БҰЙЫРАМЫН:
1. "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 18795 болып тіркелген, Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде 2019 жылғы 7 маусымда жарияланған) мынадай өзгерістер мен толықтырулар енгiзiлсiн:
көрсетілген бұйрықпен бекітілген "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларында (бұдан әрі – Қағидалар):
6-тармақ мынадай редакцияда жазылсын:
"6. Объектілерді АҚ талаптарына сәйкестікке сынақтар (бұдан әрі – сынақтар) өткізу объектілерінің техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау бойынша жұмыстарды қамтиды және сынақтар объектісін пайдаланудың штаттық ортасында жүргізіледі.";
12-тармақ алынып тасталсын;
30-тармақ мынадай мазмұндағы екінші бөлікпен толықтырылсын:
"Белгіленген мерзімді өткізіп алу сынақтарды осы Қағидаларда белгіленген жалпы тәртіпте жүргізу үшін негіздеме болып табылады.";
40-тармақ мынадай редакцияда жазылсын:
"40. Осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні (бұдан әрі – сынақтар актісін) уәкілетті орган береді.";
41-тармақ мынадай редакцияда жазылсын:
"41. Сынақтар актісін алу үшін өтініш беруші қағаз тасымалдауышта не "электрондық үкіметтің" веб-порталы арқылы сынақтар объектісінің иеленушісі (меншік иесі) бекіткен осы Қағидаларға 2-қосымшаға сәйкес сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықты (бұдан әрі – сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулық) қоса бере отырып, осы Қағидалардың 7-11 тармақтарында айқындалған хаттамалардың толық жинағымен осы Қағидаларға 6-қосымшаға сәйкес нысан бойынша уәкілетті органға өтініш жібереді.";
43-тармақ мынадай редакцияда жазылсын:
"43. Осы Қағидалардың 7-11-тармақтарында айқындалған сынақтар хаттамаларының толық жинағы негізінде уәкілетті орган он жұмыс күні ішінде мына шешімдердің бірін қабылдайды:
1) сынақтар актісін беру туралы;
2) сынақтар актісін беруден бас тарту туралы.
Сынақтар актісін беру туралы оң шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды және тиісті мәліметтерді сынақтар актілерінің тізіліміне енгізеді.
Сынақтар актісін беруден бас тарту туралы шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісін беруден бас тарту туралы дәлелді жауап жолдайды.";
44-тармақ мынадай редакцияда жазылсын:
"44. Өтініш берушінің сынақтар хаттамаларының нәтижелерімен келіспеушілігі туындаған жағдайда, мемлекеттік көрсетілетін қызметті көрсету мерзімі он бес жұмыс күнін құрайды.
Туындаған келіспеушіліктерді шешу үшін, уәкілетті орган өтініш беруші мен қызмет беруші (қызмет берушілердің) өкілдерін талқылауға шақырып, олардың қатысуымен мына шешімдердің бірін қабылдайды:
1) сынақтар актісін беру туралы;
2) сынақтар актісін беруден бас тарту туралы.
Сынақтар актісін беру туралы оң шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды және тиісті мәліметтерді сынақтар актілерінің тізіліміне енгізеді.
Сынақтар актісін беруден бас тарту туралы шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісін беруден бас тарту туралы дәлелді жауап жолдайды.";
46-тармақ мынадай редакцияда жазылсын:
"46. Ақпараттандыру объектісінің жұмыс істеу жағдайлары мен функционалдығына өзгерістер енгізген кезде ақпараттандыру объектісінің меншік иесі немесе иеленушісі өзгерістерге әкелген жұмыстарды аяқтағаннан кейін уәкілетті органға барлық жүргізілген өзгерістердің сипаттамасын және сынақтар объектісінің меншік иесінің немесе иеленушісінің лауазымды тұлғасының қолымен және мөрімен бекітілген сынақтар объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты қоса беріп, хабарлама жібереді.
Уәкілетті орган бес жұмыс күнінен аспайтын мерзімде сынақтар актісін қайтарып алу немесе қайтармау туралы шешім қабылдайды.";
47-тармақ мынадай редакцияда жазылсын:
"47. Сынақтар объектісінің нақты сипаттамалары мен сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықта көрсетілген сипаттамалары арасында алшақтық анықталған жағдайда, уәкілетті орган сынақтар актісін қайтарып алу туралы шешім қабылдауға құқылы.";
мынадай мазмұндағы 50-тармақпен толықтырылсын:
"50. Уәкілетті орган мынадай негіздер:
1) уәкілетті органға ұсынылған сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақтар хаттамаларына қоса берілген сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері арасындағы айырмашылықты анықтау;
2) көрсетілетін қызметті алушының және (немесе) мемлекеттік қызмет көрсету үшін қажетті ұсынылған материалдардың, объектілердің, деректердің және мәліметтердің Қазақстан Республикасының нормативтік құқықтық актілерінде белгіленген талаптарға сәйкес келмеуі бойынша сынақтар актісін беруден бас тартады.";
көрсетілген Қағидаларға 2-қосымша осы бұйрыққа 3-қосымшаға сәйкес жаңа редакцияда жазылсын;
көрсетілген Қағидаларға 4-қосымша осы бұйрыққа 1-қосымшаға сәйкес жаңа редакцияда жазылсын;
көрсетілген Қағидалар осы бұйрыққа 2-қосымшаға сәйкес 6-қосымшамен толықтырылсын.
2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгiленген тәртiпте:
1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;
3) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.
3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.
4. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі |
А. Жумагалиев |
"КЕЛІСІЛДІ"
Қазақстан Республикасының
Ұлттық қауіпсіздік комитеті
2019 жылғы "___" ____________
20 __ жылғы "____" ______________ № ____ сынақтар актісі
"Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 11-1) тармақшасы негізінде 20 __ жылғы "____" ______________ Өтінімге сәйкес Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу нәтижелері бойынша
_________________________________________________________________
(СО атауы)
_________________________________________________________________
(серверлік және желілік жабдықтың нақты орналасқан орны)
_________________________________________________________________
(сынақтар объектісі өтініш берушісінің атауы)
_________________________________________________________________
(өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә. (болған кезде)
сынақ түрлері бойынша келесі хаттамалар негізінде:
1) 20 __ жылғы "__" __________ № ____ бастапқы кодтарды талдау хаттамасы, қызмет берушінің атауы;
2) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздік функцияларын сынау хаттамасы, қызмет берушінің атауы;
3) 20 __ жылғы "__" __________ № ____ жүктемелік сынау хаттамасы, қызмет берушінің атауы;
4) 20 __ жылғы "__" __________ № ____ желілік инфрақұрылымды зерттеп-қарау хаттамасы, қызмет берушінің атауы;
5) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы, қызмет берушінің атауы
Қорытынды
Жүргізілген сынақтар негізінде _____________________________________
(сынақтар объектісінің атауы)
ақпараттық қауіпсіздік талаптарына сәйкес.
Қосымша: Сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі
Қазақстан Республикасы Цифрлық
даму, инновациялар және аэроғарыш
өнеркәсібі министрлігі Ақпараттық
қауіпсіздік комитетінің төрағасы ______________ __________________
(қолы) Т.А.Ә. (болған кезде)
20__ жылғы "_____" ___________
Сынақтар актісін алуға
ӨТІНІШ
_________________________________________________________________________
(өтініш берушінің атауы, БСН/ЖСН*, Т.А.Ә. (болған кезде)
_________________________________________________________________________
(өтініш берушінің пошталық мекенжайы, e-mail және телефоны, облыс, қала, аудан)
_________________________________________________________________________
(сынақтар объектісінің атауы)
ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар нәтижелері бойынша акт беруді сұрайды.
Қоса беріліп отырған құжаттар:
1. сынақтар объектісінің иесі (меншік иесі) бекіткен сынақ объектінің сипаттамасы туралы сауалнама-сұраулық;
2. бастапқы кодтарды талдау хаттамасы (нөмір, күні, қызмет берушінің атауы);
3. ақпараттық қауіпсіздік функцияларын сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);
4. жүктемелік сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);
5. желілік инфрақұрылымды зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);
6. ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);
Ақпараттық жүйелердегі заңмен қорғалатын құпияны құрайтын қол жеткізу шектеулі дербес деректерді пайдалануға келісім беремін.
________________ (қолы) М.О. (болған кезде) 20___ жылғы "__" ______________
* бизнес сәйкестендіру нөмірі/жеке сәйкестендіру нөмірі _____________________
Сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық
1. Сынақ объектісінің атауы:
_________________________________________________________________
_________________________________________________________________
2. Сынақ объектісіне қысқаша аңдатпа
_________________________________________________________________
(мақсаты мен пайдалану аясы)
3. Сынақ объектісінің сыныпталуы:
1) қолданбалы бағдарламалық қамтылымның сыныбы_________.
2) Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 135 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тіркелімінде № 13349 болып тіркелген) бекітілген Ақпараттандыру объектілерін сыныптау қағидаларына 2-қосымшаның нысаны бойынша сыныптау схемасы.
4. Сынақ объектісінің архитектурасы:
1) сынақ объектісінің:
сынақ объектісінің компоненттері, модульдері және олардың ІP-мекенжайлары;
компоненттері немесе модульдері арасындағы байланыстары және ақпараттық ағындардың бағыттары;
басқа ақпараттандыру объектілерімен интеграциялық өзара іс-қимылды қосу нүктелері; пайдаланушылар қосылған нүктелер;
деректерді сақтау орындары мен технологиялары;
қолданылатын резервтік жабдық;
пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген функционалдық схемасы (қажет болған кезде);
2) сынақ объектісінің:
желінің архитектурасы мен сипаттамалары;
серверлік және коммуникациялық жабдық;
адрестеу мен қолданылатын желілік технологиялар;
пайдаланылатын локалдық, ведомстволық (корпоративтік) және жаһандық желілері;
жұмыс істемей қалу болмаушылығын қамтамасыз ету және резервтеу жөніндегі шешім(дер);
пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген деректерді беру желісінің схемасы (қажет болған кезде);
5. Сынақ объектісі туралы ақпарат:
1) серверлерлік жабдық туралы ақпарат (кестені толтыру):
р/с № | Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары | Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы) | Пайдаланылатын ІP-мекенжайлары |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
2) желілік жабдық туралы ақпарат (кестені толтыру):
р/с № | Желілік жабдықтың атауы (маркасы/моделі) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Пайдаланылатын желілік технологиялар | Пайдаланылатын желіні қорғау технологиялары | Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
3) серверлік және желілік жабдық орналасқан орны (кестені толтыру):
р/с № | Серверлік орынжайдың иеленушісі | Серверлік орынжайдың иеленушісінің заңды мекенжайы | Серверлік орынжайдың нақты орналасқан орны -мекенжайы | Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде) | Жауапты тұлғалардың телефондары (жұмыс, ұялы) |
1 | 2 | 3 | 4 | 5 | 6 |
4) резервтік серверлік жабдықтың сипаттамалары (кестені толтыру):
р/с № | Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары | Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы) | Пайдаланылатын ІP-мекенжайлары | Резервтеу әдісі |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
5) резервтік желілік жабдықтың сипаттамалары (кестені толтыру):
р/с № | Желілік жабдықтың атауы (маркасы/моделі) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Пайдаланылатын желілік технологиялар | Пайдаланылатын желіні қорғау технологиялары | Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты | Резервтеу әдісі |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
6) резервтік серверлерлік және желілік жабдық орналасқан орны (кестені толтыру):
р/с № | Серверлік орынжайдың иеленушісі | Серверлік орынжайдың иеленушісінің заңды мекенжайы | Серверлік орынжайдың нақты орналасқан орны -мекенжайы | Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде) | Жауапты тұлғалардың телефондары (жұмыс, ұялы) |
1 | 2 | 3 | 4 | 5 | 6 |
7) корпоративтік желінің құрылымы (кестені толтыру) (қажет болған кезде):
р/с № | Желі сегментінің атауы | Желінің ІP-мекенжайы / желі маскасы |
1 | 2 | 3 |
8) әкімшілердің жұмыс станциялары бойынша ақпарат (кестені толтыру):
р/с № | Әкімшінің рөлі | Әкімшілердің есептік жазбаларының саны | Интернетке қолжетімділіктің болуы | Серверге қашықтықтан қолжетімділіктің болуы | Әкімші жұмыс станциясының ІP-мекенжайы | Нақты орналасқан орны - жұмыс орнының мекенжайы |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
9) мобильдік және интернет қосымшаларын пайдалануды қоса алғанда, қолданбалы бағдарламалық қамтылымды пайдаланушылар туралы ақпарат (кестені толтыру):
р/с № | Пайдаланушының рөлі | Пайдаланушының типтік іс-қимылдарының тізбесі | Пайдаланушыларды қосу нүктесінің мекенжайы мен қосу хаттамасы | Пайдаланушылардың ең көп саны | Секундына өңделетін сұраулардың (пакеттердің) барынша көп саны | Сұраулар арасында күтудің ең ұзақ уақыты |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
10) сынақ объектісінің интеграциялық өзара іс-қимылы, соның ішінде болжамды, туралы ақпарат (кестені толтыру):
р/с № | Интеграциялық байланыстың (ақпараттандыру объектісінің) атауы | Интеграциялау объектісінің меншік иесі немесе иеленушісі | Қолданыстағы/жоспарлы | Интеграциялау модулінің болуы | Қосу нүктесінің мекенжайы мен қосу хаттамасы | Секундына сұраулардың (пакеттердің) барынша көп саны | Сұраулар арасында күтудің ең ұзақ уақыты |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
11) қолданбалы БҚ бастапқы кодтары (кестені толтыру) (қажет болған кезде):
р/с № | Дискінің маркалауы | Дискідегі каталогтың атауы | Файлдың атауы | Файлдың көлемі, Мбайт | Пайдаланылатын бағдарламалау тілі (қажет болған кезде) | Файлдың түрлендірілген күні |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
12) пайдаланылатын кітапханалар мен бағдарламалық платформаның(лардың) бастапқы кодтары және орындалатын файлдары (қажет болған кезде):
р/с № | Дискінің маркалауы | Дискідегі каталогтың атауы | Кітапхана/бағдарламалық платформа/файл атауы | Көлемі, Мбайт | Бағдарламалау тілі | Кітапхана нұсқасы |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
6. Сыналатын объектіні құжаттау (кестені толтыру) (қажет болған кезде):
р/с | Құжаттың атауы | Бар болуы | Парақтар саны | Бекітілген күні | Оған сайкес құжат әзірленген стандарт немесе нормативтік құжат |
1 | 2 | 3 | 4 | 5 | 6 |
1 | Ақпараттық қауіпсіздік саясаты; | ||||
2 | Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары; | ||||
3 | Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі; | ||||
4 | Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары; | ||||
5 | Есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары; | ||||
6 | Ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары; | ||||
7 | Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары; | ||||
8 | Электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары; | ||||
9 | Интернетті және электрондық поштаны пайдалану қағидалары; | ||||
10 | Аутентификация рәсімін ұйымдастыру қағидалары; | ||||
11 | Вирусқа қарсы бақылауды ұйымдастыру қағидалары; | ||||
12 | Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары; | ||||
13 | Ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары; | ||||
14 | Ақпаратты резервтік көшіру және қалпына келтіру регламенті; | ||||
15 | Әкімшінің ақпараттандыру объектісін сүймелдеу жөніндегі басшылығы; | ||||
16 | Пайдаланушылардың ақпараттық қауіпсіздіктің оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық. | ||||
7. Бұрын өткен жұмыс түрлері немесе сынақтар туралы мәліметтер (хаттаманың нөмірі, күні):
_________________________________________________________________
8. Сыналатын объектіге лицензияның болуы (авторлық құқықтың болуы, бастапқы кодты ұсынуға әзірлеуші ұйыммен келісімнің болуы)
_________________________________________________________________
_________________________________________________________________
9. Қосымша ақпарат: _______________________________________________
_________________________________________________________________
_________________________________________________________________