидетельства о государственной регистрации юридического лица (для юридических лиц);

      3) анкета-вопросник о характеристиках ОИ по форме, согласно приложению 2 к настоящим Правилам;

      4) техническая документация в соответствии с Перечнем технической документации, согласно приложению 3 к настоящим Правилам;

      5) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний, на компакт-диске.

      10. ГТС в течение пяти рабочих дней со дня получения заявки осуществляет проверку заявки в соответствии с требованиями, указанными в пункте 9 настоящих Правил.

      11. В случае несоответствия заявки и приложенных документов в соответствии с требованиями, указанными в пункте 9 настоящих Правил, заявка возвращается заявителю с указанием причин возврата.

      12. При соответствии заявки и приложенных документов в соответствии с требованиями, указанными в пункте 9 настоящих Правил, ГТС в течение пяти рабочих дней направляет заявителю два экземпляра договора на проведение испытаний. Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в ГТС.

      13. Срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик ОИ.

      14. Для проведения испытаний заявитель обеспечивает ГТС:

      1) физический доступ к рабочему месту пользователя, серверному и сетевому оборудованию, сети телекоммуникаций объекта испытаний и созданной на время испытаний среде, аналогичной промышленной;

      2) демонстрацию функций объекта испытаний, согласно требованиям технической документации.

      15. Испытания проводятся согласно Методике проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности, в соответствии с подпунктом 7) пункта 1 статьи 14 Закона.

      16. Результаты каждого вида работ, входящих в испытания, и рекомендации по устранению выявленных несоответствий вносятся в отдельный протокол, оформляемый в двух экземплярах, один из которых выдается заявителю.

      17. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение месяца со дня получения Акта испытаний либо протоколов по проведенным работам, ГТС на безвозмездной основе в течение десяти рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      18. В случае выявления несоответствий при проведении повторных испытаний ГТС оформляет Акт испытаний или протокол с отрицательным заключением, после чего испытания проводятся в порядке установленном в главе 2 настоящих Правил.

      19. На основании комплекта протоколов ГТС оформляет Акт испытаний по форме, согласно приложению 4 к настоящим Правилам в двух экземплярах (по одному для ГТС и заявителя), включающий сведения о проведенных работах, их результаты, заключение и рекомендации по устранению выявленных несоответствий (при их наличии).

      20. Испытания признаются положительными при наличии Акта испытаний с положительным заключением, выдаваемого после проведения всех видов работ, входящих в испытания, и наличия по ним протоколов с положительными результатами.

      21. При внесении изменений в ОИ проведение испытаний при условии обеспечения его собственником (владельцем) ГТС проводит повторное испытание в общем порядке, установленном настоящими Правилами.

      22. При утере, порче или повреждении протоколов и (или) Акта испытаний владелец объекта испытаний направляет в ГТС уведомление с указанием причин.

      23. ГТС в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов и (или) Акта испытаний.

  Приложение 1
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного правительства",
интернет-ресурса государственного органа
и информационной системы на соответствие
требованиям информационной безопасности

      Форма

Заявка на проведение испытаний

      _____________________________________________________________________

      (наименование объекта испытаний)

      на соответствие требованиям информационной безопасности (далее –

      испытания)

      1.___________________________________________________________________

      (наименование организации-заявителя, Ф.И.О. заявителя)

      _____________________________________________________________________

      (почтовый адрес, e-mail и телефон заявителя, область, город, район)

      просит провести испытания ___________________________________________

      (наименование объекта испытаний, номер версии, дата разработки)

      в составе следующих видов работ:

      1) __________________________________________________________________

      2) __________________________________________________________________

      3) __________________________________________________________________

      4) __________________________________________________________________

      (перечень видов работ согласно Методике проведения испытаний

      сервисного программного продукта, информационно-коммуникационной

      платформы "электронного правительства", интернет-ресурса

      государственного органа и информационной системы на

      соответствие требованиям информационной безопасности, утвержденной

      приказом Министра инвестиций и развития

      Республики Казахстан от______ № _______)

      2. Сведения о разработчике испытываемого объекта испытаний

      _____________________________________________________________________

      (информация о разработчике, наименование или Ф.И.О. авторов)

      _____________________________________________________________________

      (область, город, район, почтовый адрес, телефон)

      3. Краткая аннотация на объект испытаний ____________________________

      _____________________________________________________________________

      (назначение, применение, новизна, аналоги и т.п., используемые

      средства разработки)

      4. Дополнительные сведения:

      _____________________________________________________________________

      Руководитель организации – заявителя/ Ф.И.О., заявителя __________

      (подпись, дата)

  Приложение 2
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного правительства",
интернет-ресурса государственного органа
и информационной системы на соответствие
требованиям информационной безопасности

      Форма

Анкета-вопросник
о характеристиках объекта испытаний

      1. Наименование объекта испытаний:

      _____________________________________________________________________

      _____________________________________________________________________

      2. Реквизиты разработчика объекта испытаний:

      1) наименование разработчика: _________________________________

      ____________________________________________________________________;

      2) адрес: г._________, ул. ____________________;

      3) телефон: _________, факс: __________________;

      4) адрес электронной почты: Е-mail: ______@_______.

      3. Данные лица, ответственного за заполнение настоящей анкеты и

      связь с государственной технической службой:

      1) фамилия, имя, отчество: _______________ ____________ ______;

      2) должность: ________________________________________________;

      3) телефон: ___________________________, факс: _______________;

      4) адрес электронной почты: Е-mail: ______@_______.

      4. Архитектура объекта испытаний (приложить схему архитектуры

      испытываемого ОИ, с указанием всех связей и настройками

      резервирования, схему корпоративной сети):

      1) информация о серверах (заполнить таблицу):

Наименование сервера или виртуального ресурса

Назначение

Кол-во

Характеристики сервера или используемых заявленных виртуальных ресурсов

ПО, ОС, приложения и библиотеки установленные на серверах или используемые виртуальные сервисы

IP-адрес

1

2

3

4

5

6








      2) информация по рабочим станциям администраторов (заполнить

      таблицу):

Роль администратора

Количество учетных записей администраторов

Наличие доступа к Интернет

Наличие удаленного доступа к серверу

IP-адрес рабочей станции администратора

Характеристики рабочей станции администратора

1

2

3

4

5

6




















      3) информация о пользователях (заполнить таблицу):

Роль пользователя

Перечень типовых действий пользователя

Минимальные требования к техническим характеристикам рабочей станции Пользователя

Максимальное количество пользователей

Максимальное количество, обрабатываемых запросов в секунду/время ожидания между запросами

ПО, ОС, приложения и библиотеки установленные на рабочей станции

1

2

3

4

5

6




















      4) характеристики резервного оборудования (заполнить таблицу):

Наименование сервера или виртуального ресурса

Назначение

Кол-во

Характеристики резервного оборудования или используемых заявленных виртуальных ресурсов

ПО, ОС, приложения и библиотеки, установленные на серверах, или используемые виртуальные сервисы

IP-адрес

Метод резервирования

1

2

3

4

5

6

7























      5) информация о средствах, используемых для мониторинга

      работоспособности серверного, сетевого оборудования, системных служб

      и процессов, свободного дискового пространства (заполнить таблицу):

Наименование средств мониторинга

Назначение мониторинга

Ответственный сотрудник за мониторинг

Информация о проведении анализа по результатам мониторинга

1

2

3

4














      6) информация об анализе журнальных событий (заполнить

      таблицу):

Наименование сервисов

Средства для анализа

Частота анализа

1

2

3








      7) языковая среда разработки испытываемого образца (заполнить

      таблицу):

Наименование модулей системы

Языки программирования

Используемые библиотеки

Объем исходного кода и используемых библиотек, файлов, Мбайт

1

2

3











      8) структура корпоративной сети (заполнить таблицу):

Наименование подсети (сегмента сети)

Количество межсетевых соединений

Количество аппаратно-программных средств защиты сети

Другие средства защиты сетей

Средства мониторинга

















      5. Дополнительные сведения:

      1) конфигурация и характеристика используемой сети передачи

      данных/сети телекоммуникаций (приложить схему):

      ____________________________________________________________________;

      2) конфигурация и характеристика резервной сети передачи

      данных/сети телекоммуникаций (приложить схему):

      ____________________________________________________________________.

      6. Документирование испытываемого объекта (заполнить таблицу)

п/п

Наименование документа

Наличие

Количество страниц

Дата утверждения

Стандарт, в соответствии с которым был разработан документ

1

2

3

4

5

6

1.

Техническое задание или задание на проектирование сервисного программного продукта





2.

Руководство пользователя





3.

Текст программы





4.

Описание программы





5.

Функциональная схема или описание ресурсов информационно-коммуникационной платформы "электронного правительства"






      7. Готовность исходных кодов испытываемого объекта (версия,

      наименование, предоставить на диске) для компиляции с расширением

      среды разработки:

      _____________________________________________________________________

      8. Наличие другой документации, предусмотренной стандартами:

п/п

Наименование документа

Обозначение

Количество страниц

Дата утверждения

Стандарт, в соответствии с которым разработан документ

1

2

3

4

5

6








      9. Сведения о ранее пройденных видах работ или испытаниях

      (номер протокола, дата):

      _____________________________________________________________________

      10. Наличие лицензии на испытываемый объект (наличие авторских

      прав, наличие соглашения с организацией-разработчиком на

      предоставление исходного кода) ______________________________________

      _____________________________________________________________________

      11. Дополнительная информация: ________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Примечание: расшифровка аббревиатур:

      ПО – программное обеспечение

      ОС – операционное обеспечение

  Приложение 3
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного правительства",
интернет-ресурса государственного органа
и информационной системы на соответствие
требованиям информационной безопасности

Перечень
технической документации

      1. Техническое задание или задание на проектирование сервисного программного продукта.

      2. Руководство пользователя.

      3. Текст программы.

      4. Описание программы.

      5. Функциональная схема или описание ресурсов информационно-коммуникационной платформы "электронного правительства".

  Приложение 4
к Правилам проведения испытаний
сервисного программного продукта,
информационно-коммуникационной
платформы "электронного правительства",
интернет-ресурса государственного органа
и информационной системы на соответствие
требованиям информационной безопасности
"Утверждаю"
Директор Государственной
технической службы

      _________ __________

      (Ф.И.О.) (подпись)

      "_____" ___________ 20__ г.

      Форма

Акт испытаний

      _____________________________________________________________________

      (наименование объекта испытаний (далее – ОИ))

      1. В соответствии с Заявкой на проведение испытаний на

      соответствие требованиям информационной безопасности (далее –

      испытания) от "___" ___________20__г. Государственная техническая

      служба провела испытание ____________________________________________

      (наименование ОИ)

      в составе следующих работ:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сети телекоммуникаций и серверного

      оборудования.

      2. В ходе испытаний установлено:

      1) по анализу исходного кода:

      анализ исходных кодов ОИ завершен без ошибок (при отсутствии

      недостатков ПО);

      анализ исходных кодов ОИ завершен с ошибками и необходим

      повторный анализ исходных кодов ОИ после их устранения (при наличии

      недостатков ПО);

      2) по испытаниям функций информационной безопасности:

      реализация функций информационной безопасности ОИ соответствуют

      требованиям ИБ (при отсутствии несоответствий);

      реализация функций информационной безопасности ОИ не

      соответствуют требованиям ИБ (при наличии несоответствий);

      3) по нагрузочному испытанию:

      нагрузочное испытание прошло успешно (при стабильном и

      устойчивом функционировании (без сбоев) ОИ при заданных параметрах);

      нагрузочное испытание прошло не успешно (при нарушениях

      стабильности и устойчивости (наличие сбоев) функционирования ОИ при

      заданных параметрах);

      4) по обследованию сети телекоммуникаций и серверного

      оборудования:

      безопасность сети телекоммуникаций и серверного оборудования

      соответствует требованиям ИБ (при отсутствии несоответствий и

      уязвимостей, влияющих на безопасное функционирование ОИ);

      безопасность сети телекоммуникаций и серверного оборудования не

      соответствует требованиям ИБ (при наличии несоответствий и

      уязвимостей, влияющих на безопасное функционирование ОИ).

      Заключение

      На основании проведенных испытаний ____________________________

      (наименование объекта испытаний)

      соответствует / не соответствует требованиям информационной

      безопасности.

      Рекомендуется устранить выявленные несоответствия и провести

      повторные испытания (в случае, если выдается акт испытаний с

      отрицательным заключением).

      СОГЛАСОВАНО: ПОДГОТОВЛЕНО:

      _______________________________ ________________________________

      (должность) (должность)

      _______________________________ ________________________________

      (подпись) (Ф.И.О.) при наличии (подпись) (Ф.И.О.) при наличии

      "_____" ______________20____ г. "_____" ______________20____ г.