"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2019 жылғы 5 маусымда № 18795 болып тіркелді.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1-бабының 5) тармақшасына және "Мемлекеттік көрсетілетін қызметтер туралы" 2013 жылғы 15 сәуірдегі Қазақстан Республикасы Заңының 10-бабының 1) тармақшасына сәйкес БҰЙЫРАМЫН:

      Ескерту. Кіріспе жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 № 121/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      1. Мыналар:

      1) осы бұйрыққа 1-қосымшаға сәйкес "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;

      2) осы бұйрыққа 2-қосымшаға сәйкес "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.

      2. "Сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 14 наурыздағы № 40/НҚ бұйрығының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16694 болып тіркелген, Қазақстан Республикасы Нормативтік құқықтық актілерінің эталондық бақылау банкінде 2018 жылғы 12 сәуірде жарияланған) күші жойылды деп танылсын.

      3. Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оны Қазақстан Республикасы Нормативтік құқықтық актілерінің эталондық бақылау банкіне ресми жариялау және енгізу үшін Қазақстан Республикасы Әділет министрлігінің "Қазақстан Республикасының Заңнама және құқықтық ақпарат институты" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

      3) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      4) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      5. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, қорғаныс және
аэроғарыш өнеркәсібі министрі
А. Жұмағалиев

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

      2019 жылғы "___" ____________

  Қазақстан Республикасы
Цифрлық даму, қорғаныс
және аэроғарыш
өнеркәсібі министрінің
2019 жылғы "__"_____
№ ___ бұйрығына
1-қосымша

"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі

1-тарау. Жалпы ережелер

      1. Осы "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі (бұдан әрі – Әдістеме) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 5) тармақшасына сәйкес әзірленді.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) қызмет беруші – мемлекеттік техникалық қызмет немесе аккредиттелген сынақ зертханасы;

      2) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      3) осалдық – бағдарламалық қамтылымдағы оның жұмыс қабілеттілігін бұзуға немесе бағдарламалық қамтылымда белгіленген рұқсаттардан тыс қандай да бір заңсыз іс-әрекеттерді орындауға мүмкіндік беретін кемшілік;

      4) өтініш беруші – сынақ объектісінің меншік иесі немесе иеленушісі, сондай-ақ сынақ объектісінің меншік иесі немесе иеленушісі өкілеттік берген ақпараттандыру объектісінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;

      5) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі – ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнімі арасындағы өзара іс-қимыл құралы;

      6) сенімді бағыт – сынақ объектілерінің қауіпсіздік саясатын қолдауда сенімділікті қамтамасыз ететін пайдаланушы мен ОҚФ арасындағы өзара іс -қимыл құралы;

      7) сынақ объектісі – оған қатысты ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтан өткізу жөніндегі жұмыстар жүргізілетін ақпараттандыру объектісі;

      8) сынақ объектісі желісінің (ішкі желісінің) сегменті – сынақ объектісі желісінің қисынды бөлінген сегменті;

      9) штаттық пайдалану ортасы – ақпараттандыру объектісін тәжірибелік пайдалану (пилоттық жобаны) кезеңінде қолданылатын және өнеркәсіптік пайдалану кезеңінде қолдануға арналған серверлік жабдықтың, желілік инфрақұрылымның, жүйелік бағдарламалық қамтылымның нысаналы жиынтығы;

      10) SYNAQ интернет-порталы – "электрондық үкіметтің" ақпараттандыру объектілерін және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерді ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау бойынша қызмет көрсету процесін автоматтандыруға арналған мемлекеттік техникалық қызметтің интернет-порталы.

      Ескерту. 2-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      3. Сынақтар жүргізу мыналарды қамтиды:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау;

      4) желілік инфрақұрылымды зерттеп-қарау;

      5) ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау.

2-тарау. Бастапқы кодтарды талдау

      4. Сынақ объектілерінің бастапқы кодтарын талдау бағдарламалық қамтылымның (бұдан әрі – БҚ) кемшіліктерін анықтау мақсатында жүргізіледі.

      5. Бастапқы кодтарды талдау "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларына (бұдан әрі – Қағидалар) 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағы 11) тармақшасының кестесінде аталған БҚ үшін жүргізіледі.

      6. Егер сынақтар жүргізу кезінде сынақ мерзімі аяқталғанға дейін бастапқы кодтарды қайта талдау жүргізу қажеттілігі айқындалса, өтініш беруші қызмет берушіге сұрау салумен жүгінеді және Қағидалардың 26-тармағына сәйкес бастапқы кодтарға қайтадан талдау жүргізу туралы қосымша келісім жасалады.

      7. БҚ кемшіліктерін айқындау өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.

      8. Бастапқы кодтарды талдау:

      1) БҚ кемшіліктерін айқындауды;

      2) бастапқы кодты талдау нәтижелерін белгілеуді қамтиды.

      9. БҚ кемшіліктерін айқындау мынадай тәртіппен жүзеге асырылады:

      1) бастапқы деректерді дайындау жүргізіледі ("электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің (бұдан әрі – АО) бастапқы кодтарын жүктеу, сканерлеу режимін (қарқынды және/немесе статикалық) таңдау, сканерлеу режимдерінің сипаттамаларын баптау);

      2) БҚ кемшіліктерін айқындауға арналған бағдарламалық құрал іске қосылады;

      3) жалған іске қосылулардың болуына бағдарламалық есептерді талдау жүргізіледі;

      4) сипаттамасы, бағдары (файлға дейінгі жолы) мен тәуекел деңгейі (жоғары, орташа, төмен) көрсетілген БҚ айқындалған кемшіліктерінің тізбесін қамтитын есеп қалыптастырылады.

      10. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады.

      11. Бастапқы кодтарды талдау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін және Қағидаларға 5-қосымшаға сәйкес сынақ объектісінің бастапқы кодтарын қабылдау-беру актісін қоса бере отырып, бастапқы кодтарды талдау хаттамасында (еркін нысанда) тіркейді.

      Қосымшаларымен және есеппен берілетін бастапқы кодтарды талдаудың:

      1) аккредиттелген зертхана берген хаттамасы парақтарды бірыңғай нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет берген хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталының жеке кабинетінде орналастырылады.

      Ескерту. 11-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      12. Бастапқы кодтарды талдау жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде сынақ объектісінің бастапқы кодтары таңбаланады және мөр басылған түрінде қызмет берушінің мұрағатына жауапты сақтауға тапсырылады.

      13. Қызмет беруші сынақтар аяқталғаннан кейін олардың құпиялылығын кем дегенде үш жыл сақтай отырып, алынған бастапқы кодтарды сақтауды қамтамасыз етеді.

3-тарау. Ақпараттық қауіпсіздік функцияларын сынау

      14. Ақпараттандыру объектілерінің функцияларын ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау (бұдан әрі – ақпараттық қауіпсіздік функцияларын сынау) олардың техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.

      15. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды:

      1) қауіпсіздік функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін, соның ішінде бағдарламалық құралдарды пайдалана отырып (қажет болған кезде) бағалау;

      2) сынақ нәтижелерін бақылау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелері мен айқындалған сәйкессіздіктерді түзету жөніндегі ұсынымдар (қажет болған кезде) көрсетілген есепте тіркеу.

      16. Ақпараттық қауіпсіздік функцияларының тізбесі осы Әдістемеге 1-қосымшада берілген.

      17. Ақпараттық қауіпсіздік функцияларын сынау Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 1) тармақшасы мен 4) тармақшасының аталған серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі.

      18. Ақпараттық қауіпсіздік функцияларын сынау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, ақпараттық қауіпсіздік функцияларын сынау хаттамасында тіркейді (еркін нысанда).

      Қосымшаларымен және есеппен берілетін ақпараттық қауіпсіздік функцияларын сынаудың:

      1) аккредиттелген зертхана беретін хаттамасы парақтарды бірыңғай нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет беретін хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталындағы Жеке кабинетінде орналастырылады.

      Бағдарламалық құралмен жаңартулардың және конфигурацияны талдаудың болуына сканерлеу нәтижелері Ақпараттық қауіпсіздік функцияларын сынау хаттамасына енгізіледі.

      Бағдарламалық құралмен ақпараттық қауіпсіздікті қамтамасыз ету саласындағы стандарттарға сәйкестігіне сканерлеу нәтижелері Ақпараттық қауіпсіздік функцияларын сынау хаттамасына енгізілмейді, өтініш берушінің SYNAQ интернет-порталындағы жеке кабинетінде орналастырылады және ұсынымдық сипатта болады.

      Ескерту. 18-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

4-тарау. Жүктемелік сынау

      19. Жүктемелік сынау сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауды бағалау мақсатында жүргізіледі.

      20. Жүктемелік сынау дербес деректер жалған деректермен алмастырылған сынақ объектісін штаттық пайдалану ортасында автоматтандырылған сценарийлер негізінде мамандандырылған бағдарламалық құралды пайдалана отырып жүргізіледі.

      21. Өтініш беруші жүктемелік сынау параметрлерін Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 9) тармақшасы мен 10) тармақшасының кестелерінде ұсынады.

      Жүктемелік сынау жүргізу кезінде сынақ объектісінің нақты жүктемелік қабілеттілігінің параметрлері айқындалады.

      22. Жүктемелік сынау мынадай тәртіппен жүзеге асырылады:

      1) сынауға дайындық жүргізіледі;

      2) сынақ жүргізіледі;

      3) сынақ нәтижелері тіркеледі.

      23. Сынауға дайындық мыналарды қамтиды:

      1) сынау сценарийін анықтау;

      2) сынаудың уақытша және сандық сипаттамаларын анықтау;

      3) сынау жүргізу уақытын тапсырыс берушімен келісу.

      24. Сынау жүргізу:

      1) мамандандырылған бағдарламалық құралға сынау сценарийі мен конфигурациясын баптауды;

      2) мамандандырылған бағдарламалық құралды іске қосуды;

      3) сынақ объектісіне жүктеуді тіркеуді;

      4) сынақ объектісінің нақты өткізу қабілетін жоғарылату немесе төмендету жөнінде ұсынымдар көрсете отырып, жүктемелік сынаудың есебін қалыптастыруды және беруді қамтиды.

      25. Жүктемелік тестілеу жүргізу жөніндегі жұмыстар Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 9) тармақшасы мен 10) тармақшасының кестелерінде көрсетілген бір сынақ объектісіне пайдаланушыларды қосу нүктелерінің нұсқалары мен сынақ объектісінің интеграциялық өзара іс-қимылын іске қосу нүктелерінің нұсқалар саны бойынша жүргізіледі.

      26. Жүктемелік сынау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, жүктемелік сынау хаттамасында тіркейді (еркін нысанда).

      Қосымшаларымен және есеппен берілетін жүктемелік сынаудың:

      1) аккредиттелген зертхана беретін хаттамасы парақтарды толассыз нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет беретін хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталындағы жеке кабинетінде орналастырылады.

      Ескерту. 26-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

5-тарау. Желілік инфрақұрылымды зерттеп-қарау

      27. Желілік инфрақұрылымды зерттеп-қарау желілік инфрақұрылымның қауіпсіздігін бағалау мақсатында жүргізіледі.

      28. Желілік инфрақұрылымды зерттеп-қарау мыналарды қамтиды:

      1) желілік инфрақұрылымның қорғалу функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау;

      2) өтініш берушінің желілік инфрақұрлымын, соның ішінде бағдарламалық құралдарды пайдалана отырып (қажет болған кезде) зерттеп-қарау;

      3) бағдарламалық құралмен жалпы осалдықтар мен тәуекелдер базасынан бағдарламалық қамтылымның белгілі осалдықтары тұрғысынан сканерлеу;

      4) алынған сынақ нәтижелерін бақылау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелері мен айқындалған сәйкессіздіктерді түзету жөніндегі ұсынымдар (қажет болған кезде) көрсетілген есепте тіркеу.

      29. Желілік инфрақұрылымның қорғалу функцияларының тізбесі осы Әдістемеге 2-қосымшада берілген.

      30. Желілік инфрақұрылымды зерттеп-қарау бойынша жұмыстар Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағы 7) тармақшасының кестесінде көрсетілген сынақ объектісінің әрбір сегментіне (кіші желісіне) жүргізіледі.

      31. Желілік инфрақұрылымды зерттеп-қарау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, желілік инфрақұрылымды зерттеп-қарау хаттамасында тіркейді (еркін нысанда).

      Қосымшаларымен және есеппен берілетін желілік инфрақұрылымды зерттеп-қараудың:

      1) аккредиттелген зертхана беретін хаттамасы парақтарды толассыз нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет беретін хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталындағы жеке кабинетінде орналастырылады.

      Ескерту. 31-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

6-тарау. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау

      32. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау олардың ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.

      33. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау мыналарды қамтиды:

      1) ақпараттық қауіпсіздікті қамтамасыз ету процестерінің ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалау;

      2) бағалау нәтижелерін бақылау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелері мен анықталған сәйкессіздіктерді түзету жөніндегі ұсынымдар (қажет болған кезде) көрсетілген есепте тіркеу;

      3) бағдарламалық құралдармен серверлерді, виртуалды ресурстар мен желілік жабдықты белгілі осалдықтар тұрғысынан сканерлеу;

      4) жалған іске қосылулардың болуынан анықталған осалдықтарды талдау және олардың аса маңыздылығы деңгейіне байланысты оларды жою жөнінде ұсынымдар (қажет болған жағдайда) қалыптастыру.

      Ескерту. 33-тармаққа өзгеріс енгізілді – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 № 121/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      34. Ақпараттық қауіпсіздікті қамтамасыз ету процестерінің тізбесі және олардың мазмұны Әдістемеге 3-қосымшада берілген.

      35. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау бойынша жұмыстар сынақ объектісіне жүргізіледі.

      36. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасында тіркейді (еркін нысанда).

      Қосымшаларымен және есеппен берілетін ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қараудың:

      1) аккредиттелген зертхана беретін хаттамасы парақтарды толассыз нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет беретін хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталындағы жеке кабинетінде орналастырылады.

      Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасына айқындалған осалдықтарды талдау нәтижелері енгізілмейді және Өтініш берушіге ұсынымдар нысанында беріледі.

      Ескерту. 36-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу әдістемесіне
1-қосымша

Ақпараттық қауіпсіздік функцияларының тізбесі

р/с №

Функциялардың атауы

Функциялардың мазмұны

1

2

3

Қауіпсіздік аудиті

1

Қауіпсіздік аудитінің автоматты әрекет етуі

Тіркеу журналына жазба енгізуді, қауіпсіздікті бұзушылықты айқындау туралы әкімшіге локалдық немесе қашықтықтан сигнал беруді жүзеге асыру.

2

Қауіпсіздік аудитінің деректерін генерациялау

Хаттамалаудың, ең болмаса, тіркеу функцияларын іске қосу мен аяқтаудың, сондай-ақ аудиттің базалық деңгейіндегі барлық оқиғалардың болуы, яғни, әрбір тіркеу жазбасында оқиғаның мерзімі мен уақытының, оқиға түрінің, субъектіні сәйкестендіргіш пен оқиға нәтижесінің (сәттілігі немесе сәтсіздігі) болуы.

3

Қауіпсіздік аудитін талдау

Сәйкестендіру тетіктерін пайдаланудың ең болмаса, сәтсіз нәтижелерін, сондай-ақ криптографиялық операцияларды орындаудың сәтсіз нәтижелерін жинақтау және/немесе біріктіру арқылы (ықтимал кемшіліктерді айқындау мақсатында) жүзеге асыру.

4

Қауіпсіздік аудитін қарау

Барлық тіркеу ақпаратын қарау (оқу) мүмкіндігін қамтамасыз ету және әкімшіге беру. Өзге пайдаланушыларға тіркеу ақпаратына қолжетімділік айқын ерекше оқиғаларды қоспағанда, жабық болуы тиіс.

5

Қауіпсіздік аудитінің оқиғаларын таңдау

Оқиғаларды тіркеудің, ең болмаса, мынадай атрибуттарға негізделетін іріктеудің болуы:
объектіні сәйкестендіргіш;
субъектіні сәйкестендіргіш;
желі торабының мекенжайы;
оқиға түрі;
оқиға мерзімі мен уақыты.

6

Қауіпсіздік аудитінің деректерін сақтау

Рұқсатсыз түрлендіруден сенімді қорғау туралы тіркеу ақпаратының болуы.

Байланысты ұйымдастыру

7

Жіберуден бас тартпаушылық

Жіберуші куәлігі жіберуші мен жіберілген ақпарат арасындағы байланысты (мысалы, цифрлық қолтаңба) дәлелдейтін, ақпаратты жіберу фактісінен бас тартпауы үшін пайдаланушыларға/жіберушінің ұқсастығын куәландыру субъектілеріне кейбір ақпаратты беру.

8

Алудан бас тартпаушылық

Алушының ақпаратты алу фактісінен бас тарту мүмкінсіздігін қамтамасыз ету.

Криптографиялық қолдау

9

Криптографиялық кілттерді басқару

Мыналарды қолдаудың болуы:
1) криптографиялық кілттерді құру;
2) криптографиялық кілттерді бөлу;
3) криптографиялық кілттерге қолжетімділікті басқару;
4) криптографиялық кілттерді жою.

10

Криптографиялық операциялар

Техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкес сенімді арна арқылы жіберілетін барлық ақпарат үшін тұтастығын шифрлаудың және бақылаудың болуы.

Пайдаланушының деректерін қорғау

11

Қолжетімділікті басқару саясаты

Қауіпсіздік сервисімен тікелей немесе жанама операцияларды орындайтын пайдаланушылар үшін қолжетімділікті бөлуді жүзеге асыру.

12

Қолжетімділікті басқару функциялары

Қолжетімділікті бөлу функцияларын пайдалану, ең болмаса, мынадай қауіпсіздік атрибуттарына негізделуі тиіс:
қол жеткізу субъектілерін сәйкестендіргіштер;
қол жеткізу объектілерін сәйкестендіргіштер;
қол жеткізу субъектілерінің мекенжайлары;
қол жеткізу объектілерінің мекенжайлары;
субъектілердің қол жеткізу құқықтары.

13

Деректерді теңестіру

Ақпараттың мазмұны айлакерлік жолымен ұқсастырылмағанын немесе түрлендірілмегенін кейін тексеру үшін пайдаланылатын өзіндік деректер жинағының дұрыстығы кепілдігін қолдау.

14

Деректерді СО қауіпсіздік функцияларының (бұдан әрі – ОҚФ) әрекетінен тыс экспорттау

Пайдаланушының деректерін СО экспорттау кезінде оларды қорғау мен сақталуын немесе қауіпсіздік атрибуттарын ескермеуді қамтамасыз ету.

15

Ақпараттық ағындарды басқару саясаты

Пайдаланушының деректерін қауіпсіздік сервисінің физикалық бөлінген бөліктері арасында жіберген кезде оларды ашуға, түрлендіруге және/немесе қолжетімді болуына жол бермеуді қамтамасыз ету.

16

Ақпараттық ағындарды басқару функциялары

Деректер қоймасында қамтылған ақпаратты бақылаусыз таратуға жол бермеу мақсатында оған қолжетімділікті ұйымдастыру және қамтамасыз ету (БҚ сенімсіз болған жағдайда жариялаудан немесе түрлендіруден сенімді қорғауды іске асыру үшін ақпараттық ағындарды басқару).

17

Деректерді ОҚФ әрекетінен тыс жерден импорттау

Пайдаланушының деректерін олардың талап етілетін қауіпсіздік және қорғау атрибуттары болатындай етіп СО жіберуге арналған тетіктердің болуы.

18

СО шегінде жіберу

Пайдаланушының деректерін ішкі арна бойынша СО түрлі бөліктері арасында жіберген кезде қорғаудың болуы.

19

Қалған ақпаратты қорғау

Қалған ақпаратты толық қорғауды қамтамасыз ету, яғни ресурс босаған кезде алдыңғы жай-күйінің қолжетімсіздігін қамтамасыз ету.

20

Ағымдағы жай-күйін кері қалпына келтіру

Кейбір шектелген (мысалы, уақыт аралығымен) соңғы операцияны немесе бірқатар операцияны жою және алдыңғы белгілі жай-күйге қайту мүмкіндігінің болуы. Кері қалпына қайтару пайдаланушы деректерінің тұтастығын сақтау үшін операцияның немесе бірнеше операция нәтижелерін жоюға мүмкіндік береді.

21

Сақталатын деректердің тұтастығы

Пайдаланушының деректерін ОҚФ шегінде сақтаған кезде олардың қорғалуын қамтамасыз ету.

22

ОҚФ арасында жіберген кезде пайдаланушы деректерінің құпиялылығын қорғау

Пайдаланушының деректерін ОҚФ арасында сыртқы арна немесе АТ басқа сенімді өнімі бойынша жіберген кезде олардың құпиялылығын қамтамасыз ету. Құпиялылық деректерді екі соңғы нүкте арасында жіберген кезде оларға рұқсатсыз қол жеткізуді болдырмау жолымен жүзеге асырылады. Соңғы нүктелер ОҚФ немесе пайдаланушы бола алады.

23

ОҚФ арасында жіберген кезде пайдаланушы деректерінің тұтастығын қорғау

Пайдаланушының деректерін ОҚФ және АТ басқа сенімді өнімі арасында жіберген кезде олардың тұтастығы, сондай-ақ айқындалған қателер кезінде оларды қалпына келтіру мүмкіндігі қамтамасыз етілуі тиіс.

Сәйкестендіру және теңестіру

24

Теңестіруден бас тарту

Сәтсіз теңестіру талаптарының белгілі санына келгенде әкімшінің субъектіге қол жеткізуге рұқсат бермеу, тіркеу журналына жазба енгізуді генерациялау мен әкімшіге қауіпсіздіктің ықтимал бұзушылық туралы сигнал беру мүмкіндігінің болуы.

25

Пайдаланушының атрибуттарын айқындау

Әрбір пайдаланушы үшін, ең болмаса, келесі қауіпсіздік атрибуттарын қолдау қажет:
- сәйкестендіргіш;
- теңестірілген ақпарат (мысалы, пароль);
- қол жеткізу құқығы (рөлі).

26

Құпиялардың ерекшелігі

Егер теңестірілген ақпарат криптографиялық операциялармен қамтамасыз етілсе, сондай-ақ ашық және құпия кілттеріне қолдау көрсетілуі қажет.

27

Пайдаланушыны теңестіру

ОҚФ ұсынатын пайдаланушы теңестіру тетіктерінің болуы.

28

Пайдаланушыны сәйкестендіру

1) Қауіпсіздік сервисі осы пайдаланушының атынан орындайтын кез келген іс-қимыл аяқталғанға дейін әрбір пайдаланушы сәтті сәйкестендірілуге және теңестіруді;
2) Басқа пайдаланушыдан көшіріп алынған немесе ұқсастырып жасалған теңестірілген деректерді пайдалануға жол бермеу мүмкіндіктерін;
3) Пайдаланушының ұсынылған кез келген сәйкестендіргішін теңестіруді;
4) Әкімші белгілеген уақыт интервалы аяқталғаннан кейін пайдаланушыны қайтадан теңестіруді;
5) Теңестіруді орындаған кезде қауіпсіздік функциялары пайдаланушыға тек қана жасырын кері байланысқа рұқсат беруді қамтамасыз ету.

29

Пайдаланушы-субъект байланыстырушы

Пайдаланушының тиісті қауіпсіздік атрибуттарын осы пайдаланушы атынан әрекет ететін субъектілермен байланыстыру керек.

Қауіпсіздікті басқару

30

ОҚФ жеке функцияларын басқару

Жұмыс істеу, ажырату, қосу, сәйкестендіру мен теңестіру режимдерін түрлендіру, қолжетімділік, хаттамалау және аудит құқығын басқару режимдерін анықтауға әкімшінің жеке құқығының болуы.

31

Қауіпсіздік атрибуттарын басқару

Қауіпсіздіктің түсіндірілетін мәндерін өзгертуге, сұрастыруға, атрибуттарын өзгертуге, жоюға, құруға әкімшінің жеке құқығының болуы. Бұл ретте, қауіпсіздік атрибуттарына тек қана қауіпсіздік мәндер беруді қамтамасыз ету қажет.

32

ОҚФ деректерін басқару

Тіркелетін оқиғалардың түсіндірілетін мәндерін өзгертуге, сұрастыруға, өзгертуге, жоюға, тазалауға, түрлерін анықтауға, тіркеу журналдарының өлшемін, субъектілердің қол жеткізу құқықтарын, қол жеткізу субъектілерінің есептік жазбаларының, парольдерінің, криптографиялық кілттерінің жарамдылық мерзімдерін өзгертуге әкімшінің жеке құқығының болуы.

33

Қауіпсіздік атрибуттарын жою

Уақыттың кейбір сәттерінде қауіпсіздік атрибуттарын бұзуды жүзеге асырудың болуы. Пайдаланушылармен байланыстырылған қауіпсіздік атрибуттарын бұзу мүмкіндігі тек қана уәкілетті әкімшілерде болуы тиіс. Қауіпсіздік үшін маңызды өкілеттіктер дереу жойылуы тиіс.

34

Қауіпсіздік атрибутының қолданыс мерзімі

Қауіпсіздік атрибуттарының қолданыс мерзімін белгілеу мүмкіндігін қамтамасыз ету.

35

Қауіпсіздікті басқару рөлдері

1) Ең болмаса, мынадай рөлдерді қолдауды қамтамасыз ету: уәкілетті пайдаланушы, қашықтықтан пайдаланушы, әкімші;
2) Қашықтықтан пайдаланушы мен әкімші рөлдерін тек қана сұрау бойынша алуды қамтамасыз ету.

ОҚФ қорғау

36

Іркіліс кезіндегі қауіпсіздік

Сервиспен аппараттық кідірістер кезінде (мысалы, электр қуатының іркілісінен орын алған) қауіпсіз жай-күйді сақтау.

37

ОҚФ экспортталатын деректерінің қолжетімділігі

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беруге тиіс.

38

ОҚФ экспортталатын деректерінің құпиялылығы

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің құпиялылығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беру.

39

ОҚФ экспортталатын деректерінің тұтастығы

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беру.

40

ОҚФ деректерін СО шегінде жіберу

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін, құпиялылығы мен тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік береді.

41

ОҚФ физикалық қорғау

ОҚФ физикалық қорғауды жүзеге асыру.

42

Сенімді қалыпқа келтіру

Кідірулер немесе қызмет көрсету тоқтатылғаннан кейін автоматты түрде қалпына келтіру мүмкін болмаса, сервис қауіпсіз жай-күйге қайтаруға мүмкіндік беретін авариялық қолдау режиміне ауысады. Аппараттық кідірістерден кейін автоматты рәсімдерді қолданумен қауіпсіз жай-күйге кері қайту қамтамасыз етіледі.

43

Екінші рет пайдалануды анықтау

Сервистің теңестірілген деректердің қайтадан пайдаланылуын айқындауын, қол жеткізуге жол бермеуге, тіркеу журналына жазба енгізуін және әкімшіге қауіпсіздіктің ықтимал бұзылуы туралы сигнал беруін қамтамасыз ету.

44

Өтініштер беру кезіндегі делдалдық

Сервистің қауіпсіздік саясатын жүзеге асыратын функциялар сервистің кез келген басқа функциясын орындауға рұқсат етілгенге дейін шақырылып, сәтті орындалуын қамтамасыз ету.

45

Доменді бөлу

Қауіпсіздік функциялары оларды сенімсіз субъектілердің араласуы мен бұрмалауынан қорғайтын меншікті орындауға арналған жеке доменді қолдап отыру.

46

Жай-күйлерді синхрондау хаттамасы

Серверлерде ұқсас функцияларды орындаған кезде жай-күйлерді синхрондауды қамтамасыз ету.

47

Уақыт белгілері

Қауіпсіздік функцияларының пайдалануына сенімді уақыт белгілерін ұсыну.

48

ОҚФ арасындағы деректердің келісілушілігі

Тіркелетін ақпаратты, сондай-ақ қолданылатын криптографиялық операциялар параметрлерін келісімді түсіндіруді қамтамасыз ету.

49

СО шегінде қайталау кезінде ОҚФ деректерінің келісілушілігі

СО түрлі бөліктерінде қайталаған кезде қауіпсіздік функциялары деректерінің үйлесмілігін қамтамасыз ету. Қайталанатын деректерді қамтитын бөліктер ажыратылғанда, үйлесімділік көрсетілген қауіпсіздік функцияларына кез келген сұрауларды өңдеу алдындағы қосылуды қалпына келтіргеннен кейін қамтамасыз етіледі.

50

ОҚФ өзін-өзі тестілеу

Іске қосу кезінде қауіпсіздік функциялары жұмысының дұрыстығын көрсету үшін қылыпты жұмыс процесінде және/немесе әкімшінің сұрауы бойынша мерзімді түрде өзін-өзі тестілеу пакетін орындау.
Әкімшінің қауіпсіздік функциялары деректері мен орындалатын кодтың тұтастығын тексеру мүмкіндігі болуы тиіс.

Ресурстарды қолдану

51

Істен шығуға қарсы тұрушылық

Кідірулер кезінде де сынақ объектісінің функционалдық мүмкіндіктерінің қолжетімділігін қамтамасыз ету. Осындай кідірістердің үлгілері: қуат көзін ажырату, аппаратураның жұмыс істемей қалуы, БҚ іркілісі.

52

Қызмет көрсетудің басымдылығы

Пайдаланушылардың немесе субъектілердің өздерінің әрекет ету аясында ресурстарды пайдалануын сынақ объектісі шегіндегі басымдылығы жоғары операциялар басымдылығы төмен операциялар жағынан кедергісіз және кідіріссіз орындалатын етіп басқаруды қамтамасыз ету.

53

Ресурстарды бөлу

Басқа пайдаланушылардың немесе субъектілердің ресурстарды монополиялауы себепті қызмет көрсетуден рұқсатсыз бас тартуға жол бермеу үшін пайдаланушылардың және субъектілердің ресурстарды пайдалануын басқаруды қамтамасыз ету.

СО-ға қолжетімлілік

54

Таңдалатын атрибуттардың аясын шектеу

Қолжетімділік әдісі немесе орны және/немесе уақыты негізінде (мысалы, тәулік уақыты, апта күні) қол жеткізу жүзеге асырылып отырылған порттан пайдаланушы таңдай алатын қауіпсіздік атрибуттарымен қатар пайдаланушы байланыста болуы мүмкін субъектілердің атрибуттарын да шектеу.

55

Қатарлас сеанстарды шектеу

Бір пайдаланушыға ұсынылатын қатарлас сеанстардың барынша көп санын шектеу. Бұл шаманың ұйғарынды мәнін әкімші белгілейді.

56

Сеансты бұғаттау

Пайдаланушы әрекетсіздігі ұзақтығының әкімші белгілеген мәні аяқталғаннан кейін жұмыс сеансы мәжбүрлі аяқтау.

57

СО-ға қол жеткізуге рұқсат беру алдында алдын алу

Сәйкестендіруге және теңестіруге дейін әлеуетті пайдаланушылар үшін сынақ объектісінің пайдаланудың сипатына қатысты ескерту хабарламасын көрсету мүмкіндігін қамтамасыз ету.

58

СО-ға қолжетімділік тарихы

Сеансты сәтті ашқан кезде пайдаланушы үшін осы пайдаланушы атынан қолжетімділікті алудың сәтсіз әрекеттерінің тарихын алу мүмкіндігін қамтамасыз ету. Бұл тарих қол жеткізу мерзімін, уақытын, құралдарын және СО соңғы рет сәтті қолжетімділік портын, сондай-ақ сәйкестендірілген пайдаланушының соңғы сәтті қол жеткізуінен кейінгі СО сәтсіз қол жеткізу әрекеттерінің санын қамтуы мүмкін.

59

СО-мен сеансты ашу

Субъектіні сәйкестендіргішке, субъектінің пароліне, субъектінің қолжетімділік құқықтарына негізделе отырып, сервистің сеансты ашуға жол бермеуге қабілеттігін қамтамасыз ету.

Зиянды кодтан қорғау функциялары

60

Вирустарға қарсы қорғау құралдарының болуы

Зиянды кодтан қорғану үшін серверлерден, қажеттілік туындаған жағдайда сынақ объектісінің жұмыс станцияларынан зиянды кодты анықтау және бұғаттау немесе жою, мониторинг құралдарын қолдану.

61

Вирустарға қарсы қорғау құралдарына арналған лицензия

Серверлерге және жұмыс станцияларына вирустарға қарсы қорғау құралдарының лицензиялары (сатып алынған, шектелген, еркін таратылатын) болуы тиіс.

62

Вирустарға қарсы қорғау сигнатуралары базасын және бағдарламалық қамтылымды жаңарту

Вирустарға қарсы қорғау құралдарының ұдайы жаңартылып, өзекті күйде болуын қамтамасыз ету.

63

Вирустарға қарсы қорғау құралдарына қолжетімділікті басқару

Вирустарға қарсы қорғау құралдарын орталықтандырылған басқару мен конфигурациялауды жүзеге асыру.

64

Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан вирустарға қарсы құралдарымен қорғауды басқару

Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан қорғау файлдардың, қажет болса ақпарат тасығыштардың тексерісін және бұғатталуын қамтамасыз ету.

БҚ жаңартылуы кезіндегі қауіпсіздік

65

БҚ ұдайы жаңартылуы

Серверлер мен жұмыс станцияларының жалпыжүйелік және қолданбалы БҚ ұдайы жаңартылуын қамтамасыз ету.

66

Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ жаңартылуы

Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ мамандандырылған арнайы жаңарту серверінен жаңартылуын қамтамасыз ету.

Қолданбалы БҚ-ға өзгеріс енгізу кезіндегі қауіпсіздік

67

Қолданбалы БҚ әзірлеу және тестілеу ортасы

Қолданбалы БҚ-ны өнеркәсіптік пайдалану ортасынан оқшауландырылған қолданбалы БҚ әзірлеу және тестілеу үшін ортаның болуын қамтамасыз ету.

68

Қолданбалы БҚ әзірлеу және тестілеу ортасына қол жеткізудің аражігін ажырату

Бағдарламашылар мен әкімшілер үшін қолданбалы БҚ әзірлеу және тестілеу орталарына қол жеткізуді басқаруын қамтамасыз ету.

69

Қолданбалы БҚ өрістету жүйесі

Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ өрістету (тарату) жүйесінің болуы.

70

Қолданбалы БҚ өрістету жүйесіне қол жеткізудің аражігін ажырату

Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ ажырату (тарату) жүйесіне қол жеткізуді басқаруды қамтамасыз ету.

  Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу әдістемесіне
2-қосымша

Желілік инфрақұрылымды қорғау функцияларының тізбесі

р/с №

Функциялардың атауы

Функциялардың мазмұны

1

2

3

1

Сәйкестендіру және теңестіру

Уәкілетті персоналға қосу арқылы қолжетімділікті шектеу жолымен (ұйым ішінде немесе одан тыс жерде) желілік инфрақұрылым ұсынатын сервистердің қауіпсіздігін және тиісті деректердің сақталуын қамтамасыз ету.

2

Аудиттерді белгілеу (желілік қосылулардың қауіпсіздігіне байланысты оқиғалар туралы есептер қалыптастыру және олардың бар болуы)

Күдікті және нақты оқиғаларды мұқият шолу мүмкіндігінің болуы үшін аудитті жүргізу барысындағы іркіліс жағдайлары мен нақты оқиғалары бойынша жеткілікті ақпаратты белгілеу керек.

3

Басып кіруді анықтау

Басып кіруді болжауға (телекоммуникация желілеріне ықтимал басып кіру), оларды нақты уақыт масштабында айқындауға және тиісті алаңдаушылықты туғызуға мүмкіндік беретін құралдардың бар болуын қамтамасыз ету.

4

Желілік қауіпсіздікті басқару

Дистанционды диагностиканың барлық порттарына (виртуалды және физикалық) заңсыз қол жетімділіктен сақтануды қамтамасыз ететін желілік ресурстарды қорғауды басқару бойынша шаралардың болуы. Желілер арасындағы байланыс үшін қауіпсіздік шлюздерінің болуы.

5

Желіаралық экрандар

Әрбір желіаралық экран үшін сервистерге қолжетіміділік саясатын (қауіпсіздік) белгілейтін жеке құжат әзірлеу және осы қосылу арқылы тек қане рұқсат етілген трафиктің өтуіне кепілдік беру үшін оны әрбір қосылуда жүзеге асыру қажет.

6

Желілер арқылы жіберілетін деректердің тұтастығын, құпиялығын сақтау

Деректер құпиялығын және тұтастығын сақтау маңызды болған жағдайларда желілік қосылым арқылы өтетін ақпаратты шифрлау үшін қорғаныстың криптографиялық шараларын көздеген жөн.

7

Ақпарат алмасу бойынша жасалған іс-қимылдардан бас тартпаушылық

Ақпаратты желі бойынша жіберудің растауын ұсыну талап етілетін жағдайда, мынадай қорғау шараларын қолданылды:
1) құжатты жіберу фактісін растайтын байланыс хаттамалары;
2) бастапқы адресті немесе сәйкестендіргішті ұсынуды және аталған ақпараттың бар болуын тексеруді талап ететін қосымшалардың хатамалары;
3) жіберуші мен алушы мекенжайларының форматтары синтаксистің дұрыстығына және тиісті директорийлердегі ақпаратпен үйлесімділікке қатысты тексерілетін желіаралық экрандар;
4) желіаралық өзара іс-қимыл шеңберінде ақпаратты жеткізу фактілерін растайтын хаттамалар;
5) ақпараттың реттілігін белгілеуге рұқсат беретін тетіктерді қамтитын хаттамалар.

8

Үздіксіз жұмыс және қалыпқа келуді қамтамасыз ету

Әрбір іскерлік операцияның үзілуден кейінгі керекті уақыт итервалында қалыпқа келу қабілетін қамтамасыз ету жолымен төтенше жағдайлар кезіндегі үзілген бизнес функцияларының жалғасуын қамтамасыз ететін қорғаныс шараларының болуы.

9

Сенімді арна

1) Қашықтықтағы сенімді АТ-өнімімен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестірудің, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсыну;
2) сенімді арна арқылы екі тараптарда байланыстарды бастамалауға мүмкіндікті қамтамасыз ету.

10

Сенімді бағдар

1) Қашықтықтағы пайдаланушымен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестіретін, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсыну;
2) Пайдаланушының байланыстарды сенімді арна арқылы бастамалауға мүмкіндікті қамтамасыз ету;
3) Қашықтықтағы пайдаланушы мен қашықтықтан басқаруды бастапқы аутентификациялау үшін сенімді бағдарды пайдалану міндетті болып табылады.

  Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу әдістемесіне
3-қосымша

Ақпараттық қауіпсіздікті қамтамасыз ету процестерінің тізбесі мен олардың мазмұны

р/с №

Процестердің атауы

АҚ қамтамасыз ету процестерінің мазмұнына қойылатын талап

1

2

3

1

Ақпараттық-коммуникациялық технологиялармен байланысты активтерді басқару

1. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидаларында айқындалған активтерді сәйкестендіру тәртібіне сәйкес активтерді сәйкестендіру;
2. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидаларында айқындалған сыныптау жүйесіне сәйкес ақпаратты сыныптау;
3. Ақпараттандыру объектілерін сыныптау қағидаларының талаптарына сәйкес сынақ объектісіне айқындалған сыныпты тексеру;
4. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидаларында айқындалған маркалау қағидаттарына сәйкес активтерді маркалау;
5. Сәйкестендірілген активтерге жауапты тұлғаларды бекіту;
6. Активтер тізілімін қабылданған тізілім нысанына сәйкес жүргізу және өзектілендіру;
7. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидаларында айқындалған сыныптау жүйесіне сәйкес активтермен жұмыс істеу (беру, пайдалану, сақтау, енгізу/шығару және қайтару) рәсімдерін айқындау, құжаттау және іске асыру;
8. Есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды паспорттандыру;
9. Ақпараттық-коммуникациялық технологиялармен байланысты активтерді қабылдап алу/тиеу кезінде жұмыстарды қауіпсіз ұйымдастыру;
10. Серверлік және телекоммуникациялық жабдықты, деректерді сақтау жүйелерін, жұмыс станцияларын, ақпарат тасымалдауыштарды қауіпсіз кәдеге жарату (қайта пайдалану).

2

Ақпараттық қауіпсіздікті ұйымдастыру

1. Ақпараттық технологиялар бөлімшесінен жекеленген жоғары басшылыққа тікелей бағынысты ақпараттық қауіпсіздік бөлімшесінің немесе ақпараттық қауіпсіздікке жауапты қызметкердің болуы;
2. Ақпараттық қауіпсіздікті қамтамасыз ету және жұмыстарды үйлестіру мәселелері жөніндегі жұмыс топтарының жұмыс істеуі мен кеңестер өткізу;
3. Ақпараттық қауіпсіздік жөніндегі техникалық құжаттаманы әзірлеу (өзектілендіру), басшылықтың бекітуі, мақұлдауы, олардың мазмұнын қызметкерлерге және сырттан тартылатын орындаушыларға жеткізу;
4. Уәкілетті органдармен, кәсіптік қоғамдастықтармен, кәсіптік қауымдастықтармен немесе ақпараттық қауіпсіздік жөніндегі мамандардың форумдарымен байланыстарды қолдап отыру;
5. Сыртқы ұйымдарды тарту кезінде ақпараттық қауіпсіздікті қамтамасыз ету рәсімдерін айқындау мен құжаттау;
6. Ақпаратты қорғау қажеттілігі көрсетілетін құпиялылық немесе жарияламау туралы келісімдерді әзірлеу (қайта қарау);
7. Ақпараттық қауіпсіздік және қызмет көрсету деңгейі жөніндегі талаптарды айқындау мен сыртқы ұйымдармен жасалатын келісімдерге енгізу. Келісім ережелерінің іске асырылуын бақылау.

3

Персоналға байланысты қауіпсіздік

1. Жұмысқа қабылдау кезінде үміткерлерді алдын ала тексеру;
2. Жұмыспен қамту, еңбек қатынастарын өзгерту немесе тоқтату кезеңінде қызметкерлердің және сырттан тартылатын орындаушылардың ақпараттық қауіпсіздікке байланысты рөлдерін, міндеттері мен жауапкершілігін және сынақ объектісі иеленушісінің міндеттемелерін айқындау, тағайындау және олардың лауазымдық нұсқаулықтарында және (немесе) еңбек шартының талаптарында көрсету;
3. Ақпараттық қауіпсіздікті қамтамасыз ету саласында міндеттемелері бар қызметкерлерді жұмыстан босату рәсімдерін анықтау және құжаттау;
4. Ақпараттық қауіпсіздік қағидаларын бұзушыларға қолданылатын іс-әрекеттерді айқындау мен регламенттеу;
5. Қызметкерлерді ақпараттық қауіпсіздікті қамтамасыз ету саясаттарындағы, қағидаларындағы және рәсімдеріндегі олардың қызметтік міндеттерін орындауды қозғайтын өзгерістер туралы хабардар ету;
6. Жұмыспен қамту, еңбек қатынастарын өзгерту немесе тоқтату кезеңінде қызметкерлердің және сырттан тартылатын орындаушылардың ақпараттық қауіпсіздікті қамтамасыз етуге байланысты міндеттері мен жауапкершілігі туралы хабардарлығы және оларды орындауы;
7. Ақпараттық қауіпсіздік саласында қызметкерлерді оқыту және даярлау;
8. Қызметкерлердің және сырттан тартылатын орындаушылардың ақпараттық қауіпсіздікке қатысты міндеттемелерін орындау мүмкіндігін қамтамасыз ету үшін басшылықтың жауаптылығы.

4

АҚ оқиғаларының мониторингі және АҚ оқыс оқиғаларын басқару

1. Пайдаланушылардың, операторлардың, әкімшілердің іс-қимылдарын және операциялық жүйелердің, дерекқорын басқару жүйелерінің, вирусқа қарсы БҚ, қолданбалы БҚ, телекоммуникациялық жабдықтың, шабуылдарды айқындау мен болдырмау жүйелерінің, контентті басқару жүйесінің оқиғаларын тіркеу;
2. Оқиғаларды тіркеу журналдарын жүргізу, сақтау және қорғау;
3. Оқиғаларды тіркеу журналдарының талдауын жүзеге асыру;
4. Тіркелген оқиғалардың мониторингін жүргізіп, ақпараттық қауіпсіздік үшін маңыздылық дәрежесі жоғары және аса маңызды оқиғалар туралы хабарлау;
5. Ақпараттық қауіпсіздік оқиғасын бағалау және ол бойынша шешім қабылдау;
6. Ақпараттық қауіпсіздік оқыс оқиғаларына әрекет ету рәсімдерін әзірлеу, құжаттау, қызметкерлердің және сырттан тартылатын орындаушылардың назарына жеткізу, орындау;
7. Ақпараттық қауіпсіздік оқыс оқиғаларының талдауын жүргізу.

5

АҚ үздіксіздігін басқару

1. Ақпараттық қауіпсіздіктің үздіксіздігін жоспарлау;
2. Ақпараттық қауіпсіздікті қамтамасыз ету процесінің немесе бизнес процестердің үздіксіздігін бұзудың ықтимал себебі болып табылатын оқиғаларды сәйкестендіру;
3. Штаттан тыс (дағдарысты) жағдайларда ақпараттық қауіпсіздік үздіксіздігінің қажетті деңгейін қолдап отыру процестері мен рәсімдерін әзірлеу (өзектілендіру) және енгізу;
4. Штаттан тыс (дағдарысты) жағдайлар кезіндегі рәсімдерді айқындау, құжаттау, қызметкерлердің және сырттан тартылатын орындаушылардың назарына жеткізу, орындау;
5. Ақпараттық қауіпсіздіктің үздіксіздігін қамтамасыз ету процестері мен рәсімдерін тексеру (тестілеу), талдау және бағалау;
6. Заңнама талаптарын ескере отырып, ақпаратты өңдеу құралдарын, ақпараттандыру объектісін резервілеу.

6

Желілік қауіпсіздікті басқару

1. Желілік қауіпсіздікті басқару рәсімдерін айқындау, құжаттау, қызметкерлердің және сырттан тартылатын орындаушылардың назарына жеткізу, орындау;
2. Барлық желілік қызметтер мен сервистердің қауіпсіздігін, қолжетімділік деңгейлерін қамтамасыз ету механизмдерін анықтау және желілерге қызмет көрсету мен ақпаратты беру жөніндегі келісімдерге енгізу;
3. Желілер мен желілік қызметтерді пайдалану, ақпаратты жіберу, Интернетке, телекоммуникация және байланыс желілеріне қосылу мен желілік ресурстарға сымсыз қолжетімділікті пайдалану саясаттарын және ресімдерін айқындау, құжаттау, қызметкерлердің және сырттан тартылатын орындаушылардың назарына жеткізу, орындау;
4. Желі арқылы жіберілетін ақпарат пен электрондық хабарламаларды қорғау құралдарын қолдану бойынша рәсімдерді айқындау, құжаттау және орындау;
5. Желіні құрылымдау мен сегменттеу;
6. Желіні қосу және өзара іс-қимылының заңнама талаптары ескерілген әдістері.

7

Криптографиялық қорғау әдістері

1. Криптографиялық кілттерді жасау, есепке алу, сақтау, беру, пайдалану, қайтару (жою), қорғау мәселелерін қамтитын криптографиялық кілттерді басқарудың заңнама талаптары ескеріліп реттелуі;
2. Аутентификация деректерін қоса алғанда, ақпаратты сақтау және беру кезінде криптографиялық құралдарды пайдалану.

8

Ақпараттық қауіпсіздік тәуекелдерін басқару

1. Тәуекелдерді басқару әдістемесін таңдау;
2. Сәйкестендірілген және сыныпталған активтердің қатерлерін (тәуекелдерін) сәйкестендіру және ақпараттық қауіпсіздік қатерлерінің (тәуекелдерінің) каталогын қалыптастыру (өзектілендіру). Ақпараттық қауіпсіздікті қамтамасыз ету процестеріне байланысты тәуекелдерді қатерлер (тәуекелдер) каталогында көрсету;
3. Сәйкестендірілген тәуекелдерді бағалау (қайта бағалау);
4. Тәуекелдерді өңдеу, тәуекелдерді өңдеу жоспарын қалыптастыру және бекіту (өзектілендіру);
5. Тәуекелдердің мониторингін жүргізу және қайта қарау.

9

Қолжетімділікті басқару

1. Ақпаратқа, қолданбалы жүйелердің функцияларына, қызметтерге, жүйелік БҚ, желілер мен желілік сервистерге қол жеткізу құқықтарын бөлу қағидаларын әзірлеу (өзектілендіру), құжаттау, пайдаланушыларды таныстыру;
2. Пайдаланушыларды авторландырудың және аутентификациялаудың, сәйкестендірудің қолданыстағы әдістері мен рәсімдері;
3. Электрондық ақпараттық ресурстарға қол жеткізу құқығының аражігін ажырату қағидаларында белгіленген қол жеткізу рұқсатының аражігін ажырату қағидаларын жүзеге асыру;
4. Пайдаланушыларды тіркеу және тіркеуді (бұғаттауды) жою рәсімдері;
5. Қол жеткізу құқықтары артықшылықты есептік жазбаларды басқару;
6. Пайдаланушылардың аутентификациясы рәсімдерінде криптографиялық әдістерді қолдану және басқару;
7. Қол жеткізу құқықтарын өзгертулерді басқару;
8. Парольдерді басқару;
9. Артықшылықты утилиталарды пайдалану;
10. Сынақ объектісінің бастапқы кодына қол жеткізуді басқару.

10

Физикалық қауіпсіздік және табиғи қатерлерден қорғау

1. Заңнама талаптарын ескере отырып, серверлік, телекоммуникациялық жабдықты, деректерді сақтау жүйелерін орналастыру;
2. Ақпараттық-коммуникациялық технологиялармен байланысты активтер орналастырылған орынжайлардың қауіпсіздік периметрін физикалық қорғау;
3. Негізгі және резервтік серверлік орынжайлардың заңнама талаптары ескеріліп ұйымдастырылуы;
4. Негізгі және резервтік серверлік орынжайлардың қамтамасыз ету жүйелерімен заңнама талаптары ескеріліп жарақтандырылуы;
5. Серверлік орынжайларға бақыланбалы кіруді ұйымдастыру;
6. Серверлік орынжайдағы жұмысты ұйымдастыру;
7. Серверлік және телекоммуникациялық жабдықты, деректерді сақтау жүйелері мен қамтамасыз ету жүйелерін техникалық қолдап отыру және қызмет көрсету жөніндегі жұмыстарды ұйымдастыру;
8. Электр энергиясымен жабдықтау жүйесіндегі тоқтап қалулар мен коммуналдық қызметтердің жұмысындағы кідірулерден туындайтын басқа да бұзылулардан жабдықты қорғау тәсілдері;
9. Кәбіл жүйесінің қауіпсіздігін қамтамасыз ету.

11

АҚ қамтамасыз етуді пайдалану рәсімдері

1. Ақпараттық қауіпсіздікті қамтамасыз етуді пайдалану рәсімдерін регламенттейтін нұсқалуықтарды әзірлеу (өзектілендіру), құжаттау, пайдаланушыларды таныстыру;
2. Ақпараттық қауіпсіздікті қамтамасыз ету құралдары мен жүйелерін пайдалану;
3. Ақпаратты резервтік көшіру рәсімдері және көшіру нәтижелерін тестілеу. Резервтік көшірмелерді сақтау орындарының қауіпсіздігі;
4. Оқиғаларды тіркеу журналдарының уақытын бірыңғай уақыт көзімен синхрондау;
5. Пайдаланылатын жүйелерде қолданбалы және жүйелік БҚ жаңа нұсқаларын орнату кезінде өзгерістерді басқару рәсімдері;
6. БҚ осалдықтарын бақылау және басқару;
7. Қызметкерлерді мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидаларының ережелерімен таныстыру және оларды іске асыру;
8. Қашықтықтан жұмыс істеуді ұйымдастыру жөніндегі нұсқаулықты әзірлеу (өзектілендіру), қызметкерлерді таныстыру, оның ережелерін іске асыру;
9. Сынақ объектісінің жұмысқа қабілеттілігін мониторингтеу;
10. Әзірлеу, тестілеу және пайдалану орталарын бөлу;
11. Электрондық пошта хабарламаларын және ақпаратты Интернет арқылы жіберу кезінде құпиялылықты қамтамасыз ету;
12. Заңнама талаптарына сәйкес Интернетті беру және сыртқы электрондық пошталық жүйелермен өзара іс-қимыл әдістері;
13. Интернет ресурстарына қол жеткізу кезіндегі шектеулер және фильтрлеу тәртібі.

12

Заңнама және шарттық талаптарға сәйкестік

1. Сынақ объектісіне қойылатын заңнама, нормативтік, өзге міндетті, шарттық талаптарды айқындау (өзектілендіру), құжаттау;
2. Зияткерлік меншікке берілетін құқықтарға байланысты заңнама, нормативтік және шарттық талаптарға сәйкестікті іске асыратын рәсімдерді енгізу;
3. Заңнама талаптарына сәйкес келетін құпия және дербес деректерді қорғау саясаттарын әзірлеу мен іске асыру;
4. Қолданылатын криптографиялық әдістер мен құралдардың заңнама талаптарына және келісімдерге (шарттарға) сәйкестігі;
5. Ақпараттық қауіпсіздік аудитін жүргізу;
6. Сынақ объектісіне ақпараттық қауіпсіздік бойынша заңнама, стандарттар мен техникалық құжаттама талаптарына сәйкестігіне талдау жүргізу;
7. Заңнама, нормативтік және шарттық талаптарға сәйкес жазбаларды зақымдаудан, бұрмалаудан, заңсыз қол жеткізуден және заңсыз шығарудан қорғау.

13

Жүйелерді сатып алу, әзірлеу және оларға қызмет көрсету

1. Сынақ объектісіне арналған техникалық құжаттаманың құрамына ақпараттық қауіпсіздікке байланысты және қолданыстағы заңнама мен стандарттарға сәйкес келетін талаптарды енгізу (өзектілендіру);
2. Пайдаланылатын жүйелерге арналған БҚ (жүйелік және қолданбалы) өзгерістерін басқарудың қауіпсіз рәсімдерін айқындау және қолдану;
3. Сыртқы ұйым жүзеге асыратын сынақ объектісінің БҚ әзірлеу процесін бақылау;
4. Сыртқы ұйым жүзеге асыратын жүйені техникалық қолдап отыру процесін бақылау;
5. Жүйенің қауіпсіздік функцияларын тестілеу.

  Қазақстан Республикасы
Цифрлық даму, қорғаныс
және аэроғарыш
өнеркәсібі министрінің
2019 жылғы 3маусымдағы
№ 111 бұйрығына
2-қосымша

"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары

      Ескерту. Қағида жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 № 121/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

1-тарау. Жалпы ережелер

      1. Осы "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 5) тармақшасына және "Мемлекеттік көрсетілетін қызметтер туралы" Қазақстан Республикасы Заңының (бұдан әрі – "Мемлекеттік көрсетілетін қызметтер туралы" Заң) 10-бабының 1) тармақшасына сәйкес әзірленді және "электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібін айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      2. Осы Қағидаларда мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) ақпараттық жүйе – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсететін персонал мен техникалық құжаттаманың ұйымдастырушылық ретке келтірілген жиынтығы;

      2) ақпараттық жүйенің кіші жүйесі – ақпараттық жүйенің мақсатына қол жеткізу үшін қажетті, оның белгілі бір функцияларын іске асыратын, ақпараттық жүйенің жиынтық бөлігі (құрауышы);

      3) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалу жай-күйі;

      4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ жөніндегі ТҚ) – Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға сәйкес әзірленген және сынақ объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі жалпы талаптарды, қағидаттар мен қағидаларды регламенттейтін құжаттар жиынтығы;

      5) бағдарламалық қамтылым – бағдарламаларды, бағдарламалық кодтарды, сондай-ақ техникалық құжаттамаларды пайдалану үшін қажетті өнімдердің жиынтығы;

      6) бағдарламалық өнім – әзірлеушілеріне қарамастан, техникалық құжаттамада белгіленген жүйелік талаптарға сәйкес көзделген мақсаттарда пайдаланылуы мүмкін, тауар болып табылатын дербес бағдарлама немесе бағдарламалық қамтылымның бір бөлігі;

      7) бастапқы кодтар – сынақ объектісінің компакт-дискіде сәтті компиляциялануы үшін файлдар мен кітапханаларды қоса алғанда сынақ объектісінің модульдері мен компоненттерінің бастапқы кодтары;

      8) бөлінген сынақ объектісі – бірдей архитектура бойынша құрылған, бірдей мақсаттарға арналған, бірдей функциялар атқаратын және бірдей қолданбалы бағдарламалық қамтылымды пайдаланатын көптеген, соның ішінде белгісіз, тораптардан тұратын сынақ объектісі;

      9) интернет-ресурс – бірегей желілік мекенжайы және (немесе) домендік атауы бар және Интернетте жұмыс істейтін аппараттық-бағдарламалық кешенде орналастырылған ақпарат (мәтіндік, графикалық, аудиовизуалды немесе өзге түрде).

      10) қызмет беруші – мемлекеттік техникалық қызмет немесе аккредиттелген сынақ зертханасы;

      11) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      12) өтініш беруші – сынақ объектісінің меншік иесі немесе иеленушісі, сондай-ақ сынақ объектісінің меншік иесі немесе иеленушісі өкілеттік берген ақпараттандыру объектісінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;

      13) сынақ зертханасы – сынақтарды жүзеге асыратын, техникалық реттеу туралы заңнамаға сәйкес аккредиттелген заңды тұлға немесе оның атынан әрекет ететін заңды тұлғаның құрылымдық бөлімшесі;

      14) сынақ объектісі – оған қатысты ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өткізу жөніндегі жұмыстар жүргізілетін ақпараттандыру объектісі;

      15) штаттық пайдалану ортасы – ақпараттандыру объектісін тәжірибелік пайдалану (пилоттық жоба) кезеңінде қолданылатын және өнеркәсіптік пайдалану кезеңінде қолдануға арналған серверлік жабдықтың, желілік инфрақұрылымның, жүйелік бағдарламалық қамтылымның нысаналы жиынтығы;

      16) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы – мемлекеттік органның қызметін автоматтандыруға, оның ішінде мемлекеттік функцияларды автоматтандыруға және олардан туындайтын мемлекеттік қызметтерді көрсетуге, сондай-ақ мемлекеттік электрондық ақпараттық ресурстарды орталықтандырылған жинауға, өңдеуге, сақтауға арналған технологиялық платформа;

      17) SYNAQ интернет-порталы – "электрондық үкіметтің" ақпараттандыру объектілерін және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерді ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау бойынша қызмет көрсету процесін автоматтандыруға арналған мемлекеттік техникалық қызметтің интернет-порталы.

      Ескерту. 2-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      3. Ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар міндетті түрде немесе меншік иесінің немесе иеленушінің бастамасы бойынша жүргізіледі.

      4. Ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті сынауға жататын сынақ объектілеріне:

      1) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасында құрылған және (немесе) орналастырылған бағдарламалық қамтылым (бағдарламалық өнім);

      2) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;

      3) мемлекеттік органның, мемлекеттік заңды тұлғаның, квазимемлекеттік сектор субъектісінің интернет-ресурсы;

      4) мемлекеттік органның, мемлекеттік заңды тұлғаның, квазимемлекеттік сектор субъектісінің ақпараттық жүйесі;

      5) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері;

      6) мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтерді көрсетуге арналған мемлекеттік емес ақпараттық жүйе жатады.

      Ескерту. 4-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      5. Қазақстан Республикасы ұлттық куәландырушы органының электрондық цифрлық қолтаңбаның түпнұсқалылығын тексеру бойынша сервистерін пайдалануға арналған мемлекеттік органның ақпараттық жүйесі мен мемлекеттік емес ақпараттық жүйесіне ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өту талап етілмейді.

      6. Объектілерді АҚ талаптарына сәйкестікке сынақтар (бұдан әрі – сынақтар) өткізу объектілерінің техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау бойынша жұмыстарды қамтиды және сынақтар объектісін пайдаланудың штаттық ортасында жүргізіледі.

      7. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасында құрылған және (немесе) орналастырылған бағдарламалық қамтылымды (бағдарламалық өнімді) және "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектілерін сынақтан өткізудің құрамына мынадай жұмыс түрлері кіреді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау;

      4) желілік инфрақұрылымды зерттеп-қарау;

      5) АҚ қамтамасыз ету процестерін зерттеп-қарау.

      Ескерту. 7-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      8. Сынақ объектісінің бастапқы коды болмаған немесе сынақтардың басқа түр(лер)ін жүргізу мүмкін болмаған жағдайда, сынақ объектісінің бастапқы кодына талдау немесе сынақтардың басқа түр(лер)ін жүргізудің міндетті еместігі туралы шешім өтінім берушінің сұрау салуы Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті (бұдан әрі – Комитет) шешімімен белгіленеді.

      Комитет орган осы Қағидаларға 7-тармаққа сәйкес сынақтардың басқа түрлерін жүргізу кезеңінде өтініш берушінің сынақ объектісінің бастапқы кодына талдау немесе сынақтардың басқа түр(лер)ін жүргізбеу туралы сұрау салуының негізділігін тексеру туралы қызмет берушіге тапсырма беруге құқылы.

      9. "Электронды үкіметтің" ақпараттық-коммуникациялық платформасында құрылған және (немесе) орналастырылған бағдарламалық қамтылымды (бағдарламалық өтінімді) сынауға:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау кіреді.

      Ескерту. 9-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      10. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынақтан өткізуге:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) желілік инфрақұрылымын зерттеп-қарау;

      4) АҚ қамтамасыз ету процестерін зерттеп-қарау кіреді.

      11. Біртекті бөлінген сынақ объектілеріне сынақтар бөлінген сынақ объектісінің орталық торап(тар)ы мен бөлінген сынақ объектісі тораптарының жалпы санының оннан бір бөлігінен кем емес санын құрайтын кейбір (өтініш берушімен келісу бойынша) жеке тораптары үшін жүргізіледі.

      Біртекті бөлінген сынақ объектісінің орталық торап(тар)ы үшін сынақтар жұмыс түрлерінің толық құрамымен жүргізіледі.

      Біртекті бөлінген сынақ объектісінің тораптары үшін жүргізілетін сынақтардың құрамына:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау кіреді.

      12. Мемлекеттік техникалық қызмет "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақ жүргізеді.

      13. Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне ("электрондық үкіметтің" ақпараттандыру объектілері болып табылатындарды қоспағанда) жатқызылған ақпараттық жүйенің және "электрондық үкіметтің" ақпараттандыру объектілеріне жатқызылмаған өзге ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтарды аккредиттелген сынақ зертханалары жүргізеді.

      14. Сынақ объектісінің басқа ақпараттандыру объектісімен интеграциялануы (қолданыстағы немесе жоспарлы) жағдайында, сынақтар сынақ объектісінің құрамына интеграциялауды қамтамасыз ететін компоненттер енгізу (интеграциялау модулі, ішкі интеграциялау жүйесі, интеграциялық шина немесе басқа) арқылы жүргізіледі.

2-тарау. Ақпараттандыру объектілеріне ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтарды мемлекеттік техникалық қызметте жүргізу тәртібі

      15. Сынақтарды жүргізу үшін өтініш беруші SYNAQ интернет-порталында осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінімді (бұдан әрі – өтінім) толтырады, электрондық цифрлық қолтаңбамен (бұдан әрі – ЭЦҚ) қол қояды және мынадай құжаттарды қоса бере отырып, мемлекеттік техникалық қызметке береді:

      1) SYNAQ интернет-порталында сынақ объектісі меншік иесінің (иеленушісінің) ЭЦҚ арқылы куәландырылған осы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық;

      2) шарттарға қол қоюға өкілеттік берілген тұлғаның атына сенімхаттың немесе заңды тұлғаның басшысын тағайындау туралы құжаттың электрондық көшірмесі (заңды тұлғалар үшін);

      3) меншік иесі немесе иеленушісі бекіткен ақпараттандыру объектісіне арналған техникалық тапсырма немесе техникалық ерекшелігінің электрондық көшірмесі;

      4) сәтті компиляция үшін қажетті сынақ объектісінің компоненттері мен модульдерінің бастапқы кодтары кітапханалармен және файлдармен (қажет болған жағдайда);

      5) осы Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің бекітілген ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының электрондық көшірмелері (қажет болған кезде);

      6) иеленушісі (меншік иесі) сынақтар жүргізуге өтінім беруге өтініш берушіге уәкілеттік беретін құжаттың электрондық көшірмесі (қажет болған кезде).

      Ескерту. 15-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      16. Өтініш беруші сатып алуды мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған жағдайда, сынықтар жүргізуге өтінім ағымдағы жылдың 1 қарашасынан кешіктірмей қабылданады.

      17. Мемлекеттік техникалық қызмет өтінімді алған күнінен бастап үш жұмыс күні ішінде осы Қағидаларға 15-тармақта көрсетілген құжаттардың толықтығын тексеруді жүзеге асырады.

      18. Осы Қағидаларға 15-тармақта көрсетілген талаптарға сәйкес өтінім және қоса берілген құжаттар сәйкес келмеген жағдайда, өтінім қайтару себептерін көрсете отырып, өтініш берушіге кері қайтарылады.

      19. Мемлекеттік техникалық қызмет осы Қағидалардың 15-тармағына сәйкес құжаттар топтамасының толық болуына өтінімді тексергеннен кейін үш жұмыс күні ішінде өтініш берушіге:

      1) сатып алуды өтініш беруші мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған кезде, сынақтар жүргізуге арналған шартқа техникалық ерекшеліктің жобасын жібереді. Өтініш беруші техникалық ерекшеліктің жобасын алған күнінен бастап үш жұмыс күні ішінде мемлекеттік сатып алу веб-порталына мемлекеттік сатып алу туралы шартты тікелей жасау арқылы бір көзден алу тәсілімен мемлекеттік сатып алу туралы шарттың жобасын орналастырады;

      2) сатып алуды өтініш беруші мемлекеттік сатып алу веб-порталын қолданусыз жүзеге асырған кезде, сынақтар жүргізуге арналған шарттың екі данасын жібереді. Өтініш беруші жоғарыда көрсетілген шарттың екі данасын алған күнінен бастап бес жұмыс күні ішінде оларға қол қояды және шарттың бір данасын мемлекеттік техникалық қызметке қайтарады.

      Ескерту. 19-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      20. Егер өтініш беруші сатып алуды мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған болса және 15 қарашаға дейінгі мерзімде мемлекеттік сатып алу веб-порталында мемлекеттік сатып алу туралы шартты орналастырмаған жағдайда, өтінім жойылады және өтініш берушіге қайтарылады

      21. Сынақтар мерзімі өтініш берушімен келісіледі және сынақтар жүргізу бойынша жұмыстардың көлемі мен сынақ объектісінің сыныптау сипаттамаларына байланысты болады.

      Сынақтар мерзімін келісу мүмкін болмаған жағдайда, өтінім сынақтар мерзімін айқындау үшін Комитетке жүгіну мүмкіндігі көрсетіліп, қанағаттандырусыз өтініш берушіге кері қайтарылады.

      22. Сынақтар жүргізу үшін өтініш беруші мемлекеттік техникалық қызметке мыналарды қамтамасыз етеді:

      1) жұмыс орнын, пайдаланушының жұмыс орнына, серверлік және желілік жабдыққа, фото және бейне тіркеуді жүргізе отырып, сынақ объектісінің телекоммуникация желісіне және сынақ объектісіне арналған құжаттамаға және ілеспе құжаттамаға, оның ішінде сынақ объектісін және сынақ объектісінің құрамына кіретін компоненттерді сүйемелдеуге және техникалық қолдап отыруға арналған шарттарға физикалық қолжетімділік;

      2) сынақ объектісінің функцияларын техникалық құжаттама талаптарына сәйкес көрсету.

      Ескерту. 22-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      23. Өтініш берушінің осы Қағидаларға 22-тармақта көрсетілген талаптарын қамтамасыз ету мүмкінсіздігі жағдайында, шартқа оны орындау мерзімін ұзарту туралы қосымша келісімге қол қоюды ескере отырып, сынақтар Өтініш берушіге оларды қамтамасыз ету үшін қажетті уақытқа тоқтатылады.

      24. Сынақтар "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.

      25. Сынақтар жүргізу кезінде осы Қағидалардың 15-тармағының 1) тармақшасына сәйкес берілген сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақ объектісінің нақты жай-күйі арасында алшақтық анықталған жағдайда, өтініш беруші SYNAQ интернет-порталында сынақ объектісі меншік иесінің (иеленушісінің) ЭЦҚ-мен куәландырылған сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты мемлекеттік техникалық қызметке жібереді. Сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулық (қажет болған жағдайда) сынақтар мерзімін ұзартуға және сынақтар жүргізу құнын өзгертуге қосымша келісім жасасу үшін негіз болады.

      Ескерту. 25-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      26. Қажет болған кезде, сынақтар кезінде сынақ мерзімі аяқталғанға дейін жұмыстардың бір немесе бірнеше түрі бойынша қайтадан сынақтар жүргізу қажеттілігі айқындалса, өтініш беруші сұрау салумен мемлекеттік техникалық қызметке жүгінеді және осы жұмыс түрлері бойынша қайтадан сынақ жүргізу туралы қосымша келісім жасалады.

      27. Сынақтарға кіретін жұмыстардың нәтижелері және анықталған сәйкессіздіктерді жою жөніндегі ұсынымдар барлық жұмыс түрлері аяқталғаннан кейін өтініш берушінің SYNAQ интернет-порталындағы жеке кабинетінде орналастырылатын жеке хаттамаларға енгізіледі.

      Ескерту. 27-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      28. Мемлекеттік техникалық қызметтің сынақтарға кіретін жұмыстардың әрбір түрін жүргізуінің бағалары Заңның 14-бабының 2-тармағына сәйкес белгіленеді.

      29. Сынақтар жүргізу құнын есептеу үшін өтініш беруші мемлекеттік техникалық қызметке SYNAQ интернет-порталында сынақ объектісі меншік иесінің (иеленушісінің) ЭЦҚ-мен куәландырылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықты жібереді.

      Ескерту. 29-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      30. Өтініш беруші жүргізілген жұмыстар бойынша сынақтардың хаттамалары SYNAQ интернет-порталында орналастырылған күнінен бастап жиырма жұмыс күні ішінде сынақтар кезінде анықталған сәйкессіздіктерді жойса және анықталған сәйкессіздіктерді түзету нәтижелерімен салыстыру кестесін қоса бере отырып, SYNAQ интернет-порталы арқылы қайта сынақтар жүргізуге сұрау салуды мемлекеттік техникалық қызметке жіберсе, мемлекеттік техникалық қызмет өтініш берушіден сұрау салуды алған күннен бастап он бес жұмыс күні ішінде аталған жұмыс түрлері бойынша тиісті құжаттарды рәсімдей отырып, ақысыз негізде қайтадан сынақтар жүргізеді.

      Белгіленген мерзімді өткізіп алу сынақтарды осы Қағидаларда белгіленген жалпы тәртіпте жүргізу үшін негіздеме болып табылады.

      Ескерту. 30-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      31. Сынақ объектісінің бағдарламалық қамтылымына өзгерістер енгізуге байланысты сәйкессіздіктерді жойғаннан кейін қайтадан сынақ жүргізген кезде бастапқы кодқа талдау жүргізіледі.

      Бұл ретте өтініш беруші қайтадан сынақтар жүргізу туралы сұрау салуға сынақ объектісінің сәтті компиляциясы үшін қажетті кітапханалары мен файлдары бар сынақ объектісі компоненттерінің және модульдерінің бастапқы кодтарын қоса береді.

      Ескерту. 31-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      32. Қайтадан сынақтар жүргізген кезде сәйкессіздіктер анықталған жағдайда, мемлекеттік техникалық қызмет теріс қорытынды бар хаттаманы ресімдейді, одан кейін сынақтар осы Қағидаларға 2-тарауда белгіленген тәртіппен жүргізіледі.

      33. Сынақ хаттамаларын жоғалтқан, бүлдірген немесе олар зақымдалған, сондай-ақ сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтағы деректер өзгерген кезде, бұрын сынақтар жүргізу кезінде бір немесе бірнеше жұмыс түрлері бойынша теріс нәтижемен қағаз жеткізгіште хаттамалар алған сынақ обьектілері үшін сынақ обьектісінің меншік иесі немесе иеленушісі мемлекеттік техникалық қызметке себептерін көрсете отырып, хабарлама жібереді.

      Мемлекеттік техникалық қызмет хабарламаны алған күннен бастап бес жұмыс күні ішінде бұрын берілген сынақ хаттамасының (лардың) телнұсқасын не сынақ объектісінің сипаттамалары туралы өзектілендірілген сауалнама-сұраулығы бар сынақ хаттамасының (лардың) телнұсқасын береді.

      Ескерту. 33-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

3-тарау. Ақпараттандыру объектілеріне ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтарды сынақ зертханаларында жүргізу тәртібі

      34. Сынақтарды сынақ зертханаларында жүргізуге шарттар жасау тәртібі Қазақстан Республикасының Азаматтық кодексіне сәйкес айқындалады.

      35. Сынақтар жүргізу үшін өтініш беруші мынадай құжаттарды ұсына отырып, мемлекеттік техникалық қызметке қағаз тасымалдауышта ілеспе хатпен осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді:

      1) шарттарға қол қоюға уәкілеттік берілген тұлғаның атына сенімхаттың немесе заңды тұлғаның басшысын тағайындау туралы құжаттың көшірмесі (заңды тұлғалар үшін);

      2) сынақ объектісінің меншік иесі немесе иеленушісі бекіткен қағаз тасымалдауышта осы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық;

      3) меншік иесі немесе иеленушісі бекіткен компакт-дискіде ақпараттандыру объектісіне арналған техникалық тапсырма немесе техникалық ерекшелігі (қажет болған кезде);

      4) сәтті компиляция үшін қажетті сынақ объектілері компоненттерінің және кітапханалары мен файлдары бар модульдерінің бастапқы кодтары компакт-дискіде (қажет болған кезде);

      5) осы Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының тізбесінің бекітілген көшірмелері электрондық түрде компакт-дискіде (қажет болған кезде);

      6) иеленуші немесе меншік иесі сынақтар жүргізу туралы өтінім беруге өтініш берушіге өкілеттік беретін құжат (қажет болған кезде).

      36. Сынақтар "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.

      37. Егер өтініш беруші сынақ кезінде анықталған сәйкессіздіктерді атқарылған жұмыстар бойынша сынақ хаттамаларын алған күнінен бастап жиырма жұмыс күні ішінде жойса және айқындалған сәйкессіздіктерді түзету нәтижелерімен салыстыру кестесін қоса бере отырып, қызмет берушіге қайтадан сынақтар жүргізуге сұрау салу жіберсе, қызмет беруші өтініш берушіден хабарламаны алған күннен бастап он бес жұмыс күні ішінде аталған жұмыс түрлері бойынша тиісті құжаттарды ресімдей отырып, өтеусіз негізде қайтадан сынақтар жүргізеді.

      Белгіленген мерзімді өткізіп алу осы Қағидаларда белгіленген жалпы тәртіпте сынақтар жүргізу үшін негіздеме болып табылады.

      38. Қайтадан сынақтар жүргізген кезде сәйкессіздіктер анықталған жағдайда, қызмет беруші теріс қорытынды бар хаттаманы ресімдейді, одан кейін сынақтар осы Қағидалардың 3-тарауында белгіленген тәртіппен жүргізіледі.

      39. Сынақтар хаттамалары жоғалған, бүлінген немесе зақымдалған кезде сынақ объектісінің меншік иесі немесе иеленушісі себептерін көрсете отырып, қызмет берушіге хабарлама жібереді.

      Қызметті беруші хабарламаны алған күнінен бастап бес жұмыс күні ішінде сынақтар хаттамаларының телнұсқасын береді.

4-тарау. Ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша акт беру тәртібі

      40. Осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні (бұдан әрі – сынақтар актісін) Комитет (бұдан әрі – көрсетілетін қызметті беруші) береді.

      "Ақпараттық қауіпсіздік талаптарының сәйкестігіне сынақ нәтижелері бойынша актіні беру" мемлекеттік көрсетілетін қызмет (бұдан әрі – мемлекеттік көрсетілетін қызмет) болып табылады.

      Мемлекеттік қызмет көрсету ерекшеліктері ескеріле отырып, қызмет көрсету процесінің сипаттамаларын, нысанын, мазмұны мен нәтижесін, сондай-ақ өзге де мәліметтерді қамтитын мемлекеттік қызмет көрсетуге қойылатын негізгі талаптар тізбесі мемлекеттік қызмет көрсету стандартында осы Қағидаларға 6-қосымшаға сәйкес жазылған.

      Ескерту. 40-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      41. Көрсетілетін қызметті алушы "электрондық үкіметтің" веб-порталы (бұдан әрі – портал) арқылы осы Қағидаларға 6-қосымшаның 8-тармағына сәйкес мемлекеттік қызметті көрсетуге қойылатын негізгі талаптар тізбесінде көрсетілген мемлекеттік қызмет көрсету үшін қажетті құжаттар тізбесін ұсынады.

      Ескерту. 41-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      42. Сынақтар актісін алу үшін өтініш беруші (бұдан әрі – көрсетілетін қызметті алушы) көрсетілетін қызметті берушіге портал арқылы осы Қағидалардың 7-11-тармақтарында айқындалған хаттамалардың толық жиынтығымен, сынақ объектісінің меншік иесі немесе иеленушісі бекіткен осы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықты қоса бере отырып, осы Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш жібереді.

      Көрсетілетін қызметті алушы көрсетілетін қызметті берушіге барлық қажетті құжаттарды тапсырған кезде көрсетілетін қызметті алушының "жеке кабинетінде" өтінішті қабылдаудың растауы мемлекеттік көрсетілетін қызмет нәтижесін алу күнін көрсете отырып, мемлекеттік қызметті көрсету үшін сұрау салудың қабылданғаны туралы мәртебе көрсетіледі.

      Көрсетілетін қызметті беруші өтініш келіп түскен күні оларды қабылдауды және тіркеуді жүзеге асырады (өтініш беруші жұмыс уақыты аяқталғаннан кейін, Қазақстан Республикасының еңбек заңнамасына сәйкес демалыс немесе мереке күндері жүгінген кезде өтініштерді қабылдау келесі жұмыс күні жүзеге асырылады).

      Көрсетілетін қызметті беруші құжаттарды алған күннен бастап екі жұмыс күні ішінде ұсынылған құжаттардың толықтығын тексереді.

      Ұсынылған құжаттардың толық емес және (немесе) қолданылу мерзімі өтіп кеткен құжаттар фактісі анықталған кезде, көрсетілетін қызметті беруші көрсетілген мерзімдерде өтінішті одан әрі қараудан дәлелді бас тартады.

      Бұл ретте сынақтар актісіне енгізу үшін сынақтың жекелеген түрі бойынша хаттаманың қолданылу мерзімі хаттама берілген күннен бастап бір жылдан аспайды.

      Жеке басты куәландыратын құжаттар туралы мәліметтерді, заңды тұлғаны мемлекеттік тіркеу (қайта тіркеу) туралы куәлікті көрсетілетін қызметті беруші "электрондық үкімет" шлюзі арқылы тиісті мемлекеттік ақпараттық жүйелерден алады.

      Ескерту. 42-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      43. Сынақтар хаттамаларының оң нәтижелері кезінде өтініш тіркелген күнінен бастап он жұмыс күні ішінде қаралады. Осы Қағидалардың 7-11-тармақтарында айқындалған сынақтар хаттамаларының толық жиынтығы негізінде көрсетілетін қызметті беруші жеті жұмыс күні ішінде сынақтар хаттамаларын зерделейді және көрсетілетін қызметті берушіге ұсынылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақтар хаттамаларына қоса берілген сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтардың деректері арасындағы айырмашылықтарды белгілейді.

      Мемлекеттік қызметті көрсетуден бас тарту үшін негіздемелер анықталған кезде көрсетілетін қызметті беруші көрсетілетін қызметті алушыны мемлекеттік қызметті көрсетуден бас тарту туралы алдын ала шешімі, сондай-ақ Қазақстан Республикасы Әкімшілік рәсімдік-процестік кодексінің 73-бабына сәйкес, көрсетілетін қызметті алушыға алдын ала шешім бойынша ұстанымын білдіру мүмкіндігі үшін тыңдау өткізу уақыты мен орны (тәсілі) туралы хабардар етеді.

      Тыңдау туралы хабарлама мемлекеттік қызмет көрсету мерзімі аяқталғанға дейін кемінде үш жұмыс күні бұрын жіберіледі. Тыңдау хабардар етілген күннен бастап екі жұмыс күнінен кешіктірілмей жүргізіледі.

      Тыңдау нәтижелері бойынша көрсетілетін қызметті беруші сынақтар актісін немесе мемлекеттік қызметті көрсетуден дәлелді бас тартуды береді.

      Сынақтар актісін беру туралы оң шешім қабылданған кезде көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін көрсетілетін қызметті берушінің уәкілетті адамының ЭЦҚ-сы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.

      Ескерту. 43-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      44. Бір немесе бірнеше сынақ хаттамаларының теріс нәтижелері кезінде өтініш тіркелген күннен бастап он бес жұмыс күні ішінде қаралады.

      Осы Қағидалардың 7-11-тармақтарында айқындалған сынақ хаттамаларының толық жиынтығы негізінде көрсетілетін қызметті беруші сегіз жұмыс күні ішінде сынақ хаттамаларын зерделейді және көрсетілетін қызметті берушіге ұсынылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақ хаттамаларына қоса берілген сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтарының деректері арасындағы айырмашылықтарды белгілейді.

      Туындаған келіспеушіліктерді жою үшін тыңдау туралы хабарлама мемлекеттік қызмет көрсету мерзімі аяқталғанға дейін кемінде үш жұмыс күні бұрын жіберіледі. Тыңдау хабардар етілген күннен бастап екі жұмыс күнінен кешіктірілмей жүргізіледі.

      Көрсетілетін қызметті беруші көрсетілетін қызметті алушының және қызмет беруші (қызмет берушілердің) өкілдерін талқылауға шақырады және олардың қатысуымен мынадай:

      1) сынақ актісін беру туралы;

      2) сынақ актісін беруден бас тарту туралы шешімдердің бірін қабылдайды.

      Сынақтар актісін беру туралы оң шешім қабылданған кезде көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін көрсетілетін қызметті берушінің уәкілетті адамының ЭЦҚ-сы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.

      Сынақтар актісін беруден бас тарту туралы шешім қабылданған кезде көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісін беруден бас тарту туралы дәлелді жауапты көрсетілетін қызметті берушінің уәкілетті адамының ЭЦҚ-сы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.

      Ескерту. 44-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      46. Қағаз нысанда берілген сынақтар актісі (актілері) жоғалған, бүлінген немесе зақымдалған кезде сынақ объектісінің меншік иесі немесе иеленушісі себептерін көрсете отырып, сынақ актісінің телнұсқасын алуға көрсетілетін қызметті берушіге өтініш жібереді.

      Телнұсқаны беру үшін өтініш түскен кезде көрсетілетін қызметті беруші өтініш келіп түскен күні бұрын алынған құжаттардың электрондық көшірмелерін қоса тіркеп, оны портал арқылы рәсімдейді және өтінішті алған күннен бастап бес жұмыс күні ішінде көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жібереді.

      Ескерту. 46-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      47. Сынақтар актісінің жарамдылық мерзімі "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектісін өнеркәсіптік пайдалану мерзімімен немесе сынақ объектісін жаңғыртуды бастау сәтіне дейін шектеледі.

      "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасының сынақтар актісі бір жылға жарамдылық мерзімімен беріледі.

      48. Ақпараттандыру объектісінің жұмыс істеу жағдайлары мен функционалдығына өзгерістер енгізген кезде ақпараттандыру объектісінің меншік иесі немесе иеленушісі өзгерістерге әкелген жұмыстарды аяқтағаннан кейін көрсетілетін қызметті берушіге барлық жүргізілген өзгерістердің сипаттамасын және сынақтар объектісінің меншік иесінің немесе иеленушісімен бекітілген сынақтар объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты қоса беріп, хабарлама жібереді.

      Ескерту. 48-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      49. Көрсетілетін қызметті беруші ақпараттандыру объектісіне енгізілген өзгерістерді бес жұмыс күнінен аспайтын мерзімде қарайды және сынақтар актісін қайтарып алу және ақпараттандыру объектісінің жұмыс істеу жағдайлары және (немесе) функционалдығы өзгерген кезде функциялары бұзылған сынақтар түрін жүргізу қажеттілігі туралы шешім қабылдайды.

      Шешім осы Қағидаларға 8-қосымшаға сәйкес Ақпараттандыру объектісінің жұмыс істеуі және (немесе) функционалдығы өзгерістерінің тізбесін ескере отырып қабылданады.

      Ескерту. 49-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      50. Сынақтар актісін қайтарып алу кезінде меншік иесі немесе иеленуші үш ай мерзімде осы Қағидалардың 49-тармағының талаптарын ескере отырып, осы Қағидалардың 2 немесе 3-тарауында белгіленген тәртіппен сынақтардан өту туралы қызмет берушілерге өтінім беру үшін шаралар қолданады.

      Ескерту. 50-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

      51. Көрсетілетін қызметті беруші мынадай негіздер:

      1) Көрсетілетін қызметті берушіге ұсынылған сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақтар хаттамаларына қоса берілген сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері арасындағы айырмашылықты анықтау;

      2) көрсетілетін қызметті алушының және (немесе) мемлекеттік қызмет көрсету үшін қажетті ұсынылған материалдардың, объектілердің, деректердің және мәліметтердің Қазақстан Республикасының нормативтік құқықтық актілерінде белгіленген талаптарға сәйкес келмеуі бойынша сынақтар актісін беруден бас тартады.

      52. Ақпараттық қауіпсіздік талаптарына сәйкестікті сынау нәтижелері бойынша акт беру орталық мемлекеттік органдар, облыстардың, республикалық маңызы бар қалалардың, астананың, аудандардың, облыстық маңызы бар қалалардың жергілікті атқарушы органдарын, қаладағы аудандардың, аудандық маңызы бар қалалардың, кенттердің, ауылдардың, ауылдық округтердің әкімдері үшін осы тарауда көзделген тәртіпте іске асырылады.

      53. Мемлекеттік қызмет көрсету мәселелері бойынша шағымды қарауды Қазақстан Республикасы Әкімшілік рәсімдік-процестік кодексінің 91-бабына сәйкес, мемлекеттік қызметті көрсету мәселелері жөніндегі жоғары тұрған әкімшілік орган, лауазымды адам, мемлекеттік қызметтер көрсету сапасын бағалау және бақылау жөніндегі уәкілетті орган (бұдан әрі – шағымды қарайтын орган) жүргізеді.

      Шағым шешіміне, әрекетіне (әрекетсіздігіне) шағым берілетін көрсетілетін қызметті берушіге және (немесе) лауазымды адамға беріледі.

      Шешіміне, әрекетіне (әрекетсіздігіне) шағым берілген көрсетілетін қызметті беруші, лауазымды адам шағым келіп түскен күннен бастап үш жұмыс күнінен кешіктірмей оны және әкімшілік істі шағымды қарайтын органға жолдайды.

      Бұл ретте шешіміне, әрекетіне (әрекетсіздігіне) шағым берілген көрсетілетін қызметті беруші, лауазымды адам үш жұмыс күні ішінде шағымда көрсетілген талаптарды толық қанағаттандыратын шешім немесе өзге әкімшілік іс-қимыл қабылдаса, ол шағымды қарайтын органға шағымды жібермеуге құқылы.

      Көрсетілетін қызметті берушінің мекенжайына келіп түскен көрсетілетін қызметті алушының шағымы "Мемлекеттік көрсетілетін қызметтер туралы" 2013 жылғы 15 сәуірдегі Қазақстан Республикасы Заңының 25-бабының 2-тармағына сәйкес ол тіркелген күннен бастап бес жұмыс күні ішінде қаралуға жатады.

      Мемлекеттік қызметтер көрсету сапасын бағалау және бақылау жөніндегі уәкілетті органның атына келіп түскен көрсетілетін қызметті алушының шағымы тіркелген күнінен бастап он бес жұмыс күні ішінде қаралуға жатады.

      "Мемлекеттік көрсетілетін қызметтер туралы" Заңда өзгесі көзделмесе, сотқа дейінгі тәртіппен шағымданғаннан кейін сотқа жүгінуге жол беріледі.

      Ескерту. 53-тармақ жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

  Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
1-қосымша
  Нысан

      ____________________________________________________________________

      (қызмет берушінің атауы) ____________________________________________________________________

      (сынақтар жүргізу объектісінің атауы)

Ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтінім

      1. __________________________________________________________________

      (өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә. (болған кезде)

      бизнес-идентификациялық номер, банктік деректемелері)

      ____________________________________________________________________

      (өтініш берушінің пошта мекенжайы, e-maіl және телефоны, облыс, қала, аудан)

      мынадай жұмыстар құрамымен:

      1) __________________________________________________________________

      2) __________________________________________________________________

      3) __________________________________________________________________

      4) __________________________________________________________________

      5) __________________________________________________________________

      (осы Қағидалардың 7/8/9/10/11 тармағына сәйкес жұмыс түрлерінің тізбесі

      (қажетті тармақты көрсету))

      ____________________________________________________________________

      (сынақтар жүргізу объектісінің атауы, нұсқасының нөмірі, әзірлеу күні)

      сынақтар жүргізуді сұрайды.

      2. Сыналатын сынақ объектісінің иеленушісі (меншік иесі) туралы мәліметтер

      ____________________________________________________________________

      (атауы немесе Т.А.Ә. (болған кезде)

      ____________________________________________________________________

                  (облыс, қала, аудан, пошта мекенжайы, телефоны)

      3. Сыналатын сынақ объектісінің әзірлеушісі туралы мәліметтер

      ____________________________________________________________________

      (әзірлеуші туралы ақпарат, авторлар атауы немесе Т.А.Ә. (болған кезде)

      ____________________________________________________________________

                  (облыс, қала, аудан, пошта мекенжайы, телефоны)

      4. Қызмет берушімен байланысуға жауапты тұлғаның деректері:

      1) тегі, аты, әкесінің аты: ______________________________________________;

      2) лауазымы: ________________________________________________________;

      3) жұмыс телефоны: ____________, ұялы телефоны : ______________________;

      4) электрондық пошта мекенжайы: Е-maіl: ______@__________.

      Өтініш беруші ұйымның басшысы/өтініш берушінің Т.А.Ә. (болған кезде)

      _____________ (қолы, күні)

      (мөрдің орны) болған кезде

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
2-қосымша
  Нысан

      1. Сынақ объектісінің атауы:

      ____________________________________________________________________

      ____________________________________________________________________

      2. Сынақ объектісіне қысқаша аңдатпа

      ____________________________________________________________________

                        (мақсаты мен пайдалану аясы)

      3. Сынақ объектісінің сыныпталуы:

      1) қолданбалы бағдарламалық қамтылымның сыныбы __________________.

      2) Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 135 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тіркелімінде № 13349 болып тіркелген) бекітілген Ақпараттандыру объектілерін сыныптау қағидаларына 2-қосымшаның нысаны бойынша сыныптау схемасы.

      4. Сынақ объектісінің архитектурасы:

      1) сынақ объектісінің:

      сынақ объектісінің компоненттері, модульдері және олардың ІP-мекенжайлары;

      компоненттері немесе модульдері арасындағы байланыстары және ақпараттық ағындардың бағыттары;

      басқа ақпараттандыру объектілерімен интеграциялық өзара іс-қимылды қосу нүктелері; пайдаланушылар қосылған нүктелер;

      деректерді сақтау орындары мен технологиялары;

      қолданылатын резервтік жабдық;

      пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген функционалдық схемасы (қажет болған кезде);

      2) сынақ объектісінің:

      желінің архитектурасы мен сипаттамалары;

      серверлік және коммуникациялық жабдық;

      адрестеу мен қолданылатын желілік технологиялар;

      пайдаланылатын локалдық, ведомстволық (корпоративтік) және жаһандық желілері;

      жұмыс істемей қалу болмаушылығын қамтамасыз ету және резервтеу жөніндегі шешім(дер);

      пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген деректерді беру желісінің схемасы (қажет болған кезде);

      5. Сынақ объектісі туралы ақпарат:

      1) серверлерлік жабдық туралы ақпарат (кестені толтыру):

р/с №

Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары

Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы)

Пайдаланылатын ІP-мекенжайлары

1

2

3

4

5

6

7















      2) желілік жабдық туралы ақпарат (кестені толтыру):

р/с №

Желілік жабдықтың атауы (маркасы/моделі)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Пайдаланылатын желілік технологиялар

Пайдаланылатын желіні қорғау технологиялары

Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты

1

2

3

4

5

6

7















      3) серверлік және желілік жабдық орналасқан орны (кестені толтыру):

р/с №

Серверлік орынжайдың иеленушісі

Серверлік орынжайдың иеленушісінің заңды мекенжайы

Серверлік орынжайдың нақты орналасқан орны -мекенжайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде)

Жауапты тұлғалардың телефондары (жұмыс, ұялы)

1

2

3

4

5

6













      4) резервтік серверлік жабдықтың сипаттамалары (кестені толтыру):

р/с №

Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары

Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы)

Пайдаланылатын ІP-мекенжайлары

Резервтеу әдісі

1

2

3

4

5

6

7

8

















      5) резервтік желілік жабдықтың сипаттамалары (кестені толтыру):

р/с №

Желілік жабдықтың атауы (маркасы/моделі)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Пайдаланылатын желілік технологиялар

Пайдаланылатын желіні қорғау технологиялары

Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты

Резервтеу әдісі

1

2

3

4

5

6

7

8

















      6) резервтік серверлерлік және желілік жабдық орналасқан орны (кестені толтыру):

р/с №

Серверлік орынжайдың иеленушісі

Серверлік орынжайдың иеленушісінің заңды мекенжайы

Серверлік орынжайдың нақты орналасқан орны -мекенжайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде)

Жауапты тұлғалардың телефондары (жұмыс, ұялы)

1

2

3

4

5

6













      7) сынақ объекті желісінің құрылымы (кестені толтыру) (қажет болған кезде):

р/с №

Желі сегментінің атауы

Желінің ІP-мекенжайы / желі маскасы

1

2

3







      8) әкімшілердің жұмыс станциялары бойынша ақпарат (кестені толтыру):

р/с №

Әкімшінің рөлі

Әкімшілердің есептік жазбаларының саны

Интернетке қолжетімділіктің болуы

Серверге қашықтықтан қолжетімділіктің болуы

Әкімші жұмыс станциясының ІP-мекенжайы

Нақты орналасқан орны - жұмыс орнының мекенжайы

1

2

3

4

5

6

7















      9) мобильдік және интернет қосымшаларын пайдалануды қоса алғанда, қолданбалы бағдарламалық қамтылымды пайдаланушылар туралы ақпарат (кестені толтыру):

Р/с №

Пайдаланушының рөлі

Пайдаланушының типтік іс-қимылдарының тізбесі

Сынақ объектісіне пайдаланушыларды қосу нүктесінің мекенжайы және порты

Сынақ объектісіне пайдаланушыларды қосу нүктесінің хаттамасы

Сынақ объектісін құруға немесе дамытуға арналған техникалық құжатқа сәйкес пайдаланушылар саны

Секундына өңделетін сұраулардың (пакеттердің) барынша көп саны

Сұраулар арасында күтудің ең ұзақ уақыты

1

2

3

4

5

6

7

8

      10) сынақ объектісінің интеграциялық өзара іс-қимылы, соның ішінде болжамды, туралы ақпарат (кестені толтыру):

р/с №

Интеграциялық байланыстың (ақпараттандыру объектісінің) атауы

Интеграциялау объектісінің меншік иесі немесе иеленушісі

Қолданыстағы/жоспарлы

Интеграциялау модулінің болуы

Қосу нүктесінің мекенжайы

Қосу нүктесінің хаттамасы

Секундына сұраулардың (пакеттердің) барынша көп саны

Сұраулар арасында күтудің ең ұзақ уақыты

1

2

3

4

5

6

7

8

9



















      11) қолданбалы БҚ бастапқы кодтары (кестені толтыру) (қажет болған кезде):

р/с №

Дискінің маркалауы

Дискідегі каталогтың атауы

Файлдың атауы

Файлдың көлемі, Мбайт

Пайдаланылатын бағдарламалау тілі

Бағдарламалау тілінің нұсқасы

Әзірлеу ортасы

Әзірлеу ортасының нұсқасы

Файлдың түрлендірілген күні

1

2

3

4

5

6

7

8

9

10





















      12) пайдаланылатын кітапханалар мен бағдарламалық платформаның(лардың) бастапқы кодтары және орындалатын файлдары (қажет болған кезде):

р/с №

Дискінің маркалауы

Дискідегі каталогтың атауы

Кітапхана/бағдарламалық платформа/файл атауы

Көлемі, Мбайт

Бағдарламалау тілі (қажет болған кезде)

Кітапхана нұсқасы

1

2

3

4

5

6

7















      Ескерту. 5-тармаққа өзгеріс енгізілді – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 28.09.2020 № 356/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      6. Сыналатын объектіні құжаттау (кестені толтыру) (қажет болған кезде):

р/с

Құжаттың атауы

Бар болуы

Парақтар саны

Бекітілген күні

Оған сайкес құжат әзірленген стандарт немесе нормативтік құжат

1

2

3

4

5

6

1

Ақпараттық қауіпсіздік саясаты;





2

Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары;





3

Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;





4

Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары;





5

Есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары;





6

Ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары;





7

Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;





8

Электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары;





9

Интернетті және электрондық поштаны пайдалану қағидалары;





10

Аутентификация рәсімін ұйымдастыру қағидалары;





11

Вирусқа қарсы бақылауды ұйымдастыру қағидалары;





12

Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары;





13

Ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары;





14

Ақпаратты резервтік көшіру және қалпына келтіру регламенті;





15

Әкімшінің ақпараттандыру объектісін сүймелдеу жөніндегі басшылығы;





16

Пайдаланушылардың ақпараттық қауіпсіздіктің оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық.





      7. Бұрын өткен жұмыс түрлері немесе сынақтар туралы мәліметтер (хаттаманың нөмірі, күні):

      ____________________________________________________________________

      8. Сыналатын объектіге лицензияның болуы (авторлық құқықтың болуы, бастапқы кодты ұсынуға әзірлеуші ұйыммен келісімнің болуы)

      ____________________________________________________________________

      ____________________________________________________________________

      9. Қосымша ақпарат: __________________________________________________

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
3-қосымша

Сынақ объектісінің ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының тізбесі

      1. Ақпараттық қауіпсіздік саясаты;

      2. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары;

      3. Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

      4. Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары;

      5. Есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары;

      6. Ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары;

      7. Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;

      8. Электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары;

      9. Интернетті және электрондық поштаны пайдалану қағидалары;

      10. Аутентификация рәсімін ұйымдастыру қағидалары;

      11. Вирусқа қарсы бақылауды ұйымдастыру қағидалары;

      12. Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары;

      13. Ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары;

      14. Ақпаратты резервтік көшіру және қалпына келтіру регламенті;

      15. Әкімшінің ақпараттандыру объектісін сүймелдеу жөніндегі басшылығы;

      16. Пайдаланушылардың ақпараттық қауіпсіздіктің оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық.

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
4-қосымша
  Нысан

Ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу нәтижелері бойынша 20 __ жылғы "____" ______________№ ____ сынақтар актісі

      "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 11-1) тармақшасы негізінде 20 __ жылғы "____" ______________ Өтінімге сәйкес Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу нәтижелері бойынша

      _____________________________________________________________________

      (СО атауы)

      _____________________________________________________________________

      (серверлік және желілік жабдықтың нақты орналасқан орны)

      _____________________________________________________________________

      (сынақтар объектісі өтініш берушісінің атауы)

      _____________________________________________________________________

      (өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә. (болған кезде)

      сынақ түрлері бойынша келесі хаттамалар негізінде:

      1) 20 __ жылғы "__" __________ № ____ бастапқы кодтарды талдау хаттамасы, қызмет берушінің атауы;

      2) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздік функцияларын сынау хаттамасы, қызмет берушінің атауы;

      3) 20 __ жылғы "__" __________ № ____ жүктемелік сынау хаттамасы, қызмет берушінің атауы;

      4) 20 __ жылғы "__" __________ № ____ желілік инфрақұрылымды зерттеп-қарау хаттамасы, қызмет берушінің атауы;

      5) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы, қызмет берушінің атауы

      Қорытынды

      Жүргізілген сынақтар негізінде _____________________________________

      (сынақтар объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкес.

      Қосымша: Сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі

      Қазақстан Республикасы Цифрлық

      даму, инновациялар және аэроғарыш

      өнеркәсібі министрлігінің

      Ақпараттық қауіпсіздік комитетінің төрағасы ___________ ___________________

                                                      (қолы) Т.А.Ә. (болған кезде)

      20__ жылғы "____" ___________

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
5-қосымша
  Нысан

Сынақ объектісінің бастапқы кодтарын қабылдау-беру актісі

      Ескерту. 5-қосымша алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
6-қосымша

Мемлекеттік қызмет көрсетуге қойылатын негізгі талаптардың тізбесі

      Ескерту. 6-қосымша жаңа редакцияда - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

"Ақпараттық қауіпсіздік талаптарына сәйкестікті сынау нәтижелері бойынша акт беру" мемлекеттік көрсетілетін қызмет стандарты

1

Көрсетілетін қызметті берушінің атауы

ЦДИАӨМ Ақпараттық қауіпсіздік комитеті (бұдан әрі – көрсетілетін қызметті беруші)

2

Мемлекеттік қызмет көрсету тәсілдері (қол жеткізу арналары)

Өтінішті қабылдау және мемлекеттік қызметті көрсету нәтижесін беру "электрондық үкіметтің" веб-порталы (бұдан әрі – портал) арқылы жүзеге асырылады.

3

Мемлекеттік қызметті көрсету мерзімі

Көрсетілетін қызметті берушіге портал арқылы құжаттар топтамасын тапсырған сәттен бастап: 1) сынақ хаттамаларының оң нәтижелері кезінде – 10 (он) жұмыс күні. 2) бір немесе бірнеше сынақ хаттамаларының теріс нәтижелері кезінде – 15 (он бес) жұмыс күні.

4

Мемлекеттік қызмет көрсету нысаны

Электрондық (толық автоматтандырылған).

5

Мемлекеттік қызметті көрсетудің нәтижесі

Сынақ объектілерінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі қоса берілген сынақтар актісі не мемлекеттік қызметті көрсетуден бас тарту туралы дәлелді жауап болып табылады; Мемлекеттік қызметті ұсыну нысаны электрондық.

6

Мемлекеттік қызмет көрсету кезінде көрсетілетін қызметті алушыдан алынатын төлем мөлшері және Қазақстан Республикасының заңнамасында көзделген жағдайларда оны алу тәсілдері

Мемлекеттік қызмет жеке және заңды тұлғаларға (бұдан әрі – көрсетілетін қызметті алушы) тегін көрсетіледі.

7

Көрсетілетін қызметті берушінің және ақпарат объектілерінің жұмыс кестесі

1) көрсетілетін қызметті берушінің – Қазақстан Республикасының еңбек заңнамасына сәйкес демалыс және мереке күндерінен басқа, дүйсенбіден бастап жұманы қоса алғанда сағат 9.00-ден 18.30-ға дейін, сағат 13.00-ден 14.30-ға дейін түскі үзіліс.
2) порталдың – тәулік бойы, жөндеу жұмыстарын жүргізуге байланысты техникалық үзілістерді қоспағанда (Қазақстан Республикасының еңбек заңнамасына сәйкес демалыс және мереке күндері, жұмыс уақыты аяқталғаннан кейін көрсетілетін қызметті алушы жүгінген кезде, мемлекеттік қызмет көрсету өтінішін қабылдау және нәтижесін беру келесі жұмыс күні жүзеге асырылады).
Мемлекеттік қызмет көрсету орындарының мекенжайы www.egov.kz. порталыңда орналастырылды.

8

Мемлекеттік қызметті көрсету үшін қажет құжаттардың тізбесі:

Портал үшін:
"Электрондық үкіметтің" ақпараттық-коммуникациялық платформасында құрылған және (немесе) орналастырылған бағдарламалық қамтылымды (бағдарламалық өтінімді) және "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектілерін сынау кезінде:
Қағиданың 7-қосымшаға сәйкес нысан бойынша сынақтар актісін алуға өтініш; бастапқы кодтарды талдау хаттамасының электрондық көшірмесі; ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі; жүктемелік сынау хаттамасының электрондық көшірмесі; желілік инфрақұрылымды зерттеп-қарау хаттамасының электрондық көшірмесі; ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасының электрондық көшірмесі; сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидалардың 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың электрондық көшірмесі. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасында құрылған және (немесе) орналастырылған бағдарламалық қамтылымды (бағдарламалық өтінімді) сынау кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша сынақтар актісін алуға өтініш; бастапқы кодтарды талдау хаттамасының электрондық көшірмесі; ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі; жүктемелік сынау хаттамасының электрондық көшірмесі; сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың электрондық көшірмесі. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынау кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша сынақтар актісін алуға өтініш; бастапқы кодтарды талдау хаттамасының электрондық көшірмесі; ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі; желілік инфрақұрылымды зерттеп-қарау хаттамасының электрондық көшірмесі; ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасының электрондық көшірмесі; сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың электрондық көшірмесі. Біртекті бөлінген сынақ объектісінің тораптарын сынау кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша сынақтар актісін алуға өтініш; бастапқы кодтарды талдау хаттамасының электрондық көшірмесі; ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі; сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың электрондық көшірмесі.

9

Қазақстан Республикасының заңнамасында белгіленген мемлекеттік қызметті көрсетуден бас тарту негіздері

1) мемлекеттік көрсетілетін қызметті алу үшін көрсетілетін қызметті алушы ұсынған құжаттардың және (немесе) ондағы деректердің (мәліметтердің) дұрыс еместігін анықтау;
2) көрсетілетін қызметті алушының және (немесе) мемлекеттік қызмет көрсету үшін қажетті ұсынылған материалдардың, объектілердің, деректердің және мәліметтердің Қазақстан Республикасының нормативтік құқықтық актілерінде белгіленген талаптарға сәйкес келмеуі.

10

Мемлекеттік қызмет көрсетудің ерекшеліктерін ескере отырып, оның ішінде электрондық түрде және Мемлекеттік корпорация арқылы мемлекеттік қызмет көрсетуге қойылатын өзге де талаптар

Көрсетілетін қызметті алушының ЭЦҚ-сы болған жағдайда, мемлекеттік көрсетілетін қызметті электрондық нысанда портал арқылы алуына мүмкіндігі бар. Көрсетілетін қызметті алушы мемлекеттік қызмет көрсету тәртібі туралы ақпаратты порталдағы "жеке кабинеті" арқылы, сондай-ақ Бірыңғай байланыс орталығы арқылы қашықтықтан қол жеткізу режимінде алуға мүмкіндігі бар. Мемлекеттік қызмет портал арқылы көрсетілген кезде нашар көретіндерге арналған нұсқасы қолжетімді.
Мемлекеттік қызмет көрсету мәселелері бойынша анықтама қызметтерінің байланыс телефондары порталда көрсетілген. Бірыңғай байланыс орталығы: 1414, 8- 800- 080- 7777.

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
7-қосымша
  Нысан

Сынақтар актісін алуға Өтініш

      ___________________________________________________________________

      (өтініш берушінің атауы, БСН/ЖСН*, Т.А.Ә. (болған кезде)

      ___________________________________________________________________

      (өтініш берушінің пошталық мекенжайы, e-mail және телефоны, облыс, қала, аудан)

      ___________________________________________________________________

      ___________________________________________________________________

                        (сынақтар объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар нәтижелері бойынша акт беруді сұрайды.

      Қоса беріліп отырған құжаттар:

      1. сынақтар объектісінің иесі (меншік иесі) бекіткен сынақ объектінің сипаттамасы туралы сауалнама-сұраулық;

      2. бастапқы кодтарды талдау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      3. ақпараттық қауіпсіздік функцияларын сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      4. жүктемелік сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      5. желілік инфрақұрылымды зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      6. ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      Ақпараттық жүйелердегі заңмен қорғалатын құпияны құрайтын қол жеткізу шектеулі дербес деректерді пайдалануға келісім беремін.

      ________________

      (қолы) М.О. (болған кезде)

      20___ жылғы "__" ______________

      * бизнес сәйкестендіру нөмірі/жеке сәйкестендіру нөмірі

  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
8-қосымша

Ақпараттандыру объектісінің жұмыс істеуі және (немесе) функционалдығы өзгерістерінің тізбесі

      Ескерту. Әдістеме 8-қосымшамен толықтырылды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.09.2022 № 361/НҚ (01.01.2023 бастап қолданысқа енгізіледі) бұйрығымен.

Р/с

Жүргізілген өзгерістер

Бастапқы кодтарды талдау

Ақпараттық қауіпсіздік функциялары

Жүктемелік сынау

Желілік инфрақұрылымды зерттеп-қарау

Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеу

1

2

3

4

5

6

7

1.

Әзірлемелерортасын өзгерту (бағдарламалау тілі)

+

-

-

-

-

2.

ҚБҚ функциясын өзгерту

+

+

+

-

-

3.

Серверлік жабдықты ауыстыру

-

+

+

+

+

4.

Желілік жабдықты ауыстыру

-

-

+

+

-

5.

ОЖ, ДҚБЖ түрінің өзгеруі

-

+

+

-

-

6.

Сынақ объектісінің орналасу орнын өзгерту

-

+

-

+

+

7.

Сынақ объектісінің ішкі контурдан сыртқы контурға немесе керісінше көшуі

-

+

+

+

+

8.

Жаңа компонентті (серверді) қосу)

-

+

-

+

+

9.

Басқа АЖ-лармен жаңа интеграция

+

+

+

+

+

10.

Ақпараттандыру объектісі сыныбының өзгеруі

-

+

-

+

+

      Ескертпе:

      "+" - сынақтар жүргізу қажет;

      "-" - сынақтар жүргізудің қажеті жоқ.


Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18795.

      В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" и подпунктом 1) статьи 10 Закона Республики Казахстан от 15 апреля 2013 года "О государственных услугах" ПРИКАЗЫВАЮ:

      Сноска. Преамбула - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 № 121/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить:

      1) Методику проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

      2) Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

      2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ "Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

      3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения "Институт законодательства и правовой информации Республики Казахстан" Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.

      4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития, оборонной и аэрокосмической
промышленности
Республики Казахстан
А. Жумагалиев

 

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
"___" ____________2019 года

  Приложение 1
к приказу Министра
цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ

Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

Глава 1. Общие положения

      1. Настоящая Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации".

      Сноска. Пункт 1 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      2. В настоящей Методике используются следующие основные понятия и сокращения:

      1) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

      2) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

      3) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;

      4) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

      5) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

      6) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

      7) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

      8) сегмент сети (подсеть) объекта испытаний – логически выделенный сегмент сети объекта испытаний;

      9) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;

      10) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      Сноска. Пункт 2 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      3. Проведение испытания включает:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры;

      5) обследование процессов обеспечения информационной безопасности.

Глава 2. Анализ исходных кодов

      4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения (далее – ПО).

      5. Анализ исходных кодов проводится для ПО, перечисленного в таблице подпункта 11) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).

      6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.

      7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

      8. Анализ исходных кодов включает:

      1) выявление недостатков ПО;

      2) фиксацию результатов анализа исходного кода.

      9. Выявление недостатков ПО осуществляется в следующем порядке:

      1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры (далее – ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

      2) запускается программное средство, предназначенное для выявления недостатков ПО;

      3) проводится анализ программных отчетов на наличие ложных срабатываний;

      4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

      10. Объем работ по анализу исходного кода определяется размером исходного кода.

      11. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ поставщика, в протоколе анализа исходных кодов (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к Правилам.

      Протокол анализа исходных кодов с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

      Сноска. Пункт 11 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      12. По окончанию анализа исходных кодов, при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив поставщика.

      13. Поставщик обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.

Глава 3. Испытание функций информационной безопасности

      14. Оценка функций объектов информатизации на соответствие требованиям информационной безопасности (далее – испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.

      15. Испытание функций информационной безопасности включает:

      1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);

      2) фиксацию результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

      16. Перечень функций информационной безопасности приведен в приложении 1 к Методике.

      17. Испытание функций информационной безопасности проводятся в разрезе серверов и виртуальных ресурсов, перечисленных в таблицах подпункта 1) и подпункта 4) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      18. Результаты испытаний функций информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе испытаний функций информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол испытаний функций информационной безопасности с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

      Результаты сканирования программным средством на наличие обновлений и анализа конфигурации включаются в Протокол испытаний функций информационной безопасности.

      Результаты сканирования программным средством на соответствие стандартам в сфере обеспечения информационной безопасности не включаются в Протокол испытаний функций информационной безопасности, размещаются в личном кабинете заявителя на интернет-портале SYNAQ и носят рекомендательный характер.

      Сноска. Пункт 18 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

Глава 4. Нагрузочное испытание

      19. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.

      20. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.

      21. Параметры нагрузочного испытания предоставляются заявителем таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      При проведении нагрузочного испытания выявляется параметры фактической нагрузочной способности объекта испытаний.

      22. Нагрузочное испытание осуществляется в следующем порядке:

      1) проводится подготовка к испытанию;

      2) проводится испытание;

      3) фиксируются результаты испытания.

      23. Подготовка к испытанию включает:

      1) определение сценария испытания;

      2) определение временных и количественных характеристик испытания;

      3) согласование времени проведения испытания c заказчиком.

      24. Проведение испытания включает:

      1) настройка конфигурации и сценария испытания в специализированное программное средство;

      2) запуск специализированного программного средства;

      3) регистрация нагрузки на объект испытаний;

      4) формирование и выдача отчета нагрузочного испытания с указанием рекомендаций по увеличению или снижению реальной пропускной способности объекта испытаний.

      25. Работы по проведению нагрузочного тестирования проводятся для одного объекта испытаний по количеству вариантов точек подключений пользователей и вариантов точек подключения интеграционного взаимодействия объекта испытаний, указанных в таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      26. Результаты нагрузочного испытания фиксируются ответственным исполнителем данного вида работ поставщика в протоколе нагрузочного испытания (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол нагрузочного испытания с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

      Сноска. Пункт 26 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

Глава 5. Обследование сетевой инфраструктуры

      27. Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры.

      28. Обследование сетевой инфраструктуры включает:

      1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;

      2) обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств (при необходимости);

      3) сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков;

      4) фиксацию полученных результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

      29. Перечень функций защиты сетевой инфраструктуры приведен в приложении 2 к настоящей Методике.

      30. Работы по обследованию сетевой инфраструктуры, проводятся для каждого сегмента сети (подсети) объекта испытаний, указанного в таблице подпункта 7) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      31. Результаты обследования сетевой инфраструктуры фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования сетевой инфраструктуры (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол обследования сетевой инфраструктуры с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

      Сноска. Пункт 31 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

Глава 6. Обследование процессов обеспечения информационной безопасности

      32. Обследование процессов обеспечения информационной безопасности осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности.

      33. Обследование процессов обеспечения информационной безопасности включает:

      1) оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;

      2) фиксацию результатов оценки испытания с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости);

      3) сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей;

      4) анализ выявленных уязвимостей на наличие ложного срабатывания и формирование рекомендаций по их устранению в зависимости от степени их критичности (при необходимости).

      Сноска. Пункт 33 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 № 121/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      34. Перечень процессов обеспечения информационной безопасности и их содержание приведено в приложении 3 к Методике.

      35. Работы по обследованию процессов обеспечения информационной безопасности проводятся для объекта испытания.

      36. Результаты обследования процессов обеспечения информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования процессов обеспечения информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол обследования процессов обеспечения информационной безопасности с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

      Результаты анализа выявленных уязвимостей не включаются в Протокол обследования процессов обеспечения информационной безопасности и передаются Заявителю в форме рекомендаций.

      Сноска. Пункт 36 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

  Приложение 1
к Методике проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры, на
соответствие требованиям информационной безопасности

Перечень функций информационной безопасности

№ п/п

Наименование функций

Содержание функций

1

2

3

Аудит безопасности

1

Автоматическая реакция аудита безопасности

Осуществление генерации записи в регистрационном журнале, локальная или удаленная сигнализация администратору об обнаружении нарушения безопасности.

2

Генерация данных аудита безопасности

Наличие протоколирования, по крайней мере, запуска и завершения регистрационных функций, а также всех событий базового уровня аудита, т.е. в каждой регистрационной записи присутствие даты и времени события, типа события, идентификатора субъекта и результата (успех или неудача) события.

3

Анализ аудита безопасности

Осуществление (с целью выявления вероятных нарушений), по крайней мере, путем накопления и/или объединения неуспешных результатов использования механизмов аутентификации, а также неуспешных результатов выполнения криптографических операций.

4

Просмотр аудита безопасности

Обеспечение и предоставление администратору возможности просмотра (чтения) всей регистрационной информации. Прочим пользователям доступ к регистрационной информации должен быть закрыт, за исключением явно специфицированных случаев.

5

Выбор событий аудита безопасности

Наличие избирательности регистрации событий, основывающейся, по крайней мере, на следующих атрибутах:
идентификатор объекта;
идентификатор субъекта;
адрес узла сети;
тип события;
дата и время события.

6

Хранение данных аудита безопасности

Наличие регистрационной информации о надежности защиты от несанкционированной модификации.

Организация связи

7

Неотказуемость отправления

Предоставление пользователям/субъектам свидетельства идентичности отправителя некоторой информации, чтобы отправитель не смог отрицать факт передачи информации, поскольку свидетельство отправления (например, цифровая подпись) доказывает связь между отправителем и переданной информацией.

8

Неотказуемость получения

Обеспечение невозможности отрицания получателем информации факта ее получения.

Криптографическая поддержка

9

Управление криптографическими ключами

Наличие поддержки:
1) генерации криптографических ключей;
2) распределения криптографических ключей;
3) управления доступом к криптографическим ключам;
4) уничтожения криптографических ключей.

10

Криптографические операции

Наличие для всей информации, передаваемой по доверенному каналу, шифрования и контроля целостности в соответствии с требованиями технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.

Защита данных пользователя

11

Политика управления доступом

Осуществление разграничения доступа для пользователей, прямо или косвенно выполняющих операции с сервисом безопасности.

12

Функции управления доступом

Применение функций разграничения доступа основывается, по крайней мере, на следующих атрибутах безопасности:
идентификаторы субъектов доступа;
идентификаторы объектов доступа;
адреса субъектов доступа;
адреса объектов доступа;
права доступа субъектов.

13

Аутентификация данных

Поддержка гарантии правильности специфического набора данных, который впоследствии используется для верификации того, что содержание информации не было подделано или модифицировано мошенническим путем.

14

Экспорт данных за пределы действия функций безопасности ОИ (далее - ФБО)

Обеспечение при экспорте данных пользователя из OИ защиты и сохранности или игнорирования их атрибутов безопасности.

15

Политика управления информационными потоками

Обеспечение предотвращения раскрытия, модификации и/или недоступности данных пользователя при их передаче между физически разделенными частями сервиса безопасности.

16

Функции управления информационными потоками

Организация и обеспечение контроля доступа к хранилищам данным с целью исключения бесконтрольного распространения информации, содержащейся в них (управление информационными потоками для реализации надежной защиты от раскрытия или модификации в условиях недоверенного ПО).

17

Импорт данных из-за пределов действия ФБО

Наличие механизмов для передачи данных пользователя в OИ таким образом, чтобы эти данные имели требуемые атрибуты безопасности и защиту.

18

Передача в пределах ОИ

Наличие защиты данных пользователя при их передаче между различными частями OИ по внутреннему каналу.

19

Защита остаточной информации

Обеспечение полной защиты остаточной информации, то есть недоступности предыдущего состояния при освобождении ресурса.

20

Откат текущего состояния

Наличие возможности отмены последней операции или ряда операций, ограниченных некоторым пределом (например, периодом времени), и возврат к предшествующему известному состоянию. Откат предоставляет возможность отменить результаты операции или ряда операций, чтобы сохранить целостность данных пользователя.

21

Целостность хранимых данных

Обеспечение защиты данных пользователя во время их хранения в пределах ФБО.

22

Защита конфиденциальности данных пользователя при передаче между ФБО

Обеспечение конфиденциальности данных пользователя при их передаче по внешнему каналу между ОИ и другим доверенным продуктом ИТ. Конфиденциальность осуществляется путем предотвращения несанкционированного раскрытия данных при их передаче между двумя оконечными точками. Оконечными точками могут быть ФБО или пользователь.

23

Защита целостности данных пользователя при передаче между ФБО

обеспечивается целостность данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также возможность их восстановления при обнаруживаемых ошибках.

Идентификация и аутентификация

24

Отказы аутентификации

Наличие возможности при достижении определенного администратором числа неуспешных попыток аутентификации отказать субъекту в доступе, сгенерировать запись регистрационного журнала и сигнализировать администратору о вероятном нарушении безопасности.

25

Определение атрибутов пользователя

Для каждого пользователя необходимо поддерживать, по крайней мере, следующие атрибуты безопасности:
идентификатор;
аутентификационная информация (например, пароль);
права доступа (роль).

26

Спецификация секретов

Если аутентификационная информация обеспечивается криптографическими операциями, поддерживается также открытые и секретные ключи.

27

Аутентификация пользователя

Наличие механизмов аутентификации пользователя, предоставляемых ФБО.

28

Идентификация пользователя

Обеспечение:
1) успешности идентификации и аутентификации каждого пользователя до разрешения любого действия, выполняемого сервисом безопасности от имени этого пользователя;
2) возможностей по предотвращению применения аутентификационных данных, которые были подделаны или скопированы у другого пользователя;
3) аутентификации любого представленного идентификатора пользователя;
4) повторной аутентификации пользователя по истечении определенного администратором интервала времени;
5) предоставления пользователю функций безопасности только со скрытой обратной связью во время выполнения аутентификации.

29

Связывание пользователь-субъект

Следует ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя.

Управление безопасностью

30

Управление отдельными функциями ФБО

Наличие единоличного права администратора на определение режима функционирования, отключения, подключения, модификации режимов идентификаци и аутентификации, управления правами доступа, протоколирования и аудита.

31

Управление атрибутами безопасности

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, создания атрибутов безопасности, правил управления потоками информации. При этом необходимо обеспечить присваивание атрибутам безопасности только безопасных значений.

32

Управление данными ФБО

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, очистки, определения типов регистрируемых событий, размеров регистрационных журналов, прав доступа субъектов, сроков действия учетных записей субъектов доступа, паролей, криптографических ключей.

33

Отмена атрибутов безопасности

Наличие осуществления отмены атрибутов безопасности в некоторый момент времени. Только у уполномоченных администраторов имеется возможность отмены атрибутов безопасности, ассоциированных с пользователями. Важные для безопасности полномочия отменяются немедленно.

34

Срок действия атрибута безопасности

Обеспечение возможности установления срока действия атрибутов безопасности.

35

Роли управления безопасностью

1) Обеспечение поддержки, по крайней мере, следующих ролей: уполномоченный пользователь, удаленный пользователь, администратор;
2) Обеспечение получения ролей удаленного пользователя и администратора только по запросу.

Защита ФБО

36

Безопасность при сбое

Сохранение сервисом безопасного состояния при аппаратных сбоях (вызванных, например, перебоями электропитания).

37

Доступность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать доступность, всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

38

Конфиденциальность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать конфиденциальность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

39

Целостность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

40

Передача данных ФБО в пределах ОИ

Сервис предоставляет возможность верифицировать доступность, Предоставление сервисом возможности конфиденциальность и целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

41

Физическая защита ФБО

Осуществление физической защиты ФБО.

42

Надежное восстановление

Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно, сервис переходит в режим аварийной поддержки, позволяющей вернуться к безопасному состоянию. После аппаратных сбоев обеспечивается возврат к безопасному состоянию с использованием автоматических процедур.

43

Обнаружение повторного использования

Обеспечение обнаружения сервисом повторного использования аутентификационных данных, отказа в доступе, генеририрования записи регистрационного журнала и сигнализирования администратору о вероятном нарушении безопасности.

44

Посредничество при обращениях

Обеспечение вызова и успешного выполнения функций, осуществляющих политику безопасности сервиса, прежде, чем разрешается выполнение любой другой функции сервиса.

45

Разделение домена

Поддержка отдельного домена для собственного выполнения функций безопасности, который защищает их от вмешательства и искажения недоверенными субъектами.

46

Протокол синхронизации состояний

Обеспечение синхронизации состояний при выполнении идентичных функций на серверах.

47

Метки времени

Предоставление для использования функциями безопасности надежных меток времени.

48

Согласованность данных между ФБО

Обеспечение согласованной интерпретации регистрационной информации, а также параметров используемых криптографических операций.

49

Согласованность данных ФБО при дублировании в пределах ОИ

Обеспечение согласованности данных функций безопасности при дублировании их в различных частях объекта испытаний. Когда части, содержащие дублируемые данные, разъединены, согласованность обеспечивается после восстановления соединения перед обработкой любых запросов к заданным функциям безопасности.

50

Самотестирование ФБО

Для демонстрации правильности работы функций безопасности при запуске, периодически в процессе нормального функционирования и/или по запросу администратора выполнение пакета программ самотестирования. У администратора наличие возможности верифицировать целостность данных и выполняемого кода функций безопасности.

Использование ресурсов

51

Отказоустойчивость

Обеспечение доступности функциональных возможностей объекта испытаний даже в случае сбоев. Примеры таких сбоев: отключение питания, отказ аппаратуры, сбой ПО.

52

Приоритет обслуживания

Обеспечение управления использованием ресурсов пользователями и субъектами в пределах своей области действия так, что высокоприоритетные операции в пределах объекта испытаний всегда будут выполняться без препятствий или задержек со стороны операций с более низким приоритетом.

53

Распределение ресурсов

Обеспечение управления использованием ресурсов пользователями и субъектами таким образом, чтобы не допустить несанкционированные отказы в обслуживании из-за монополизации ресурсов другими пользователями или субъектами.


Доступ к ОИ

54

Ограничение области выбираемых атрибутов

Ограничение как атрибутов безопасности сеанса, которые может выбирать пользователь, так и атрибутов субъектов, с которыми пользователь может быть связан, на основе метода или места доступа, порта, с которого осуществляется доступ, и/или времени (например, времени суток, дня недели).

55

Ограничение на параллельные сеансы

Ограничение максимального числа параллельных сеансов, предоставляемых одному пользователю. У этой величины подразумеваемое значение устанавливается администратором.

56

Блокирование сеанса

Принудительное завершение сеанса работы по истечении установленного администратором значения длительности бездействия пользователя.

57

Предупреждения перед предоставлением доступа к ОИ

Обеспечение возможности еще до идентификации и аутентификации отображения для потенциальных пользователей предупреждающего сообщения относительно характера использования объекта испытаний.

58

История доступа к ОИ

Обеспечение возможности отображения для пользователя, при успешном открытии сеанса, истории неуспешных попыток получить доступ от имени этого пользователя. Эта история может содержать дату, время, средства доступа и порт последнего успешного доступа к объекту испытаний, а также число неуспешных попыток доступа к объекту испытаний после последнего успешного доступа идентифицированного пользователя.

59

Открытие сеанса с ОИ

Обеспечение сервисом способности отказать в открытии сеанса, основываясь на идентификаторе субъекта, пароле субъекта, правах доступа субъекта.

Функции защиты от вредоносного кода

60

Наличие средств антивирусной защиты

Применение для защиты от вредоносного кода средств мониторинга, обнаружения и блокирования или удаления вредоносного кода на серверах и при необходимости, на рабочих станциях объекта испытаний.

61

Лицензии для средств антивирусной защиты

Наличие у средств антивирусной защиты лицензии (приобретенной, ограниченной, свободно распространяемой) на сервера и рабочие станции.

62

Обновление баз сигнатур и программного обеспечения средств антивирусной защиты

Обеспечение регулярного обновления и поддержания в актуальном состоянии средств антивирусной защиты.

63

Управление доступом к средствам антивирусной защиты

Осуществление централизованного управления и конфигурирования средств антивирусной защиты.

64

Управление защитой от вредоносного кода на внешних электронных носителях информации средствами антивирусной защиты

Обеспечение управлением защитой от вредоносного кода на внешних электронных носителях информации проверки и блокировки файлов и при необходимости носителей информации.

Безопасность при обновлении ПО

65

Регулярное обновления ПО

Обеспечение регулярного обновления общесистемного и прикладного ПО серверов и рабочих станций.

66

Обновление ПО в сетевых средах без доступа к серверам обновления в Интернете

Обеспечение обновления ПО в сетевых средах без доступа к серверам обновления в Интернете от специализированного сервера обновлений.

Безопасность при внесении изменений в прикладное ПО

67

Среда разработки и тестирования прикладного ПО

Обеспечение наличия среды для разработки и тестирования прикладного ПО, изолированной от среды промышленной эксплуатации прикладного ПО.

68

Разграничение доступа в средам разработки и тестирования прикладного ПО

Обеспечение управления доступом к средам разработки и тестирования прикладного ПО для программистов и администраторов.

69

Система развертывания прикладного ПО

Наличие системы развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации.

70

Разграничение доступа к системе развертывания прикладного ПО

Обеспечение управления доступом к системе развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации.

  Приложение 2
  к Методике проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры на
соответствие требованиям информационной
безопасности

Перечень функций защиты сетевой инфраструктуры

№ п/п

Наименование функций

Содержание функций

1

2

3

1

Идентификация и аутентификация

Обеспечение безопасности сервисов, предоставляемых сетевой инфраструктурой и предохранения соответствующих данных путем ограничения доступа через соединения к уполномоченному персоналу (внутри или за пределами организации).

2

Отметки аудитов (формирование и наличие отчетов о событиях, связанных с безопасностью сетевых соединений)

Достаточную информацию по следам аудита сбойных ситуаций и действительных событий следует фиксировать, чтобы иметь возможность тщательного критического обзора подозреваемых и действительных происшествий.

3

Обнаружение вторжения

Обеспечение наличия средств, позволяющих прогнозировать вторжения (потенциальные вторжения в сетевую инфраструктуру), выявлять их в реальном масштабе времени и поднимать соответствующую тревогу.

4

Управление сетевой безопасностью

Наличие мер по управлению защитой сетевых ресурсов, обеспечивающих предохранение от несанкционированного доступа ко всем портам дистанционной диагностики (виртуальным или физическим). Наличие шлюзов безопасности для связи между сетями.

5

Межсетевые экраны

Для каждого межсетевого экрана необходимо наличие отдельного документа, определяющего политику (безопасность) доступа к сервисам, и реализацию его для каждого соединения, обеспечивающих гарантию прохождения через это соединение только разрешенного трафика.

6

Защита конфиденциальности целостности данных, передаваемых по сетям

В обстоятельствах, когда важно сохранить конфиденциальность и целостность данных, следует предусматривать криптографические меры защиты, чтобы шифровать информацию, проходящую через сетевые соединения.

7

Неотказуемость от совершенных действий по обмену информацией

В случае, когда требуется представить свидетельство передачи информации по сети, используются следующие защитные меры:
1) протоколы связи, которые дают подтверждение факта отправки документа;
2) протоколы приложения, которые требуют представления исходного адреса или идентификатора и проверки на присутствие данной информации;
3) межсетевые экраны, где проверяются форматы адресов отправителя и получателя на достоверность синтаксиса и согласованность с информацией в соответствующих директориях;
4) протоколы, которые подтверждают факты доставки информации в рамках межсетевых взаимодействий;
5) протоколы, которые включают механизмы, разрешающие устанавливать последовательность информации.

8

Обеспечение непрерывной работы и восстановления

Наличие защитных мер, обеспечивающих продолжение функции бизнеса в случае стихийного бедствия путем обеспечения способности к восстановлению каждой деловой операции в подходящий интервал времени после прерывания.

9

Доверенный канал

1) предоставление для связи с удаленным доверенным продуктом канала, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия;
2) обеспечение у обеих сторон возможности инициировать связь через доверенный канал.

10

Доверенный маршрут

1) предоставление для связи с удаленным пользователем маршрута, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия;
2) обеспечение у пользователя возможности инициировать связь через доверенный маршрут;
3) для начальной аутентификации удаленного пользователя и удаленного управления использование доверенного маршрута является обязательным.

  Приложение 3
к Методике проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры, на
соответствие требованиям информационной
безопасности

Перечень процессов обеспечения информационной безопасности и их содержание

№ п/п

Наименование процессов

Требование к содержанию процессов обеспечения ИБ

1

2

3

1

Управление активами, связанными с информационно-коммуникационными технологиями

1. Идентификация активов в соответствии с порядком идентификации активов, определенном в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
2. Классификация информации в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
3. Проверка класса, определенного для объекта испытаний на соответствие требованиям правил классификации объектов информатизации;
4. Маркировка активов в соответствии с принципами маркировки, определенными в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации
5. Закрепление ответственных лиц за идентифицированными активами;
6. Ведение и актуализация реестра активов в соответствии с принятой формой реестра;
7. Определение, документирование и реализация процедур обращения с активами (выдача, использование, хранение, внос/вынос и возврат) в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
8. Паспортизация средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
9. Безопасная организация работ при приеме/отгрузке активов, связанных с информационно-коммуникационными технологиями;
10. Безопасная утилизация (повторное использование) серверного и телекоммуникационного оборудования, систем хранения данных, рабочих станций, носителей информации.

2

Организация информационной безопасности

1. Наличие подразделения информационной безопасности или сотрудника, ответственного за информационную безопасность, обособленного от подразделения информационных технологий, подчиняющегося непосредственно высшему руководству;
2. Функционирование рабочих групп и проведение совещаний по вопросам координации работ и обеспечения информационной безопасности;
3. Разработка (актуализация), утверждение, одобрение руководством технической документации по информационной безопасности, доведение их содержимого до сотрудников и привлекаемых со стороны исполнителей;
4. Поддержание контактов с полномочными органами, профессиональными сообществами, профессиональными ассоциациями или форумами специалистов по информационной безопасности;
5. Определение и документирование процедур обеспечения информационной безопасности, в том числе, при привлечении сторонних организаций;
6. Разработка (пересмотр) соглашения о конфиденциальности или неразглашении, отражающие потребности в защите информации;
7. Определение и включение в соглашения со сторонними организациями требований по информационной безопасности и уровня обслуживания. Контроль за реализации положений соглашения.

3

Безопасность, связанная с персоналом

1. Предварительная проверка кандидатов при приеме на работу;
2. Определение, назначение и отражение в должностных инструкциях и (или) условиях трудового договора сотрудников и привлекаемых со стороны исполнителей ролей, обязанностей и ответственности, связанных с информационной безопасностью в период занятости, изменения или прекращения трудовых отношений и обязательств владельца объекта испытаний;
3. Определение и документирование процедур увольнения сотрудников, имеющих обязательства в области обеспечения информационной безопасности;
4. Определение и регламентирование действий, которые будут предприняты к нарушителям правил информационной безопасности;
5. Извещение сотрудников об изменениях в политиках, правилах и процедурах обеспечения информационной безопасности, затрагивающих исполнение их служебных обязанностей;
6. Осведомленность и исполнение сотрудниками и привлекаемыми со стороны исполнителями об обязанностях и ответственности, связанными с обеспечением информационной безопасности в период занятости, изменения или прекращения трудовых отношений;
7. Обучение и подготовка сотрудников в сфере информационной безопасности;
8. Ответственность руководства за обеспечение возможности выполнения сотрудниками и привлекаемыми со стороны исполнителями обязательств в отношении информационной безопасности.

4

Мониторинг событий ИБ и управление инцидентами ИБ

1. Регистрация действий пользователей, операторов, администратор и событий операционных систем, систем управления базой данных, антивирусного ПО, прикладного ПО, телекоммуникационного оборудования, систем обнаружения и предотвращения атак, системы управления контентом;
2. Ведение, хранение и защита журналов регистрации событий;
3. Осуществление анализа журналов регистрации событий;
4. Мониторинг зарегистрированных событий и оповещение о событиях высокой и критичной степени важности для информационной безопасности;
5. Оценка и принятие решения по событию информационной безопасности;
6. Разработка, документирование, доведение до сведения сотрудников и привлекаемых со стороны исполнителей, выполнение процедур реагирования на инциденты информационной безопасности;
7. Проведение анализа инцидентов информационной безопасности.

5

Управление непрерывностью ИБ

1. Планирование непрерывности информационной безопасности;
2. Идентификация событий, которые являются возможной причиной нарушения непрерывности процесса обеспечения информационной безопасности или бизнес процессов;
3. Разработка (актуализация), внедрение процессов и процедур поддержания необходимого уровня непрерывности информационной безопасности во внештатных (кризисных) ситуациях;
4. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур во внештатных (кризисных ситуациях);
5. Проверка (тестирование), анализ и оценка процессов и процедур обеспечения непрерывности информационной безопасности;
6. Резервирование средств обработки информации, объекта информатизации с учетом требований законодательства.

6

Управление сетевой безопасностью

1. Определение, документирование и доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур управления сетевым оборудованием;
2. Определение и включение в соглашения по обслуживанию сетей и передаче информации механизмов обеспечения безопасности, уровней доступности для всех сетевых услуг и сервисов;
3. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение политик и процедур использования сетей и сетевых услуг, передачи информации, подключения к Интернету, сетям телекоммуникаций и связи и использования беспроводного доступа к сетевым ресурсам;
4. Определение, документирование и выполнение процедур по применению средств защиты информации, передаваемой по сети и электронных сообщений;
5. Структуризация и сегментация сети;
6. Способы подключения и взаимодействия сетей, учитывающие требования законодательства.

7

Криптографические методы защиты

1. Регламентация управления криптографическими ключами, включающая вопросы изготовления, учета, хранения, передачи, использования, возврата (уничтожения), защиты криптографических ключей, учитывающая требования законодательства;
2. Применение криптографических средств при хранении и передаче информации, включая аутентификационные данные.

8

Управление рисками информационной безопасности

1. Выбор методики оценки рисков;
2. Идентификация угроз (рисков) для идентифицированных и классифицированных активов и формирование (актуализация) каталога угроз (рисков) информационной безопасности. Отражение в каталоге угроз (рисков), рисков связанных с процессами обеспечения информационной безопасности;
3. Оценка (переоценка) идентифицированных рисков;
4. Обработка рисков, формирование и утверждение (актуализация) плана обработки рисков;
5. Мониторинг и пересмотр рисков.

9

Управление доступом

1. Разработка (актуализация), документирование, ознакомление пользователей с правилами разграничения прав доступа к информации, функциям прикладных систем, услугам, системному ПО, сетям и сетевым сервисам;
2. Применяемые методы и процедуры идентификации, аутентификации и авторизации пользователей;
3. Реализация правил разграничения прав доступа, установленных в Правилах разграничения прав доступа к электронным информационным ресурсам;
4. Процедуры регистрации и отмены регистрации (блокировки) пользователей;
5. Управление учетными записями с привилегированными правами доступа;
6. Использование и управление криптографическими методами в процедурах аутентификации пользователей;
7. Управление изменениями правами доступа;
8. Управление паролями;
9. Использование привилегированных утилит;
10. Управление доступом к исходному коду объекта испытаний.

10

Физическая безопасность и защита от природных угроз

1. Размещение серверного, телекоммуникационного оборудования, систем хранения данных с учетом требования законодательства;
2. Физическая защита периметра безопасности помещений, в которых размещены активы, связанные с информационно-коммуникационными технологиями;
3. Организация основного и резервного серверных помещений, учитывающая требования законодательства;
4. Оснащение основного и резервных серверных помещений системами обеспечения, учитывающее требования законодательства;
5. Организация контролируемого доступа в серверные помещения;
6. Организация работ в серверном помещении;
7. Организация работ по техническому сопровождению и обслуживанию серверного и телекоммуникационного оборудования, систем хранения данных и систем обеспечения;
8. Способы защиты оборудования от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;
9. Обеспечение безопасности кабельной системы.

11

Эксплуатационные процедуры обеспечения ИБ

1. Разработка (актуализация), документирование, ознакомление пользователей с инструкциями, регламентирующими эксплуатационные процедуры обеспечения информационной безопасности;
2. Применение средств и систем обеспечения информационной безопасности;
3. Процедуры резервного копирования информации и тестирование результатов копирования. Безопасность мест хранения резервных копий;
4. Синхронизация времени журналов регистрации событий с единым источником времени;
5. Процедуры управления изменениями при установке новых версий прикладного и системного ПО в эксплуатируемых системах;
6. Контроль и управление уязвимостями ПО;
7. Ознакомление сотрудников и реализация положений Правил использования мобильных устройств и носителей информации;
8. Разработка (актуализация), ознакомление сотрудников, реализация положений инструкции по организации удаленной работы;
9. Мониторинг работоспособности объекта испытаний;
10. Разделение сред разработки, тестирования и эксплуатации;
11. Обеспечение конфиденциальности при передаче сообщений электронной почты и информации посредством Интернет;
12. Способа предоставления Интернета и взаимодействия с внешними электронными почтовыми системами в соответствии с требованиями законодательства;
13. Ограничения и порядок фильтрации при доступе к ресурсам Интернета.

12

Соответствие законодательным и договорным требованиям

1. Определение (актуализация), документирование законодательных, нормативных, иных обязательных, договорных требований для объекта испытаний;
2. Внедрение процедур, реализующих соответствие законодательным, нормативным и договорным требованиям, связанным с правами на интеллектуальную собственность;
3. Разработка и реализация политик защиты конфиденциальных и персональных данных, соответствующих нормам законодательства;
4. Соответствие применяемых криптографических методов и средств требованиям законодательства и соглашениям (договорам);
5. Проведение аудита информационной безопасности;
6. Проведение анализа объекта испытаний на предмет соответствия требованиям законодательства, стандартов и технической документации по информационной безопасности;
7. Защита записей от потери, повреждения, фальсификации, несанкционированного доступа и несанкционированного выпуска в соответствии с законодательными, нормативными, договорными требованиями.

13

Приобретение, разработка и обслуживание систем

1. Включение (актуализация) требований, связанных с информационной безопасностью и соответствующих действующему законодательству и стандартам в состав технической документации на объект испытаний;
2. Определение и применение безопасных процедур управления изменениями ПО (системного и прикладного) для эксплуатируемых систем;
3. Контроль процесса разработки ПО объекта испытаний, в том числе, осуществляемой сторонней организацией;
4. Контроль процесса технического сопровождения системы, осуществляемого сторонней организацией;
5. Тестирование функций безопасности системы.

  Приложение 2 к приказу
Министра цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ

Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

      Сноска. Правила - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 № 121/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации" (далее – Закон) и подпунктом 1) статьи 10 Закона Республики Казахстан "О государственных услугах" (далее – Закон "О государственных услугах") и определяют порядок проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      Сноска. Пункт 1 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      2. В настоящих Правилах используются следующие основные понятия и сокращения:

      1) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      2) подсистема информационной системы – совокупная часть (компонент) информационной системы, реализующая ее определҰнные функции, необходимые для достижения назначения информационной системы;

      3) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      4) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта испытаний;

      5) программное обеспечение – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации;

      6) программный продукт – самостоятельная программа или часть программного обеспечения, являющаяся товаром, которая независимо от ее разработчиков может использоваться в предусмотренных целях в соответствии с системными требованиями, установленными технической документацией;

      7) исходные коды – исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске;

      8) распределенный объект испытаний – объект испытаний, состоящий из множества, в том числе и неопределенного, множества узлов, построенных по одинаковой архитектуре, предназначенных для одинаковых целей, выполняющих одинаковые функции и использующие одинаковое прикладное программное обеспечение;

      9) интернет-ресурс – информация (в текстовом, графическом, аудиовизуальном или ином виде), размещенная на аппаратно-программном комплексе, имеющем уникальный сетевой адрес и (или) доменное имя и функционирующем в Интернете;

      10) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

      11) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

      12) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

      13) испытательная лаборатория – юридическое лицо или структурное подразделение юридического лица, действующее от его имени, осуществляющее испытания, аккредитованное в соответствии с законодательством о техническом регулировании;

      14) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

      15) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;

      16) информационно-коммуникационная платформа "электронного правительства" – технологическая платформа, предназначенная для автоматизации деятельности государственного органа, в том числе автоматизации государственных функций и оказания вытекающих из них государственных услуг, а также централизованного сбора, обработки, хранения государственных электронных информационных ресурсов;

      17) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      Сноска. Пункт 2 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      3. Испытания на соответствие требованиям информационной безопасности проводятся в обязательном порядке или по инициативе собственника или владельца.

      4. К объектам испытаний, подлежащим испытаниям на соответствие требованиям информационной безопасности, относятся:

      1) программное обеспечение (программный продукт) созданное и (или) размещенное на информационно-коммуникационной платформе "электронного правительства";

      2) информационно-коммуникационная платформа "электронного правительства";

      3) интернет-ресурс государственного органа, государственного юридического лица, субъекта квазигосударственного сектора;

      4) информационная система государственного органа, государственного юридического лица, субъекта квазигосударственного сектора;

      5) критически важные объекты информационно-коммуникационной инфраструктуры;

      6) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.

      Сноска. Пункт 4 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      5. Информационной системе государственного органа и негосударственной информационной системе для использования сервисов Национального удостоверяющего центра Республики Казахстан по проверке подлинности электронной цифровой подписи прохождение испытаний на соответствие требованиям информационной безопасности не требуется.

      6. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.

      7. В состав испытаний объекта испытаний, за исключением программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе "электронного правительства" и информационно-коммуникационной платформы "электронного правительства" входят следующие виды работ:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры;

      5) обследование процессов обеспечения ИБ.

      Сноска. Пункт 7 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      8. В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний устанавливается решением Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – Комитет) по запросу заявителя.

      Комитет направляет запрос поставщику о проверке обоснованности запроса заявителя об исключении анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний в период проведения испытаний по другим видам согласно пункту 7 настоящих Правил.

      9. В испытания программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе "электронного правительства" входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание.

      Сноска. Пункт 9 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      10. В испытания информационно-коммуникационной платформы "электронного правительства" входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) обследование сетевой инфраструктуры;

      4) обследование процессов обеспечения ИБ.

      11. Для однородных распределенных объектов испытаний, испытания проводятся для центрального(ых) узла(ов) и для некоторых (по согласованию с заявителем) отдельных узлов распределенного объекта испытаний в общей количестве составляющих не менее одной десятой части общего количества узлов распределенного объекта испытаний.

      Для центрального(ых) узла(ов) однородного распределенного объекта испытаний испытания проводятся в полном составе видов работ.

      Для узлов однородного распределенного объекта испытаний в состав испытаний входят:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности.

      12. Государственная техническая служба проводит испытания объектов информатизации "электронного правительства" на соответствие требованиям информационной безопасности.

      13. Испытания на соответствие требованиям информационной безопасности информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры (за исключением являющихся объектами информатизации "электронного правительства"), и других объектов информатизации, не относящихся к объектам информатизации "электронного правительства" проводятся аккредитованными испытательными лабораториями.

      14. В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое).

Глава 2. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в государственной технической службе

      15. Для проведения испытаний заявителем на интернет-портале SYNAQ заполняется, подписывается электронной цифровой подписью (далее - ЭЦП) и подается заявка на проведение испытаний (далее – заявка) в государственную техническую службу по форме, согласно приложению 1 к настоящим Правилам, с приложением следующих документов:

      1) анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, удостоверенная ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ;

      2) электронная копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

      3) электронная копия утвержденного собственником или владельцем технического задания, технической спецификации на объект информатизации;

      4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, (при необходимости);

      5) электронные копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде (при необходимости);

      6) электронная копия документа, уполномочивающего заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).

      Сноска. Пункт 15 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      16. В случае, если заявитель осуществляет закупки посредством веб-портала государственных закупок, заявка на проведение испытаний принимается не позднее 1 ноября текущего года.

      17. Государственная техническая служба в течение трех рабочих дней со дня получения заявки осуществляет проверку полноты документов указанных в пункте 15 настоящих Правил.

      18. В случае несоответствия заявки и приложенных документов в соответствии с требованиями, указанными в пункте 15 настоящих Правил, заявка возвращается заявителю с указанием причин возврата.

      19. Государственная техническая служба после проверки заявки на наличие полного пакета документов согласно пункту 15 настоящих Правил в течение трех рабочих дней направляет заявителю:

      1) проект технической спецификации к договору на проведение испытаний при осуществлении закупки посредством веб-портала государственных закупок. Заявитель в течение трех рабочих дней со дня получения проекта технической спецификации размещает на веб-портале государственных закупок проект договора о государственных закупках способом из одного источника путем прямого заключения договора о государственных закупках;

      2) два экземпляра договора на проведение испытаний при осуществлении закупки без применения веб-портала государственных закупок. Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в государственную техническую службу.";

      Сноска. Пункт 19 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      20. В случае, если заявитель осуществляет закупку посредством веб-портала государственных закупок, и в срок до 15 ноября не направил в адрес государственной технической службы договор о государственных закупках посредством веб-портала государственных закупок, заявка аннулируется и возвращается заявителю.

      21. Срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик объекта испытаний.

      В случае невозможности согласования сроков проведения испытания, заявка возвращается заявителю без удовлетворения с указанием возможности обратиться в Комитет для определения сроков испытаний.

      22. Для проведения испытаний заявитель обеспечивает для государственной технической службы:

      1) рабочее место, физический доступ к рабочему месту пользователя, серверному и сетевому оборудованию, сети телекоммуникаций объекта испытаний с проведением фото и видео фиксации и к документации на объект испытания и сопутствующей документации, в том числе к договорам на сопровождение и техническую поддержку объекта испытаний и компонентов, входящих в состав объекта испытаний;

      2) демонстрацию функций объекта испытаний, согласно требованиям технической документации.

      Сноска. Пункт 22 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      23. В случае невозможности обеспечения заявителем требований пункта 22 настоящих Правил, испытания приостанавливаются на время, необходимое Заявителю для их обеспечения с учетом подписания дополнительного соглашения к договору на продление его срока исполнения.

      24. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      25. При проведении испытаний выявилось расхождение между данными анкеты-вопросника о характеристиках объекта испытаний, поданной в соответствии с подпунктом 1) пункта 15 настоящих Правил и фактическим состоянием объекта испытаний, заявитель направляет в государственную техническую службу обновленную анкету-вопросник о характеристиках объекта испытаний, удостоверенную ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ. Обновленная анкета-вопросник о характеристиках объекта испытаний (при необходимости) будет основанием для заключения дополнительного соглашения на продление срока испытаний и изменение стоимости проведения испытаний.

      Сноска. Пункт 25 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      26. При необходимости, если при проведении испытаний выявится необходимость проведения повторного испытания по одному или по нескольким видам испытаний до окончания срока испытания, заявитель обращается с запросом в государственную техническую службу и заключается дополнительное соглашение о проведении повторного испытания по этим видам работ.

      27. Результаты работ, входящих в испытания, и рекомендации по устранению выявленных несоответствий вносятся в отдельные протоколы, размещаемые на интернет-портале SYNAQ в личном кабинете заявителя по завершению всех видов работ.

      Сноска. Пункт 27 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      28. Цены на проведение государственной технической службой каждого вида работ, входящих в испытания, устанавливаются согласно пункту 2 статьи 14 Закона.

      29. Для расчета стоимости проведения испытаний заявитель направляет в государственную техническую службу анкету-вопросник о характеристиках объекта испытаний, удостоверенную ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ.

      Сноска. Пункт 29 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      30. При устранении заявителем выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня размещения на интернет-портале SYNAQ протоколов испытаний по проведенным работам и направил в государственную техническую службу запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий посредством интернет-портала SYNAQ, государственная техническая служба на безвозмездной основе в течение пятнадцати рабочих дней со дня получения от заявителя запроса проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      Сноска. Пункт 30 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023)

      31. При проведении повторных испытаний после исправления несоответствий, связанных с внесением изменений в программное обеспечение объекта, проводится анализ исходного кода.

      При этом заявитель к запросу на проведение повторных испытаний прикладывает исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний.

      Сноска. Пункт 31 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023)

      32. В случае выявления несоответствий при проведении повторных испытаний государственная техническая служба оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 2 настоящих Правил.

      33. При утере, порче или повреждении протоколов испытаний, а так же в случае изменения данных в анкете-вопроснике о характеристиках объекта испытаний, при проведении испытаний по одному или нескольким видам работ для объектов испытаний ранее получивших протоколы на бумажном носителе с отрицательным результатом, собственник или владелец объекта испытаний направляет в государственную техническую службу уведомление с указанием причин.

      Государственная техническая служба в течение пяти рабочих дней со дня получения уведомления выдает дубликат ранее выданного(ых) протокола(ов) испытаний либо дубликат протокола(ов) испытаний с актуализированной анкетой-вопросником о характеристиках объекта испытаний.

      Сноска. Пункт 33 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023)

Глава 3. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в испытательных лабораториях

      34. Порядок заключения договоров на проведение испытаний в испытательных лабораториях определяется в соответствии с Гражданским кодексом Республики Казахстан.

      35. Для проведения испытаний заявителем направляется заявка на бумажном носителе поставщику согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:

      1) копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

      2) анкета-вопросник о характеристиках объекта испытаний о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденный собственником или владельцем объекта испытаний на бумажном носителе;

      3) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации на компакт-диске (при необходимости);

      4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);

      5) копии утвержденного перечня технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде на компакт-диске (при необходимости);

      6) документ, уполномочивающий заявителя собственником или владельцем подать заявку на проведение испытаний (при необходимости).

      36. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      37. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня получения протоколов испытаний по проведенным работам и направил поставщику запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий, поставщик на безвозмездной основе в течение пятнадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      38. В случае выявления несоответствий при проведении повторных испытаний поставщик оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 3 настоящих Правил.

      39. При утере, порче или повреждении протоколов испытаний собственник или владелец объекта испытаний направляет поставщику уведомление с указанием причин.

      Поставщик в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов испытаний.

Глава 4. Порядок выдачи акта по результатам испытаний на соответствие требованиям информационной безопасности

      40. Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к настоящим Правилам (далее – акт испытаний) выдается Комитетом (далее – услугодатель).

      "Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности" является государственной услугой (далее – государственная услуга).

      Перечень основных требований к оказанию государственной услуги, включающий характеристики процесса, форму, содержание и результат оказания, а также иные сведения с учетом особенностей предоставления государственной услуги изложены в перечне основных требований к оказанию государственной услуги, согласно приложению 6 к настоящим Правилам.

      Сноска. Пункт 40 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      41. Услугополучатель предоставляет перечень документов, необходимых для оказания государственной услуги, указанный в перечне основных требований к оказанию государственной услуги, согласно пункту 8 Приложения 6 к настоящим Правилам через веб-портал "электронного правительства" (далее – портал).

      Сноска. Пункт 41 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      42. Для получения акта испытаний заявитель (далее - услугополучатель) направляет услугодателю через портал заявление по форме согласно приложению 7 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденной собственником или владельцем объекта испытаний.

      При сдаче услугополучателем всех необходимых документов услугодателю подтверждением принятия заявления в "личном кабинете" услугополучателя отображается статус о принятии запроса для оказания государственной услуги с указанием даты получения результата государственной услуги.

      Услугодатель в день поступления заявления осуществляет их прием и регистрацию (при обращении заявителя после окончания рабочего времени, в выходные или праздничные дни согласно трудовому законодательству Республики Казахстан, прием заявлений осуществляется следующим рабочим днем).

      Услугодатель в течение двух рабочих дней со дня получения документов проверяет полноту и сроки действия представленных документов.

      При установлении факта неполноты представленных документов и (или) документов с истекшим сроком действия услугодатель в указанные сроки дает мотивированный отказ в дальнейшем рассмотрении заявления.

      При этом срок действия протокола по отдельному виду испытания для включения в акт испытаний не превышает одного года с даты выдачи протокола.

      Сведения о документах, удостоверяющих личность, свидетельство о государственной регистрации (перерегистрация) юридического лица, услугодатель получает из соответствующих государственных информационных систем через шлюз "электронного правительства".

      Сноска. Пункт 42 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      43. При положительных результатах протоколов испытаний заявление рассматривается в течение десяти рабочих дней со дня его регистрации. На основании полного комплекта протоколов испытаний, определенных пунктами с 7-11 настоящих Правил услугодатель в течение семи рабочих дней изучает протокола испытаний и устанавливает расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний.

      При выявлении оснований для отказа в оказании государственной услуги услугодатель уведомляет услугополучателя о предварительном решении об отказе в оказании государственной услуги, а также о времени и месте (способе) проведения заслушивания для возможности выразить услугополучателю позицию по предварительному решению в соответствии со статьей 73 Административного процедурно-процессуального кодекса Республики Казахстан.

      Уведомление о заслушивании направляется не менее чем за три рабочих дня до завершения срока оказания государственной услуги. Заслушивание проводится не позднее двух рабочих дней со дня уведомления.

      По результатам заслушивания услугодатель выдает акт испытаний либо мотивированный отказ в оказании государственной услуги.

      При принятии положительного решения о выдаче акта испытаний услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний в "личный кабинет" в форме электронного документа, подписанного ЭЦП уполномоченного лица услугодателя.

      Сноска. Пункт 43 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      44. При отрицательных результатах одного или нескольких протоколов испытаний заявление рассматривается в течение пятнадцати рабочих дней со дня его регистрации.

      На основании полного комплекта протоколов испытаний, определенных с пунктами 7-11 настоящих Правил услугодатель в течение восьми рабочих дней изучает протоколы испытаний и устанавливает расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний.

      Уведомление о заслушивании, для устранения возникших разногласий, направляется не менее чем за три рабочих дня до завершения срока оказания государственной услуги. Заслушивание проводится не позднее двух рабочих дней со дня уведомления.

      Услугодатель приглашает для обсуждения представителей услугополучателя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:

      1) о выдаче акта испытаний;

      2) об отказе выдаче акта испытаний.

      При принятии положительного решения о выдаче акта испытаний услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний в "личный кабинет" в форме электронного документа, подписанного ЭЦП уполномоченного лица услугодателя.

      При принятии решения об отказе в выдаче акта испытаний услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в "личный кабинет" в форме электронного документа, подписанного ЭЦП уполномоченного лица услугодателя.

      Сноска. Пункт 44 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      45. В случае сбоя информационной системы, содержащей необходимые сведения для оказания государственной услуги, услугодатель незамедлительно с момента обнаружения возникновения технических сбоев уведомляет оператора информационно-коммуникационной инфраструктуры "электронного правительства" посредством направления запроса в единую службу поддержки по электронной почте sd@nitec.kz с обязательным предоставлением информации по наименованию государственной услуги, номера и кода административного документа заявления или уникальный идентификационный номер заявления, номера и кода административного документа, или уникальный идентификационный номер разрешительного документа, индивидуальный идентификационный номер/бизнес идентификационный номер услугополучателя, с приложением пошаговых скриншотов с момента авторизации до момента возникновения ошибки с указанием точного времени ошибки.

      46. При утере, порче или повреждении акта (актов) испытаний, выданного (выданных) в бумажной форме собственник или владелец объекта испытаний направляет услугодателю заявление на получение дубликата акта испытаний с указанием причин.

      При поступлении заявления на выдачу дубликата услугодатель в день поступления заявления прикрепляя электронные копии ранее полученных документов оформляет его через портал и в течение пяти рабочих дней со дня получения заявления направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний.

      Сноска. Пункт 46 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      47. Срок действия акта испытаний ограничивается сроком промышленной эксплуатации объекта испытаний, за исключением информационно-коммуникационной платформы "электронного правительства", или до момента начала модернизации объекта испытаний.

      Акт испытаний информационно-коммуникационной платформы "электронного правительства" выдается со сроком действия один год.

      48. При изменении условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет услугодателю уведомление с приложением описания всех произведенных изменений и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной собственником или владельцем объекта испытаний.

      Сноска. Пункт 48 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      49. Услугодатель в срок не более пяти рабочих дней рассматривает внесенные изменения в объект информатизации и принимает решение об отзыве акта испытаний и необходимости проведения того вида испытаний функции которого были нарушены при изменении условий функционирования и (или) функциональности объекта информатизации.

      Решение принимается с учетом Перечня изменений функционирования и (или) функциональности объекта информатизации согласно приложению 8 к настоящим Правилам.

      Сноска. Пункт 49 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      50. При отзыве акта испытаний, собственник или владелец в трехмесячный срок принимает меры для подачи заявки поставщикам о прохождении испытаний в порядке, установленном в главе 2 или 3 настоящих Правил, с учетом требований пункта 49 настоящих Правил.

      Сноска. Пункт 50 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

      51. Услугодатель отказывает в выдаче акта испытаний по следующим основаниям:

      1) установление расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний;

      2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан.

      52. Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности осуществляется для центральных государственных органов местных исполнительных органов областей, городов республиканского значения, столицы, районов, городов областного значения, акимов районов в городе, городов районного значения, поселков, сел, сельских округов в порядке, предусмотренном настоящей главой.

      53. Рассмотрение жалобы по вопросам оказания государственных услуг производится вышестоящим административным органом, должностным лицом, уполномоченным органом по оценке и контролю за качеством оказания государственных услуг (далее – орган, рассматривающий жалобу) в соответствии со статьей 91 Административного процедурно-процессуального кодекса Республики Казахстан.

      Жалоба подается услугодателю и (или) должностному лицу, чье решение, действие (бездействие) обжалуются.

      Услугодатель, должностное лицо, чье решение, действие (бездействие) обжалуются, не позднее трех рабочих дней со дня поступления жалобы направляют ее и административное дело в орган, рассматривающий жалобу.

      При этом услугодатель, должностное лицо, чье решение, действие (бездействие) обжалуются, вправе не направлять жалобу в орган, рассматривающий жалобу, в случае принятия решения, в течение трех рабочих дней, полностью удовлетворяющие требованиям, указанным в жалобе.

      Жалоба услугополучателя, поступившая в адрес услугодателя, в соответствии с пунктом 2 статьи 25 Закона "О государственных услугах", подлежит рассмотрению в течение пяти рабочих дней со дня ее регистрации.

      Жалоба услугополучателя, поступившая в адрес уполномоченного органа по оценке и контролю за качеством оказания государственных услуг, подлежит рассмотрению в течение пятнадцати рабочих дней со дня ее регистрации.

      В соответствии с Законом "О государственных услугах", обращение в суд допускается после обжалования в досудебном порядке.

      Сноска. Пункт 53 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

  Приложение 1 к Правилам
проведения испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

            _______________________________________________________________
                              (наименование поставщика)

                              Заявка на проведение испытаний
            ____________________________________________________________________
                              (наименование объекта испытаний)

      на соответствие требованиям информационной безопасности (далее – испытания)

      1. ________________________________________________________________________
                  (наименование организации-заявителя, Ф.И.О. (при наличии),
бизнес-идентификационный номер, банковские реквизиты заявителя)
________________________________________________________________________________
(почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит провести испытания ______________________________________________________
(наименование объекта испытаний, номер версии, дата разработки)

      в составе следующих видов работ:

      1) __________________________________________________________________
2) __________________________________________________________________
3) __________________________________________________________________
4) __________________________________________________________________
5) __________________________________________________________________
(перечень видов работ согласно пункта 7 / 8 / 9 / 10 / 11 настоящих Правил
(указать нужный пункт))

      2. Сведения о владельце (собственнике) испытываемого объекта испытаний

      ____________________________________________________________________
(наименование или Ф.И.О. (при наличии)
____________________________________________________________________
____________________________________________________________________
(область, город, район, почтовый адрес, телефон)

      3. Сведения о разработчике испытываемого объекта испытаний

      ____________________________________________________________________
(информация о разработчике, наименование или Ф.И.О. (при наличии) авторов)
____________________________________________________________________
(область, город, район, почтовый адрес, телефон)

      4. Данные лица, ответственного за связь с поставщиком:

      1) фамилия, имя, отчество: _________________________________________________;
2) должность: ____________________________________________________________
3) телефон рабочий: ___________, телефон сотовый: ___________________________;
4) адрес электронной почты: Е-mail: ____________________________@_________.
Руководитель организации – заявителя/ Ф.И.О. (при наличии),

      заявителя ______ (подпись, дата)

      (место печати) при наличии

  Приложение 2 к Правилам
проведения испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

                  Анкета-вопросник о характеристиках объекта испытаний

      1. Наименование объекта испытаний: _____________________________________
____________________________________________________________________
2. Краткая аннотация на объект испытаний ________________________________
____________________________________________________________________
(назначение и область применения)

      3. Классификация объекта испытаний:

      1) класс прикладного программного обеспечения ________________________.

      2) схема классификации по форме приложения 2 к Правилам классификации объектов
информатизации, утвержденным Приказом исполняющего обязанности Министра по
инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135
(зарегистрирован в Реестре государственной регистрации нормативных правовых актов
за № 13349).

      4. Архитектура объекта испытаний:

      1) функциональная схема объекта испытаний (при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;

      связей между компонентами или модулями и направления информационных потоков;

      точки подключения интеграционного взаимодействия с другими объектами
информатизации;

      точки подключения пользователей;

      мест и технологий хранения данных;

      применяемого резервного оборудования;

      разъяснения применяемых терминов и аббревиатур;

      2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:

      архитектуры и характеристик сети;

      серверного сетевого и коммуникационного оборудования;

      адресации и применяемых сетевых технологий;

      используемых локальных, ведомственных (корпоративных) и глобальных сетей;

      решения(й) по обеспечению отказоустойчивости и резервированию.

      разъяснения применяемых терминов и аббревиатур;

      5. Информация об объекте испытаний:

      1) информация о серверном оборудовании (заполнить таблицу):


п/п

Наименование сервера или виртуального ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

1

2

3

4

5

6

7















      2) информация о сетевом оборудовании (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе, порт управления

1

2

3

4

5

6

7















      3) местонахождение серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      4) характеристики резервного серверного оборудования (заполнить таблицу):


п/п

Наименование сервера или виртуально го ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики
сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

Метод резервирования

1

2

3

4

5

6

7

8

















      5) характеристики резервного сетевого оборудования (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе порт управления

Метод резервирования

1

2

3

4

5

6

7

8

















      6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      7) структура сети объекта испытаний (заполнить таблицу) (при необходимости):

№ п/п

Наименование сегмента сети

IP-адрес сети/маска сети

1

2

3







      8) информация по рабочим станциям администраторов (заполнить таблицу):

№ п/п

Роль администратора

Количество учетных записей администраторов

Наличие доступа к Интернет

Наличие удаленного доступа к оборудованию

IP-адрес рабочей станции администратора

Фактическое местоположение – адрес рабочего места

1

2

3

4

5

6

7















      9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):


п/п

Роль пользователя

Перечень типовых действий пользователя

Адрес и порт точки подключения пользователей к объекту испытаний

Протокол подключения пользователей к объекту испытаний

Количество пользователей согласно технической документации на создание или развитие объекта испытаний

Максимальное количество, обрабатываемых запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

      10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые (заполнить таблицу):


п/п

Наименование интеграционной связи (объекта информатизации)

Собственник или владелец интегрируемого объекта

Действующая/планируемая

Наличие модуля интеграции

Адрес точки подключения

Протокол подключения

Максимальное количество запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

9



















      11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование файла

Размер файла, Мбайт

Применяемый язык программирования (при необходимости)

Версия языка программирования

Среда разработки

Версия среды разработки

Дата модификации файла

1

2

3

4

5

6

7

8

9

10





















      12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование библиотеки/программной платформы/файла

Размер, Мбайт

Язык программирования (при необходимости)

Версия библиотеки

1

2

3

4

5

6

7















      Сноска. Пункт 5 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 28.09.2020 № 356/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):


п/п

Наименование документа

Наличие

Количество страниц

Дата утверждения

Стандарт или нормативный документ, в соответствии с которым был разработан документ

1

2

3

4

5

6

1

Политика информационной безопасности;





2

Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;





3

Методика оценки рисков информационной безопасности;





4

Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;





5

Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;





6

Правила проведения внутреннего аудита информационной безопасности;





7

Правила использования средств криптографической защиты информации;





8

Правила разграничения прав доступа к электронным информационным ресурсам;





9

Правила использования Интернет и электронной почты;





10

Правила организации процедуры аутентификации;





11

Правила организации антивирусного контроля;





12

Правила использования мобильных устройств и носителей информации;





13

Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;





14

Регламент резервного копирования и восстановления информации;





15

Руководство администратора по сопровождению объекта информатизации;





16

Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.





      7. Сведения о ранее пройденных видах работ или испытаниях (номер протокола, дата):

      _________________________________________________________________

      8. Наличие лицензии на испытываемый объект (наличие авторских прав, наличие соглашения с организацией-разработчиком на предоставление исходного кода)

      _________________________________________________________________
_________________________________________________________________
9. Дополнительная информация: _____________________________________________
_________________________________________________________________
_________________________________________________________________

  Приложение 3 к Правилам
проведения испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

Перечень технической документации по информационной безопасности объекта испытаний

      1. Политика информационной безопасности;

      2. Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;

      3. Методика оценки рисков информационной безопасности;

      4. Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

      5. Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

      6. Правила проведения внутреннего аудита информационной безопасности;

      7. Правила использования средств криптографической защиты информации;

      8. Правила разграничения прав доступа к электронным информационным ресурсам;

      9. Правила использования Интернет и электронной почты;

      10. Правила организации процедуры аутентификации;

      11. Правила организации антивирусного контроля;

      12. Правила использования мобильных устройств и носителей информации;

      13. Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;

      14. Регламент резервного копирования и восстановления информации;

      15. Руководство администратора по сопровождению объекта информатизации;

      16. Инструкция о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

  Приложение 4 к Правилам
проведения испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

Акт по результатам испытаний
на соответствие требованиям информационной безопасности
№___ "_____" ___________ 20__ г.

      В соответствии с Заявкой от "___" ___________20__г. на основании подпункта 11-1) статьи 7-1 Закона
Республики Казахстан "Об информатизации" Комитет по информационной безопасности Министерства
цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан выдал настоящий

      Акт по результатам проведения испытаний на соответствие требованиям информационной безопасности
о том, что были проведено испытание _____________________________________________________________
(наименование ОИ)

      ________________________________________________________________________________________
(фактическое местоположение серверного и сетевого оборудования)

      ________________________________________________________________________________________
(наименование заявителя объекта испытаний)

      ________________________________________________________________________________________
(наименование организации-заявителя/Ф.И.О. (при наличии) заявителя)

      на основании следующих протоколов по видам испытаний:

      1) Протокол анализа исходных кодов № _____ от "___" ___________ ____ г., наименование поставщика;

      2) Протокол испытания функций информационной безопасности № _____ от "___" ___________ ____ г.,
наименование поставщика;

      3) Протокол нагрузочного испытания № _____ от "___" ___________ ____ г., наименование поставщика;

      4) Протокол обследования сетевой инфраструктуры № _____ от "___" ___________ ____ г., наименование
поставщика;

      5) Протокол обследование процессов обеспечения информационной безопасности № _____ от
"___" ___________ ____ г., наименование поставщика.

                                    Заключение

      На основании проведенных испытаний

      ____________________________________________________________________
(наименование объекта испытаний)

      соответствует требованиям информационной безопасности.

      Приложение: Копия анкеты-вопросника о характеристиках объекта испытаний

      Председатель Комитета

      по информационной безопасности

      Министерства цифрового

      развития, инноваций и

      аэрокосмической промышленности

      Республики Казахстан _________________ __________________________________
                        (подпись)             Ф.И.О. (при наличии)

      "___" ___________ 20 __ г

  Приложение 5 к Правилам
проведения испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

                  Акт приема-передачи исходных кодов объекта испытаний
            _________________________________________________________________
                        (наименование объекта испытаний (далее – ОИ))
            _________________________________________________________________
            (наименование организации-заявителя / Ф.И.О. (при наличии) заявителя)
            _________________________________________________________________
                        (наименование поставщика) "_____" ___________ 20__ г.

      Носка. Приложение 5 исключено приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

  Приложение 6
к Правилам проведения
испытаний объектов информатизации
"электронного правительства"
и информационных систем,
отнесенных к критически важным объектам
информационно-коммуникационной
инфраструктуры, на соответствие
требованиям информационной безопасности

Перечень основных требований к оказанию государственной услуги

      Сноска. Приложение 6 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

Наименование государственной услуги "Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности"

1

Наименование услугодателя

Комитет по информационной безопасности МЦРИАП (далее - услугодатель)

2

Способы предоставления государственной услуги (каналы доступа)

Прием заявления и выдача результата оказания государственной услуги осуществляются через веб-портал "электронного правительства" (далее – портал).

3

Срок оказания государственной услуги

Срок оказания государственной услуги с момента сдачи пакета документов услугодателю через портал:
1) при положительных результатах протоколов испытаний – 10 (десять) рабочих дней.
2) при отрицательных результатах одного или нескольких протоколов испытаний – 15 (пятнадцать) рабочих дней.

4

Форма оказания государственной услуги

Электронная (полностью автоматизированная).

5

Результат оказания государственной услуги

Акт по результатам испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний по форме либо мотивированный ответ об отказе в оказании государственной услуги; Форма предоставления государственной услуги: электронная.

6

Размер оплаты, взимаемой с услугополучателя при оказании государственной услуги, и способы ее взимания в случаях, предусмотренных законодательством Республики Казахстан

Государственная услуга оказывается на бесплатной основе физическим и юридическим лицам (далее – услугополучатель).

7

График работы услугодателя и объектов информации

1) услугодателя – с понедельника по пятницу с 9.00 до 18.30 часов, с перерывом на обед с 13.00 до 14.30 часов, кроме выходных и праздничных дней, согласно трудовому законодательству Республики Казахстан.
2) портала – круглосуточно, за исключением технических перерывов в связи с проведением ремонтных работ (при обращении услугополучателя после окончания рабочего времени, в выходные и праздничные дни согласно трудовому законодательству Республики Казахстан, прием заявления и выдача результата оказания государственной услуги осуществляется следующим рабочим днем).
Адреса мест оказания государственной услуги размещены на портале www.egov.kz.

8

Перечень документов необходимых для оказания государственной услуги

на портал: при испытаниях объекта испытаний, за исключением программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе "электронного правительства" и информационно-коммуникационной платформы "электронного правительства": заявление на получение акта испытаний по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов; электронная копия протокола испытаний функций информационной безопасности; электронная копия протокола нагрузочного испытания; электронная копия протокола обследования сетевой инфраструктуры; электронная копия протокола обследования процессов обеспечения информационной безопасности; электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний. При испытаниях программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе "электронного правительства": заявление на получение акта испытаний по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов; электронная копия протокола испытаний функций информационной безопасности; электронная копия протокола нагрузочного испытания; электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний. При испытаниях информационно-коммуникационной платформы "электронного правительства": заявление на получение акта испытаний по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов; электронная копия протокола испытаний функций информационной безопасности; электронная копия протокола обследования сетевой инфраструктуры; электронная копия протокола обследования процессов обеспечения информационной безопасности; электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний. При испытаниях узлов однородного распределенного объекта испытаний: заявление на получение акта испытаний на получение акта испытаний по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов; электронная копия протокола испытаний функций информационной безопасности; электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.

9

Основания для отказа в оказании государственной услуги, установленные законодательством Республики Казахстан

1) установление недостоверности документов, представленных услугополучателем для получения государственной услуги, и (или) данных (сведений), содержащихся в них;
2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан.
3) отсутствие согласия услугополучателя, предоставляемого в соответствии со статьей 8 Закона Республики Казахстан "О персональных данных и их защите", на доступ к персональным данным ограниченного доступа, которые требуются для оказания государственной услуги.

10

Иные требования с учетом особенностей оказания государственной услуги, в том числе оказываемой в электронной форме и через Государственную корпорацию

Услугополучатель имеет возможность получения государственной услуги в электронной форме через портал при условии наличия ЭЦП. Услугополучатель имеет возможность получения информации о порядке оказания государственной услуги в режиме удаленного доступа посредством "личного кабинета" портала, а также Единого контакт-центра. При оказании государственной услуги посредством портала доступна версия для слабовидящих.
Контактные телефоны справочных служб по вопросам оказания государственной услуги указаны на портале. Единый контакт-центр: 1414, 8-800-080-7777.


  Приложение 7 к Правилам
проведения испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма
  Комитет по информационной
безопасности Министерства
цифрового развития, инноваций
и аэрокосмической
промышленности Республики
Казахстан
____________________________
(наименование
уполномоченного
органа)

                              Заявление на получение акта испытаний
            ____________________________________________________________________
                  (наименование, БИН/ИИН*, Ф.И.О. (при его наличии) заявителя)
            ____________________________________________________________________
                  (почтовый адрес, e-mail и телефон заявителя, область, город, район)

      просит выдать акт по результатам испытаний

      ____________________________________________________________________
            (наименование объекта испытаний)

      на соответствие требованиям информационной безопасности.

      Прилагаемые документы:

      1. анкета-вопросник о характеристиках объекта испытаний, утвержденный владельцем (собственником) объекта испытаний;

      2. протокол анализа исходных кодов (номер, дата, наименование поставщика);

      3. протокол испытаний функций информационной безопасности (номер, дата, наименование поставщика);

      4. протокол нагрузочного испытания (номер, дата, наименование поставщика);

      5. протокол обследования сетевой инфраструктуры (номер, дата, наименование поставщика);

      6. протокол обследования процессов обеспечения информационной безопасности (номер, дата, наименование поставщика).

      Согласен на использование персональных данных ограниченного доступа, составляющих охраняемую законом тайну, содержащихся в информационных системах.

      __________________________
(подпись) М.П. (при наличии)

      "___" __________ 20 ___ года

      *бизнес-идентификационный номер/индивидуальный идентификационный номер

  Приложение 8
к Правилам проведения испытаний
объектов информатизации
"электронного правительства"
и информационных систем,
отнесенных к критически
важным объектам
информационно-коммуникационной
инфраструктуры, на соответствие
требованиям информационной
безопасности

Перечень изменений функционирования и (или) функциональности объекта информатизации

      Сноска. Правила дополнены приложением 8 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).

№ п/п

Произведенные изменения

Анализ исходных кодов

Функции информационной безопасности

Нагрузочное испытание

Обследование сетевой инфраструктуры

Обследование процессов обеспечения информационной безопасности

1

2

3

4

5

6

7

1.

Изменение среды разработки (язык программирования)

+

-

-

-

-

2.

Изменение функции ППО

+

+

+

-

-

3.

Замена серверного оборудования

-

+

+

+

+

4.

Замена сетевого оборудования

-

-

+

+

-

5.

Изменение типа ОС, СУБД

-

+

+

-

-

6.

Изменение место расположения объекта испытаний

-

+

-

+

+

7.

Миграция объекта испытаний из внутреннего контура на внешний контур или на оборот

-

+

+

+

+

8.

Добавление нового компонента (сервера)

-

+

-

+

+

9.

Новая интеграция с другими ИС

+

+

+

+

+

10.

Изменение класса объекта информатизации

-

+

-

+

+

      Примечание:
"+" - необходимо проведения испытаний;
"-" - нет необходимости в проведении испытаний.