ЗҚАИ-ның ескертпесі!
Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз
"Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 20-4) тармақшасына сәйкес БҰЙЫРАМЫН:
1. Осы бұйрыққа қоса беріліп отырған Ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу қағидалары бекітілсін.
2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:
1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;
3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.
3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.
4. Осы бұйрық алғашқы ресми жарияланған күнінен бастап күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі.
|
Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі |
Б. Мусин |
"КЕЛІСІЛДІ"
Қазақстан Республикасының
Ұлттық қауіпсіздік комитеті
| Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі 2024 жылғы 1 сәуірдегі № 185/НҚ Бұйрықпен бекітілген |
Ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу қағидалары 1-тарау. Жалпы ережелер
1. Осы Ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу қағидалары (бұдан әрі – Қағидалар) Қазақстан Республикасының "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 20-4) тармақшасына сәйкес әзірленді және мемлекеттік органдардың ақпараттандыру объектілеріне арналған ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының (бұдан әрі – МО АО бойынша АҚЗ ӨБ) жұмыс істеу тәртібін айқындайды.
2. Осы Қағидаларда мынадай негізгі ұғымдар қолданылады:
1) ақпараттандыру объектілері (бұдан әрі – АО) – электрондық ақпараттық ресурстар, бағдарламалық қамтылым, интернет-ресурс және ақпараттық-коммуникациялық инфрақұрылым;
2) ақпараттандыру объектілерінің иеленушісі – ақпараттандыру объектілерінің меншік иесі заңда немесе келісімде айқындалған шектерде және тәртіппен ақпараттандыру объектілерін иелену және пайдалану құқықтарын берген субъект;
3) ақпараттық қауіпсіздікті зерттеуші (бұдан әрі – АҚ зерттеуші) – ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасында тіркелген, ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасына қосылған ақпараттандыру объектілерін осалдықтарын анықтау үшін зерттейтін, ақпараттық қауіпсіздікті қамтамасыз ету және (немесе) ақпараттық-коммуникациялық технологиялар саласындағы маман;
4) ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасы (бұдан әрі – АҚЗ ӨБ) – ақпараттық қауіпсіздікті зерттеушілерді тіркеуге, анықталған осалдықтарды тіркеуге, сондай-ақ ақпараттық қауіпсіздікті зерттеушілердің ақпараттандыру объектілерімен өзара іс-қимыл жасауын қамтамасыз етуге арналған ақпараттандыру объектісі;
5) ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – ақпараттық қауіпсіздікті қамтамасыз ету саласында басшылықты және салааралық үйлестіруді жүзеге асыратын орталық атқарушы орган;
6) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;
7) мемлекеттік органдардың ақпараттандыру объектілеріне арналған ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл бағдарламасының операторы (бұдан әрі – оператор) – мемлекеттік органдардың ақпараттандыру объектілеріне (бұдан әрі – МО АО) арналған ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеуін қамтамасыз ететін мемлекеттік ақпараттық қауіпсіздік жедел орталығы;
8) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;
9) осалдық туралы есеп (бұдан әрі – есеп) – ақпараттандыру объектісінде зерттеушімен табылған осалдық туралы мәліметтер;
10) токен – бірегей жолдық мән.
2-тарау. Мемлекеттік органдардың ақпараттандыру объектілері бойынша ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу тәртібі
3. Оператор ретінде ақпараттық қауіпсіздіктің мемлекеттік жедел орталығының міндеттері мен функцияларын Заңның 7-8-бабы 1-тармағының 6) тармақшасына, 7-4-бабы 1-тармағының 3) тармақшасына және 14-бабы 1-тармағының 15) тармақшасына сәйкес МО АО бойынша АҚЗ ӨБ-нің жұмыс істеуін өз ақпараттық-коммуникациялық инфрақұрылымында жүзеге асыратын мемлекеттік техникалық қызмет ("Мемлекеттік техникалық қызмет" АҚ, бұдан әрі – "МТҚ" АҚ) іске асырады.
4. МО АО бойынша АҚЗ ӨБ-нің жұмыс істеуін қамтамасыз ету Қазақстан Республикасының Ұлттық қауіпсіздік комитеті (бұдан әрі – ҚР ҰҚК) мен "МТҚ" АҚ арасындағы шарттық қатынастар негізінде жүзеге асырылады.
5. Уәкілетті орган МО АО бойынша АҚЗ ӨБ-ге қосылуы тиіс МО АО тізімін қалыптастыру үшін МО АО иелері немесе иеленушілеріне Интернетке қолжетімділігі бар МО АО туралы ақпарат ұсыну үшін сұраным (бұдан әрі – сұраным) жолдайды.
6. МО АО иелері немесе иеленушілері сұраным келіп түскен күннен 10 (он) жұмыс күні ішінде уәкілетті органға МО АО атаулары және олардағы осалдық іздеу мерзімі түріндегі Интернетке қолжетімділігі бар МО АО туралы ақпарат жолдайды.
7. Уәкілетті орган МО АО иелері немесе иеленушілерімен берілген ақпарат негізінде 10 (он) жұмыс күні ішінде МО АО арналған АҚЗ ӨБ-ге қосылуы тиіс МО АО тізімін және МО АО-дағы осалдықтар іздеу мерзімдерін (бұдан әрі – тізім) жасайды.
8. Уәкілетті орган тізім жасалған күннен 3 (үш) жұмыс күні ішінде операторға жолдайды.
9. Оператор тізімді алған күннен 3 (үш) жұмыс күні ішінде тізімге сәйкес МО АО иелері немесе иеленушілеріне МО АО арналған АҚЗ ӨБ-ге қосылу қажеттілігі туралы хабарлайды (бұдан әрі – қосылу жайлы хабарлама).
10. Заңның 54-бабының 2-1-тармағының 1) тармақшасына сәйкес МО АО-ның меншік иелері немесе иеленушілері Интернетке қолжетімділігі жоқ АО-ны қоспағанда, МО АО арналған АҚЗ ӨБ-ге АО-ның қосылуын қамтамасыз ететін шараларды қабылдауға міндетті.
11. МО АО иелері немесе иеленушілері МО АО бойынша АҚЗ ӨБ-ге қосылу үшін қосылу жайлы хабарлама алған күннен 10 (он) жұмыс күні ішінде ең аз тестілеу ауқымын қамтитын МО АО зерттеудің шекаралары, осалдықтардың сыни деңгейлері, қарастыру үшін қабылданбайтын осалдықтардың тізбесі, сондай-ақ МО АО-да осалдықтарды іздеу кезінде МО АО-ға қатысты жол берілмейтін әрекеттерді қамтитын зерттеу тәртібін әзірлейді және бекітеді.
12. МО АО иелері немесе иеленушілері зерттеу тәртібі бекітілген күннен 2 (екі) жұмыс күні ішінде операторға жолдайды.
Оператор зерттеу тәртібі келіп түскен күннен 2 (екі) жұмыс күні ішінде МО АО бойынша АҚЗ ӨБ-де орналастырады.
13. АҚ зерттеуші ішінде МО АО бойынша АҚЗ ӨБ-де тіркеледі, және АҚ зерттеуші МО АО-да осладылықтар іздеу барысында трафик, сауал, баптауды белгілейтін токен алады.
14. АҚ зерттеуші токенді үшінші тұлғаларға жария ете алмайды және үшінші тұлғалардың токендерін пайдалана алмайды.
15. МО АО-ны осалдықтардың болуына зерттеу кезінде АҚ зерттеушіге:
1) МО АО бойынша АҚЗ ӨБ-де көрсетілмеген IP-мекенжайларды және домендік атауларды зерттеуге;
2) МО АО меншік иесі немесе иеленушісі келіскен жағдайларды қоспағанда, осалдықтарды анықтау үшін АО-ны автоматты түрде сканерлеу құралдарын пайдалануға;
3) зерттеу тәртібінде айқындалған және осалдықтың бар екендігін дәлелдеуге немесе осалдықпен байланысты индикаторды анықтауға жеткілікті ең аз тестілеу ауқымын қоспағанда, осладылықты қолдану әрекетін жасауға;
4) ақпарат осалдықпен тікелей байланысты болып, қолжетімділік осалдықтың бар екенін дәлелдеуге қажет болатын жағдайларды қоспағанда, МО АО-ға жіберілетін немесе сақталатын кез-келген хабарлама, дерек және ақпарат мазмұнына қасақана қолжетімділік алуға;
5) зерттеу жүргізу барысында қол жеткізілген деректерді және ақпаратты жүктеп алу, сақтау, ашуды, беруді, модификациялауды, жоюды жүзеге асыруға;
6) МО АО меншік иесінің немесе иеленушісінің жазбаша келісімі алынған жағдайларды қоспағанда, МО АО-ның осалдылығы жайлы ақпаратты және осалдықты қолдану арқылы алынған ақпарат мазмұнын жариялауға;
7) зерттеу жүргізу үшін МО АО-ның меншік иесімен немесе иеленушісімен АҚ зерттеушіге есептік жазбаларға қолжетімділік берген жағдайларды қоспағанда, МО АО қолданушыларының есептік жазбаларына қолжетімділік алу әрекеттерін жасауға;
8) МО АО-ға физикалық араласу әдістерін жүзеге асыруға;
9) МО АО меншік иесінің немесе иеленушісінің қызметшілеріне немесе мердігеріне қатысты әлеуметтік инженерия әдістерін қолдануға тыйым салынады.
16. Егер табылған осалдық МО АО-ның тұтастығы мен қолжетімділігінің бұзылуына алып келетін болса, АҚ зерттеуші осы осалдықты пайдалану жөніндегі әрекеттерді жасаудан қалыс қалуы керек және АҚ зерттеуші есепте табылған осалдықты тексеру үшін қажетті деректерді көрсетеді.
17. АҚ зерттеуші операторға МО АО бойынша АҚЗ ӨБ-де орналастырылған нысанға сәйкес МО АО бойынша АҚЗ ӨБ арқылы есеп жібереді.
18. Оператор есепті алған күннен бастап 15 (он бес) жұмыс күні ішінде оның дұрыстығын тексереді және МО АО-да осалдықтың болуы немесе болмауы туралы қорытынды дайындайды.
19. Оператор қажет болған жағдайда есепті тексеру кезінде МО АО-да осалдықтың болуын растайтын қосымша мәліметтерді АҚ зерттеушіден сұрайды.
20. Есептің дұрыстығы расталмаса, оператор есепті тексергеннен кейін 5 (бес) жұмыс күні ішінде АҚ зерттеушіге МО АО бойынша АҚЗ ӨБ арқылы МО АО-да осалдықтың жоқтығы туралы қорытынды жібереді.
21. Есептің дұрыстығы расталса, оператор есепті тексергеннен кейін 5 (бес) жұмыс күні ішінде МО АО бойынша АҚЗ ӨБ арқылы:
1) МО АО-да осалдықтың бар екендігі туралы МО АО-ның меншік иесін немесе иеленушісін хабардар етеді (бұдан әрі – осалдық туралы хабарлама) және оған есепті жібереді;
2) МО АО-да осалдық бар екендігі туралы уәкілетті органды хабардар етеді;
3) тексеру нәтижелері туралы АҚ зерттеушіні хабардар етеді.
22. Оператор есепті МО АО-ның меншік иесіне немесе иеленушісіне және уәкілетті органға:
1) Есептің дұрыстығы оператормен расталмаған кезде;
2) АҚ зерттеушісімен есеп жіберілгенге дейін дәл сондай осалдықтың бар екендігін оператор растаған кезде жібермейді.
23. Заңның 54-бабының 2-1-тармағының 2) тармақшасына сәйкес МО АО-ның меншік иелері немесе иеленушілері МО АО бойынша АҚЗ ӨБ-де тіркелген анықталған осалдықтардың жойылуын қамтамасыз ететін шараларды қабылдауға міндетті.
24. МО АО-ның меншік иелері немесе иеленушілері осалдық туралы хабарлама алған күннен бастап 15 (он бес) жұмыс күні ішінде:
1) осалдықты жояды және операторға МО АО бойынша АҚЗ ӨБ арқылы оның жойылғаны туралы мәліметтер жолдайды;
2) осалдықты жою мүмкін болмаған жағдайда, операторға және уәкілетті органға:
осалдықты жоймаудың негіздемесі және МО АО-да талап етілетін өзгерістердің сипатын;
анықталған осалдықты пайдалану тәуекелдерін барынша азайтуға бағытталған шараларды;
бірінші анықталған сәттен бастап 6 (алты) айдан аспайтын уақытта осалдықты жою мерзімдерін қамтитын МО АО-да осалдықтың жойылмауы туралы мәліметтер жолдайды.
25. Осы Қағидалардың 24-тармағымен айқындалған осалдықты жою мерзімі аяқталғаннан соң оператор МО АО-ны 5 (бес) жұмыс күні ішінде осалдықтың жойылғандығын тексереді.
26. АҚ зерттеуші осы Қағидалардың 13, 14, 15, 16 және 17-тармақтарын және зерттеу тәртібін бұзған жағдайда оператор МО АО бойынша АҚЗ ӨБ-де АҚ зерттеушінің есептік жазбасын бұғаттайды.
