Ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2024 жылғы 1 сәуірдегі № 185/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 2 сәуірде № 34211 болып тіркелді

      ЗҚАИ-ның ескертпесі!
      Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз

      "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 20-4) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Осы бұйрыққа қоса беріліп отырған Ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен бастап күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі
Б. Мусин

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрі
2024 жылғы 1 сәуірдегі
№ 185/НҚ Бұйрықпен
бекітілген

Ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу қағидалары 1-тарау. Жалпы ережелер

      1. Осы Ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу қағидалары (бұдан әрі – Қағидалар) Қазақстан Республикасының "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 20-4) тармақшасына сәйкес әзірленді және мемлекеттік органдардың ақпараттандыру объектілеріне арналған ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының (бұдан әрі – МО АО бойынша АҚЗ ӨБ) жұмыс істеу тәртібін айқындайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар қолданылады:

      1) ақпараттандыру объектілері (бұдан әрі – АО) – электрондық ақпараттық ресурстар, бағдарламалық қамтылым, интернет-ресурс және ақпараттық-коммуникациялық инфрақұрылым;

      2) ақпараттандыру объектілерінің иеленушісі – ақпараттандыру объектілерінің меншік иесі заңда немесе келісімде айқындалған шектерде және тәртіппен ақпараттандыру объектілерін иелену және пайдалану құқықтарын берген субъект;

      3) ақпараттық қауіпсіздікті зерттеуші (бұдан әрі – АҚ зерттеуші) – ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасында тіркелген, ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасына қосылған ақпараттандыру объектілерін осалдықтарын анықтау үшін зерттейтін, ақпараттық қауіпсіздікті қамтамасыз ету және (немесе) ақпараттық-коммуникациялық технологиялар саласындағы маман;

      4) ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасы (бұдан әрі – АҚЗ ӨБ) – ақпараттық қауіпсіздікті зерттеушілерді тіркеуге, анықталған осалдықтарды тіркеуге, сондай-ақ ақпараттық қауіпсіздікті зерттеушілердің ақпараттандыру объектілерімен өзара іс-қимыл жасауын қамтамасыз етуге арналған ақпараттандыру объектісі;

      5) ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – ақпараттық қауіпсіздікті қамтамасыз ету саласында басшылықты және салааралық үйлестіруді жүзеге асыратын орталық атқарушы орган;

      6) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      7) мемлекеттік органдардың ақпараттандыру объектілеріне арналған ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл бағдарламасының операторы (бұдан әрі – оператор) – мемлекеттік органдардың ақпараттандыру объектілеріне (бұдан әрі – МО АО) арналған ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеуін қамтамасыз ететін мемлекеттік ақпараттық қауіпсіздік жедел орталығы;

      8) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

      9) осалдық туралы есеп (бұдан әрі – есеп) – ақпараттандыру объектісінде зерттеушімен табылған осалдық туралы мәліметтер;

      10) токен – бірегей жолдық мән.

2-тарау. Мемлекеттік органдардың ақпараттандыру объектілері бойынша ақпараттық қауіпсіздікті зерттеушілермен өзара іс-қимыл жасау бағдарламасының жұмыс істеу тәртібі

      3. Оператор ретінде ақпараттық қауіпсіздіктің мемлекеттік жедел орталығының міндеттері мен функцияларын Заңның 7-8-бабы 1-тармағының 6) тармақшасына, 7-4-бабы 1-тармағының 3) тармақшасына және 14-бабы 1-тармағының 15) тармақшасына сәйкес МО АО бойынша АҚЗ ӨБ-нің жұмыс істеуін өз ақпараттық-коммуникациялық инфрақұрылымында жүзеге асыратын мемлекеттік техникалық қызмет ("Мемлекеттік техникалық қызмет" АҚ, бұдан әрі – "МТҚ" АҚ) іске асырады.

      4. МО АО бойынша АҚЗ ӨБ-нің жұмыс істеуін қамтамасыз ету Қазақстан Республикасының Ұлттық қауіпсіздік комитеті (бұдан әрі – ҚР ҰҚК) мен "МТҚ" АҚ арасындағы шарттық қатынастар негізінде жүзеге асырылады.

      5. Уәкілетті орган МО АО бойынша АҚЗ ӨБ-ге қосылуы тиіс МО АО тізімін қалыптастыру үшін МО АО иелері немесе иеленушілеріне Интернетке қолжетімділігі бар МО АО туралы ақпарат ұсыну үшін сұраным (бұдан әрі – сұраным) жолдайды.

      6. МО АО иелері немесе иеленушілері сұраным келіп түскен күннен 10 (он) жұмыс күні ішінде уәкілетті органға МО АО атаулары және олардағы осалдық іздеу мерзімі түріндегі Интернетке қолжетімділігі бар МО АО туралы ақпарат жолдайды.

      7. Уәкілетті орган МО АО иелері немесе иеленушілерімен берілген ақпарат негізінде 10 (он) жұмыс күні ішінде МО АО арналған АҚЗ ӨБ-ге қосылуы тиіс МО АО тізімін және МО АО-дағы осалдықтар іздеу мерзімдерін (бұдан әрі – тізім) жасайды.

      8. Уәкілетті орган тізім жасалған күннен 3 (үш) жұмыс күні ішінде операторға жолдайды.

      9. Оператор тізімді алған күннен 3 (үш) жұмыс күні ішінде тізімге сәйкес МО АО иелері немесе иеленушілеріне МО АО арналған АҚЗ ӨБ-ге қосылу қажеттілігі туралы хабарлайды (бұдан әрі – қосылу жайлы хабарлама).

      10. Заңның 54-бабының 2-1-тармағының 1) тармақшасына сәйкес МО АО-ның меншік иелері немесе иеленушілері Интернетке қолжетімділігі жоқ АО-ны қоспағанда, МО АО арналған АҚЗ ӨБ-ге АО-ның қосылуын қамтамасыз ететін шараларды қабылдауға міндетті.

      11. МО АО иелері немесе иеленушілері МО АО бойынша АҚЗ ӨБ-ге қосылу үшін қосылу жайлы хабарлама алған күннен 10 (он) жұмыс күні ішінде ең аз тестілеу ауқымын қамтитын МО АО зерттеудің шекаралары, осалдықтардың сыни деңгейлері, қарастыру үшін қабылданбайтын осалдықтардың тізбесі, сондай-ақ МО АО-да осалдықтарды іздеу кезінде МО АО-ға қатысты жол берілмейтін әрекеттерді қамтитын зерттеу тәртібін әзірлейді және бекітеді.

      12. МО АО иелері немесе иеленушілері зерттеу тәртібі бекітілген күннен 2 (екі) жұмыс күні ішінде операторға жолдайды.

      Оператор зерттеу тәртібі келіп түскен күннен 2 (екі) жұмыс күні ішінде МО АО бойынша АҚЗ ӨБ-де орналастырады.

      13. АҚ зерттеуші ішінде МО АО бойынша АҚЗ ӨБ-де тіркеледі, және АҚ зерттеуші МО АО-да осладылықтар іздеу барысында трафик, сауал, баптауды белгілейтін токен алады.

      14. АҚ зерттеуші токенді үшінші тұлғаларға жария ете алмайды және үшінші тұлғалардың токендерін пайдалана алмайды.

      15. МО АО-ны осалдықтардың болуына зерттеу кезінде АҚ зерттеушіге:

      1) МО АО бойынша АҚЗ ӨБ-де көрсетілмеген IP-мекенжайларды және домендік атауларды зерттеуге;

      2) МО АО меншік иесі немесе иеленушісі келіскен жағдайларды қоспағанда, осалдықтарды анықтау үшін АО-ны автоматты түрде сканерлеу құралдарын пайдалануға;

      3) зерттеу тәртібінде айқындалған және осалдықтың бар екендігін дәлелдеуге немесе осалдықпен байланысты индикаторды анықтауға жеткілікті ең аз тестілеу ауқымын қоспағанда, осладылықты қолдану әрекетін жасауға;

      4) ақпарат осалдықпен тікелей байланысты болып, қолжетімділік осалдықтың бар екенін дәлелдеуге қажет болатын жағдайларды қоспағанда, МО АО-ға жіберілетін немесе сақталатын кез-келген хабарлама, дерек және ақпарат мазмұнына қасақана қолжетімділік алуға;

      5) зерттеу жүргізу барысында қол жеткізілген деректерді және ақпаратты жүктеп алу, сақтау, ашуды, беруді, модификациялауды, жоюды жүзеге асыруға;

      6) МО АО меншік иесінің немесе иеленушісінің жазбаша келісімі алынған жағдайларды қоспағанда, МО АО-ның осалдылығы жайлы ақпаратты және осалдықты қолдану арқылы алынған ақпарат мазмұнын жариялауға;

      7) зерттеу жүргізу үшін МО АО-ның меншік иесімен немесе иеленушісімен АҚ зерттеушіге есептік жазбаларға қолжетімділік берген жағдайларды қоспағанда, МО АО қолданушыларының есептік жазбаларына қолжетімділік алу әрекеттерін жасауға;

      8) МО АО-ға физикалық араласу әдістерін жүзеге асыруға;

      9) МО АО меншік иесінің немесе иеленушісінің қызметшілеріне немесе мердігеріне қатысты әлеуметтік инженерия әдістерін қолдануға тыйым салынады.

      16. Егер табылған осалдық МО АО-ның тұтастығы мен қолжетімділігінің бұзылуына алып келетін болса, АҚ зерттеуші осы осалдықты пайдалану жөніндегі әрекеттерді жасаудан қалыс қалуы керек және АҚ зерттеуші есепте табылған осалдықты тексеру үшін қажетті деректерді көрсетеді.

      17. АҚ зерттеуші операторға МО АО бойынша АҚЗ ӨБ-де орналастырылған нысанға сәйкес МО АО бойынша АҚЗ ӨБ арқылы есеп жібереді.

      18. Оператор есепті алған күннен бастап 15 (он бес) жұмыс күні ішінде оның дұрыстығын тексереді және МО АО-да осалдықтың болуы немесе болмауы туралы қорытынды дайындайды.

      19. Оператор қажет болған жағдайда есепті тексеру кезінде МО АО-да осалдықтың болуын растайтын қосымша мәліметтерді АҚ зерттеушіден сұрайды.

      20. Есептің дұрыстығы расталмаса, оператор есепті тексергеннен кейін 5 (бес) жұмыс күні ішінде АҚ зерттеушіге МО АО бойынша АҚЗ ӨБ арқылы МО АО-да осалдықтың жоқтығы туралы қорытынды жібереді.

      21. Есептің дұрыстығы расталса, оператор есепті тексергеннен кейін 5 (бес) жұмыс күні ішінде МО АО бойынша АҚЗ ӨБ арқылы:

      1) МО АО-да осалдықтың бар екендігі туралы МО АО-ның меншік иесін немесе иеленушісін хабардар етеді (бұдан әрі – осалдық туралы хабарлама) және оған есепті жібереді;

      2) МО АО-да осалдық бар екендігі туралы уәкілетті органды хабардар етеді;

      3) тексеру нәтижелері туралы АҚ зерттеушіні хабардар етеді.

      22. Оператор есепті МО АО-ның меншік иесіне немесе иеленушісіне және уәкілетті органға:

      1) Есептің дұрыстығы оператормен расталмаған кезде;

      2) АҚ зерттеушісімен есеп жіберілгенге дейін дәл сондай осалдықтың бар екендігін оператор растаған кезде жібермейді.

      23. Заңның 54-бабының 2-1-тармағының 2) тармақшасына сәйкес МО АО-ның меншік иелері немесе иеленушілері МО АО бойынша АҚЗ ӨБ-де тіркелген анықталған осалдықтардың жойылуын қамтамасыз ететін шараларды қабылдауға міндетті.

      24. МО АО-ның меншік иелері немесе иеленушілері осалдық туралы хабарлама алған күннен бастап 15 (он бес) жұмыс күні ішінде:

      1) осалдықты жояды және операторға МО АО бойынша АҚЗ ӨБ арқылы оның жойылғаны туралы мәліметтер жолдайды;

      2) осалдықты жою мүмкін болмаған жағдайда, операторға және уәкілетті органға:

      осалдықты жоймаудың негіздемесі және МО АО-да талап етілетін өзгерістердің сипатын;

      анықталған осалдықты пайдалану тәуекелдерін барынша азайтуға бағытталған шараларды;

      бірінші анықталған сәттен бастап 6 (алты) айдан аспайтын уақытта осалдықты жою мерзімдерін қамтитын МО АО-да осалдықтың жойылмауы туралы мәліметтер жолдайды.

      25. Осы Қағидалардың 24-тармағымен айқындалған осалдықты жою мерзімі аяқталғаннан соң оператор МО АО-ны 5 (бес) жұмыс күні ішінде осалдықтың жойылғандығын тексереді.

      26. АҚ зерттеуші осы Қағидалардың 13, 14, 15, 16 және 17-тармақтарын және зерттеу тәртібін бұзған жағдайда оператор МО АО бойынша АҚЗ ӨБ-де АҚ зерттеушінің есептік жазбасын бұғаттайды.

Об утверждении Правил функционирования программы взаимодействия с исследователями информационной безопасности

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 1 апреля 2024 года № 185/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 2 апреля 2024 года № 34211

      Примечание ИЗПИ!
      Порядок введения в действие см. п. 4.

      В соответствии с подпунктом 20-4) статьи 7-1 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила функционирования программы взаимодействия с исследователями информационной безопасности.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении шестидесяти календарных дней со дня его первого официального опубликования.

      Министр цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
Б. Мусин

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан

  Утверждены приказом
Министр цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 1 апреля 2024 года
№ 185/НҚ

Правила функционирования программы взаимодействия с исследователями информационной безопасности

Глава 1. Общие положения

      1. Настоящие Правила функционирования программы взаимодействия с исследователями информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 20-4) статьи 7-1 Закона Республики Казахстан "Об информатизации" (далее – Закон) и определяют порядок функционирования программы взаимодействия с исследователями информационной безопасности по объектам информатизации государственных органов (далее – ПВ ИИБ по ОИ ГО).

      2. В настоящих Правилах используются следующие основные понятия:

      1) объекты информатизации (далее – ОИ) – электронные информационные ресурсы, программное обеспечение, интернет-ресурс и информационно-коммуникационная инфраструктура;

      2) владелец объектов информатизации – субъект, которому собственник объектов информатизации предоставил права владения и пользования объектами информатизации в определенных законом или соглашением пределах и порядке;

      3) исследователь информационной безопасности (далее – исследователь ИБ) – специалист в сфере обеспечения информационной безопасности и (или) информационно-коммуникационных технологий, зарегистрированный в программе взаимодействия с исследователями информационной безопасности, исследующий объекты информатизации, подключенные к программе взаимодействия с исследователями информационной безопасности, для выявления уязвимостей;

      4) программа взаимодействия с исследователями информационной безопасности (далее – ПВ ИИБ) – объект информатизации, предназначенный для регистрации исследователей информационной безопасности, регистрации выявленных уязвимостей, а также для обеспечения взаимодействия исследователей информационной безопасности с объектами информатизации;

      5) уполномоченный орган в сфере обеспечения информационной безопасности (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере обеспечения информационной безопасности;

      6) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

      7) оператор программы взаимодействия с исследователями информационной безопасности по объектам информатизации государственных органов (далее – оператор) – Государственный оперативный центр информационной безопасности, обеспечивающий функционирование программы взаимодействия по объектам информатизации государственных органов (далее – ОИ ГО);

      8) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

      9) отчет об уязвимости (далее – отчет) – сведения о выявленной исследователем ИБ уязвимости в объекте информатизации;

      10) токен – уникальное строковое значение.

Глава 2. Порядок функционирования программы взаимодействия с исследователями информационной безопасности по объектам информатизации государственных органов

      3. Задачи и функции Государственного оперативного центра информационной безопасности, как оператора, в соответствии с подпунктом 6) пункта 1 статьи 7-8, подпунктом 3) пункта 1 статьи 7-4 и подпунктом 15) пункта 1 статьи 14 Закона реализует государственная техническая служба (акционерное общество "Государственная техническая служба", далее – АО "ГТС"), обеспечивающая функционирование ПВ ИИБ по ОИ ГО на собственной информационно-коммуникационной инфраструктуре.

      4. Обеспечение функционирования ПВ ИИБ по ОИ ГО осуществляется на основании договорных отношений между Комитетом национальной безопасности Республики Казахстан (далее – КНБ РК) и АО "ГТС".

      5. Уполномоченный орган для формирования списка ОИ ГО, подлежащих к подключению к ПВ ИИБ по ОИ ГО, направляет запрос собственникам или владельцам ОИ ГО для предоставления сведений по ОИ ГО, имеющим доступ к Интернету (далее – запрос).

      6. Собственники или владельцы ОИ ГО направляют уполномоченному органу сведения по ОИ ГО, имеющим доступ к Интернету, в виде наименований ОИ ГО и сроков поиска уязвимостей в нем в течение 10 (десять) рабочих дней со дня поступления запроса.

      7. Уполномоченный орган на основе предоставленных сведений от собственников или владельцев ОИ ГО формирует список ОИ ГО, подлежащих к подключению к ПВ ИИБ по ОИ ГО, и сроки поиска уязвимостей в ОИ ГО (далее – список) в течение 10 (десять) рабочих дней.

      8. Уполномоченный орган направляет список оператору в течение 3 (три) рабочих дней со дня формирования списка.

      9. Оператор уведомляет собственников или владельцев ОИ ГО согласно списку о необходимости подключения к ПВ ИИБ по ОИ ГО (далее – уведомление о подключении) в течение 3 (три) рабочих дней со дня получения списка.

      10. Собственники или владельцы ОИ ГО обязаны принимать меры, обеспечивающие подключение ОИ к ПВ ИИБ по ОИ ГО, за исключением ОИ, не имеющих доступ к Интернету в соответствии с подпунктом 1) пункта 2-1 статьи 54 Закона.

      11. Собственники или владельцы ОИ ГО, для подключения к ПВ ИИБ по ОИ ГО, в течение 10 (десять) рабочих дней со дня получения уведомления о подключении разрабатывают и утверждают порядок исследования, в котором определяют границы исследования ОИ ГО, предусматривающего минимальный объем тестирования, а также уровни критичности уязвимостей, перечень уязвимостей, которые не принимаются для рассмотрения, а также действия, недопустимые в отношении ОИ ГО при поиске уязвимостей.

      12. Собственники или владельцы ОИ ГО направляют оператору порядок исследования в течение 2 (два) рабочих дней со дня его утверждения.

      Оператор размещает порядок исследования в ПВ ИИБ по ОИ ГО в течение 2 (два) рабочих дней со дня его получения.

      13. Исследователь ИБ регистрируется в ПВ ИИБ по ОИ ГО и получает токен, которым исследователю ИБ необходимо маркировать трафик, запрос, параметр при поиске уязвимостей в ОИ ГО.

      14. Исследователь ИБ не может разглашать токен третьим лицам и использовать токены третьих лиц.

      15. При исследовании ОИ ГО на наличие уязвимостей исследователь ИБ не может:

      1) исследовать IP-адреса и доменные имена, не указанные в ПВ ИИБ по ОИ ГО;

      2) использовать инструменты для автоматического сканирования ОИ за исключением случаев, согласованных собственником или владельцем ОИ ГО;

      3) осуществлять попытку эксплуатации уязвимости, за исключением минимального объема тестирования, указанного в порядке исследования и необходимого для доказательства существования уязвимости или выявления индикатора, связанного с уязвимостью;

      4) осуществлять преднамеренный доступ к содержимому любых сообщений, данных или информации, передаваемых или хранящихся в ОИ ГО, за исключением случаев, когда информация напрямую связана с уязвимостью и доступ необходим для доказательства существования уязвимости;

      5) осуществлять выгрузку, хранение, раскрытие, передачу, модификацию, удаление каких-либо данных или информации, к которым получен доступ в ходе проведения исследования;

      6) раскрывать какие-либо сведения об уязвимости ОИ ГО или содержании информации, получаемой через эксплуатацию уязвимости, за исключением случая получения письменного разрешения от собственника или владельца ОИ ГО;

      7) совершать попытки получения доступа к учетным записям пользователей ОИ ГО, за исключением случая, когда они предоставлены исследователю ИБ собственником или владельцем ОИ ГО для проведения исследования;

      8) применять методы физического вмешательства в ОИ ГО;

      9) использовать методы социальной инженерии в отношении работников или подрядчиков собственника или владельца ОИ ГО или оператора.

      16. Если эксплуатация найденной уязвимости может привести к нарушению целостности и доступности ОИ ГО, исследователю ИБ необходимо воздержаться от действий по эксплуатации данной уязвимости и указать в отчете данные, необходимые для проверки найденной уязвимости.

      17. Исследователь ИБ направляет отчет оператору посредством ПВ ИИБ по ОИ ГО в соответствии с формой, размещенной в ПВ ИИБ по ОИ ГО.

      18. Оператор в течение 15 (пятнадцать) рабочих дней со дня поступления отчета проверяет его на достоверность и готовит заключение о наличии или отсутствии уязвимости в ОИ ГО.

      19. Оператор при проверке отчета, при необходимости, запрашивает у исследователя ИБ дополнительные сведения, подтверждающие наличие уязвимости в ОИ ГО.

      20. При не подтверждении достоверности отчета оператор в течение 5 (пять) рабочих дней после проверки отчета направляет исследователю ИБ заключение об отсутствии уязвимости в ОИ ГО посредством ПВ ИИБ по ОИ ГО.

      21. При подтверждении достоверности отчета оператор в течение 5 (пять) рабочих дней после проверки отчета посредством ПВ ИИБ по ОИ ГО:

      1) уведомляет собственника или владельца ОИ ГО о наличии уязвимости в ОИ ГО (далее – уведомление об уязвимости) и направляет ему отчет;

      2) уведомляет уполномоченный орган о наличии уязвимости в ОИ ГО;

      3) информирует исследователя ИБ о результатах проверки.

      22. Оператор не направляет отчет собственнику или владельцу ОИ ГО и в уполномоченный орган при:

      1) не подтверждении оператором достоверности отчета;

      2) подтверждении оператором наличия идентичной уязвимости до направления отчета исследователем ИБ.

      23. Собственник или владелец ОИ ГО обязан принимать меры, обеспечивающие устранение выявленных уязвимостей, зарегистрированных в ПВ ИИБ по ОИ ГО в соответствии с подпунктом 2) пункта 2-1 статьи 54 Закона.

      24. Собственник или владелец ОИ ГО в течение 15 (пятнадцать) рабочих дней со дня получения уведомления об уязвимости:

      1) устраняет уязвимость и направляет сведения об ее устранении оператору посредством ПВ ИИБ по ОИ ГО;

      2) при невозможности устранения уязвимости направляет оператору и уполномоченному органу посредством ПВ ИИБ по ОИ ГО сведения о не устранении уязвимости в ОИ ГО, которые содержат:

      обоснование неустранения уязвимости и характер требуемых изменений в ОИ ГО;

      меры, направленные на минимизацию рисков эксплуатации выявленной уязвимости;

      сроки устранения уязвимости, не превышающие 6 (шесть) месяцев с момента первого обнаружения.

      25. Оператор после истечения срока устранения уязвимости, определенного пунктом 24 настоящих Правил, проверяет ОИ ГО на устранение уязвимости в течение 5 (пять) рабочих дней.

      При неустранении собственником или владельцем ОИ ГО уязвимости в ОИ ГО оператор уведомляет об этом посредством ПВ ИИБ по ОИ ГО уполномоченный орган и КНБ РК в течение 1 (один) рабочего дня после завершения срока проверки.

      26. При нарушении исследователем ИБ пунктов 13, 14, 15, 16 и 17 настоящих Правил и порядка исследования оператор блокирует учетную запись исследователя ИБ в ПВ ИИБ по ОИ ГО.