"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2019 жылғы 5 желтоқсандағы № 336/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2019 жылғы 11 желтоқсанда № 19719 болып тіркелді

      БҰЙЫРАМЫН:

      1. "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 18795 болып тіркелген, Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде 2019 жылғы 7 маусымда жарияланған) мынадай өзгерістер мен толықтырулар енгiзiлсiн:

      көрсетілген бұйрықпен бекітілген "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларында (бұдан әрі – Қағидалар):

      6-тармақ мынадай редакцияда жазылсын:

      "6. Объектілерді АҚ талаптарына сәйкестікке сынақтар (бұдан әрі – сынақтар) өткізу объектілерінің техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау бойынша жұмыстарды қамтиды және сынақтар объектісін пайдаланудың штаттық ортасында жүргізіледі.";

      12-тармақ алынып тасталсын;

      30-тармақ мынадай мазмұндағы екінші бөлікпен толықтырылсын:

      "Белгіленген мерзімді өткізіп алу сынақтарды осы Қағидаларда белгіленген жалпы тәртіпте жүргізу үшін негіздеме болып табылады.";

      40-тармақ мынадай редакцияда жазылсын:

      "40. Осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні (бұдан әрі – сынақтар актісін) уәкілетті орган береді.";

      41-тармақ мынадай редакцияда жазылсын:

      "41. Сынақтар актісін алу үшін өтініш беруші қағаз тасымалдауышта не "электрондық үкіметтің" веб-порталы арқылы сынақтар объектісінің иеленушісі (меншік иесі) бекіткен осы Қағидаларға 2-қосымшаға сәйкес сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықты (бұдан әрі – сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулық) қоса бере отырып, осы Қағидалардың 7-11 тармақтарында айқындалған хаттамалардың толық жинағымен осы Қағидаларға 6-қосымшаға сәйкес нысан бойынша уәкілетті органға өтініш жібереді.";

      43-тармақ мынадай редакцияда жазылсын:

      "43. Осы Қағидалардың 7-11-тармақтарында айқындалған сынақтар хаттамаларының толық жинағы негізінде уәкілетті орган он жұмыс күні ішінде мына шешімдердің бірін қабылдайды:

      1) сынақтар актісін беру туралы;

      2) сынақтар актісін беруден бас тарту туралы.

      Сынақтар актісін беру туралы оң шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды және тиісті мәліметтерді сынақтар актілерінің тізіліміне енгізеді.

      Сынақтар актісін беруден бас тарту туралы шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісін беруден бас тарту туралы дәлелді жауап жолдайды.";

      44-тармақ мынадай редакцияда жазылсын:

      "44. Өтініш берушінің сынақтар хаттамаларының нәтижелерімен келіспеушілігі туындаған жағдайда, мемлекеттік көрсетілетін қызметті көрсету мерзімі он бес жұмыс күнін құрайды.

      Туындаған келіспеушіліктерді шешу үшін, уәкілетті орган өтініш беруші мен қызмет беруші (қызмет берушілердің) өкілдерін талқылауға шақырып, олардың қатысуымен мына шешімдердің бірін қабылдайды:

      1) сынақтар актісін беру туралы;

      2) сынақтар актісін беруден бас тарту туралы.

      Сынақтар актісін беру туралы оң шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды және тиісті мәліметтерді сынақтар актілерінің тізіліміне енгізеді.

      Сынақтар актісін беруден бас тарту туралы шешім қабылдаған жағдайда, уәкілетті орган өтініш берушіге сынақтар актісін беруден бас тарту туралы дәлелді жауап жолдайды.";

      46-тармақ мынадай редакцияда жазылсын:

      "46. Ақпараттандыру объектісінің жұмыс істеу жағдайлары мен функционалдығына өзгерістер енгізген кезде ақпараттандыру объектісінің меншік иесі немесе иеленушісі өзгерістерге әкелген жұмыстарды аяқтағаннан кейін уәкілетті органға барлық жүргізілген өзгерістердің сипаттамасын және сынақтар объектісінің меншік иесінің немесе иеленушісінің лауазымды тұлғасының қолымен және мөрімен бекітілген сынақтар объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты қоса беріп, хабарлама жібереді.

      Уәкілетті орган бес жұмыс күнінен аспайтын мерзімде сынақтар актісін қайтарып алу немесе қайтармау туралы шешім қабылдайды.";

      47-тармақ мынадай редакцияда жазылсын:

      "47. Сынақтар объектісінің нақты сипаттамалары мен сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықта көрсетілген сипаттамалары арасында алшақтық анықталған жағдайда, уәкілетті орган сынақтар актісін қайтарып алу туралы шешім қабылдауға құқылы.";

      мынадай мазмұндағы 50-тармақпен толықтырылсын:

      "50. Уәкілетті орган мынадай негіздер:

      1) уәкілетті органға ұсынылған сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақтар хаттамаларына қоса берілген сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері арасындағы айырмашылықты анықтау;

      2) көрсетілетін қызметті алушының және (немесе) мемлекеттік қызмет көрсету үшін қажетті ұсынылған материалдардың, объектілердің, деректердің және мәліметтердің Қазақстан Республикасының нормативтік құқықтық актілерінде белгіленген талаптарға сәйкес келмеуі бойынша сынақтар актісін беруден бас тартады.";

      көрсетілген Қағидаларға 2-қосымша осы бұйрыққа 3-қосымшаға сәйкес жаңа редакцияда жазылсын;

      көрсетілген Қағидаларға 4-қосымша осы бұйрыққа 1-қосымшаға сәйкес жаңа редакцияда жазылсын;

      көрсетілген Қағидалар осы бұйрыққа 2-қосымшаға сәйкес 6-қосымшамен толықтырылсын.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгiленген тәртiпте:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі министрі
А. Жумагалиев

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

      2019 жылғы "___" ____________

  Қазақстан Республикасы
Цифрлық даму, инновациялар
және аэроғарыш
өнеркәсібі министрінің
2019 жылғы 5 желтоқсандағы
№ 336/НҚ бұйрығына
1-қосымша
  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
4-қосымша
  Нысан

20 __ жылғы "____" ______________ № ____ сынақтар актісі

      "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 11-1) тармақшасы негізінде 20 __ жылғы "____" ______________ Өтінімге сәйкес Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу нәтижелері бойынша

      _________________________________________________________________

      (СО атауы)

      _________________________________________________________________

      (серверлік және желілік жабдықтың нақты орналасқан орны)

      _________________________________________________________________

      (сынақтар объектісі өтініш берушісінің атауы)

      _________________________________________________________________

      (өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә. (болған кезде)

      сынақ түрлері бойынша келесі хаттамалар негізінде:

      1) 20 __ жылғы "__" __________ № ____ бастапқы кодтарды талдау хаттамасы, қызмет берушінің атауы;

      2) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздік функцияларын сынау хаттамасы, қызмет берушінің атауы;

      3) 20 __ жылғы "__" __________ № ____ жүктемелік сынау хаттамасы, қызмет берушінің атауы;

      4) 20 __ жылғы "__" __________ № ____ желілік инфрақұрылымды зерттеп-қарау хаттамасы, қызмет берушінің атауы;

      5) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы, қызмет берушінің атауы

      Қорытынды

      Жүргізілген сынақтар негізінде _____________________________________

      (сынақтар объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкес.

      Қосымша: Сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі

      Қазақстан Республикасы Цифрлық

      даму, инновациялар және аэроғарыш

      өнеркәсібі министрлігі Ақпараттық

      қауіпсіздік комитетінің төрағасы             ______________       __________________

      (қолы)       Т.А.Ә. (болған кезде)

            20__ жылғы "_____" ___________

  Қазақстан Республикасы
Цифрлық даму, инновациялар
және аэроғарыш
өнеркәсібі министрінің
2019 жылғы 5 желтоқсандағы
№ 336/НҚ бұйрығына
2-қосымша
  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
6-қосымша
  Нысан
  Кімге_______________________
  (уәкілетті органның атауы)

Сынақтар актісін алуға
ӨТІНІШ

      _________________________________________________________________________

      (өтініш берушінің атауы, БСН/ЖСН*, Т.А.Ә. (болған кезде)

      _________________________________________________________________________

      (өтініш берушінің пошталық мекенжайы, e-mail және телефоны, облыс, қала, аудан)

      _________________________________________________________________________

      (сынақтар объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар нәтижелері бойынша акт беруді сұрайды.

      Қоса беріліп отырған құжаттар:

      1. сынақтар объектісінің иесі (меншік иесі) бекіткен сынақ объектінің сипаттамасы туралы сауалнама-сұраулық;

      2. бастапқы кодтарды талдау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      3. ақпараттық қауіпсіздік функцияларын сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      4. жүктемелік сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      5. желілік инфрақұрылымды зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      6. ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);

      Ақпараттық жүйелердегі заңмен қорғалатын құпияны құрайтын қол жеткізу шектеулі дербес деректерді пайдалануға келісім беремін.

      ________________ (қолы) М.О. (болған кезде) 20___ жылғы "__" ______________

      * бизнес сәйкестендіру нөмірі/жеке сәйкестендіру нөмірі _____________________

  Қазақстан Республикасы
Цифрлық даму, инновациялар
және аэроғарыш
өнеркәсібі министрінің
2019 жылғы 5 желтоқсандағы
№ 336/НҚ бұйрығына
3-қосымша
  "Электрондық үкіметтің"
ақпараттандыру объектілеріне
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілеріне жатқызылған
ақпараттық жүйелерге олардың
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу қағидаларына
2-қосымша
  Нысан

Сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық

      1. Сынақ объектісінің атауы:

      _________________________________________________________________

      _________________________________________________________________

      2. Сынақ объектісіне қысқаша аңдатпа

      _________________________________________________________________

      (мақсаты мен пайдалану аясы)

      3. Сынақ объектісінің сыныпталуы:

      1) қолданбалы бағдарламалық қамтылымның сыныбы_________.

      2) Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 135 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тіркелімінде № 13349 болып тіркелген) бекітілген Ақпараттандыру объектілерін сыныптау қағидаларына 2-қосымшаның нысаны бойынша сыныптау схемасы.

      4. Сынақ объектісінің архитектурасы:

      1) сынақ объектісінің:

      сынақ объектісінің компоненттері, модульдері және олардың ІP-мекенжайлары;

      компоненттері немесе модульдері арасындағы байланыстары және ақпараттық ағындардың бағыттары;

      басқа ақпараттандыру объектілерімен интеграциялық өзара іс-қимылды қосу нүктелері; пайдаланушылар қосылған нүктелер;

      деректерді сақтау орындары мен технологиялары;

      қолданылатын резервтік жабдық;

      пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген функционалдық схемасы (қажет болған кезде);

      2) сынақ объектісінің:

      желінің архитектурасы мен сипаттамалары;

      серверлік және коммуникациялық жабдық;

      адрестеу мен қолданылатын желілік технологиялар;

      пайдаланылатын локалдық, ведомстволық (корпоративтік) және жаһандық желілері;

      жұмыс істемей қалу болмаушылығын қамтамасыз ету және резервтеу жөніндегі шешім(дер);

      пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген деректерді беру желісінің схемасы (қажет болған кезде);

      5. Сынақ объектісі туралы ақпарат:

      1) серверлерлік жабдық туралы ақпарат (кестені толтыру):

р/с №

Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары

Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы)

Пайдаланылатын ІP-мекенжайлары

1

2

3

4

5

6

7















      2) желілік жабдық туралы ақпарат (кестені толтыру):

р/с №

Желілік жабдықтың атауы (маркасы/моделі)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Пайдаланылатын желілік технологиялар

Пайдаланылатын желіні қорғау технологиялары

Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты

1

2

3

4

5

6

7















      3) серверлік және желілік жабдық орналасқан орны (кестені толтыру):

р/с №

Серверлік орынжайдың иеленушісі

Серверлік орынжайдың иеленушісінің заңды мекенжайы

Серверлік орынжайдың нақты орналасқан орны -мекенжайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде)

Жауапты тұлғалардың телефондары (жұмыс, ұялы)

1

2

3

4

5

6













      4) резервтік серверлік жабдықтың сипаттамалары (кестені толтыру):

р/с №

Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары

Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы)

Пайдаланылатын ІP-мекенжайлары

Резервтеу әдісі

1

2

3

4

5

6

7

8

















      5) резервтік желілік жабдықтың сипаттамалары (кестені толтыру):

р/с №

Желілік жабдықтың атауы (маркасы/моделі)

Мақсаты (орындайтын функционалдық міндеттері)

Саны

Пайдаланылатын желілік технологиялар

Пайдаланылатын желіні қорғау технологиялары

Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты

Резервтеу әдісі

1

2

3

4

5

6

7

8

















      6) резервтік серверлерлік және желілік жабдық орналасқан орны (кестені толтыру):

р/с №

Серверлік орынжайдың иеленушісі

Серверлік орынжайдың иеленушісінің заңды мекенжайы

Серверлік орынжайдың нақты орналасқан орны -мекенжайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде)

Жауапты тұлғалардың телефондары (жұмыс, ұялы)

1

2

3

4

5

6













      7) корпоративтік желінің құрылымы (кестені толтыру) (қажет болған кезде):

р/с №

Желі сегментінің атауы

Желінің ІP-мекенжайы / желі маскасы

1

2

3







      8) әкімшілердің жұмыс станциялары бойынша ақпарат (кестені толтыру):

р/с №

Әкімшінің рөлі

Әкімшілердің есептік жазбаларының саны

Интернетке қолжетімділіктің болуы

Серверге қашықтықтан қолжетімділіктің болуы

Әкімші жұмыс станциясының ІP-мекенжайы

Нақты орналасқан орны - жұмыс орнының мекенжайы

1

2

3

4

5

6

7















      9) мобильдік және интернет қосымшаларын пайдалануды қоса алғанда, қолданбалы бағдарламалық қамтылымды пайдаланушылар туралы ақпарат (кестені толтыру):

р/с №

Пайдаланушының рөлі

Пайдаланушының типтік іс-қимылдарының тізбесі

Пайдаланушыларды қосу нүктесінің мекенжайы мен қосу хаттамасы

Пайдаланушылардың ең көп саны

Секундына өңделетін сұраулардың (пакеттердің) барынша көп саны

Сұраулар арасында күтудің ең ұзақ уақыты

1

2

3

4

5

6

7















      10) сынақ объектісінің интеграциялық өзара іс-қимылы, соның ішінде болжамды, туралы ақпарат (кестені толтыру):

р/с №

Интеграциялық байланыстың (ақпараттандыру объектісінің) атауы

Интеграциялау объектісінің меншік иесі немесе иеленушісі

Қолданыстағы/жоспарлы

Интеграциялау модулінің болуы

Қосу нүктесінің мекенжайы мен қосу хаттамасы

Секундына сұраулардың (пакеттердің) барынша көп саны

Сұраулар арасында күтудің ең ұзақ уақыты

1

2

3

4

5

6

7

8

















      11) қолданбалы БҚ бастапқы кодтары (кестені толтыру) (қажет болған кезде):

р/с №

Дискінің маркалауы

Дискідегі каталогтың атауы

Файлдың атауы

Файлдың көлемі, Мбайт

Пайдаланылатын бағдарламалау тілі (қажет болған кезде)

Файлдың түрлендірілген күні

1

2

3

4

5

6

7















      12) пайдаланылатын кітапханалар мен бағдарламалық платформаның(лардың) бастапқы кодтары және орындалатын файлдары (қажет болған кезде):

р/с №

Дискінің маркалауы

Дискідегі каталогтың атауы

Кітапхана/бағдарламалық платформа/файл атауы

Көлемі, Мбайт

Бағдарламалау тілі

Кітапхана нұсқасы

1

2

3

4

5

6

7















      6. Сыналатын объектіні құжаттау (кестені толтыру) (қажет болған кезде):

р/с

Құжаттың атауы

Бар болуы

Парақтар саны

Бекітілген күні

Оған сайкес құжат әзірленген стандарт немесе нормативтік құжат

1

2

3

4

5

6

1

Ақпараттық қауіпсіздік саясаты;





2

Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары;





3

Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;





4

Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары;





5

Есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары;





6

Ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары;





7

Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;





8

Электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары;





9

Интернетті және электрондық поштаны пайдалану қағидалары;





10

Аутентификация рәсімін ұйымдастыру қағидалары;





11

Вирусқа қарсы бақылауды ұйымдастыру қағидалары;





12

Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары;





13

Ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары;





14

Ақпаратты резервтік көшіру және қалпына келтіру регламенті;





15

Әкімшінің ақпараттандыру объектісін сүймелдеу жөніндегі басшылығы;





16

Пайдаланушылардың ақпараттық қауіпсіздіктің оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық.

















      7. Бұрын өткен жұмыс түрлері немесе сынақтар туралы мәліметтер (хаттаманың нөмірі, күні):

      _________________________________________________________________

      8. Сыналатын объектіге лицензияның болуы (авторлық құқықтың болуы, бастапқы кодты ұсынуға әзірлеуші ұйыммен келісімнің болуы)

      _________________________________________________________________

      _________________________________________________________________

      9. Қосымша ақпарат: _______________________________________________

      _________________________________________________________________

      _________________________________________________________________

О внесении изменений и дополнений в приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности"

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 5 декабря 2019 года № 336/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 11 декабря 2019 года № 19719

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 18795, опубликован 7 июня 2019 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан) следующие изменения и дополнения:

      в Правилах проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила), утвержденным указанным приказом:

      пункт 6 изложить в следующей редакции:

      "6. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.";

      пункт 12 исключить;

      пункт 30 дополнить частью второй следующего содержания:

      "Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.";

      пункт 40 изложить с следующей редакции:

      "40. Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к настоящим Правилам (далее – акт испытаний) выдается уполномоченным органом.";

      пункт 41 изложить в следующей редакции:

      "41. Для получения акта испытаний заявитель направляет в уполномоченный орган заявление по форме согласно приложению 6 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам (далее – анкета-вопросник о характеристиках объекта испытаний), утвержденной владельцем (собственником) объекта испытаний на бумажном носителе либо через веб-портал "электронного правительства".";

      пункт 43 изложить в следующей редакции:

      "43. На основании полного комплекта протоколов испытаний, определенных пунктами с 7 по 11 настоящих Правил уполномоченный орган в течении десяти рабочих дней принимает одно из следующих решений:

      1) о выдаче акта испытаний;

      2) об отказе в выдаче акта испытаний.

      В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.

      В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.";

      пункт 44 изложить в следующей редакции:

      "44. В случае возникновения несогласия заявителя с результатами по протоколам испытаний, срок оказания государственной услуги составляет пятнадцать рабочих дней.

      Для устранения возникших разногласий, уполномоченный орган приглашает для обсуждения представителей заявителя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:

      1) о выдаче акта испытаний;

      2) об отказе выдаче акта испытаний.

      В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.

      В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.";

      пункт 46 изложить в следующей редакции:

      "46. В случае изменения условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет в уполномоченный орган уведомление с приложением описания всех произведенных изменений и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной подписью должностного лица и печатью собственника или владельца объекта испытаний.

      Уполномоченный орган в срок не более пяти рабочих дней принимает решение об отзыве или не отзыве акта испытаний.";

      в пункт 47 вносятся изменения на государственном языке, текст на русском языке не меняется;

      дополнить пунктом 50 следующего содержания:

      "50. Уполномоченный орган отказывает в выдаче акта испытаний по следующим основаниям:

      1) установление расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного в уполномоченный орган с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний;

      2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан.";

      приложение 2 к указанным Правилам, изложить в новой редакции согласно приложению 3 к настоящему приказу;

      приложение 4 к указанным Правилам, изложить в новой редакции согласно приложению 1 к настоящему приказу;

      указанные Правила дополнить приложением 6 согласно приложению 2 к настоящему приказу.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
А. Жумагалиев

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
"___" ____________2019 года

  Приложение 1
к приказу Министра
цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 5 декабря 2019 года
№ 336/НҚ
  Приложение 4
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

                  Акт испытаний №___ "_____" ___________ 20__ г.

      В соответствии с Заявкой от "___" ___________20__г. на основании
подпункта 11-1) статьи 7-1 Закона Республики Казахстан "Об информатизации"
Комитет по информационной безопасности Министерства цифрового развития,
инноваций и аэрокосмической промышленности Республики Казахстан выдал
настоящий Акт по результатам проведения испытаний на соответствие требованиям
информационной безопасности о том, что были проведено испытание
_________________________________________________________________
                  (наименование ОИ)
_________________________________________________________________
      (фактическое местоположение серверного и сетевого оборудования)
_________________________________________________________________
            (наименование заявителя объекта испытаний)
_________________________________________________________________
(наименование организации-заявителя/Ф.И.О. (при наличии) заявителя)
на основании следующих протоколов по видам испытаний:
1) Протокол анализа исходных кодов №___ от "___" _________ ___ г.,
наименование поставщика;
2) Протокол испытания функций информационной безопасности №___
от "___" _________ ___ г., наименование поставщика;
3) Протокол нагрузочного испытания №___
от "___" _________ ___ г., наименование поставщика;
4) Протокол обследования сетевой инфраструктуры №___
от "___" _________ ___ г., наименование поставщика;
5) Протокол обследование процессов обеспечения информационной безопасности
№___ от "___" _________ ___ г., наименование поставщика.

                                    Заключение

      На основании проведенных испытаний

      ________________________________________________________________________________
                                          (наименование объекта испытаний)соответствует требованиям информационной безопасности.

      Приложение: Копия анкеты-вопросника о характеристиках объекта испытаний Председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

      ___________ ________________
      (подпись) Ф.И.О. (при наличии)
      "___" ___________ 20 __ г

  Приложение 2
к приказу Министра
цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 5 декабря 2019 года
№ 336/НҚ
  Приложение 6
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма
  Кому _________________________
(наименование уполномоченного органа)

                                    ЗАЯВЛЕНИЕ
                              на получение акта испытаний

      _________________________________________________________________
            (наименование, БИН/ИИН*, Ф.И.О. (при его наличии)
заявителя)_________________________________________________________________
            (почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит выдать акт по результатам испытаний ______________________________________
                                          (наименование объекта испытаний)
на соответствие требованиям информационной безопасности.
Прилагаемые документы:
1. анкета-вопросник о характеристиках объекта испытаний, утвержденный владельцем
(собственником) объекта испытаний;
2. протокол анализа исходных кодов (номер, дата, наименование поставщика);
3. протокол испытаний функций информационной безопасности (номер, дата, наименование
поставщика);
4. протокол нагрузочного испытания (номер, дата, наименование поставщика);
5. протокол обследования сетевой инфраструктуры (номер, дата, наименование поставщика);
6. протокол обследования процессов обеспечения информационной безопасности (номер,
дата, наименование поставщика).
Согласен на использование персональных данных ограниченного доступа, составляющих
охраняемую законом тайну, содержащихся в информационных системах.
__________________________
(подпись) М.П. (при наличии)
"___" __________ 20 ___ года
*бизнес-идентификационный номер/индивидуальный идентификационный номер

  Приложение 3
к приказу Министра
цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 5 декабря 2019 года
№ 336/НҚ
  Приложение 2
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

Анкета-вопросник о характеристиках объекта испытаний

      1. Наименование объекта испытаний:
_________________________________________________________________
_________________________________________________________________
2. Краткая аннотация на объект испытаний
_________________________________________________________________
      (назначение и область применения)
3. Классификация объекта испытаний:
1) класс прикладного программного обеспечения _________________.
2) схема классификации по форме приложения 2 к Правилам классификации объектов
информатизации, утвержденным Приказом исполняющего обязанности Министра по
инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135
(зарегистрирован в Реестре государственной регистрации нормативных правовых актов
за № 13349).
4. Архитектура объекта испытаний:
1) функциональная схему объекта испытаний(при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;
связей между компонентами или модулями и направления информационных потоков;
точки подключения интеграционного взаимодействия с другими объектами
информатизации;
точки подключения пользователей;
мест и технологий хранения данных;
применяемого резервного оборудования;
разъяснения применяемых терминов и аббревиатур;
2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:
архитектуры и характеристик сети;
серверного сетевого и коммуникационного оборудования;
адресации и применяемых сетевых технологий;
используемых локальных, ведомственных (корпоративных) и глобальных сетей;
решения(й) по обеспечению отказоустойчивости и резервированию.
разъяснения применяемых терминов и аббревиатур;
5. Информация об объекте испытаний:
1) информация о серверном оборудовании (заполнить таблицу):


п/п

Наименование сервера или виртуального ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

1

2

3

4

5

6

7















      2) информация о сетевом оборудовании (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе, порт управления

1

2

3

4

5

6

7















      3) местонахождение серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      4) характеристики резервного серверного оборудования (заполнить таблицу):


п/п

Наименование сервера или виртуально го ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики
сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

Метод резервирования

1

2

3

4

5

6

7

8

















      5) характеристики резервного сетевого оборудования (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе порт управления

Метод резервирования

1

2

3

4

5

6

7

8

















      6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      7) структура корпоративной сети (заполнить таблицу) (при необходимости):

№ п/п

Наименование сегмента сети

IP-адрес сети/маска сети

1

2

3







      8) информация по рабочим станциям администраторов (заполнить таблицу):

№ п/п

Роль администратора

Количество учетных записей администраторов

Наличие доступа к Интернет

Наличие удаленного доступа к оборудованию

IP-адрес рабочей станции администратора

Фактическое местоположение – адрес рабочего места

1

2

3

4

5

6

7















      9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):


п/п

Роль пользователя

Перечень типовых действий пользователя

Адрес точки подключения и протокол подключения пользователей

Максимальное количество пользователей

Максимальное количество, обрабатываемых запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7








      10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые (заполнить таблицу):


п/п

Наименование интеграционной связи (объекта информатизации)

Собственник или владелец интегрируемого объекта

Действующая/планируемая

Наличие модуля интеграции

Адрес точки подключения и протокол подключения

Максимальное количество запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

















      11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование файла

Размер файла, Мбайт

Применяемый язык программирования (при необходимости)

Дата модификации файла

1

2

3

4

5

6

7















      12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование библиотеки/программной платформы/файла

Размер, Мбайт

Язык программирования

Версия библиотеки

1

2

3

4

5

6

7















      6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):


п/п

Наименование документа

Наличие

Количество страниц

Дата утверждения

Стандарт или нормативный документ, в соответствии с которым был разработан документ

1

2

3

4

5

6

1

Политика информационной безопасности;





2

Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;





3

Методика оценки рисков информационной безопасности;





4

Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;





5

Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;





6

Правила проведения внутреннего аудита информационной безопасности;





7

Правила использования средств криптографической защиты информации;





8

Правила разграничения прав доступа к электронным информационным ресурсам;





9

Правила использования Интернет и электронной почты;





10

Правила организации процедуры аутентификации;





11

Правила организации антивирусного контроля;





12

Правила использования мобильных устройств и носителей информации;





13

Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;





14

Регламент резервного копирования и восстановления информации;





15

Руководство администратора по сопровождению объекта информатизации;





16

Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.





      7. Сведения о ранее пройденных видах работ или испытаниях (номер протокола, дата):
_________________________________________________________________
8. Наличие лицензии на испытываемый объект (наличие авторских прав, наличие
соглашения с организацией-разработчиком на предоставление исходного кода)
_________________________________________________________________
_________________________________________________________________
9. Дополнительная информация: ____________________________________
_________________________________________________________________
_________________________________________________________________