Кейбір бұйрықтарға өзгерістер енгізу туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2024 жылғы 30 сәуірдегі № 257/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 4 мамырда № 34335 болып тіркелді.

      ЗҚАИ-ның ескертпесі!
      Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз

      БҰЙЫРАМЫН:

      1. Қоса беріліп отырған өзгерістер енгізілетін кейбір бұйрықтардың тізбесі (бұдан әрі – тізбе) бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық 2024 жылғы 1 шілдеден бастап қолданысқа енгізілетін осы тізбеге 2-қосымшаның "Электрондық үкіметтің" ақпараттандыру объектілері және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларының 2-тармағының 5)-тармақшасын және 37-тармағының екінші, үшінші және төртінші бөліктерін қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі
Б. Мусин

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрі
2024 жылғы 30 сәуірдегі
№ № 257/НҚ
бұйрығымен бекітілген

Өзгерістер енгізілетін кейбір бұйрықтардың тізбесі

      1. "Электрондық үкіметтің" ақпараттандыру объектілерін, сондай-ақ ақпараттық-коммуникациялық көрсетілетін қызметтерді құру, дамыту, пайдалану, сатып алу қағидаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 129 бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13282 болып тіркелген) мынадай өзгеріс енгізілсін:

      көрсетілген бұйрықпен бекітілген "Электрондық үкіметтің" ақпараттандыру объектілерін, сондай-ақ ақпараттық-коммуникациялық көрсетілетін қызметтерді құру, дамыту, пайдалану, сатып алу қағидаларында:

      9-тармақта:

      3) тармақшасы мынадай редакцияда жазылсын:

      "3) Заңның 49-бабына сәйкес "электрондық үкіметтің" ақпараттандыру объектісін ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақ жүргізу (бұдан әрі – сынақ).

      Сынақ Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 18795 болып тіркелген) бекітілген "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларында айқындалған мерзімдерде және тәртіппен жүзеге асырылады.".

      2."Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторына бекітіп берілетін "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерінің тізбесін қалыптастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ақпарат және коммуникациялар министрінің 2018 жылғы 29 қаңтардағы № 29 бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16331 болып тіркелген) мынадай өзгеріс енгізілсін:

      көрсетілген бұйрықпен бекітілген "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторына бекітіп берілетін "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымы объектілерінің тізбесін қалыптастыру қағидаларында:

      5-тармақтың 1)-тармақшасы мынадай редакцияда жазылсын:

      "1) Тізбеге ақпараттық жүйені қосқан кезде:

      ақпараттық жүйенің сипаттамасы;

      техникалық құжаттаманың көшірмесі;

      өнеркәсіптік пайдалануға тапсыру туралы құжат;

      ақпараттық жүйенің тіркелген пайдаланушыларының саны туралы мәліметтер;

      ақпараттық жүйені пайдаланатын мемлекеттік органдардың саны және ақпараттық жүйе енгізілген объектілердің саны (мемлекеттік органдар, ведомстволық бағынысты ұйымдар, аумақтық бөлімшелер);

      ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар хаттамаларының көшірмесі (егер ақпараттық жүйе даму сатысында болған жағдайда, мерзімі өткен сынақтар хаттамалары).".

      3. "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 18795 болып тіркелген) мынадай өзгерістер енгізілсін:

      бұйрықтың тақырыбы мынадай редакцияда жазылсын:

      "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы";

      бұйрықтың кіріспесі мынадай редакцияда жазылсын:

      "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 5) тармақшасына сәйкес БҰЙЫРАМЫН:";

      1-тармақ мынадай редакцияда жазылсын:

      "1. Мыналар:

      1) осы бұйрыққа 1-қосымшаға сәйкес "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;

      2) осы бұйрыққа 2-қосымшаға сәйкес "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.";

      көрсетілген бұйрықпен бекітілген "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі осы тізбеге 1-қосымшаға сәйкес жаңа редакцияда жазылсын;

      көрсетілген бұйрықпен бекітілген "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары осы тізбеге 2-қосымшаға сәйкес жаңа редакцияда жазылсын.

      4. Күші жойылды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 12.07.2024 № 420/НҚ (22.07.2024 бастап қолданысқа енгізіледі) бұйрығымен.

  Өзгерістер енгізілетін
кейбір бұйрықтар тізбесіне
1-қосымша
  Қазақстан Республикасы
Цифрлық даму, қорғаныс
және аэроғарыш
өнеркәсібі министрінің
2019 жылғы 3 маусымдағы
№111/НҚ бұйрығына
1-қосымша

"Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі

1-тарау. Жалпы ережелер

      1. Осы "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі (бұдан әрі – Әдістеме) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 5)-тармақшасына сәйкес әзірленді.

      2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) бағдарламалық бетбелгі – ақпараттандыру объектісіне рұқсатсыз қол жеткізуді және (немесе) оған әсер етуді жүзеге асыратын бағдарламалық қамтылымға (бұдан әрі – БҚ) жасырын енгізілген функционалдық объект;

      2) бэкдор – аутентификацияны, сондай-ақ қауіпсіздіктің басқа стандартты әдістері мен технологияларын айналып өту арқылы бағдарламалық жасақтамаға рұқсатсыз қол жеткізуге арналған зиянды БҚ;

      3) декларацияланбаған мүмкіндіктер (бұдан әрі – ДМ) – техникалық құжаттамада сипатталғандарға сәйкес келмейтін немесе көрсетілмеген БҚ-ның функционалдық мүмкіндіктері;

      4) енуге қолмен тестілеу – қауіпсіз және бақыланатын шабуылдарды қолдана отырып, ақпараттандыру объектілерінің қорғалуын заңды бағалау, осалдықтарды анықтау және өтініш берушінің қызметіне нақты зиян келтірместен оларды пайдалану әрекеттері;

      5) қызмет беруші – мемлекеттік техникалық қызмет немесе аккредиттелген сынақ зертханасы;

      6) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      7) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

      8) өтініш беруші – сынақ объектісінің меншік иесі немесе иеленушісі, сондай-ақ сынақ объектісінің меншік иесі немесе иеленушісі өкілеттік берген ақпараттандыру объектісінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;

      9) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі – ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнімі арасындағы өзара іс-қимыл құралы;

      10) сенімді бағыт – сынақ объектілерінің қауіпсіздік саясатын қолдауда сенімділікті қамтамасыз ететін пайдаланушы мен ОҚФ арасындағы өзара іс -қимыл құралы;

      11) сынақ объектісі – оған қатысты ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтан өткізу жөніндегі жұмыстар жүргізілетін ақпараттандыру объектісі;

      12) сынақ объектісі желісінің (ішкі желісінің) сегменті – сынақ объектісі желісінің қисынды бөлінген сегменті;

      13) функционалдық объект – бағдарлама алгоритмінің аяқталған фрагментін іске асыру жөніндегі іс-қимылдарды орындауды жүзеге асыратын БҚ элементі (рәсім, функция, тармақ немесе өзге компонент);

      14) функционалды объектілерді орындау бағыты – алгоритммен анықталған функционалды объектілердің реттілігі;

      15) штаттық пайдалану ортасы – ақпараттандыру объектісін тәжірибелік пайдалану (пилоттық жобаны) кезеңінде қолданылатын және өнеркәсіптік пайдалану кезеңінде қолдануға арналған серверлік жабдықтың, желілік инфрақұрылымның, жүйелік бағдарламалық қамтылымның нысаналы жиынтығы;

      16) SYNAQ интернет-порталы – мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау бойынша қызмет көрсету процесін автоматтандыруға арналған мемлекеттік техникалық қызметтің интернет-порталы.

      3. Сынақтар жүргізу мыналарды қамтиды:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктемелік сынау;

      4) желілік инфрақұрылымды зерттеп-қарау;

      5) ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау.

2-тарау. Бастапқы кодтарды талдау

      4. Сынақ объектілерінің бастапқы кодтарын талдау БҚ-ның осалдықтарын анықтау мақсатында жүргізіледі.

      Мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілерінің бастапқы кодтарын талдау ДМ және БҚ осалдықтарын анықтау мақсатында жүргізіледі.

      5. Бастапқы кодтарды талдау "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларына (бұдан әрі – Қағидалар) 2-қосымшаға сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағы 11) тармақшасының және 12) тармақшасының кестелерінде аталған БҚ үшін жүргізіледі.

      6. Егер сынақтар жүргізу кезінде сынақ мерзімі аяқталғанға дейін бастапқы кодтарды қайта талдау жүргізу қажеттілігі айқындалса, өтініш беруші қызмет берушіге сұрау салумен жүгінеді және Қағидалардың 26-тармағына сәйкес бастапқы кодтарға қайтадан талдау жүргізу туралы қосымша келісім жасалады.

      7. БҚ кемшіліктерін айқындау өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.

      Мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілері бойынша БҚ кемшіліктерін анықтау бастапқы кодты талдаудың қолмен әдісімен және өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.

      8. Мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілері бойынша БҚ ДМ анықтау бастапқы кодты егжей-тегжейлі қарап және ашық бастапқы коды бар кітапханаларда бэкдорларды іздеуді жүргізе отырып, бастапқы кодты талдаудың қолмен әдісімен жүргізіледі.

      9. Бастапқы кодты талдау мыналарды қамтиды:

      1) БҚ осалдықтарын анықтау;

      2) мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілері үшін ДМ анықтау;

      3) бастапқы кодты талдау нәтижелерін бекіту.

      10. БҚ осалдықтарын анықтау мынадай тәртіппен жүзеге асырылады:

      1) бастапқы деректерді дайындау ("электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің бастапқы кодтарын жүктеу, сканерлеу режимін таңдау (динамикалық және/немесе статикалық), сканерлеу режимдерінің сипаттамаларын баптау) жүргізіледі;

      2) бастапқы кодты талдаудың қолмен әдісі және бастапқы деректерді дайындау (мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілерінің бастапқы кодтарын жүктеу), сканерлеу режимін таңдау (статикалық, тәуелділіктерді талдау және/немесе динамикалық), сканерлеу режимдерінің сипаттамаларын реттеу) жүргізіледі;

      3) БҚ осалдықтарын анықтауға арналған БҚ іске қосылады;

      4) жалған позитивтердің болуына бағдарламалық есептерге талдау жүргізіледі;

      5) олардың сипаттамасы, бағыты (файлға жол) және тәуекел дәрежесі (жоғары, орташа, төмен) көрсетіле отырып, БҚ анықталған осалдықтардың тізбесін қамтитын есеп қалыптастырылады.

      11. ДМ анықтау мынадай тәртіппен жүзеге асырылады:

      1) сынақ объектісіне арналған техникалық құжаттаманы, оның ішінде ақпараттандыру объектісін құруға (дамытуға) арналған техникалық тапсырманы оның мақсаты, қолдану саласы, қолданылатын әдістер, шешілетін міндеттер сыныбы, қолдану кезіндегі шектеулер, техникалық құралдардың ең аз конфигурациясы, жұмыс істеу ортасы және жұмыс тәртібі туралы мәліметтер бөлігінде талдау;

      2) сынақ объектісінің қолмен әдісімен бастапқы кодқа талдау жүргізу:

      БҚ-ның модульдік және логикалық құрылымын, сондай-ақ жеке модульдерді зерттеу және осы құрылымдарды техникалық құжаттамада көрсетілгендермен салыстыру;

      функционалдық объектілерді орындау бағытын зерделеу және өңдеу деректерін тексеру;

      функционалдық объектілер деңгейінде бастапқы мәтіндердің толықтығын және артық болмауын бақылау;

      есепте ДМ анықтау нәтижелерін кейіннен ұсыну үшін скриншот көмегімен ДМ-ны тіркеу;

      3) олардың сипаттамасын, маршрутын (файлға жол) және скриншотын келтіре отырып, анықталған ДМ тізбесін қамтитын есепті қалыптастыру;

      4) ашық бастапқы коды бар кітапханаларда, оның ішінде автоматтандырылған анализатордың көмегімен бэкдорларды іздеуді жүргізу;

      5) осалдықтардың халықаралық дерекқорынан сәйкестендіргіш келтіре отырып, осалдықтардың сипаттамасын қамтитын есепті қалыптастыру.

      12. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады.

      13. Бастапқы кодтарды талдау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін сынақ объектісінің бастапқы кодтарын қабылдау-беру актісін қоса бере отырып, бастапқы кодтарды талдау хаттамасында (еркін нысанда) тіркейді.

      Қосымшаларымен және есеппен берілетін бастапқы кодтарды талдаудың:

      1) аккредиттелген зертхана берген хаттамасы парақтарды бірыңғай нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет берген хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталының жеке кабинетінде орналастырылады.

      14. Бастапқы кодтарды талдау жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде сынақ объектісінің бастапқы кодтары таңбаланады және мөр басылған түрінде қызмет берушінің мұрағатына жауапты сақтауға тапсырылады.

      15. Қызмет беруші сынақтар аяқталғаннан кейін олардың құпиялылығын кем дегенде үш жыл сақтай отырып, алынған бастапқы кодтарды сақтауды қамтамасыз етеді.

3-тарау. Ақпараттық қауіпсіздік функцияларын сынау

      16. Ақпараттандыру объектілерінің функцияларын ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау (бұдан әрі – ақпараттық қауіпсіздік функцияларын сынау) олардың техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.

      17. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды:

      1) қауіпсіздік функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілерінің және Қазақстан Республикасының аумағында қолданылатын ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін, оның ішінде бағдарламалық құралдарды қолдана отырып (қажет болған жағдайда) бағалауды;

      2) мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілерінің кіруіне қолмен тестілеу;

      3) бағдарламалық қамтылымның жаңартуларға сканерлеуі және конфигурацияны талдау;

      4) байқау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелері көрсетілген есепте сынақ нәтижелерін және анықталған сәйкессіздіктерді түзету жөніндегі ұсынымдарды (қажет болған жағдайда) тіркеуді қамтиды.

      18. Ақпараттық қауіпсіздік функцияларының тізбесі Әдістемеге 1-қосымшада және қолмен тестілеу функцияларының тізбесі Әдістемеге 2-қосымшада келтірілген.

      19. Ақпараттық қауіпсіздік функцияларын сынау Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сауалнаманың 1) тармақшасының және 5-тармағының 4) тармақшасының кестелерінде санамаланған серверлер, виртуалды ресурстар және виртуалдандыру орталары бөлінісінде жүргізіледі.

      20. Мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілерінің енуіне қолмен тестілеуді қамтиды:

      1) сынақ объектісіндегі осалдықтарды анықтау;

      2) Анықталған осалдықтарды жою бойынша ұсынымдар қалыптастыру.

      21. Ақпараттық қауіпсіздік функцияларын сынау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, ақпараттық қауіпсіздік функцияларын сынау хаттамасында тіркейді (еркін нысанда).

      Қосымшаларымен және есеппен берілетін ақпараттық қауіпсіздік функцияларын сынаудың:

      1) аккредиттелген зертхана беретін хаттамасы парақтарды бірыңғай нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет беретін хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталындағы Жеке кабинетінде орналастырылады.

4-тарау. Жүктемелік сынау

      22. Жүктемелік сынау сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауды бағалау мақсатында жүргізіледі.

      23. Жүктемелік сынау дербес деректер жалған деректермен алмастырылған сынақ объектісін штаттық пайдалану ортасында автоматтандырылған сценарийлер негізінде мамандандырылған бағдарламалық құралды пайдалана отырып жүргізіледі.

      24. Өтініш беруші жүктемелік сынау параметрлерін Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 9) тармақшасы мен 10) тармақшасының кестелерінде ұсынады.

      Жүктемелік сынау жүргізу кезінде сынақ объектісінің нақты жүктемелік қабілеттілігінің параметрлері айқындалады.

      25. Жүктемелік сынау мынадай тәртіппен жүзеге асырылады:

      1) сынауға дайындық жүргізіледі;

      2) сынақ жүргізіледі;

      3) сынақ нәтижелері тіркеледі.

      26. Сынауға дайындық мыналарды қамтиды:

      1) сынау сценарийін анықтау;

      2) сынаудың уақытша және сандық сипаттамаларын анықтау;

      3) сынау жүргізу уақытын тапсырыс берушімен келісу.

      27. Сынау жүргізу:

      1) мамандандырылған бағдарламалық құралға сынау сценарийі мен конфигурациясын баптауды;

      2) мамандандырылған бағдарламалық құралды іске қосуды;

      3) сынақ объектісіне жүктеуді тіркеуді;

      4) сынақ объектісінің нақты өткізу қабілетін жоғарылату немесе төмендету жөнінде ұсынымдар көрсете отырып, жүктемелік сынаудың есебін қалыптастыруды және беруді қамтиды.

      28. Жүктемелік тестілеу жүргізу жөніндегі жұмыстар Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 9) тармақшасы мен 10) тармақшасының кестелерінде көрсетілген бір сынақ объектісіне пайдаланушыларды қосу нүктелерінің нұсқалары мен сынақ объектісінің интеграциялық өзара іс-қимылын іске қосу нүктелерінің нұсқалар саны бойынша жүргізіледі.

      29. Жүктемелік сынау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, жүктемелік сынау хаттамасында тіркейді (еркін нысанда).

      Қосымшаларымен және есеппен берілетін жүктемелік сынаудың:

      1) аккредиттелген зертхана беретін хаттамасы парақтарды толассыз нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет беретін хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталындағы жеке кабинетінде орналастырылады.

5-тарау. Желілік инфрақұрылымды зерттеп-қарау

      30. Желілік инфрақұрылымды зерттеп-қарау желілік инфрақұрылымның қауіпсіздігін бағалау мақсатында жүргізіледі.

      31. Желілік инфрақұрылымды зерттеу мыналарды қамтиды:

      1) желілік инфрақұрылымды қорғау функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілерінің және Қазақстан Республикасының аумағында қолданылатын ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау;

      2) өтініш берушінің желілік инфрақұрылымын, оның ішінде бағдарламалық құралдарды қолдана отырып тексеру (қажет болған жағдайда);

      3) Бағдарламалық құралдың жалпы осалдықтар мен тәуекелдер базасынан бағдарламалық қамтамасыз етудің белгілі осалдықтарының болуына сканерлеуі;

      4) байқау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелерін және анықталған сәйкессіздіктерді түзету жөніндегі ұсынымдарды көрсете отырып, есепте алынған сынақ нәтижелерін тіркеуді (қажет болған жағдайда) қамтиды.

      32. Желілік инфрақұрылымды қорғау функцияларының тізбесі осы Әдістемеге 3-қосымшада келтірілген.

      33. Желілік инфрақұрылымды тексеру жөніндегі жұмыстар Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұрақнаманың 5-тармағының 7) тармақшасының кестесінде көрсетілген сынақ объектісі желісінің (кіші желісінің) әрбір сегменті үшін жүргізіледі.

      34. Желілік инфрақұрылымды зерттеп-қарау нәтижелерін қызмет берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, желілік инфрақұрылымды зерттеп-қарау хаттамасында тіркейді (еркін нысанда).

      Қосымшаларымен және есеппен берілетін желілік инфрақұрылымды зерттеп-қараудың:

      1) аккредиттелген зертхана беретін хаттамасы парақтарды толассыз нөмірлей отырып, тігіледі және мөр басылады (болған кезде);

      2) мемлекеттік техникалық қызмет беретін хаттамасы электрондық түрде өтініш берушінің SYNAQ интернет-порталындағы жеке кабинетінде орналастырылады.

6-тарау. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау

      35. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау олардың ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.

      36. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеу мыналарды қамтиды:

      1) ақпараттық қауіпсіздікті қамтамасыз ету процестерінің ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалау;

      2) байқау нәтижелерін, сәйкестікті немесе сәйкессіздікті бағалауды және анықталған сәйкессіздіктерді түзету жөніндегі ұсынымдарды көрсете отырып, сынақты бағалау нәтижелерін тіркеуді (қажет болған жағдайда) қамтиды.

      37. Ақпараттық қауіпсіздікті қамтамасыз ету процестерінің тізбесі және олардың мазмұны Әдістемеге 4-қосымшада келтірілген.

      38. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін тексеру бойынша жұмыстар сынақ объектісі үшін жүргізіледі.

      39. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін тексеру нәтижелерін өнім берушінің осы жұмыс түрінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сауалнаманың көшірмесін қоса бере отырып, ақпараттық қауіпсіздікті қамтамасыз ету процестерін тексеру хаттамасында (еркін нысанда) тіркейді.

      Қосымшаларымен және есебімен ақпараттық қауіпсіздікті қамтамасыз ету процестерін тексеру хаттамасы:

      1) аккредиттелген зертханамен тігіледі, беттердің өтпелі нөмірленуімен тігіледі және мөрмен (бар болса) мөрленеді;

      2) мемлекеттік техникалық қызмет электрондық түрде өтініш берушінің Жеке кабинетінде SYNAQ интернет-порталында орналастырады.

      Бағдарламалық құралдың ақпараттық қауіпсіздікті қамтамасыз ету саласындағы стандарттарға сәйкестігіне сканерлеу нәтижелері ақпараттық қауіпсіздікті қамтамасыз ету процестерін тексеру хаттамасына енгізілмейді және ұсынымдық сипатта болады.

7-тарау. "Электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтардың өзгермеуін талдау

      40. "Электрондық үкіметтің" ақпараттандыру объектілерінің бастапқы кодтарынан құрастырылған орындалатын кодтарды өзгермеуіне талдау жүргізудің (бұдан әрі – өзгермеуге талдау) объектілеріне өнеркәсіптік қолдануға енгізілген ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған "электрондық үкіметтің" ақпараттандыру объектілері жатады.

      41. Өзгермеуді талдау жүргізу үшін мемлекеттік техникалық қызмет берген "электрондық үкіметтің" ақпараттандыру объектісінің бастапқы кодтарынан құрастырылған бастапқы және орындалатын кодтарды пайдалана отырып, мемлекеттік техникалық қызмет қызметкерінің бақылауымен өзгермеуге талдау жасау объектісін өнеркәсіптік пайдалану ортасында өрістетуді жүзеге асыру қажет.

      42. Өзгермеуді талдау:

      1) бағдарламалық қамтылымды орнату;

      2) іске қосылған орындалатын кодқа өзгерістер енгізілуін анықтау;

      3) бастапқы кодқа өзгеріс енгізілген жағдайда, осы Қағидаларға сәйкес бастапқы кодты талдау кіреді.

      43. Өзгермеуге талдау "электрондық үкіметтің" ақпараттандыру объектісі орналасқан жерде мемлекеттік техникалық қызмет белгілеген бағдарламалық қамтылым арқылы тұрақты негізде жүзеге асырылады.

      Өзгермейтіндікті талдауға арналған бағдарламалық қамтылым "электрондық үкімет" ақпараттандыру объектісінің оқиғаларын тіркеу журналдарын жинауды жүзеге асырады. Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың 38-тармағының 4-тармақшасына сәйкес оқиғаларды тіркеу журналдары ақпараттық қауіпсіздік жөніндегі техникалық құжаттамада көрсетілген, бірақ 3 (үш) жылдан кем емес мерзім бойы сақталады және кем дегенде 2 (екі) ай жедел қолжетімді болады.

      44. "Электрондық үкіметтің" ақпараттандыру объектісінің меншік иесі немесе иеленушісі өзгермеуге талдау жүргізу үшін мемлекеттік техникалық қызметке:

      1) "электрондық үкіметтің" ақпараттандыру объектісінің серверлік жабдықтарына қол жеткізу және мемлекеттік техникалық қызметтің ақпараттық қауіпсіздігінің инциденттері мен оқиғаларын мониторингілеу және басқару жүйесімен желі бойынша қол жеткізуді ұйымдастыруды;

      2) оқиғаларды тіркеу журналына өзгермеуге талдау үшін бағдарламалық қамтылыммен болып жатқан оқиғалар туралы ақпаратты жазуды;

      3) жұмыс орны, әкімшінің жұмыс орнына, "электрондық үкіметтің" ақпараттандыру объектісінің серверлік жабдығына физикалық қол жеткізуді қамтамасыз етеді.

      45. Мемлекеттік техникалық қызмет "электрондық үкіметтің" ақпараттандыру объектісінің бастапқы кодына өзгеріс енгізілген жағдайда 5 (бес) жұмыс күні ішінде ресми хатпен Қазақстан Республикасының Ұлттық қауіпсіздік комитетін (бұдан әрі – ҰҚК), ақпараттық қауіпсіздік саласындағы уәкілетті органды және "электрондық үкіметтің" ақпараттандыру объектісінің меншік иесі немесе иеленушісін хабардар етеді.

      46. Мемлекеттік техникалық қызмет әр тоқсан сайын, тоқсанның соңғы айының 25 (жиырма бес) күнінен кеш емес мерзімге дейін, ақпараттық қауіпсіздік саласындағы уәкілетті орган және ҰҚК үшін электрондық түрде өзгермеуге талдау нәтижелері жайлы жиынтық ақпаратты SYNAQ интернет-порталында орналастырады.

      47. "Электрондық үкіметтің" ақпараттандыру объектісінің бастапқы кодына өзгеріс енгізілген жағдайда "электрондық үкіметтің" ақпараттандыру объектісінің меншік иесі немесе иеленушісі өзгеріс енгізлген күннен кейін 2 (екі) жұмыс күні ішінде енгізілген өзгерістерді егжей-тегжейлі сипаттай отырып, бастапқы кодқа енгізілген өзгерістер туралы мемлекеттік техникалық қызметті хабардар етеді.

      48. "Электрондық үкіметтің" ақпараттандыру объектісінің бастапқы кодына өзгеріс енгізілген жағдайда өтініш беруші Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2024 жылғы 29 ақпандағы № 110/НҚ бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 34101 болып тіркелген) бекітілген "Электрондық үкіметтің" бірыңғай репозиторийінің жұмыс істеу қағидаларының 10-тармағының 1), 2), 3), 4) және 5) тармақшаларында айқындалған деректерді және "электрондық үкіметтің" ақпараттандыру объектісін құруға және дамытуға ЭҮБР және техникалық тапсырмасын бастапқы кодқа талдау жүргізу үшін мемлекеттік техникалық қызметке SYNAQ интернет-порталы арқылы жіберуді қамтамасыз етеді. Сонымен қатар, бастапқы кодты талдау мерзімі "электрондық үкіметтің" ақпараттандыру объектісінің меншік иесі немесе иеленушісімен келісіледі.

      49. "Электрондық үкіметтің" ақпараттандыру объектісі бойынша жұмыс істеуді қамтамасыз ету серверінде техникалық жұмыстар жүргізуді жоспарлау кезінде "электрондық үкіметтің" ақпараттандыру объектісінің меншік иесі немесе иеленушісі 2 (екі) жұмыс күні ішінде мемлекеттік техникалық қызметті хабардар етеді.

      50. Мемлекеттік техникалық қызмет ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған "электрондық үкіметтің" ақпараттандыру объектісінде өзгермеуге талдау үшін БҚ белгілейді.

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса
маңызды объектілерінің
ақпараттық қауіпсіздік
талаптарына сәйкестігіне
сынақтар жүргізу әдістемесіне
1-қосымша

Ақпараттық қауіпсіздік функцияларының тізбесі

р/с №

Функциялардың атауы

Функциялардың мазмұны

1

2

3

Аудит безопасности

1

Қауіпсіздік аудитінің автоматты әрекет ет әрекет етуі

Ақпараттық қауіпсіздік оқиғаларын жинау және талдау құралдарымен ақпараттық қауіпсіздік мониторингін қамтамасыз ету.
Тіркеу журналына жазба енгізуді, қауіпсіздікті бұзушылықты айқындау туралы әкімшіге локалдық немесе қашықтықтан сигнал беруді жүзеге асыру.

2

Қауіпсіздік аудитінің деректерін генерациялау

Хаттамалаудың, ең болмаса, тіркеу функцияларын іске қосу мен аяқтаудың, сондай-ақ аудиттің базалық деңгейіндегі барлық оқиғалардың болуы, яғни, әрбір тіркеу жазбасында оқиғаның мерзімі мен уақытының, оқиға түрінің, субъектіні сәйкестендіргіш пен оқиға нәтижесінің (сәттілігі немесе сәтсіздігі) болуы.

3

Қауіпсіздік аудитін талдау

Сәйкестендіру тетіктерін пайдаланудың ең болмаса, сәтсіз нәтижелерін, сондай-ақ криптографиялық операцияларды орындаудың сәтсіз нәтижелерін жинақтау және/немесе біріктіру арқылы (ықтимал кемшіліктерді айқындау мақсатында) жүзеге асыру.

4

Қауіпсіздік аудитін қарау

Барлық тіркеу ақпаратын қарау (оқу) мүмкіндігін қамтамасыз ету және әкімшіге беру. Өзге пайдаланушыларға тіркеу ақпаратына қолжетімділік айқын ерекше оқиғаларды қоспағанда, жабық болуы тиіс.

5

Қауіпсіздік аудитінің оқиғаларын таңдау

Оқиғаларды тіркеудің, ең болмаса, мынадай атрибуттарға негізделетін іріктеудің болуы:
объектіні сәйкестендіргіш;
субъектіні сәйкестендіргіш;
желі торабының мекенжайы;
оқиға түрі;
оқиға мерзімі мен уақыты.

6

Қауіпсіздік аудитінің деректерін сақтау

Рұқсатсыз түрлендіруден сенімді қорғау туралы тіркеу ақпаратының болуы.

Криптографиялық қолдау

7

Криптографиялық кілттерді басқару

Мыналарды қолдаудың болуы:
1) криптографиялық кілттерді құру;
2) криптографиялық кілттерді бөлу;
3) криптографиялық кілттерге қолжетімділікті басқару;
4) криптографиялық кілттерді жою.

8

Криптографиялық операциялар

1. Техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкес сенімді арна арқылы жіберілетін барлық ақпарат үшін тұтастығын шифрлаудың және бақылаудың болуы.
2. Құпия деректерді, қолжетімділігі шектеулі дербес деректерді немесе таратылуы шектеулі қызметтік ақпаратты қамтитын сынақ объектілері (бұдан әрі – СО) үшін ақпаратты криптографиялық қорғау құралдарын қолдану.

Пайдаланушының деректерін қорғау

9

Қолжетімділікті басқару саясаты

Қауіпсіздік сервисімен тікелей немесе жанама операцияларды орындайтын пайдаланушылар үшін қолжетімділікті бөлуді жүзеге асыру.

10

Қолжетімділікті басқару функциялары

Қолжетімділікті бөлу функцияларын пайдалану, ең болмаса, мынадай қауіпсіздік атрибуттарына негізделуі тиіс:
қол жеткізу субъектілерін сәйкестендіргіштер;
қол жеткізу объектілерін сәйкестендіргіштер;
қол жеткізу субъектілерінің мекенжайлары;
қол жеткізу объектілерінің мекенжайлары;
субъектілердің қол жеткізу құқықтары.

11

Деректерді аутентификациялау

Ақпараттың мазмұны айлакерлік жолымен ұқсастырылмағанын немесе түрлендірілмегенін кейін тексеру үшін пайдаланылатын өзіндік деректер жинағының дұрыстығы кепілдігін қолдау.

12

Деректерді СО қауіпсіздік функцияларының (бұдан әрі – ОҚФ) әрекетінен тыс экспорттау

Пайдаланушының деректерін СО экспорттау кезінде оларды қорғау мен сақталуын немесе қауіпсіздік атрибуттарын ескермеуді қамтамасыз ету.

13

Ақпараттық ағындарды басқару саясаты

Пайдаланушының деректерін қауіпсіздік сервисінің физикалық бөлінген бөліктері арасында жіберген кезде оларды ашуға, түрлендіруге және/немесе қолжетімді болуына жол бермеуді қамтамасыз ету.

14

Ақпараттық ағындарды басқару функциялары

Деректер қоймасында қамтылған ақпаратты бақылаусыз таратуға жол бермеу мақсатында оған қолжетімділікті ұйымдастыру және қамтамасыз ету (бағдарламалық қамтылым (бұдан әрі – БҚ) сенімсіз болған жағдайда жариялаудан немесе түрлендіруден сенімді қорғауды іске асыру үшін ақпараттық ағындарды басқару).

15

Деректерді ОҚФ әрекетінен тыс жерден импорттау

Пайдаланушының деректерін олардың талап етілетін қауіпсіздік және қорғау атрибуттары болатындай етіп СО жіберуге арналған тетіктердің болуы.

16

СО шегінде жіберу

Пайдаланушының деректерін ішкі арна бойынша СО түрлі бөліктері арасында жіберген кезде қорғаудың болуы.

17

Қалған ақпаратты қорғау

Қалған ақпаратты толық қорғауды қамтамасыз ету, яғни ресурс босаған кезде алдыңғы жай-күйінің қолжетімсіздігін қамтамасыз ету.

18

Ағымдағы жай-күйін кері қалпына келтіру

Кейбір шектелген (мысалы, уақыт аралығымен) соңғы операцияны немесе бірқатар операцияны жою және алдыңғы белгілі жай-күйге қайту мүмкіндігінің болуы. Кері қалпына қайтару пайдаланушы деректерінің тұтастығын сақтау үшін операцияның немесе бірнеше операция нәтижелерін жоюға мүмкіндік береді.

19

Сақталатын деректердің тұтастығы

Пайдаланушының деректерін ОҚФ шегінде сақтаған кезде олардың қорғалуын қамтамасыз ету.

20

ОҚФ арасында жіберген кезде пайдаланушы деректерінің құпиялылығын қорғау

Пайдаланушының деректерін ОҚФ арасында сыртқы арна немесе АТ басқа сенімді өнімі бойынша жіберген кезде олардың құпиялылығын қамтамасыз ету. Құпиялылық деректерді екі соңғы нүкте арасында жіберген кезде оларға рұқсатсыз қол жеткізуді болдырмау жолымен жүзеге асырылады. Соңғы нүктелер ОҚФ немесе пайдаланушы бола алады.

21

ОҚФ арасында жіберген кезде пайдаланушы деректерінің тұтастығын қорға

Пайдаланушының деректерін ОҚФ және АТ басқа сенімді өнімі арасында жіберген кезде олардың тұтастығы, сондай-ақ айқындалған қателер кезінде оларды қалпына келтіру мүмкіндігі қамтамасыз етілуі тиіс.

Сәйкестендіру және теңестіру

22

Теңестіруден бас тарту

Сәтсіз теңестіру талаптарының белгілі санына келгенде әкімшінің субъектіге қол жеткізуге рұқсат бермеу, тіркеу журналына жазба енгізуді генерациялау мен әкімшіге қауіпсіздіктің ықтимал бұзушылық туралы сигнал беру мүмкіндігінің болуы.

23

Пайдаланушының атрибуттарын айқындау

Әрбір пайдаланушы үшін, ең болмаса, келесі қауіпсіздік атрибуттарын қолдау қажет:
- сәйкестендіргіш;
- теңестірілген ақпарат (мысалы, пароль);
- қол жеткізу құқығы (рөлі).

24

Құпиялардың ерекшелігі

Егер теңестірілген ақпарат криптографиялық операциялармен қамтамасыз етілсе, сондай-ақ ашық және құпия кілттеріне қолдау көрсетілуі қажет.

25

Пайдаланушыны теңестіру

ОҚФ ұсынатын пайдаланушы теңестіру тетіктерінің болуы.

26

Пайдаланушыны сәйкестендіру

1) Қауіпсіздік сервисі осы пайдаланушының атынан орындайтын кез келген іс-қимыл аяқталғанға дейін әрбір пайдаланушы сәтті сәйкестендірілуге және теңестіруді;
2) Басқа пайдаланушыдан көшіріп алынған немесе ұқсастырып жасалған теңестірілген деректерді пайдалануға жол бермеу мүмкіндіктерін;
3) Пайдаланушының ұсынылған кез келген сәйкестендіргішін теңестіруді;
4) Әкімші белгілеген уақыт интервалы аяқталғаннан кейін пайдаланушыны қайтадан теңестіруді;
5) Теңестіруді орындаған кезде қауіпсіздік функциялары пайдаланушыға тек қана жасырын кері байланысқа рұқсат беруді қамтамасыз ету.

27

Пайдаланушы-субъект байланыстырушы

Пайдаланушының тиісті қауіпсіздік атрибуттарын осы пайдаланушы атынан әрекет ететін субъектілермен байланыстыру керек.

Қауіпсіздікті басқару

28

ОҚФ жеке функцияларын басқару

Жұмыс істеу, ажырату, қосу, сәйкестендіру мен теңестіру режимдерін түрлендіру, қолжетімділік, хаттамалау және аудит құқығын басқару режимдерін анықтауға әкімшінің жеке құқығының болуы.

29

Қауіпсіздік атрибуттарын басқару

Қауіпсіздіктің түсіндірілетін мәндерін өзгертуге, сұрастыруға, атрибуттарын өзгертуге, жоюға, құруға әкімшінің жеке құқығының болуы. Бұл ретте қауіпсіздік атрибуттарына тек қана қауіпсіздік мәндер беруді қамтамасыз ету қажет.

30

ОҚФ деректерін басқару

Тіркелетін оқиғалардың түсіндірілетін мәндерін өзгертуге, сұрастыруға, өзгертуге, жоюға, тазалауға, түрлерін анықтауға, тіркеу журналдарының өлшемін, субъектілердің қол жеткізу құқықтарын, қол жеткізу субъектілерінің есептік жазбаларының, парольдерінің, криптографиялық кілттерінің жарамдылық мерзімдерін өзгертуге әкімшінің жеке құқығының болуы.

31

Қауіпсіздік атрибуттарын жою

Уақыттың кейбір сәттерінде қауіпсіздік атрибуттарын бұзуды жүзеге асырудың болуы. Пайдаланушылармен байланыстырылған қауіпсіздік атрибуттарын бұзу мүмкіндігі тек қана уәкілетті әкімшілерде болуы тиіс. Қауіпсіздік үшін маңызды өкілеттіктер дереу жойылуы тиіс.

32

Қауіпсіздік атрибутының қолданыс мерзімі

Қауіпсіздік атрибуттарының қолданыс мерзімін белгілеу мүмкіндігін қамтамасыз ету.

33

Қауіпсіздікті басқару рөлдері

1) Ең болмаса, мынадай рөлдерді қолдауды қамтамасыз ету: уәкілетті пайдаланушы, қашықтықтан пайдаланушы, әкімші;
2) Қашықтықтан пайдаланушы мен әкімші рөлдерін тек қана сұрау бойынша алуды қамтамасыз ету.

ОҚФ қорғау

34

Іркіліс кезіндегі қауіпсіздік

Сервиспен аппараттық кідірістер кезінде (мысалы, электр қуатының іркілісінен орын алған) қауіпсіз жай-күйді сақтау.

35

ОҚФ экспортталатын деректерінің қолжетімділігі

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беруге тиіс.

36

ОҚФ экспортталатын деректерінің құпиялылығы

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің құпиялылығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беру.

37

ОҚФ экспортталатын деректерінің тұтастығы

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беру.

38

ОҚФ деректерін СО шегінде жіберу

Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін, құпиялылығы мен тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік береді.

39

Сенімді қалыпқа келтіру

Кідірулер немесе қызмет көрсету тоқтатылғаннан кейін автоматты түрде қалпына келтіру мүмкін болмаса, сервис қауіпсіз жай-күйге қайтаруға мүмкіндік беретін авариялық қолдау режиміне ауысады. Аппараттық кідірістерден кейін автоматты рәсімдерді қолданумен қауіпсіз жай-күйге кері қайту қамтамасыз етіледі.

40

Екінші рет пайдалануды анықтау

Сервистің теңестірілген деректердің қайтадан пайдаланылуын айқындауын, қол жеткізуге жол бермеуге, тіркеу журналына жазба енгізуін және әкімшіге қауіпсіздіктің ықтимал бұзылуы туралы сигнал беруін қамтамасыз ету.

41

Өтініштер беру кезіндегі делдалдық

Сервистің қауіпсіздік саясатын жүзеге асыратын функциялар сервистің кез келген басқа функциясын орындауға рұқсат етілгенге дейін шақырылып, сәтті орындалуын қамтамасыз ету.

42

Доменді бөлу

Қауіпсіздік функциялары оларды сенімсіз субъектілердің араласуы мен бұрмалауынан қорғайтын меншікті орындауға арналған жеке доменді қолдап отыру.

43

Жай-күйлерді синхрондау хаттамасы

Серверлерде ұқсас функцияларды орындаған кезде жай-күйлерді синхрондауды қамтамасыз ету.

44

Уақыт белгілері

Қауіпсіздік функцияларының пайдалануына сенімді уақыт белгілерін ұсыну.

45

ОҚФ арасындағы деректердің келісілушілігі

Тіркелетін ақпаратты, сондай-ақ қолданылатын криптографиялық операциялар параметрлерін келісімді түсіндіруді қамтамасыз ету.

46

СО шегінде қайталау кезінде ОҚФ деректерінің келісілушілігі

СО түрлі бөліктерінде қайталаған кезде қауіпсіздік функциялары деректерінің үйлесмілігін қамтамасыз ету. Қайталанатын деректерді қамтитын бөліктер ажыратылғанда, үйлесімділік көрсетілген қауіпсіздік функцияларына кез келген сұрауларды өңдеу алдындағы қосылуды қалпына келтіргеннен кейін қамтамасыз етіледі.

47

Сценарийлерді (скриптерді) пайдалану

АИ-де модификациялауға құқықтары бар ықтимал сценарийлердің (скриптердің) болмауы, оларды қолдану ақпараттық қауіпсіздік инциденттерінің туындауына әкеп соғуы мүмкін.

Ресурстарды қолдану

48

Істен шығуға қарсы тұрушылық

Кідірулер кезінде де сынақ объектісінің функционалдық мүмкіндіктерінің қолжетімділігін қамтамасыз ету. Осындай кідірістердің үлгілері: қуат көзін ажырату, аппаратураның жұмыс істемей қалуы, БҚ іркілісі.

49

Ресурстарды бөлу

1. Басқа пайдаланушылардың немесе субъектілердің ресурстарды монополиялауы себепті қызмет көрсетуден рұқсатсыз бас тартуға жол бермеу үшін пайдаланушылардың және субъектілердің ресурстарды пайдалануын басқаруды қамтамасыз ету.
2. Ақпараттандыру объектісі шеңберінде оның жұмыс істеуін қамтамасыз ететін бағдарламалық өнімдерді ғана пайдалану.

СО-ға қолжетімлілік

50

Таңдалатын атрибуттардың аясын шектеу

Қолжетімділік әдісі немесе орны және/немесе уақыты негізінде (мысалы, тәулік уақыты, апта күні) қол жеткізу жүзеге асырылып отырылған порттан пайдаланушы таңдай алатын қауіпсіздік атрибуттарымен қатар пайдаланушы байланыста болуы мүмкін субъектілердің атрибуттарын да шектеу.

51

Қатарлас сеанстарды шектеу

Бір пайдаланушыға ұсынылатын қатарлас сеанстардың барынша көп санын шектеу. Бұл шаманың ұйғарынды мәнін әкімші белгілейді.

52

Сеансты бұғаттау

Пайдаланушы әрекетсіздігі ұзақтығының әкімші белгілеген мәні аяқталғаннан кейін жұмыс сеансы мәжбүрлі аяқтау.

53

СО-ға қол жеткізуге рұқсат беру алдында алдын алу

Сәйкестендіруге және теңестіруге дейін әлеуетті пайдаланушылар үшін сынақ объектісінің пайдаланудың сипатына қатысты ескерту хабарламасын көрсету мүмкіндігін қамтамасыз ету.

54

СО-ға қолжетімділік тарихы

Сеансты сәтті ашқан кезде пайдаланушы үшін осы пайдаланушы атынан қолжетімділікті алудың сәтсіз әрекеттерінің тарихын алу мүмкіндігін қамтамасыз ету. Бұл тарих қол жеткізу мерзімін, уақытын, құралдарын және СО соңғы рет сәтті қолжетімділік портын, сондай-ақ сәйкестендірілген пайдаланушының соңғы сәтті қол жеткізуінен кейінгі СО сәтсіз қол жеткізу әрекеттерінің санын қамтуы мүмкін.

55

СО-мен сеансты ашу

Субъектіні сәйкестендіргішке, субъектінің пароліне, субъектінің қолжетімділік құқықтарына негізделе отырып, сервистің сеансты ашуға жол бермеуге қабілеттігін қамтамасыз ету.

Зиянды кодтан қорғау функциялары

56

Вирустарға қарсы қорғау құралдарының болуы

Зиянды кодтан қорғану үшін серверлерден, қажеттілік туындаған жағдайда сынақ объектісінің жұмыс станцияларынан зиянды кодты анықтау және бұғаттау немесе жою, мониторинг құралдарын қолдану.

57

Вирустарға қарсы қорғау құралдарына арналған лицензия

Серверлерге және жұмыс станцияларына вирустарға қарсы қорғау құралдарының лицензиялары (сатып алынған, шектелген, еркін таратылатын) болуы тиіс.

58

Вирустарға қарсы қорғау сигнатуралары базасын және бағдарламалық қамтылымды жаңарту

Вирустарға қарсы қорғау құралдарының ұдайы жаңартылып, өзекті күйде болуын қамтамасыз ету.

59

Вирустарға қарсы қорғау құралдарына қолжетімділікті басқару

Вирустарға қарсы қорғау құралдарын орталықтандырылған басқару мен конфигурациялауды жүзеге асыру.

60

Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан вирустарға қарсы құралдарымен қорғауды басқару

Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан қорғау файлдардың, қажет болса ақпарат тасығыштардың тексерісін және бұғатталуын қамтамасыз ету.

БҚ жаңартылуы кезіндегі қауіпсіздік

61

БҚ-ның ұдайы жаңартылуы

Серверлер мен жұмыс станцияларының жалпыжүйелік және қолданбалы БҚ ұдайы жаңартылуын қамтамасыз ету.

62

Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ жаңартылуы

Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ мамандандырылған арнайы жаңарту серверінен жаңартылуын қамтамасыз ету.

Қолданбалы БҚ-ға өзгеріс енгізу кезіндегі қауіпсіздік

63

Қолданбалы БҚ әзірлеу және тестілеу ортасы

Қолданбалы БҚ-ны өнеркәсіптік пайдалану ортасынан оқшауландырылған қолданбалы БҚ әзірлеу және тестілеу үшін ортаның болуын қамтамасыз ету.

64

Қолданбалы БҚ әзірлеу және тестілеу ортасына қол жеткізудің аражігін ажырату

Бағдарламашылар мен әкімшілер үшін қолданбалы БҚ әзірлеу және тестілеу орталарына қол жеткізуді басқаруын қамтамасыз ету.

65

Қолданбалы БҚ өрістету жүйесі

Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ өрістету (тарату) жүйесінің болуы.

66

Қолданбалы БҚ өрістету жүйесіне қол жеткізудің аражігін ажырату

Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ ажырату (тарату) жүйесіне қол жеткізуді басқаруды қамтамасыз ету.

Мемлекеттік органдардың ақпараттандыру объектілерінде, жергілікті атқарушы органдарда және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінде "құпия ақпараттың таралып кетуінен қорғау"

67

Қол жеткізуді басқару саясаты

Құпия ақпараттың таралып кетуінен қорғау жүйесін басқару

68

Жүйе компоненттерін жаңарту

Ақпараттың таралып кетуінен қорғау жүйесін үнемі жаңартып отыруды және жаңартып отыруды қамтамасыз ету.

69

Бөлім қауіпсіздігі атрибуты

Аутентификация рәсімдерін ұйымдастыру қағидаларына сәйкес пароль саясатын қолдануды қамтамасыз ету.

70

Деректерді сақтау

Құпия ақпараттың таралып кетуінен қорғау жүйесінің оқиғалар журналдарын кемінде үш жыл және жедел қолжетімділікте кемінде екі ай сақтау.

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық- коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздік талаптарына
сәйкестігіне сынақтар
жүргізу әдістемесіне
2-қосымша

Қолмен тестілеу функцияларының тізбесі

Функциялардың атауы

Функциялардың мазмұны

1

Сәулет, дизайн және қауіп-қатер моделі (Architecture, Design and Threat Modeling)

Қолданба дизайны мен сынақ объектісінің архитектурасының қауіпсіздігін және осалдықтардың болмауын қамтамасыз ету.

2

Аутентификация (Authentication)

Сынақ объектісінде пайдаланушылардың аутентификациясының дұрыс жұмыс істеуін қамтамасыз ету (логин/пароль, көп факторлы авторизация, хэштеу және басқа криптографиялық әдістер).

3

Сессияны басқару (Session Management)

Әрбір пайдаланушы үшін бірегей сессия құруды және сессияны ортақ пайдалануға техникалық тыйым салуды (бұғаттауды) қамтамасыз ету. Әрекетсіздік уақыты аяқталғаннан кейін пайдаланушы сеансын бұғаттау (Timeout session).

4

Қол жеткізуді басқару (Access Control)

Пайдаланушылардың құқықтарының аражігін ажыратуды қамтамасыз ету және сынақ объектісіне рұқсатсыз кіруді болдырмау.

5

Тексеру, сүзу және кодтау (Validation, Sanitation and Encoding)

Енгізу арқылы шабуылдардың алдын алу үшін пайдаланушының кіріс деректерін сүзуді қамтамасыз ету, сондай-ақ олардың контекстін зиянкестерден қорғауға кепілдік беретін дұрыс Шығыс кодтауын қамтамасыз ету.

6

Сақталған криптография (Stored Cryptography)

Сенімді шифрлау алгоритмдерін қолдану және криптографиялық кілттерді қауіпсіз басқару мен сақтауды қамтамасыз ету.

7

Қателерді өңдеу және логинг (Error Handling and Logging)

Қауіпсіздік талаптарына сәйкес оларды қорғауды ескере отырып, сынақ объектісі пайдаланушыларының іс-әрекеттерін және ақпараттық қауіпсіздік оқиғаларын журналдауды қамтамасыз ету. Құпия деректері бар жиналған журналдар сынақ объектісінің серверлерінде ұзақ уақыт сақталмауы керек және белгілі бір уақыт өткеннен кейін жойылуы керек.

8

Деректерді қорғау (Data Protection)

Жіктеушіге сәйкес ақпаратты криптографиялық қорғау құралдарын пайдалана отырып, сынақ объектісінде деректерді беру және сақтау кезінде құпиялылықты қамтамасыз ету.

9

Байланыс (Communication)

Қауіпсіз байланыс хаттамалары мен шифрлау алгоритмдерін пайдалана отырып, деректерді беру кезінде сынақ объектісінің қауіпсіздігін қамтамасыз ету.

10

Зиянды код (Malicious Code)

Сынақ объектісінде зиянды кодтың орындалуын болдырмау үшін қорғау құралдарын қолдану.

11

Бизнес-логика (Business Logic)

Техникалық тапсырмаға сәйкес сынақ объектісінің логикалық жұмысының дұрыс жұмысын қамтамасыз ету.

12

Файлдар мен ресурстар (Files and Resources)

Қолданба серверлерінен тыс үшінші тарап және сенімсіз көздерден алынған деректерді сақтауды қамтамасыз ету.

13

Қолданбаның бағдарламалық интерфейсі (API)

API келесі талаптарға сәйкестігін қамтамасыз ету:
- API-де барлық веб-қызметтерге қол жеткізу үшін дұрыс авторизация, сеансты басқарудың негізгі параметрлері және аутентификация болуы керек;
- API интерфейстері олардың параметрлері төменнен жоғары сенім деңгейіне ауысқан жағдайда енгізілген деректерді тиісті түрде тексеруі керек;
- бұлтты және серверсіз сияқты әртүрлі API-де барлық қажетті қауіпсіздік басқару элементтері болуы керек.

14

Конфигурация (Configuration)

Қауіпсіз конфигурация параметрлерін, үшінші тарап кітапханаларын пайдалануды, сондай-ақ қауіпті компоненттерді сүзуді және сынақ объектісін пайдалану кезінде конфигурация файлдарындағы құпия деректерді сенімді қорғауды қамтамасыз ету.

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздік талаптарына
сәйкестігіне сынақтар жүргізу
әдістемесіне
3-қосымша

Желілік инфрақұрылымды қорғау функцияларының тізбесі

№ п/п

Функциялардың атауы

Функциялардың мазмұны

1

2

3

1

Сәйкестендіру және аутентификация

1. Пайдаланушының жүзеге асырылған әрекеттермен байланысын орнату үшін есептік жазбалардың бірегей сәйкестендіргіштерін пайдалану.
2. Артықшылықты қол жеткізу құқықтары оларды пайдалану қажеттілігі негізінде есептік жазбаларға арналуы тиіс.
3. Сәтсіз және сәтті аутентификация әрекеттерін тіркеу.
4. Сеанс уақытын шектеу.
5. Аутентификациядан бас тарту (аутентификацияның сәтсіз әрекеттерінің белгілі бір санына қол жеткізу кезінде субъектіге кіруден бас тарту мүмкіндігінің болуы).
6. Күшті құпия сөздерді пайдалану және таңдау.
7. Парольді тұрақты ауыстыруды жүргізу, сондай-ақ – қажетіне қарай.

2

Аудиттерді белгілеу (желілік қосылулардың қауіпсіздігіне байланысты оқиғалар туралы есептер қалыптастыру және олардың бар болуы)

1. Ақпараттық қауіпсіздік жағдайына байланысты оқиғаларды тіркеу, бұл ретте оқиғалар журналдары мыналарды қамтуы тиіс:
пайдаланушылардың идентификаторлары;
жүйелік әрекеттер;
кіру және шығу сияқты негізгі оқиғалардың күні, уақыты және мәліметтері;
сәтті және қабылданбаған қол жеткізу әрекеттері туралы есептер;
жүйе конфигурациясының өзгерістері;
артықшылықтарды пайдалану;
желілік мекенжайлар мен хаттамалар.
2. Ақпараттық қауіпсіздікті бұзумен байланысты оқиғаларға мониторинг жүргізу және мониторинг нәтижелерін талдау.
3. Оқиғаларды тіркеу журналдарын ақпараттық қауіпсіздік жөніндегі техникалық құжаттамада көрсетілген мерзім бойы, бірақ үш жылдан кем емес мерзімге сақтау және олардың екі айдан кем емес мерзімге оперативтік сақтауда болуы.
4. Оқиғаларды тіркеу журналдарын араласудан және рұқсатсыз кіруден қорғауды қамтамасыз ету, бұл ретте:
жүйелік әкімшілерде журналдарды өзгертуге, жоюға және өшіруге өкілеттіктердің болуына жол берілмейді;
құпия Ақпараттық жүйелер журналдардың резервтік қоймасын құруды және жүргізуді талап етеді.
5. Ақпараттық қауіпсіздік оқиғаларының сыни түрлері туралы хабарландырудың болуы.
6. Оқиғаларды тіркеу журналдарының уақытын UTC(kz) ДҮНИЕЖҮЗІЛІК ҮЙЛЕСТІРІЛГЕН уақыттың ұлттық шкаласын жаңғыртатын уақыт пен жиілік эталонымен синхрондауды қамтамасыз ету.

3

Басып кіруді анықтау

1. Басып кірулерді (желілік инфрақұрылымға ықтимал басып кірулерді) болжауға, оларды нақты уақыт ауқымында анықтауға және тиісті дабылды көтеруге мүмкіндік беретін қаражаттың болуын қамтамасыз ету.
2. Қағидалар базасын автоматтандырылған жаңарту мүмкіндігі.

4

Желілік қауіпсіздікті басқару

1. Жергілікті желінің кабельдік жүйесінің пайдаланылмаған интерфейстері белсенді жабдықтан физикалық түрде ажыратылуы тиіс.
2. Мемлекеттік органдар мен жергілікті атқарушы органдардың ішкі контурының жергілікті желісін Интернетке қосуды болдырмау, сондай-ақ ішкі контурдың жергілікті желісін және мемлекеттік органдар мен жергілікті атқарушы органдардың сыртқы контурының жергілікті желісін өзара ұштастыруды болдырмау.
3. Мемлекеттік органдар мен жергілікті атқарушы органдардың ақпараттық жүйесін бағдарламалық-аппараттық қамтамасыз етуді басқару ақпараттық жүйе иесінің ішкі жергілікті желісінен жүзеге асырылуы тиіс.
4. Жергілікті желіні логикалық және/немесе физикалық сегменттеу құралдарын қолдану.
5. Ақпараттандыру объектісінің компоненттері арасындағы, сондай-ақ ақпараттандыру объектісі мен оның жұмыс істеу ортасы арасындағы уақыт бойынша синхрондауды қамтамасыз ету.

5

Желіаралық экрандар

1. Әр интерфейсте кіріс және шығыс пакеттерді сүзуді қамтамасыз ету.
2. Жабдық параметрлерінде пайдаланылмаған порттар бұғатталуы тиіс.
3. Желілік мекенжайларды түрлендіру.

6

Желілер арқылы жіберілетін деректердің тұтастығын, құпиялығын сақтау

Жергілікті желілерді біріктіретін арнайы байланыс арнасын ұйымдастыру кезінде ақпаратты криптографиялық қорғау құралдарын пайдалана отырып, ақпаратты қорғаудың бағдарламалық-техникалық құралдары, оның ішінде криптографиялық шифрлау қолданылуы тиіс.

7

Ақпарат алмасу бойынша жасалған іс-қимылдардан бас тартпаушылық

Желілік трафикті бақылау және талдау құралдарын қолдану.

8

Үздіксіз жұмыс және қалыпқа келуді қамтамасыз ету

Қол жетімділік пен ақаулыққа төзімділікті қамтамасыз ету үшін деректерді өңдеудің аппараттық-бағдарламалық құралдарын, деректерді сақтау жүйелерін, деректерді сақтау желілерінің компоненттерін және деректерді беру арналарын резервтеу пайдаланылуы тиіс.

9

Сенімді арна

Басқалардан қисынды түрде ерекшеленетін және оның тараптарының сенімді аутентификациясын, сондай-ақ деректерді өзгертуден және ашудан қорғауды қамтамасыз ететін қашықтағы сенімді арна өнімімен байланысу үшін қамтамасыз ету. Екі жақтың да сенімді арна арқылы байланыс орнатуға мүмкіндік беруін қамтамасыз ету.

10

Сенімді бағдар

Қашықтағы пайдаланушымен байланысу үшін басқалардан қисынды түрде ерекшеленетін және оның тараптарының сенімді аутентификациясын, сондай-ақ деректерді өзгертуден және ашудан қорғауды қамтамасыз ететін маршрутты ұсыну. Пайдаланушының сенімді маршрут арқылы байланыс орнатуға мүмкіндік беруін қамтамасыз ету. Қашықтағы пайдаланушының бастапқы аутентификациясы және қашықтан басқару үшін сенімді маршрутты пайдалану міндетті болып табылады.

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздік талаптарына
сәйкестігіне сынақтар жүргізу
әдістемесіне 4-қосымша

Ақпараттық қауіпсіздікті қамтамасыз ету процестерінің тізбесі мен олардың мазмұны

№ п/п

Процестердің атауы

АҚ қамтамасыз ету процестерінің мазмұнына қойылатын талап

1

2

3

1

Ақпараттық-коммуникациялық технологиялармен байланысты активтерді басқару

1. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидаларында айқындалған активтерді сәйкестендіру тәртібіне сәйкес активтерді сәйкестендіру.
2. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау ережелерінде айқындалған жіктеу жүйесіне сәйкес ақпаратты жіктеу.
3. Тестілеу объектісі үшін анықталған сыныптың ақпараттандыру объектілерін жіктеу қағидаларының талаптарына сәйкестігін тексеру.
4. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидаларында айқындалған таңбалау қағидаттарына сәйкес активтерді таңбалау.
5. Сәйкестендірілген активтерге жауапты тұлғаларды бекіту.
6. Қабылданған тізілім нысанына сәйкес активтер тізілімін жүргізу және өзектендіру.
7. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидаларында айқындалған жіктеу жүйесіне сәйкес активтермен жұмыс істеу рәсімдерін айқындау, құжаттау және іске асыру (беру, пайдалану, сақтау, енгізу/шығару және қайтару).
8. Есептеу техникасы, телекоммуникациялық жабдық және бағдарламалық қамтамасыз ету құралдарын паспорттау.
9. Ақпараттық-коммуникациялық технологиялармен байланысты активтерді қабылдау / жөнелту кезінде жұмыстарды қауіпсіз ұйымдастыру.
10. Серверлік және телекоммуникациялық жабдықтарды, деректерді сақтау жүйелерін, жұмыс станцияларын, ақпарат тасығыштарды қауіпсіз кәдеге жарату (қайта пайдалану).

2

Ақпараттық қауіпсіздікті ұйымдастыру

1. Ақпараттық қауіпсіздік бөлімшесінің немесе ақпараттық қауіпсіздікке жауапты, ақпараттық технологиялар бөлімшесінен оқшауланған, тікелей жоғары басшылыққа бағынатын қызметкердің болуы.
2. Жұмыс топтарының жұмыс істеуі және жұмыстарды үйлестіру және ақпараттық қауіпсіздікті қамтамасыз ету мәселелері бойынша кеңестер өткізу.
3. Ақпараттық қауіпсіздік жөніндегі техникалық құжаттаманы әзірлеу (өзектендіру), бекіту, басшылықтың мақұлдауы, олардың мазмұнын қызметкерлер мен орындаушылар тарапынан тартылатын қызметкерлерге жеткізу.
4. Ақпараттық қауіпсіздік мамандарының өкілетті органдарымен, кәсіби қауымдастықтарымен, кәсіби қауымдастықтарымен немесе форумдарымен байланыста болу.
5. Ақпараттық қауіпсіздікті қамтамасыз ету рәсімдерін, оның ішінде бөгде ұйымдарды тарту кезінде айқындау және құжаттау.
6. Ақпаратты қорғау қажеттіліктерін көрсететін құпиялылық немесе жарияламау туралы келісімді әзірлеу (қайта қарау).
7. Ақпараттық қауіпсіздік және қызмет көрсету деңгейі жөніндегі талаптарды айқындау және үшінші тарап ұйымдарымен келісімдерге енгізу. Келісім ережелерінің іске асырылуын бақылау.

3

Қызметкерлермен байланысты қауіпсіздік

1. Жұмысқа қабылдау кезінде кандидаттарды алдын ала тексеру.
2. Қызметкерлердің лауазымдық нұсқаулықтарында және (немесе) еңбек шартының талаптарында және орындаушылар тарапынан тартылатын жұмыспен қамту, еңбек қатынастарын өзгерту немесе тоқтату кезеңіндегі ақпараттық қауіпсіздікке байланысты рөлдерді, міндеттер мен жауапкершіліктерді және сынақ объектісі иесінің міндеттемелерін айқындау, тағайындау және көрсету.
3. Ақпараттық қауіпсіздікті қамтамасыз ету саласында міндеттемелері бар қызметкерлерді жұмыстан шығару рәсімдерін айқындау және құжаттау.
4. Ақпараттық қауіпсіздік ережелерін бұзушыларға жасалатын іс-қимылдарды айқындау және регламенттеу.
5. Қызметкерлерге олардың қызметтік міндеттерін орындауды қозғайтын ақпараттық қауіпсіздікті қамтамасыз ету саясаттарындағы, қағидаларындағы және рәсімдеріндегі өзгерістер туралы хабарлау.
6. Қызметкерлердің және тараптан тартылатын орындаушылардың жұмыспен қамту, еңбек қатынастарын өзгерту немесе тоқтату кезеңінде ақпараттық қауіпсіздікті қамтамасыз етуге байланысты міндеттер мен жауапкершіліктер туралы хабардар болуы және орындауы.
7. Ақпараттық қауіпсіздік саласындағы қызметкерлерді оқыту және даярлау.
8. Қызметкерлердің және орындаушылар тарапынан тартылатын ақпараттық қауіпсіздікке қатысты міндеттемелерді орындау мүмкіндігін қамтамасыз ету үшін басшылықтың жауапкершілігі.

4

АҚ оқиғаларының мониторингі және АҚ инциденттерін басқару

1. Пайдаланушы, оператор, әкімші және операциялық жүйелердің оқиғаларын, дерекқорды басқару жүйелерін, антивирустық бағдарламаларды, қолданбалы бағдарламаларды, телекоммуникациялық жабдықтарды, шабуылдарды анықтау және алдын алу жүйелерін, мазмұнды басқару жүйелерін тіркеу.
2. Оқиғаларды тіркеу журналдарын жүргізу, сақтау және қорғау.
3. Оқиғаларды тіркеу журналдарын талдауды жүзеге асыру.
4. Тіркелген оқиғаларды бақылау және ақпараттық қауіпсіздік үшін маңыздылығы жоғары және маңызды оқиғалар туралы ескерту.
5. Ақпараттық қауіпсіздік оқиғасын бағалау және шешім қабылдау.
6. Қызметкерлерді және тараптан тартылатын орындаушыларды әзірлеу, құжаттау, олардың назарына жеткізу, ақпараттық қауіпсіздік инциденттеріне ден қою рәсімдерін орындау.
7. Ақпараттық қауіпсіздік инциденттеріне талдау жүргізу.

5

АҚ үздіксіздігін басқару

1. Ақпараттық қауіпсіздіктің үздіксіздігін жоспарлау.
2. Ақпараттық қауіпсіздікті немесе бизнес-процестерді қамтамасыз ету процесінің үздіксіздігінің бұзылуының ықтимал себебі болып табылатын оқиғаларды идентификациялау.
3. Штаттан тыс (дағдарыстық) жағдайларда ақпараттық қауіпсіздіктің үздіксіздігінің қажетті деңгейін ұстап тұру процестері мен рәсімдерін әзірлеу (өзектендіру), енгізу.
4. Қызметкерлерді және орындаушылар тарапынан тартылатын қызметкерлерді анықтау, құжаттау, олардың назарына жеткізу, штаттан тыс (дағдарыстық жағдайларда) рәсімдерді орындау.
5. Ақпараттық қауіпсіздіктің үздіксіздігін қамтамасыз ету процестері мен рәсімдерін тексеру (тестілеу), талдау және бағалау.
6. Заңнаманың талаптарын ескере отырып, ақпаратты өңдеу құралдарын, ақпараттандыру объектісін резервтеу.

6

Желілік қауіпсіздікті басқару

1. Қызметкерлерді және орындаушылар тарапынан тартылатын қызметкерлерді анықтау, құжаттау және олардың назарына жеткізу, желілік жабдықты басқару рәсімдерін орындау.
2. Желілерге қызмет көрсету және ақпарат беру жөніндегі келісімдерге қауіпсіздікті қамтамасыз ету тетіктерін, барлық желілік қызметтер мен сервистер үшін қолжетімділік деңгейлерін айқындау және енгізу.
3. Қызметкерлерді және орындаушылар тарапынан тартылатын қызметкерлерді анықтау, құжаттау, олардың назарына жеткізу, желілер мен Желілік қызметтерді пайдалану, ақпарат беру, Интернетке, телекоммуникация және байланыс желілеріне қосылу және желілік ресурстарға сымсыз қол жеткізуді пайдалану саясаттары мен рәсімдерін орындау.
4. Желі және электрондық хабарламалар арқылы берілетін ақпаратты қорғау құралдарын қолдану жөніндегі рәсімдерді айқындау, құжаттау және орындау.
5. Заңнама талаптарын ескеретін желілерді қосу және өзара іс-қимыл жасау тәсілдері.

7

Криптографиялық қорғау әдістері

1. Заңнаманың талаптарын ескеретін криптографиялық кілттерді дайындау, есепке алу, сақтау, беру, пайдалану, қайтару (жою), қорғау мәселелерін қамтитын криптографиялық кілттерді басқаруды регламенттеу.
2. Аутентификациялық деректерді қоса алғанда, ақпаратты сақтау және беру кезінде криптографиялық құралдарды қолдану.

8

Ақпараттық қауіпсіздік тәуекелдерін басқару

1. Тәуекелдерді бағалау әдістемесін таңдау;
2. Сәйкестендірілген және жіктелген активтер үшін қатерлерді (тәуекелдерді) сәйкестендіру және ақпараттық қауіпсіздік қатерлерінің (тәуекелдерінің) каталогын қалыптастыру (өзектендіру). Ақпараттық қауіпсіздікті қамтамасыз ету процестерімен байланысты қатерлерді (тәуекелдерді), тәуекелдерді каталогта көрсету.
3. Анықталған тәуекелдерді бағалау (қайта бағалау).
4. Тәуекелдерді өңдеу, тәуекелдерді өңдеу жоспарын қалыптастыру және бекіту (өзектендіру).
5. Тәуекелдерді бақылау және қайта қарау.

9

Қол жеткізуді басқару

1. Пайдаланушыларды ақпаратқа, қолданбалы жүйелердің функцияларына, қызметтерге, жүйелік БҚ, желілер мен желілік сервистерге қол жеткізу құқықтарының аражігін ажырату қағидаларымен әзірлеу (өзектендіру), құжаттандыру, таныстыру.
2. Пайдаланушыларды сәйкестендіру, аутентификациялау және авторизациялаудың қолданылатын әдістері мен рәсімдері.
3. Электрондық ақпараттық ресурстарға қол жеткізу құқықтарының аражігін ажырату қағидаларында белгіленген қол жеткізу құқықтарының аражігін ажырату қағидаларын іске асыру.
4. Пайдаланушыларды тіркеу және тіркеуден шығару (бұғаттау) рәсімдері.
5. Артықшылықты кіру құқығымен есептік жазбаларды басқару.
6. Пайдаланушының аутентификация процедураларында криптографиялық әдістерді қолдану және басқару.
7. Қол жеткізу құқықтарының өзгеруін басқару.
8. Құпия сөздерді басқару.
9. Артықшылықты утилиталарды пайдалану.
10. Сынақ объектісінің бастапқы кодына қол жеткізуді басқару.

10

Физикалық қауіпсіздік және табиғи қауіптерден қорғау

1. Заңнама талаптарын ескере отырып, серверлік, телекоммуникациялық жабдықтарды, деректерді сақтау жүйелерін орналастыру.
2. Ақпараттық-коммуникациялық технологиялармен байланысты активтер орналастырылған үй-жайлардың қауіпсіздік периметрін физикалық қорғау.
3. Заңнаманың талаптарын ескеретін негізгі және резервтік серверлік үй-жайларды ұйымдастыру.
4. Негізгі және резервтік серверлік үй-жайларды заңнаманың талаптарын ескеретін қамтамасыз ету жүйелерімен жарақтандыру.
5. Серверлік үй-жайларға бақыланатын қол жеткізуді ұйымдастыру.
6. Серверлік үй-жайда жұмыстарды ұйымдастыру.
7. Серверлік және телекоммуникациялық жабдықтарды, деректерді сақтау жүйелерін және қамтамасыз ету жүйелерін техникалық сүйемелдеу және оларға қызмет көрсету жөніндегі жұмыстарды ұйымдастыру.
8. Жабдықты электрмен жабдықтау жүйесіндегі ақаулардан және коммуналдық қызметтердің жұмысындағы ақаулардан туындаған басқа да бұзылулардан қорғау тәсілдері.
9. Кабельдік жүйенің қауіпсіздігін қамтамасыз ету.
10. Кросс үй-жайларының қауіпсіздігін қамтамасыз ету.

11

АҚ қамтамасыз етудің пайдалану рәсімдері

1. Ақпараттық қауіпсіздікті қамтамасыз етудің пайдалану рәсімдерін регламенттейтін нұсқаулықтарды әзірлеу (өзектендіру), құжаттау, пайдаланушыларды таныстыру.
2. Ақпараттық қауіпсіздікті қамтамасыз ету құралдары мен жүйелерін қолдану.
3. Ақпараттың сақтық көшірмесін жасау процедуралары және көшіру нәтижелерін тексеру. Сақтық көшірмелерді сақтау орындарының қауіпсіздігі.
4. Оқиғаларды тіркеу журналдарының уақытын бір уақыт көзімен синхрондау.
5. Қолданыстағы жүйелерде қолданбалы және жүйелік бағдарламалық қамтылымның жаңа нұсқаларын орнату кезіндегі өзгерістерді басқару процедуралары.
6. Осалдықтарды бақылау және басқару.
7. Қызметкерлерді таныстыру және мобильді құрылғылар мен ақпарат тасығыштарды пайдалану ережелерін ережелерін іске асыру.
8. Қашықтан жұмысты ұйымдастыру жөніндегі нұсқаулықтың ережелерін әзірлеу (өзектендіру), қызметкерлерді таныстыру, іске асыру.
9. Сынақ объектісінің жұмыс қабілеттілігінің мониторингі.
10. Әзірлеу, тестілеу және пайдалану орталарын бөлу.
11. Электрондық пошта хабарламалары мен ақпараттарды Интернет арқылы беру кезінде құпиялылықты қамтамасыз ету.
12. Заңнаманың талаптарына сәйкес интернетті ұсыну және сыртқы электрондық пошта жүйелерімен өзара іс-қимыл жасау тәсілдері.
13. Интернет ресурстарына қол жеткізу кезіндегі шектеулер мен сүзу тәртібі.

12

Заңнамалық және шарттық талаптарға сәйкестігі

1. Сынақ объектісі үшін заңнамалық, нормативтік, өзге де міндетті, шарттық талаптарды айқындау (өзектендіру), құжаттау.
2. Зияткерлік меншік құқықтарына байланысты заңнамалық, нормативтік және шарттық талаптарға сәйкестікті іске асыратын рәсімдерді енгізу.
3. Заңнаманың нормаларына сәйкес келетін құпия және дербес деректерді қорғау саясатын әзірлеу және іске асыру.
4. Қолданылатын криптографиялық әдістер мен құралдардың заңнама талаптарына және келісімдерге (шарттарға) сәйкестігі.
5. Ақпараттық қауіпсіздік аудитін жүргізу.
6. Ақпараттық қауіпсіздік жөніндегі заңнаманың, стандарттардың және техникалық құжаттаманың талаптарына сәйкестігі тұрғысынан сынақ объектісіне талдау жүргізу.
7. Жазбаларды жоғалтудан, бүлінуден, бұрмаланудан, рұқсатсыз кіруден және заңнамалық, нормативтік, шарттық талаптарға сәйкес рұқсатсыз шығарудан қорғау.

13

Жүйелерді сатып алу, әзірлеу және қызмет көрсету

1. Ақпараттық қауіпсіздікке байланысты және қолданыстағы заңнамаға және стандарттарға сәйкес келетін талаптарды сынақ объектісіне техникалық құжаттаманың құрамына енгізу (өзектендіру).
2. Пайдаланылатын жүйелер үшін БҚ (жүйелік және қолданбалы) өзгерістерін басқарудың қауіпсіз рәсімдерін айқындау және қолдану.
3. Сынақ объектісі бойынша, оның ішінде бөгде ұйым жүзеге асыратын әзірлеу процесін бақылау.
4. Бөгде ұйым жүзеге асыратын жүйені техникалық сүйемелдеу процесін бақылау.
5. Жүйенің қауіпсіздік мүмкіндіктерін тексеру.

  Өзгерістер енгізілетін
кейбір бұйрықтар тізбесіне
2-қосымша
  Қазақстан Республикасы
Цифрлық даму, қорғаныс
және аэроғарыш
өнеркәсібі министрінің
2019 жылғы 3 маусымдағы
№111/НҚ бұйрығына
2-қосымша

"Электрондық үкіметтің" ақпараттандыру объектілері және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары

1-тарау. Жалпы ережелер

      1. Осы "Электрондық үкіметтің" ақпараттандыру объектілері мен ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 5) тармақшасына сәйкес әзірленді және "электрондық үкіметтің" ақпараттандыру объектілері мен ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібін айқындайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар мен қысқартулар пайдаланылады:

      1) ақпараттық жүйе – ақпараттық өзара іс-қимыл арқылы белгілі бір технологиялық әрекеттерді іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсетуші персоналдың және техникалық құжаттаманың ұйымдық реттелген жиынтығы;

      2) ақпараттық жүйенің кіші жүйесі – ақпараттық жүйенің мақсатына жету үшін қажетті оның белгілі бір функцияларын іске асыратын ақпараттық жүйенің жиынтық бөлігі (құрамдас бөлігі) ;

      3) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) –электрондық ақпараттық ресурстардың, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалу жағдайы;

      4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ бойынша ТҚ) – Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген және объектінің ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі жалпы талаптарды, қағидаттар мен қағидаларды регламенттейтін ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға сәйкес әзірленген құжаттар жиынтығы сынақтар;

      5) ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның интернет-порталы – "электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау бойынша қызмет көрсету процесін автоматтандыруға арналған ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның интернет-порталы;

      6) бағдарламалық қамтылым – бағдарламалардың, бағдарламалық кодтардың, сондай-ақ оларды пайдалану үшін қажетті техникалық құжаттамасы бар бағдарламалық өнімдердің жиынтығы;

      7) бағдарламалық өнім – әзірлеушілеріне қарамастан, техникалық құжаттамада белгіленген жүйелік талаптарға сәйкес көзделген мақсаттарда пайдаланылуы мүмкін тауар болып табылатын дербес бағдарлама немесе бағдарламалық қамтылымның бөлігі;

      8) бастапқы кодтар – сынақ объектісінің компакт-дискідегі сәтті компиляциясы үшін қажетті кітапханалары мен файлдары бар сынақ объектісінің компоненттері мен модульдерінің бастапқы кодтары;

      9) үлестірілген сынақ объектісі – бірдей мақсаттарға арналған, бірдей функцияларды орындайтын және бірдей қолданбалы бағдарламалық қамтылымды пайдаланатын, бірдей архитектура бойынша салынған көптеген, оның ішінде белгісіз тораптардан тұратын сынақ объектісі;

      10) интернет-ресурс – бірегей желілік мекенжайы және (немесе) домендік атауы бар және Интернетте жұмыс істейтін аппараттық-бағдарламалық кешенде орналастырылған ақпарат (мәтіндік, графикалық, аудиовизуалды немесе өзге де түрде);

      11) өнім беруші – мемлекеттік техникалық қызмет немесе аккредиттелген сынақ зертханасы;

      12) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      13) өтініш беруші – ақпараттандыру объектісінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтінім берген сынақ объектісінің меншік иесі немесе иеленушісі, сондай-ақ сынақ объектісінің меншік иесі немесе иесі уәкілеттік берген жеке немесе заңды тұлға;

      14) сынақ зертханасы – оның атынан әрекет ететін, сынақтарды жүзеге асыратын, техникалық реттеу туралы заңнамаға сәйкес аккредиттелген заңды тұлға немесе заңды тұлғаның құрылымдық бөлімшесі;

      15) сынақ объектісі – ақпараттық қауіпсіздік талаптарына сәйкестігін сынау жөніндегі жұмыстар жүргізілетін ақпараттандыру объектісі;

      16) штаттық пайдалану ортасы – тәжірибелік пайдалану (пилоттық жоба) кезеңінде пайдаланылатын және ақпараттандыру объектісін өнеркәсіптік пайдалану кезеңінде қолдануға арналған серверлік жабдықтың, желілік инфрақұрылымның, жүйелік бағдарламалық қамтылымның нысаналы жиынтығы;

      17) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы – мемлекеттік органның қызметін автоматтандыруға, оның ішінде мемлекеттік функцияларды автоматтандыруға және олардан туындайтын мемлекеттік қызметтер көрсетуге, сондай-ақ мемлекеттік электрондық ақпараттық ресурстарды орталықтандырылған жинауға, өңдеуге, сақтауға арналған технологиялық платформа;

      18) SYNAQ интернет-порталы – мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау бойынша қызмет көрсету процесін автоматтандыруға арналған мемлекеттік техникалық қызметтің интернет-порталы.

      3. Объектілердің АҚ талаптарына сәйкестігін сынау (бұдан әрі – сынақтар) сынақ объектілерінің техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілерінің және Қазақстан Республикасының аумағында қолданылатын ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау жөніндегі жұмыстарды қамтиды және сынақ объектісін штаттық пайдалану ортасында жүргізіледі.

      4. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасында және "электрондық үкіметтің" ақпараттық-коммуникациялық платформасында құрылған және (немесе) орналастырылған бағдарламалық қамтылымды (бағдарламалық өнімді) қоспағанда, сынақ объектісінің сынақтарының құрамына мынадай жұмыс түрлері кіреді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктеме сынағы;

      4) желілік инфрақұрылымды зерттеу;

      5) АҚ қамтамасыз ету процестерін тексеру.

      5. Сынақ объектісінің бастапқы коды (мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын ақпараттандыру объектілерін қоспағанда) болмаған немесе сынақтардың басқа түрін (түрлерін) жүргізу мүмкін болмаған жағдайда, сынақ объектісінің бастапқы кодына немесе сынақтарының басқа түріне (түрлеріне) талдау жүргізудің міндетті остігі туралы ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның шешімімен өтініш берушінің сұрау салуы бойынша белгіленеді.

      Ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган осы Қағидалардың 7-тармағына сәйкес басқа түрлері бойынша сынақтар жүргізу кезеңінде бастапқы кодты немесе сынақ объектісінің сынақтарының басқа түрін (түрлерін) талдауды алып тастау туралы өтінім берушінің сұрау салуының негізділігін тексеру туралы Өнім берушіге сұрау салуды жібереді.

      6. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасында құрылған және (немесе) орналастырылған бағдарламалық қамтылымды (бағдарламалық өнімді) сынауға мыналар кіреді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) жүктеме сынағы;

      4) АҚ қамтамасыз ету процестерін зерттеп-қарау.

      7. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасының сынақтарына мыналар кіреді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау;

      3) желілік инфрақұрылымды зерттеу;

      4) АҚ қамтамасыз ету процестерін тексеру.

      8. Біртекті үлестірілген сынау объектілері үшін сынақтар үлестірілген сынау объектісі түйіндерінің жалпы санының кемінде оннан бір бөлігін құрайтын жалпы санында үлестірілген сынау объектісінің орталық(тар) торабы(тары) үшін және кейбір (өтініш берушінің келісімі бойынша) жекелеген тораптары үшін жүргізіледі.

      Біртекті үлестірілген сынақ объектісінің орталық торабы (тары) үшін сынақтар жұмыс түрлерінің толық құрамында жүргізіледі.

      Біртекті үлестірілген сынақ объектісінің тораптары үшін сынақтар құрамына мыналар кіреді:

      1) бастапқы кодтарды талдау;

      2) ақпараттық қауіпсіздік функцияларын сынау.

      9. Сынақ объектісі басқа ақпараттандыру объектісімен интеграцияланған (қолданыстағы немесе жоспарланған) жағдайда сынақтар сынақ объектісінің құрамына интеграцияны қамтамасыз ететін компоненттерді (интеграция модулі, интеграцияның кіші жүйесі, интеграциялық автобус немесе басқа) енгізе отырып жүргізіледі.

2-тарау. Ақпараттандыру объектілерінің мемлекеттік техникалық қызметтегі ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібі

      10. Сынақтарды жүргізу үшін өтініш беруші SYNAQ интернет-порталында осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінімді (бұдан әрі – өтінім) толтырады, электрондық цифрлық қолтаңбамен (бұдан әрі – ЭЦҚ) қол қояды және мынадай құжаттарды қоса бере отырып, мемлекеттік техникалық қызметке береді:

      1) SYNAQ интернет-порталында сынақ объектісінің меншік иесінің (иеленушісінің) ЭЦҚ-мен куәландырылған осы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұрақнама;

      2) шарттарға немесе заңды тұлғаның басшысын тағайындау туралы құжатқа қол қоюға уәкілетті тұлғаға сенімхаттың электрондық көшірмесі (заңды тұлғалар үшін);

      3) ақпараттандыру саласындағы уәкілетті органмен және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органмен келісілген ақпараттандыру объектісіне техникалық тапсырманың электрондық көшірмесі;

      4) сәтті құрастыру үшін қажетті кітапханалары мен файлдары бар сынақ объектісінің компоненттері мен модульдерінің бастапқы кодтары (қажет болған кезде);

      5) осы Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің ақпараттық қауіпсіздігі жөніндегі бекітілген техникалық құжаттаманың электрондық көшірмелері (қажет болған кезде);

      6) иеленуші (меншік иесі) сынақтар жүргізуге өтінім беруге өтінім берушіге уәкілеттік беретін құжаттың электрондық көшірмесі (қажет болған жағдайда):

      7) сынақ объектісінің меншік иесі (иеленуші) және (немесе) тапсырыс беруші мемлекеттік орган болып табылатын растайтын құжат.

      11. Егер өтініш беруші сатып алуды мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған жағдайда, сынақтар жүргізуге өтінім ағымдағы жылдың 1 қарашасынан кешіктірілмей қабылданады.

      12. Мемлекеттік техникалық қызмет өтінімді алған күннен бастап үш жұмыс күні ішінде осы Қағидалардың 10-тармағында көрсетілген құжаттардың толықтығын тексеруді жүзеге асырады.

      13. Өтінім мен қоса берілген құжаттар осы Қағидалардың 10-тармағында көрсетілген талаптарға сәйкес келмеген жағдайда, өтінім қайтару себептері көрсетіле отырып, он жұмыс күні ішінде өтініш берушіге қайтарылады.

      14. Мемлекеттік техникалық қызмет осы Қағидалардың 10-тармағына сәйкес құжаттардың толық топтамасының болуына өтінімді тексергеннен кейін үш жұмыс күні ішінде өтініш берушіге жібереді:

      1) мемлекеттік сатып алу веб-порталы арқылы сатып алуды жүзеге асыру кезінде сынақтар жүргізуге арналған шартқа техникалық ерекшеліктің жобасы. Өтініш беруші техникалық ерекшелік жобасын алған күннен бастап үш жұмыс күні ішінде мемлекеттік сатып алу туралы шартты тікелей жасасу арқылы бір көзден алу тәсілімен мемлекеттік сатып алу туралы шарттың жобасын мемлекеттік сатып алу веб-порталында орналастырады;

      2) мемлекеттік сатып алу веб-порталын қолданбай сатып алуды жүзеге асыру кезінде сынақтар жүргізуге арналған шарттың екі данасы. Өтініш беруші жоғарыда көрсетілген шарттың екі данасын алған күннен бастап бес жұмыс күні ішінде оларға қол қояды және шарттың бір данасын мемлекеттік техникалық қызметке қайтарады.

      15. Егер өтініш беруші сатып алуды мемлекеттік сатып алу веб-порталы арқылы жүзеге асырса және 15 қарашаға дейінгі мерзімде мемлекеттік техникалық қызмет атына мемлекеттік сатып алу туралы шартты мемлекеттік сатып алу веб-порталы арқылы жібермеген жағдайда, өтінім жойылады және өтініш берушіге қайтарылады.

      16. Сынақ мерзімі Өтініш берушімен келісіледі және сынақ бойынша жұмыс көлеміне және сынақ объектісінің жіктеу сипаттамаларына байланысты болады.

      Сынақ жүргізу мерзімдерін келісу мүмкін болмаған жағдайда, өтінім қанағаттандырусыз өтініш берушіге сынақ мерзімдерін айқындау үшін ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органға жүгіну мүмкіндігін көрсете отырып қайтарылады.

      17. Сынақтарды өткізу үшін өтініш беруші мемлекеттік техникалық қызмет үшін:

      1) жұмыс орнын, пайдаланушының жұмыс орнына, серверлік және желілік жабдыққа, фото және бейне тіркеуді жүргізе отырып, сынақ объектісінің телекоммуникация желісіне және сынақ объектісіне құжаттамаға және ілеспе құжаттамаға, оның ішінде сынақ объектісінің құрамына кіретін сынақ объектісі мен компоненттерді сүйемелдеу және техникалық қолдау шарттарына физикалық қол жеткізуді;

      2) техникалық құжаттама талаптарына сәйкес сынақ объектісінің функцияларын көрсетуді қамтамасыз етеді.

      18. Өтініш беруші осы Қағидалардың 17-тармағының талаптарын қамтамасыз ете алмаған жағдайда, сынақтар оның орындалу мерзімін ұзартуға арналған шартқа қосымша келісімге қол қоюды ескере отырып, оларды қамтамасыз ету үшін өтініш берушіге қажетті уақытқа тоқтатыла тұрады.

      19. Сынақтар "Электрондық үкіметтің" ақпараттандыру объектілері және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.

      20. Сынақтарды жүргізу кезінде осы Қағидалардың 10-тармағының 1) тармақшасына және сынақ объектісінің нақты жай-күйіне сәйкес берілген сынақ объектісінің сипаттамалары туралы сауалнама-сұрақнаманың деректері арасында алшақтық анықталды, өтініш беруші мемлекеттік техникалық қызметке SYNAQ интернет-порталында сынақ объектісінің меншік иесінің (иесінің) ЭЦҚ-мен куәландырылған сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сұрақнаманы жібереді. Сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сауалнама (қажет болған жағдайда) сынақ мерзімін ұзартуға және сынақ жүргізу құнын өзгертуге қосымша келісім жасасу үшін негіз болады.

      21. Қажет болған жағдайда, егер сынақ жүргізу кезінде сынақ мерзімі аяқталғанға дейін сынақтардың бір немесе бірнеше түрі бойынша қайта сынақ жүргізу қажеттілігі анықталса, өтініш беруші мемлекеттік техникалық қызметке сұрау салады және өтеусіз негізде осы жұмыс түрлері бойынша қайта сынақ жүргізу туралы қосымша келісім жасалады.

      22. Сынақтарға кіретін жұмыстардың нәтижелері және анықталған сәйкессіздіктерді жою жөніндегі ұсынымдар жұмыстардың барлық түрлері аяқталғаннан кейін өтініш берушінің Жеке кабинетінде SYNAQ интернет-порталында орналастырылатын жекелеген хаттамаларға енгізіледі.

      23. Мемлекеттік техникалық қызметтің сынақтарға кіретін жұмыстардың әрбір түрін жүргізуіне бағалар Заңның 14-бабының 2-тармағына сәйкес белгіленеді.

      24. Сынақтарды өткізу құнын есептеу үшін өтініш беруші мемлекеттік техникалық қызметке SYNAQ интернет-порталында сынақ объектісінің меншік иесінің (иесінің) ЭЦҚ-мен куәландырылған сынақ объектісінің сипаттамалары туралы сауалнама-сұрақнама жібереді.

      25. Өтініш беруші сынақтар кезінде анықталған сәйкессіздіктерді SYNAQ интернет-порталында жүргізілген жұмыстар бойынша сынақтар хаттамаларын орналастырған күннен бастап алпыс жұмыс күні ішінде жойған және мемлекеттік техникалық қызметке SYNAQ интернет-порталы арқылы анықталған сәйкессіздіктерді түзету нәтижелерімен салыстыру кестесін қоса бере отырып, қайталама сынақтар жүргізуге сұрау салуды жіберген кезде, мемлекеттік техникалық қызмет өтеусіз негізде өтініш берушіден сұрау салуды алған күннен бастап жиырма жұмыс күні ішінде тиісті құжаттарды ресімдей отырып, осы жұмыс түрлері бойынша қайта сынақтар жүргізеді.

      Өтініш беруші белгіленген мерзімде екі реттен артық емес қайталама сынақтарға өтінім бере алады.

      Қажет болған жағдайда, өтініш беруші қайталама сынақтарды өткізу мерзімін ұзартуға қосымша өтінім беру арқылы, бірақ 20 жұмыс күнінен аспайтын мерзімін бір рет ұзарта алады.

      Белгіленген мерзімді өткізу осы Қағидаларда белгіленген жалпы тәртіппен сынақтар жүргізу үшін негіз болып табылады.

      26. Объектінің бағдарламалық қамтамасыз етуіне өзгерістер енгізуге байланысты сәйкессіздіктер түзетілгеннен кейін қайталама сынақтар жүргізу кезінде бастапқы кодқа талдау жүргізіледі.

      Бұл ретте өтініш беруші қайталама сынақтар жүргізуге сұрау салуға сынақ объектісінің құрамдас бөліктері мен модульдерінің бастапқы кодтарын сынақ объектісін сәтті құрастыру үшін қажетті кітапханалармен және файлдармен қоса тіркейді.

      27. Қайта сынақтар жүргізу кезінде сәйкессіздіктер анықталған жағдайда мемлекеттік техникалық қызмет теріс қорытындысы бар хаттаманы ресімдейді, одан кейін сынақтар осы Қағидалардың 2-тарауында белгіленген тәртіппен жүргізіледі.

      28. Сынақ хаттамалары жоғалған, бүлінген немесе бүлінген кезде, сондай-ақ сынақ объектісінің сипаттамалары туралы сауалнама-сауалнамадағы деректер өзгерген жағдайда, бұрын теріс нәтижесі бар қағаз тасығышта хаттамалар алған сынақ объектілері үшін жұмыстардың бір немесе бірнеше түрі бойынша сынақтар жүргізу кезінде сынақ объектісінің меншік иесі немесе иесі себептерін көрсете отырып, мемлекеттік техникалық қызметке хабарлама жібереді.

      Мемлекеттік техникалық қызмет хабарламаны алған күннен бастап бес жұмыс күні ішінде бұрын берілген сынақтар хаттамасының (ларының) телнұсқасын не сынақ объектісінің сипаттамалары туралы өзектендірілген сауалнама-сұрақнамасы бар сынақтар хаттамасының (ларының) телнұсқасын береді.

3-тарау. Ақпараттандыру объектілерінің сынақ зертханаларында ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібі

      29. Сынақтарды сынақ зертханаларында жүргізуге шарттар жасау тәртібі Қазақстан Республикасының Азаматтық кодексіне сәйкес айқындалады.

      30. Сынақтар жүргізу үшін өтініш беруші мынадай құжаттарды ұсына отырып, мемлекеттік техникалық қызметке қағаз тасымалдауышта ілеспе хатпен осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді:

      1) шарттарға немесе заңды тұлғаның басшысын тағайындау туралы құжатқа қол қоюға уәкілетті тұлғаға сенімхаттың көшірмесі (заңды тұлғалар үшін);

      2) сынақ объектісінің меншік иесі немесе иеленуші қағаз жеткізгіште бекіткен осы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сынақ объектісінің сипаттамалары туралы сауалнама-сұрақнама;

      3) меншік иесі немесе иеленуші бекіткен, мемлекеттік заңды тұлғаның ақпараттық жүйесі және мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйені қоспағанда, ақпараттандыру объектісіне техникалық тапсырма немесе техникалық ерекшелік, мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған, компакт-дискіде (қажет болған жағдайда);

      4) библиотекам дискіде сәтті компиляциялау үшін қажетті кітапханалары мен файлдары бар сынақ объектісінің компоненттері мен модульдерінің бастапқы кодтары (қажет болған жағдайда);

      5) осы Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің ақпараттық қауіпсіздігі жөніндегі техникалық құжаттаманың бекітілген тізбесінің көшірмелері электронам дискіде электрондық түрде (қажет болған жағдайда);

      6) өтініш берушіге меншік иесі немесе иеленушісі сынақтар жүргізуге өтінім беруге (қажет болған жағдайда) уәкілеттік беретін құжат.

      31. Сынақтар "Электрондық үкіметтің" ақпараттандыру объектілері мен ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.

      32. Егер өтініш беруші жүргізілген жұмыстар бойынша сынақ хаттамаларын алған күннен бастап жиырма жұмыс күні ішінде сынақтар кезінде анықталған сәйкессіздіктерді жойған және анықталған сәйкессіздіктерді түзету нәтижелерімен салыстыру кестесін қоса бере отырып, өнім берушіге қайталама сынақтар жүргізуге сұрау салуды жіберген жағдайда, өнім беруші өтініш берушіден хабарлама алған күннен бастап жиырма жұмыс күні ішінде өтеусіз негізде тиісті құжаттарды ресімдей отырып, осы жұмыс түрлеріне.

      Өтініш беруші белгіленген мерзімде екі реттен артық емес қайталама сынақтарға өтінім бере алады.

      Қажет болған жағдайда, өтініш беруші қайталама сынақтарды өткізу мерзімін ұзартуға қосымша өтінім беру арқылы, бірақ 20 жұмыс күнінен аспайтын мерзімін бір рет ұзарта алады.

      Белгіленген мерзімді өткізу осы Қағидаларда белгіленген жалпы тәртіппен сынақтар жүргізу үшін негіз болып табылады.

      33. Қайталама сынақтар жүргізу кезінде сәйкессіздіктер анықталған жағдайда өнім беруші теріс қорытындысы бар хаттаманы ресімдейді, содан кейін сынақтар осы Қағидалардың 3-тарауында белгіленген тәртіппен жүргізіледі.

      34. Сынақ хаттамалары жоғалған, бүлінген немесе бүлінген кезде сынақ объектісінің меншік иесі немесе иеленушісі өнім берушіге себептерін көрсете отырып хабарлама жібереді.

      Өнім беруші хабарламаны алған күннен бастап бес жұмыс күні ішінде сынақ хаттамаларының телнұсқасын береді.

4-тарау. Ақпараттық қауіпсіздік талаптарына сәйкестігін сынау хаттамаларын беру және кері қайтарып алу тәртібі

      35. Ақпараттық қауіпсіздік талаптарына сәйкестігін сынау хаттамаларын қызмет беруші береді.

      36. Сынақ хаттамаларының жарамдылық мерзімі "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектісін өнеркәсіптік пайдалану мерзімімен немесе сынақ объектісін жаңғыртуды бастау сәтіне дейін шектеледі.

      Бұл ретте ақпараттандыру объектісін өнеркісіптік пайдалануға енгізу үшін сынақтың жекелеген түрі бойынша хаттаманың қолданылу мерзімі хаттама берілген күннен бастап бір жылдан аспайды.

      "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынау хаттамалары бір жыл қолданылу мерзімімен беріледі.

      37. Қызмет беруші тұрақты негізде тізімнің ақпараттық қауіпсіздігін қамтамасыз ету саласындағы уәкілетті органға мынадай деректерді ұсынады:

      1) сынақтар жүргізуге өтінім;

      2) сынақ зертханаларында сынақтар жүргізуге арналған шарт туралы ақпарат (күні, нөмірі);

      3) сынақ объектісінің атауы;

      4) сынақ объектісінің меншік иесінің және (немесе) иесінің атауы;

      5) нәтижесін көрсете отырып, жұмыстың әрбір түрі бойынша ақпараттық қауіпсіздік талаптарына сәйкестігін сынаудың тізілімдік нөмірі, берілген күні және хаттамасы;

      6) сынақ объектісінің серверлік және желілік жабдықтың нақты орналасқан орны;

      7) сынақ объектісінің меншік иесі немесе иеленушісі бекіткен сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық.

      Аккредиттелген сынақ зертханасы жоғарыда көрсетілген деректерді ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның интернет-порталына енгізуді қамтамасыз етеді.

      Есеп түріндегі ақпарат аккредиттелген сынақ зертханасының ЭЦҚ-сын пайдалана отырып қалыптастырылады.

      Жоғарыда көрсетілген деректерді беру үшін мемлекеттік техникалық қызмет SYNAQ интернет-порталының ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның интернет-порталымен интеграциялануын қамтамасыз етеді.

      38. Ақпараттандыру объектісінің жұмыс істеу жағдайлары мен функционалдығына өзгерістер енгізген кезде ақпараттандыру объектісінің меншік иесі немесе иеленушісі өзгерістерге әкелген жұмыстарды аяқтағаннан кейін көрсетілетін қызмет берушіге барлық жүргізілген өзгерістердің сипаттамасын және сынақтар объектісінің меншік иесінің немесе иеленушісімен бекітілген сынақтар объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты қоса беріп, хабарлама жібереді.

      39. Ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган осы Қағидалардың талаптарына сәйкессіздіктер анықталған кезде, анықталған сәйкессіздіктерді қоса бере отырып, қызмет берушіге ақпарат жібереді.

      40. Қызмет беруші ақпараттандыру объектісіне енгізілген өзгерістерді және (немесе) анықталған сәйкессіздіктер туралы ақпаратты және (немесе) өзгермеуге талдау нәтижелері бойынша бастапқы кодтың өзгерістері туралы ақпаратты он жұмыс күнінен аспайтын мерзімде қарайды және тестілеу хаттамаларын кері қайтарып алу және ақпараттандыру объектісінің жұмыс істеу және (немесе) функционалдығы жағдайлары өзгерген кезде функциялары бұзылған сынақтардың сол түрін жүргізу қажеттілігі туралы шешім қабылдайды.

      Шешім осы Қағидаларға 4-қосымшаға сәйкес ақпараттандыру объектісінің жұмыс істеуі және (немесе) функционалдығы өзгерістерінің тізбесі ескеріле отырып қабылданады.

      41. Сынақ хаттамаларын қайтарып алу кезінде меншік иесі немесе иеленуші үш ай мерзімде осы Қағидалардың 2 немесе 3-тарауында белгіленген тәртіппен сынақтардан өту туралы қызмет берушілерге өтінім беру үшін шаралар қолданады.

      42. Шағымды қарау өтініш беруші ақпараттық қауіпсіздік талаптарына сәйкестігін сынау хаттамаларының нәтижелерімен келіспеген жағдайда жүзеге асырылады және оны Қазақстан Республикасы Әкімшілік рәсімдік-процестік кодексінің 91-бабына сәйкес ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган жүргізеді.

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздік талаптарына
сәйкестігіне сынақтар жүргізу
қағидаларына
1-қосымша
  Нысан

      _______________________________________________________________

      (өнім берушінің атауы)

      Сынақтарды өткізуге өтінім

      ________________________________________________________________

      (сынақ объектісінің атауы)

      ақпараттық қауіпсіздік талаптарына сәйкестігіне (бұдан әрі – сынақтар)

      1._______________________________________________________________

      (өтініш беруші ұйымның атауы, аты-жөні (бар болса),

      бизнес-сәйкестендіру нөмірі, өтініш берушінің банктік деректемелері)

      _________________________________________________________________

      _________________________________________________________________

      (өтініш берушінің пошталық мекенжайы, e-mail және телефоны, облыс, қала, аудан)

      сынақтарды өткізуді сұрайды

      _________________________________________________________________

      (сынақ объектісінің атауы, нұсқа нөмірі, әзірленген күні)

      мынадай жұмыс түрлерінің құрамында:

      1) _______________________________________________________________

      2) _______________________________________________________________

      3) _______________________________________________________________

      4) _______________________________________________________________

      5) _______________________________________________________________

      (Қағидалардың 7 / 8 / 9 / 10 / 11 тармақтарына сәйкес жұмыс түрлерінің тізбесі

      (қажетті элементті көрсетіңіз)

      2. Сыналатын сынақ объектісінің меншік иесі (иеленуші) туралы мәліметтер

      __________________________________________________________________

      (атауы немесе аты-жөні (бар болса)

      ____________________________________________________________________

      ____________________________________________________________________

      (облыс, қала, аудан, пошта мекенжайы, телефон)

      3. Сыналатын сынақ объектісін әзірлеуші туралы мәліметтер

      __________________________________________________________________

      (әзірлеуші туралы ақпарат, авторлардың атауы немесе аты-жөні (бар болса))

      ____________________________________________________________________

      (қала, аудан, пошта мекенжайы, телеф)

      4. Өнім берушімен байланыс үшін жауапты тұлғаның деректері:

      1) тегі, аты, әкесінің аты: _____________________________________________;

      2) лауазымы: ________________________________________________________;

      3) жұмыс телефоны:___________, ұялы

      телефон:_______________________________________;

      4) электрондық пошта мекенжайы: е-mail:__________________@___________.

      Өтініш беруші ұйымның басшысы/ аты-жөні (бар болса),

      өтініш берушінің ______ (өтініш берушінің)

      (Мөр орны) болған жағдайда

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздік талаптарына
сәйкестігіне сынақтар
жүргізу қағидаларына
2-қосымша
  Нысан

Сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық

            1. Сынақ объектісінің атауы:_____________________________________

      ________________________________________________________________

      2. Сынақ объектісіне қысқаша аннотация ____________________________

      ________________________________________________________________

      (мақсаты және қолдану саласы)

      3. Сынақ объектісінің жіктелуі:

      1) қолданбалы бағдарламалық қамтылым класы ________________________.

      2) Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 135 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13349 болып тіркелген) бекітілген ақпараттандыру объектілерін сыныптау қағидаларына 2-қосымша нысан бойынша сыныптау схемасы.

      4. Сынақ объектісінің архитектурасы:

      1) сынақ объектісінің функционалдық схемасы (қажет болған жағдайда):

      сынақ объектісінің компоненттерін, модульдерін және олардың IP-мекенжайларын;

      компоненттер немесе модульдер арасындағы байланыстар және ақпараттық ағындардың бағыттары;

      басқа объектілермен интеграциялық өзара әрекеттесудің қосылу нүктелері ақпараттандыру;

      пайдаланушылардың қосылу нүктелері;

      деректерді сақтау орындары мен технологиялары;

      қолданылатын резервтік жабдық;

      қолданылатын терминдер мен аббревиатураларды түсіндіру;

      2) сынақ объектісінің деректерін беру желісінің сызбасы (қажет болған жағдайда):

      желінің архитектурасы мен сипаттамалары;

      серверлік желілік және коммуникациялық жабдықтар;

      адресации и применяемых сетевых технологий;

      пайдаланылатын жергілікті, ведомстволық (корпоративтік) және жаһандық желілер;

      ақауларға төзімділікті қамтамасыз ету және резервтеу жөніндегі шешімдер(лар).

      қолданылатын терминдер мен аббревиатураларды түсіндіру;

      5. Сынақ объектісі туралы ақпарат:

      1) серверлік жабдық туралы ақпарат (кестені толтыру):


п/п

Сервердің немесе виртуалды ресурстың атауы
(домендік атау, желі атауы немесе логикалық Сервер атауы)

Мақсаты
(орындалатын функционалдық міндеттер)

Саны

Сервердің сипаттамалары немесе қолданылатын мәлімделген виртуалды ресурстар

ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар және серверлерде орнатылған немесе пайдаланылатын виртуалды сервистер қорғау құралдары
(нұсқа нөмірлері көрсетілген бағдарламалық ортаның құрамы)

Қолданылатын IP мекенжайлары

1

2

3

4

5

6

7















            2) желілік жабдық туралы ақпарат (кестені толтыру):

№ п/п

Желілік жабдықтың атауы (бренд / модель)

Мақсаты (орындалатын функционалдық міндеттер)

Саны

Қолданылатын желілік технологиялар

Желіні қорғаудың қолданылатын технологиялары

Пайдаланылған IP мекенжайлары, соның ішінде басқару порты

1

2

3

4

5

6

7















            3) серверлік және желілік жабдықтың орналасқан жері (кестені толтыру):

№ п/п

Серверлік үй-жайдың иесі

Серверлік үй-жай иесінің заңды мекенжайы

Нақты орналасқан жері – сервер бөлмесінің мекен-жайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (бар болса)

Жауапты тұлғалардың телефондары (жұмысшылар, ұялы)

1

2

3

4

5

6













            4) резервтік серверлік жабдықтың сипаттамалары (кестені толтыру):

№ п/п

Сервердің немесе виртуалды ресурстың атауы (домендік атау, желі атауы немесе логикалық Сервер атауы)

Мақсаты (орындалатын функционалдық міндеттер)

Саны

Сипаттамалары сервер немесе пайдаланылған мәлімделген виртуалды ресурстар

ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар және серверлерде орнатылған немесе пайдаланылатын виртуалды сервистер қорғау құралдары (нұсқа нөмірлері көрсетілген бағдарламалық ортаның құрамы)

Қолданылатын IP мекенжайлары

Брондау әдісі

1

2

3

4

5

6

7

8

















            5) резервтік желілік жабдықтың сипаттамалары (кестені толтыру):

№ п/п

Желілік жабдықтың атауы (бренд / модель)

Мақсаты (орындалатын функционалдық міндеттер)

Саны

Қолданылатын желілік технологиялар

Желіні қорғаудың қолданылатын технологиялары

Пайдаланылған IP мекенжайлары, соның ішінде басқару порты

Брондау әдісі

1

2

3

4

5

6

7

8

















            6) резервтік серверлік және желілік жабдықтың орналасқан жері (кестені толтыру):

№ п/п

Серверлік үй-жайдың иесі

Серверлік үй-жай иесінің заңды мекенжайы

Нақты орналасқан жері – сервер бөлмесінің мекен-жайы

Қолжетімділікті ұйымдастыруға жауапты тұлғалар (аты-жөні. (бар болса)

Жауапты тұлғалардың телефондары (жұмысшылар, ұялы)

1

2

3

4

5

6













            7) сынақ объектісі желісінің құрылымы (кестені толтыру) (қажет болған жағдайда):

№ п/п

Желі сегментінің атауы

Желінің IP мекенжайы / желі маскасы

1

2

3







            8) әкімшілердің жұмыс станциялары бойынша ақпарат (кестені толтыру):

№ п/п

Әкімші рөлі

Әкімші есептік жазбаларының саны

Интернетке қол жетімділіктің болуы

Жабдыққа қашықтан қол жеткізудің болуы

Әкімші жұмыс станциясының IP мекенжайы

Нақты орналасқан жері-жұмыс орнының мекен-жайы

1

2

3

4

5

6

7















            9) қолданбалы бағдарламалық қамтылымды пайдаланушылар туралы, оның ішінде мобильді және интернет қосымшаларды қолдана отырып ақпарат (кестені толтыру):

№ п/п

Пайдаланушының рөлі

Пайдаланушының үлгілік әрекеттерінің тізбесі

Пайдаланушылардың сынақ объектісіне қосылу нүктесінің мекенжайы мен порты

Пайдаланушыларды сынақ объектісіне қосу хаттамасы

Сынақ объектісін құруға немесе дамытуға арналған техникалық құжаттамаға сәйкес пайдаланушылар саны

Секундына өңделетін сұраулардың (пакеттердің) ең көп саны

Сұраулар арасындағы максималды күту уақыты

1

2

3

4

5

6

7

8

            10) сынақ объектісінің интеграциялық өзара іс-қимылы туралы, оның ішінде жоспарланатын ақпарат (кестені толтыру):

№ п/п

Интеграциялық байланыстың (ақпараттандыру объектісінің)атауы

Интеграцияланатын объектінің иесі немесе иесі

Қолданыстағы / жоспарланған

Интеграция Модулінің болуы

Қосылу нүктесінің мекенжайы

Қосылу хаттамасы

Секундына сұраныстардың (пакеттердің) максималды саны

Сұраулар арасындағы максималды күту уақыты

1

2

3

4

5

6

7

8

9



















            11) қолданбалы бағдарламаның бастапқы кодтары (кестені толтыру) (қажет болған жағдайда):

№ п/п

Дискінің маркалауы (қажет болған жағдайда)

Каталог атауы / дискідегі каталог атауы

Файл атауы

Файл өлшемі,
Мбайт

Қолданылатын бағдарламалау тілі (қажет болған жағдайда)

Бағдарламалау тілінің нұсқасы

Қолданылатын жақтау, жақтау нұсқасы

Даму ортасының нұсқасы

Файлды өзгерту күні

1

2

3

4

5

6

7

8

9

10





















            12) пайдаланылатын кітапханалар мен бағдарламалық платформаның(лардың) бастапқы кодтары мен орындалатын файлдары(қажет болған жағдайда):

№ п/п

Дискінің маркалауы (қажет болған жағдайда)

Каталог атауы / дискідегі каталог атауы

Кітапхана / бағдарламалық платформа / файл атауы

Өлшемі, Мбайт

Бағдарламалау тілі

Кітапхана нұсқасы

1

2

3

4

5

6

7















       6. Сыналатын объектіні құжаттау (кестені толтыру) (қажет болған жағдайда):

№ п/п

Құжаттың атауы

Болуы

Беттер саны

Бекітілген күні

Құжат әзірленген Стандарт немесе нормативтік құжат

1

2

3

4

5

6

1

Ақпараттық қауіпсіздік саясаты;





2

Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидалары;





3

Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;





4

Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету жөніндегі қағидалар;





5

Есептеу техникасы, телекоммуникациялық жабдық және бағдарламалық қамтамасыз ету құралдарын түгендеу және паспорттау қағидалары;





6

Ақпараттық қауіпсіздіктің ішкі аудитін жүргізу қағидалары;





7

Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;





8

Электрондық ақпараттық ресурстарға қол жеткізу құқықтарының аражігін ажырату қағидалары;





9

Интернет және электрондық поштаны пайдалану қағидалары;





10

Аутентификация рәсімін ұйымдастыру қағидалары;





11

Антивирустық бақылауды ұйымдастыру қағидалары;





12

Мобильді құрылғылар мен ақпарат тасымалдағыштарды пайдалану қағидалары;





13

Ақпаратты өңдеу құралдарын және ақпараттық ресурстардың жұмыс істеуінің қауіпсіз ортасын физикалық қорғауды ұйымдастыру қағидалары;





14

Ақпаратты резервтік көшіру және қалпына келтіру регламенті;





15

Ақпараттандыру объектісін сүйемелдеу бойынша әкімшінің нұсқауы;





16

Ақпараттық қауіпсіздік инциденттеріне және штаттан тыс (дағдарыстық) жағдайларға ден қою бойынша пайдаланушылардың іс-қимыл тәртібі туралы нұсқаулық.





      7. Бұрын өткен жұмыс түрлері немесе сынақтар туралы мәліметтер (хаттама нөмірі, күні):

      ______________________________________________________________

      8. Сыналатын объектіге лицензияның болуы (авторлық құқықтың болуы,

      бастапқы кодты беруге әзірлеуші ұйыммен келісімнің болуы)

      _____________________________________________________________

      _________________________________________________________________

      9. Қосымша ақпарат:

      ________________________________________________________________

      _________________________________________________________________

      _________________________________________________________________

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздік талаптарына
сәйкестігіне сынақтар
жүргізу қағидаларына
3-қосымша
  Нысан

Сынақ объектісінің ақпараттық қауіпсіздігі жөніндегі техникалық құжаттаманың тізбесі

      1. Ақпараттық қауіпсіздік саясаты;

      2. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидалары;

      3. Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

      4. Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету жөніндегі қағидалар;

      5. Есептеу техникасы, телекоммуникациялық жабдық және бағдарламалық қамтылым құралдарын түгендеу және паспорттау қағидалары;

      6. Ақпараттық қауіпсіздіктің ішкі аудитін жүргізу қағидалары;

      7. Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;

      8. Электрондық ақпараттық ресурстарға қол жеткізу құқықтарының аражігін ажырату қағидалары;

      9. Интернет және электрондық поштаны пайдалану қағидалары;

      10. Аутентификация рәсімін ұйымдастыру қағидалары;

      11. Антивирустық бақылауды ұйымдастыру қағидлары;

      12. Мобильді құрылғылар мен ақпарат тасымалдағыштарды пайдалану қағидалары;

      13. Ақпаратты өңдеу құралдарын және ақпараттық ресурстардың жұмыс істеуінің қауіпсіз ортасын физикалық қорғауды ұйымдастыру қағидалары;

      14. Ақпаратты резервтік көшіру және қалпына келтіру регламенті;

      15. Ақпараттандыру объектісін сүйемелдеу бойынша әкімшінің нұсқауы;

      16. Ақпараттық қауіпсіздік инциденттеріне және штаттан тыс (дағдарыстық) жағдайларға ден қою бойынша пайдаланушылардың іс-қимыл тәртібі туралы нұсқаулық.

  "Электрондық үкіметтің"
ақпараттандыру объектілерінің
және ақпараттық-
коммуникациялық
инфрақұрылымның аса маңызды
объектілерінің ақпараттық
қауіпсіздік талаптарына
сәйкестігіне сынақтар
жүргізу қағидаларына
4-қосымша

Ақпараттандыру объектісінің жұмыс істеуі және (немесе) функционалдығы өзгерістерінің тізбесі

№ р/

Жасалған өзгерістер

Бастапқы кодтарды талдау

Ақпараттық қауіпсіздік функциялары

Жүктеме сынағы

Желілік инфрақұрылымды зерттеу

Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеу

1

2

3

4

5

6

7

1.

Даму ортасын өзгерту (бағдарламалау тілі)

+

-

-

-

-

2.

Қолданбалы бағдарламалық қамтылмның функциясын өзгерту

+

+

+

-

-

3.

Серверлік жабдықты ауыстыру

-

+

+

+

+

4.

Желілік жабдықты ауыстыру

-

-

+

+

-

5.

Операциялық жүйе, деректер базасын басқару жүйесі түрінің өзгеруі

-

+

+

-

-

6.

Сынақ объектісінің орналасқан жерін өзгерту

-

+

-

+

+

7.

Сынақ объектісінің ішкі контурдан сыртқы контурға немесе айналымға көшуі

-

+

+

+

+

8.

Жаңа компонентті (серверді)қосу

-

+

-

+

+

9.

Басқалармен жаңа интеграция

+

+

+

+

+

10.

Ақпараттандыру объектісінің сыныбын өзгерту

-

+

-

+

+

      Ескерту:

      "+" – сынақтар жүргізу қажет;

      "-" – сынақ жүргізудің қажеті жоқ.

О внесении изменений в некоторые приказы

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 апреля 2024 года № 257/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 4 мая 2024 года № 34335.

      Примечание ИЗПИ!
      Порядок введения в действие см. п. 4.

      ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемый перечень некоторых приказов, в которые вносятся изменения (далее – перечень).

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением подпункта 5) пункта 2 и частей второй, третьей и четвертой пункта 37 Правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности приложения 2 к перечню, которые вводятся в действие с 1 июля 2024 года.

      Министр цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
Б. Мусин

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан

  Утвержден приказом
Министр цифрового развития,
инноваций
и аэрокосмической промышленности
Республики Казахстан
от 30 апреля 2024 года № 257/НҚ

Перечень некоторых приказов, в которые вносятся изменения

      1. Внести в приказ исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 129 "Об утверждении Правил создания, развития, эксплуатации, приобретения объектов информатизации "электронного правительства", а также информационно-коммуникационных услуг" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 13282) следующее изменение:

      в Правилах создания, развития, эксплуатации, приобретения объектов информатизации "электронного правительства", а также информационно-коммуникационных услуг, утвержденных указанным приказом:

      в пункте 9:

      подпункт 3) изложить в следующей редакции:

      "3) испытание объекта информатизации "электронного правительства" на соответствие требованиям информационной безопасности (далее – испытание) согласно статье 49 Закона.

      Испытание осуществляется в сроки и порядке, определенные Методикой и правилами проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности, утвержденными приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 18795).".

      2. Внести в приказ Министра информации и коммуникаций Республики Казахстан от 29 января 2018 года № 29 "Об утверждении Правил формирования перечня объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 16331) следующее изменение:

      в Правилах формирования перечня объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства", утвержденных указанным приказом:

      подпункт 1) пункта 5 изложить в следующей редакции:

      "1) при включении в Перечень информационной системы:

      описание информационной системы;

      копия технической документации;

      документ о сдаче в промышленную эксплуатацию;

      сведения о количестве зарегистрированных пользователей информационной системы;

      количество государственных органов, использующих информационную систему и количество объектов, на которых внедрена информационная система (государственные органы, подведомственные организации, территориальные подразделения);

      копии протоколов испытаний на соответствие требованиям информационной безопасности (протоколы испытаний, сроки которых истекли, в случае если информационная система находится на стадии развития).".

      3. Внести в приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 18795) следующие изменения:

      заголовок приказа изложить в следующей редакции:

      "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности";

      преамбулу приказа изложить в следующей редакции:

      "В соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:";

      пункт 1 изложить в следующей редакции:

      "1. Утвердить:

      1) Методику проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

      2) Правила проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.";

      Методику проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденную указанным приказом, изложить в новой редакции согласно приложению 1 к настоящему перечню;

      Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденные указанным приказом, изложить в новой редакции согласно приложению 2 к настоящему перечню.

      4. Утратил силу приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 12.07.2024 № 420/НҚ (вводится в действие с 22.07.2024).

  Приложение 1
к перечню некоторых приказов,
в которые вносятся изменения
  Приложение 1 к приказу
Министра цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ

Методика проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности

Глава 1. Общие положения

      1. Настоящая Методика проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации".

      2. В настоящей Методике используются следующие основные понятия и сокращения:

      1) программная закладка – скрытно внесенный в программное обеспечение (далее – ПО) функциональный объект, осуществляющий несанкционированный доступ и (или) воздействие на объект информатизации;

      2) бэкдор – вредоносное ПО для получения несанкционированного доступа к программному обеспечению путем обхода аутентификации, а также других стандартных методов и технологий безопасности;

      3) недекларированные возможности (далее – НДВ) – функциональные возможности ПО, не отраженные или не соответствующие описанным в технической документации;

      4) ручное тестирование на проникновение – легитимная оценка защищенности объектов информатизации с применением безопасных и контролируемых атак, выявлением уязвимостей и попытками их эксплуатации без реального ущерба деятельности заявителя;

      5) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

      6) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

      7) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

      8) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

      9) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

      10) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

      11) объект испытаний – объект информатизации, в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

      12) сегмент сети (подсеть) объекта испытаний – логически выделенный сегмент сети объекта испытаний;

      13) функциональный объект – элемент (процедура, функция, ветвь или иная компонента) ПО, выполняющий действия по реализации законченного фрагмента алгоритма программы;

      14) маршрут выполнения функциональных объектов – определенная алгоритмом последовательность выполняемых функциональных объектов;

      15) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;

      16) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган на соответствие требованиям информационной безопасности.

      3. Проведение испытания включает:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры;

      5) обследование процессов обеспечения информационной безопасности.

Глава 2. Анализ исходных кодов

      4. Анализ исходных кодов объектов испытаний проводится с целью выявления уязвимостей ПО.

      Анализ исходных кодов объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится с целью выявления НДВ и уязвимостей ПО.

      5. Анализ исходных кодов проводится для ПО, перечисленного в таблицах подпункта 11) и подпункта 12) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).

      6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.

      7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

      Выявление недостатков ПО объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода и с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

      8. Выявление НДВ ПО объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода с детальным просмотром исходного кода и проведением поиска бэкдоров в библиотеках с открытым исходным кодом.

      9. Анализ исходных кодов включает:

      1) выявление уязвимостей ПО;

      2) выявление НДВ для объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган;

      3) фиксацию результатов анализа исходного кода.

      10. Выявление уязвимостей ПО осуществляется в следующем порядке:

      1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры, выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

      2) проводится ручной метод анализа исходного кода и подготовка исходных данных (загрузка исходных кодов объектов испытаний собственником (владельцем) и (или) заказчиком которых является государственный орган), выбор режима сканирования (статический, анализ зависимостей и/или динамический), настройка характеристик режимов сканирования);

      3) запускается ПО, предназначенное для выявления уязвимостей ПО;

      4) проводится анализ программных отчетов на наличие ложных срабатываний;

      5) формируется отчет, включающий в себя перечень выявленных уязвимостей ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

      11. Выявление НДВ осуществляется в следующем порядке:

      1) анализ технической документации на объект испытания, в том числе технического задания на создание (развитие) объекта информатизации, в части сведений о его назначении, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;

      2) проведение анализа исходного кода ручным методом объекта испытания:

      изучение модульной и логической структуры ПО, а также отдельных модулей и сравнения этих структур с приведенными в технической документации;

      изучение маршрута выполнения функциональных объектов и проверка обрабатывающих данных;

      контроль полноты и отсутствия избыточности исходных текстов на уровне функциональных объектов;

      фиксирование НДВ с помощью снимка экрана для последующего предоставления в отчете результатов выявления НДВ;

      3) формирование отчета, включающего в себя перечень выявленных НДВ с приведением их описания, маршрута (пути к файлу) и снимка экрана;

      4) проведение поиска бэкдоров в библиотеках с открытым исходным кодом, в том числе с помощью автоматизированного анализатора;

      5) формирование отчета, включающего в себя описание уязвимостей с приведением идентификатора из международных баз данных уязвимостей.

      12. Объем работ по анализу исходного кода определяется размером исходного кода.

      13. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ поставщика, в протоколе анализа исходных кодов (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам.

      Протокол анализа исходных кодов с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

      14. По окончанию анализа исходных кодов, при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив поставщика.

      15. Поставщик обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.

Глава 3. Испытание функций информационной безопасности

      16. Оценка функций объектов информатизации на соответствие требованиям информационной безопасности (далее – испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.

      17. Испытание функций информационной безопасности включает:

      1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);

      2) ручное тестирование на проникновение объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган;

      3) сканирование программным обеспечением на наличие обновлений и анализ конфигурации;

      4) фиксацию результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

      18. Перечень функций информационной безопасности приведен в приложении 1, перечень функций ручного тестирования приведен в приложении 2 к Методике.

      19. Испытание функций информационной безопасности проводятся в разрезе серверов, виртуальных ресурсов и сред виртуализации, перечисленных в таблицах подпункта 1) и подпункта 4) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      20. Ручное тестирование на проникновение объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган включает:

      1) выявление уязвимостей в объекте испытаний;

      2) формирование рекомендаций по устранению выявленных уязвимостей.

      21. Результаты испытаний функций информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе испытаний функций информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол испытаний функций информационной безопасности с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

Глава 4. Нагрузочное испытание

      22. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.

      23. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.

      24. Параметры нагрузочного испытания предоставляются заявителем таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      При проведении нагрузочного испытания выявляется параметры фактической нагрузочной способности объекта испытаний.

      25. Нагрузочное испытание осуществляется в следующем порядке:

      1) проводится подготовка к испытанию;

      2) проводится испытание;

      3) фиксируются результаты испытания.

      26. Подготовка к испытанию включает:

      1) определение сценария испытания;

      2) определение временных и количественных характеристик испытания;

      3) согласование времени проведения испытания c заказчиком.

      27. Проведение испытания включает:

      1) настройка конфигурации и сценария испытания в специализированное программное средство;

      2) запуск специализированного программного средства;

      3) регистрация нагрузки на объект испытаний;

      4) формирование и выдача отчета нагрузочного испытания с указанием рекомендаций по увеличению или снижению реальной пропускной способности объекта испытаний.

      28. Работы по проведению нагрузочного тестирования проводятся для одного объекта испытаний по количеству вариантов точек подключений пользователей и вариантов точек подключения интеграционного взаимодействия объекта испытаний, указанных в таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      29. Результаты нагрузочного испытания фиксируются ответственным исполнителем данного вида работ поставщика в протоколе нагрузочного испытания (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол нагрузочного испытания с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

Глава 5. Обследование сетевой инфраструктуры

      30. Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры.

      31. Обследование сетевой инфраструктуры включает:

      1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;

      2) обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств (при необходимости);

      3) сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков;

      4) фиксацию полученных результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

      32. Перечень функций защиты сетевой инфраструктуры приведен в приложении 3 к настоящей Методике.

      33. Работы по обследованию сетевой инфраструктуры, проводятся для каждого сегмента сети (подсети) объекта испытаний, указанного в таблице подпункта 7) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      34. Результаты обследования сетевой инфраструктуры фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования сетевой инфраструктуры (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол обследования сетевой инфраструктуры с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

Глава 6. Обследование процессов обеспечения информационной безопасности

      35. Обследование процессов обеспечения информационной безопасности осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности.

      36. Обследование процессов обеспечения информационной безопасности включает:

      1) оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;

      2) фиксацию результатов оценки испытания с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

      37. Перечень процессов обеспечения информационной безопасности и их содержание приведено в приложении 4 к Методике.

      38. Работы по обследованию процессов обеспечения информационной безопасности проводятся для объекта испытания.

      39. Результаты обследования процессов обеспечения информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования процессов обеспечения информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол обследования процессов обеспечения информационной безопасности с приложениями и отчетом, выдаваемый:

      1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

      2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

      Результаты сканирования программным средством на соответствие стандартам в сфере обеспечения информационной безопасности не включаются в Протокол обследования процессов обеспечения информационной безопасности и носят рекомендательный характер.

Глава 7. Анализ неизменности исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства"

      40. Объектами анализа неизменности исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства" (далее – анализ неизменности) являются вводимые в промышленную эксплуатацию объекты информатизации "электронного правительства", отнесенные к критически важным объектам информационно-коммуникационной инфраструктуры государственных органов.

      41. Для проведения анализа неизменности необходимо осуществлять развертывание в среде промышленной эксплуатации объекта анализа неизменности под контролем работника государственной технической службы с использованием исходных и исполняемых кодов, скомпонованных из исходных кодов объекта информатизации "электронного правительства", переданных государственной технической службой.

      42. Анализ неизменности включает:

      1) установку программного обеспечения;

      2) выявление изменений в запущенном исполняемом коде;

      3) при внесении изменении в исходный код, анализ исходного кода в соответствии с настоящими Правилами.

      43. Анализ неизменности осуществляется на постоянной основе посредством ПО, установленного государственной технической службой на месте размещения объекта анализа.

      ПО для анализа неизменности осуществляет сбор результатов журнала регистрации событий объекта анализа. Журнал регистрации событий хранится в течение срока, указанного в технической документации по информационной безопасности, но не менее 3 (три) лет и находится в оперативном доступе не менее 2 (два) месяцев в соответствии с подпунктом 4) пункта 38 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.

      44. Для проведения анализа неизменности собственник или владелец объекта информатизации "электронного правительства" обеспечивает государственной технической службе:

      1) доступ к серверному оборудованию объекта информатизации "электронного правительства" и организацию доступа по сети с системой мониторинга и управления инцидентами и событиями информационной безопасности государственной технической службы;

      2) запись информации о происходящих событиях с программным обеспечением для анализа неизменности в журнал регистрации событий;

      3) рабочее место, физический доступ к рабочему месту администратора, серверному оборудованию объекта информатизации "электронного правительства".

      45. При выявлении изменений в запущенном исполняемом коде объекта информатизации "электронного правительства" государственная техническая служба уведомляет официальным письмом в течении 5 (пять) рабочих дней Комитет национальной безопасности Республики Казахстан (далее – КНБ), уполномоченный орган и собственника или владельца объекта информатизации "электронного правительства".

      46. Государственная техническая служба ежеквартально, не позднее 25 (двадцать пятого) числа последнего месяца квартала, размещает на интернет-портале SYNAQ сводные результаты анализа неизменности в электронной форме для уполномоченного органа в сфере обеспечения информационной безопасности и КНБ.

      47. При внесении изменений в исходный код объекта информатизации "электронного правительства" собственник или владелец объекта информатизации "электронного правительства" уведомляет официальным письмом государственную техническую службу о внесенных изменениях в исходный код с подробным описанием причины и внесенных изменениях в течение 2 (двух) рабочих дней после внесения изменений.

      48. При внесении изменений в исходный код объекта информатизации "электронного правительства" заявитель обеспечивает передачу сведений, указанных в подпунктах 1), 2), 3), 4) и 5) пункта 10 Правил функционирования Единого репозитория "электронного правительства", утвержденных приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 февраля 2024 года № 110/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 34101) и техническое задание на создание или развитие объекта информатизации "электронного правительства" посредством интернет-портала SYNAQ государственной технической службе для проведения анализа исходного кода. При этом, срок проведения анализа исходного кода согласовывается с собственником или владельцем объекта информатизации "электронного правительства".

      49. При планировании проведения технических работ на сервере обеспечения функционирования программного обеспечения объекта информатизации "электронного правительства" собственник или владелец объекта анализа уведомляет официальным письмом государственную техническую службу за 2 (два) рабочих дня до планируемой даты проведения технических работ.

      50. Государственная техническая служба устанавливает ПО на объекте информатизации "электронного правительства", отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры государственных органов для анализа неизменности.

  Приложение 1
к Методике проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности

Перечень функций информационной безопасности

№ п/п

Наименование функций

Содержание функций

1

2

3

Аудит безопасности

1

Автоматическая реакция аудита безопасности

Обеспечение мониторинга информационной безопасности средствами сбора и анализа событий информационной безопасности.
Осуществление генерации записи в регистрационном журнале, локальная или удаленная сигнализация администратору об обнаружении нарушения безопасности.

2

Генерация данных аудита безопасности

Наличие протоколирования, по крайней мере, запуска и завершения регистрационных функций, а также всех событий базового уровня аудита, т.е. в каждой регистрационной записи присутствие даты и времени события, типа события, идентификатора субъекта и результата (успех или неудача) события.

3

Анализ аудита безопасности

Осуществление (с целью выявления вероятных нарушений), по крайней мере, путем накопления и/или объединения неуспешных результатов использования механизмов аутентификации, а также неуспешных результатов выполнения криптографических операций.

4

Просмотр аудита безопасности

Обеспечение и предоставление администратору возможности просмотра (чтения) всей регистрационной информации. Прочим пользователям доступ к регистрационной информации должен быть закрыт, за исключением явно специфицированных случаев.

5

Выбор событий аудита безопасности

Наличие избирательности регистрации событий, основывающейся, по крайней мере, на следующих атрибутах:
идентификатор объекта;
идентификатор субъекта;
адрес узла сети;
тип события;
дата и время события.

6

Хранение данных аудита безопасности

Наличие регистрационной информации о надежности защиты от несанкционированной модификации.

Криптографическая поддержка

7

Управление криптографическими ключами

Наличие поддержки:
1) генерации криптографических ключей;
2) распределения криптографических ключей;
3) управления доступом к криптографическим ключам;
4) уничтожения криптографических ключей.

8

Криптографические операции

1. Наличие для всей информации, передаваемой по доверенному каналу, шифрования и контроля целостности в соответствии с требованиями технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.
2. Применение средств криптографической защиты информации для объектов испытаний (далее – ОИ), содержащих конфиденциальные данные, персональные данные ограниченного доступа или служебную информацию ограниченного распространения.

Защита данных пользователя

9

Политика управления доступом

Осуществление разграничения доступа для пользователей, прямо или косвенно выполняющих операции с сервисом безопасности.

10

Функции управления доступом

Применение функций разграничения доступа основывается, по крайней мере, на следующих атрибутах безопасности:
идентификаторы субъектов доступа;
идентификаторы объектов доступа;
адреса субъектов доступа;
адреса объектов доступа;
права доступа субъектов.

11

Аутентификация данных

Поддержка гарантии правильности специфического набора данных, который впоследствии используется для верификации того, что содержание информации не было подделано или модифицировано мошенническим путем.

12

Экспорт данных за пределы действия функций безопасности ОИ (далее - ФБО)

Обеспечение при экспорте данных пользователя из OИ защиты и сохранности или игнорирования их атрибутов безопасности.

13

Политика управления информационными потоками

Обеспечение предотвращения раскрытия, модификации и/или недоступности данных пользователя при их передаче между физически разделенными частями сервиса безопасности.

14

Функции управления информационными потоками

Организация и обеспечение контроля доступа к хранилищам данным с целью исключения бесконтрольного распространения информации, содержащейся в них (управление информационными потоками для реализации надежной защиты от раскрытия или модификации в условиях недоверенного программного обеспечения (далее - ПО).

15

Импорт данных из-за пределов действия ФБО

Наличие механизмов для передачи данных пользователя в OИ таким образом, чтобы эти данные имели требуемые атрибуты безопасности и защиту.

16

Передача в пределах ОИ

Наличие защиты данных пользователя при их передаче между различными частями OИ по внутреннему каналу.

17

Защита остаточной информации

Обеспечение полной защиты остаточной информации, то есть недоступности предыдущего состояния при освобождении ресурса.

18

Откат текущего состояния

Наличие возможности отмены последней операции или ряда операций, ограниченных некоторым пределом (например, периодом времени), и возврат к предшествующему известному состоянию. Откат предоставляет возможность отменить результаты операции или ряда операций, чтобы сохранить целостность данных пользователя.

19

Целостность хранимых данных

Обеспечение защиты данных пользователя во время их хранения в пределах ФБО.

20

Защита конфиденциальности данных пользователя при передаче между ФБО

Обеспечение конфиденциальности данных пользователя при их передаче по внешнему каналу между ОИ и другим доверенным продуктом IT. Конфиденциальность осуществляется путем предотвращения несанкционированного раскрытия данных при их передаче между двумя оконечными точками. Оконечными точками могут быть ФБО или пользователь.

21

Защита целостности данных пользователя при передаче между ФБО

Обеспечивается целостность данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также возможность их восстановления при обнаруживаемых ошибках.

Идентификация и аутентификация

22

Отказы аутентификации

Наличие возможности при достижении определенного администратором числа неуспешных попыток аутентификации отказать субъекту в доступе, сгенерировать запись регистрационного журнала и сигнализировать администратору о вероятном нарушении безопасности.

23

Определение атрибутов пользователя

Для каждого пользователя необходимо поддерживать, по крайней мере, следующие атрибуты безопасности:
идентификатор;
аутентификационная информация (например, пароль);
права доступа (роль).

24

Спецификация секретов

Если аутентификационная информация обеспечивается криптографическими операциями, поддерживается также открытые и секретные ключи.

25

Аутентификация пользователя

Наличие механизмов аутентификации пользователя, предоставляемых ФБО.

26

Идентификация пользователя

Обеспечение:
1) успешности идентификации и аутентификации каждого пользователя до разрешения любого действия, выполняемого сервисом безопасности от имени этого пользователя;
2) возможностей по предотвращению применения аутентификационных данных, которые были подделаны или скопированы у другого пользователя;
3) аутентификации любого представленного идентификатора пользователя;
4) повторной аутентификации пользователя по истечении определенного администратором интервала времени;
5) предоставления пользователю функций безопасности только со скрытой обратной связью во время выполнения аутентификации.

27

Связывание пользователь-субъект

Следует ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя.

Управление безопасностью

28

Управление отдельными функциями ФБО

Наличие единоличного права администратора на определение режима функционирования, отключения, подключения, модификации режимов идентификаци и аутентификации, управления правами доступа, протоколирования и аудита.

29

Управление атрибутами безопасности

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, создания атрибутов безопасности, правил управления потоками информации. При этом необходимо обеспечить присваивание атрибутам безопасности только безопасных значений.

30

Управление данными ФБО

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, очистки, определения типов регистрируемых событий, размеров регистрационных журналов, прав доступа субъектов, сроков действия учетных записей субъектов доступа, паролей, криптографических ключей.

31

Отмена атрибутов безопасности

Наличие осуществления отмены атрибутов безопасности в некоторый момент времени. Только у уполномоченных администраторов имеется возможность отмены атрибутов безопасности, ассоциированных с пользователями. Важные для безопасности полномочия отменяются немедленно.

32

Срок действия атрибута безопасности

Обеспечение возможности установления срока действия атрибутов безопасности.

33

Роли управления безопасностью

1) Обеспечение поддержки, по крайней мере, следующих ролей: уполномоченный пользователь, удаленный пользователь, администратор;
2) Обеспечение получения ролей удаленного пользователя и администратора только по запросу.

Защита ФБО

34

Безопасность при сбое

Сохранение сервисом безопасного состояния при аппаратных сбоях (вызванных, например, перебоями электропитания).

35

Доступность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать доступность, всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

36

Конфиденциальность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать конфиденциальность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

37

Целостность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

38

Передача данных ФБО в пределах ОИ

Сервис предоставляет возможность верифицировать доступность, Предоставление сервисом возможности конфиденциальность и целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

39

Надежное восстановление

Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно, сервис переходит в режим аварийной поддержки, позволяющей вернуться к безопасному состоянию. После аппаратных сбоев обеспечивается возврат к безопасному состоянию с использованием автоматических процедур.

40

Обнаружение повторного использования

Обеспечение обнаружения сервисом повторного использования аутентификационных данных, отказа в доступе, генеририрования записи регистрационного журнала и сигнализирования администратору о вероятном нарушении безопасности.

41

Посредничество при обращениях

Обеспечение вызова и успешного выполнения функций, осуществляющих политику безопасности сервиса, прежде, чем разрешается выполнение любой другой функции сервиса.

42

Разделение домена

Поддержка отдельного домена для собственного выполнения функций безопасности, который защищает их от вмешательства и искажения недоверенными субъектами.

43

Протокол синхронизации состояний

Обеспечение синхронизации состояний при выполнении идентичных функций на серверах.

44

Метки времени

Предоставление для использования функциями безопасности надежных меток времени.

45

Согласованность данных между ФБО

Обеспечение согласованной интерпретации регистрационной информации, а также параметров используемых криптографических операций.

46

Согласованность данных ФБО при дублировании в пределах ОИ

Обеспечение согласованности данных функций безопасности при дублировании их в различных частях объекта испытаний. Когда части, содержащие дублируемые данные, разъединены, согласованность обеспечивается после восстановления соединения перед обработкой любых запросов к заданным функциям безопасности.

47

Использование сценариев (скриптов)

Отсутствие в ОИ возможных сценариев (скриптов) с правами на модификацию, применение которых может повлечь возникновение инцидентов информационной безопасности.

Использование ресурсов

48

Отказоустойчивость

Обеспечение доступности функциональных возможностей объекта испытаний даже в случае сбоев. Примеры таких сбоев: отключение питания, отказ аппаратуры, сбой ПО.

49

Распределение ресурсов

1. Обеспечение управления использованием ресурсов пользователями и субъектами таким образом, чтобы не допустить несанкционированные отказы в обслуживании из-за монополизации ресурсов другими пользователями или субъектами.
2. Использование в рамках объекта информатизации только обеспечивающих его функционирование программных продуктов.

Доступ к ОИ

50

Ограничение области выбираемых атрибутов

Ограничение как атрибутов безопасности сеанса, которые может выбирать пользователь, так и атрибутов субъектов, с которыми пользователь может быть связан, на основе метода или места доступа, порта, с которого осуществляется доступ, и/или времени (например, времени суток, дня недели).

51

Ограничение на параллельные сеансы

Ограничение максимального числа параллельных сеансов, предоставляемых одному пользователю. У этой величины подразумеваемое значение устанавливается администратором.

52

Блокирование сеанса

Принудительное завершение сеанса работы по истечении установленного администратором значения длительности бездействия пользователя.

53

Предупреждения перед предоставлением доступа к ОИ

Обеспечение возможности еще до идентификации и аутентификации отображения для потенциальных пользователей предупреждающего сообщения относительно характера использования объекта испытаний.

54

История доступа к ОИ

Обеспечение возможности отображения для пользователя, при успешном открытии сеанса, истории неуспешных попыток получить доступ от имени этого пользователя. Эта история может содержать дату, время, средства доступа и порт последнего успешного доступа к объекту испытаний, а также число неуспешных попыток доступа к объекту испытаний после последнего успешного доступа идентифицированного пользователя.

55

Открытие сеанса с ОИ

Обеспечение сервисом способности отказать в открытии сеанса, основываясь на идентификаторе субъекта, пароле субъекта, правах доступа субъекта.

Функции защиты от вредоносного кода

56

Наличие средств антивирусной защиты

Применение для защиты от вредоносного кода средств мониторинга, обнаружения и блокирования или удаления вредоносного кода на серверах и при необходимости, на рабочих станциях объекта испытаний.

57

Лицензии для средств антивирусной защиты

Наличие у средств антивирусной защиты лицензии (приобретенной, ограниченной, свободно распространяемой) на сервера и рабочие станции.

58

Обновление баз сигнатур и программного обеспечения средств антивирусной защиты

Обеспечение регулярного обновления и поддержания в актуальном состоянии средств антивирусной защиты.

59

Управление доступом к средствам антивирусной защиты

Осуществление централизованного управления и конфигурирования средств антивирусной защиты.

60

Управление защитой от вредоносного кода на внешних электронных носителях информации средствами антивирусной защиты

Обеспечение управлением защитой от вредоносного кода на внешних электронных носителях информации проверки и блокировки файлов и при необходимости носителей информации.

Безопасность при обновлении ПО

61

Регулярное обновления ПО

Обеспечение регулярного обновления общесистемного и прикладного ПО серверов и рабочих станций.

62

Обновление ПО в сетевых средах без доступа к серверам обновления в Интернете

Обеспечение обновления ПО в сетевых средах без доступа к серверам обновления в Интернете от специализированного сервера обновлений.

Безопасность при внесении изменений в прикладное ПО

63

Среда разработки и тестирования прикладного ПО

Обеспечение наличия среды для разработки и тестирования прикладного ПО, изолированной от среды промышленной эксплуатации прикладного ПО.

64

Разграничение доступа в средам разработки и тестирования прикладного ПО

Обеспечение управления доступом к средам разработки и тестирования прикладного ПО для программистов и администраторов.

65

Система развертывания прикладного ПО

Наличие системы развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации.

66

Разграничение доступа к системе развертывания прикладного ПО

Обеспечение управления доступом к системе развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации.

"Защита от утечек конфиденциальной информации" на объектах информатизации государственных органов, местных исполнительных органах и критически важных объектов информационно-коммуникационной инфраструктуры

67

Политика управления доступом

Управление системой защиты от утечек конфиденциальной информации

68

Обновление компонентов системы

Обеспечение регулярного обновления и поддержания в актуальном состоянии системы защиты от утечек информации.

69

Атрибут безопасности раздела

Обеспечение применения парольной политики, согласно правилам организации процедур аутентификации.

70

Хранение данных

Хранение журналов событий системы защиты от утечки конфиденциальной информации не менее трех лет и в оперативном доступе не менее двух месяцев.

  Приложение 2
к Методике проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности

Перечень функций ручного тестирования

Наименование функций

Содержание функций

1

Архитектура, дизайн и модель угроз (Architecture, Design and Threat Modeling)

Обеспечение безопасности дизайна приложения и архитектуры объекта испытаний и отсутствия уязвимостей.

2

Аутентификация (Authentication)

Обеспечение корректного функционирования аутентификации пользователей в объекте испытаний (логин/пароль, многофакторная авторизация, хэширование и другие криптографические методы).

3

Управление сессией (Session Management)

Обеспечение генерации уникальной сессии для каждого пользователя и технического запрета (блокировки) совместного использования сессии. Блокировка сессии пользователя по истечению времени бездействия (Timeout session).

4

Контроль доступа (Access Control)

Обеспечение разграничения прав пользователей и исключение несанкционированного доступа к объекту испытаний.

5

Проверка, фильтрация и кодирование (Validation, Sanitation and Encoding)

Обеспечение фильтрации входных пользовательских данных для предотвращения атак путем внедрения, а также обеспечение правильной кодировки выходных данных, при котором гарантируется защита их контекста от злоумышленников.

6

Хранимая криптография (Stored Cryptography)

Применение надежных алгоритмов шифрования и обеспечение безопасного управления и хранения криптографических ключей.

7

Обработка ошибок и логирование (Error Handling and Logging)

Обеспечение журналирования действий пользователей объекта испытаний и событий информационной безопасности с учетом их защиты в соответствии с требованиями безопасности. Собранные журналы с конфиденциальными данными не должны храниться долго локально на серверах объекта испытаний и должны быть удалены по истечении определенного промежутка времени.

8

Защита данных (Data Protection)

Обеспечение конфиденциальности при передаче и хранении данных в объекте испытаний с использованием средств криптографической защиты информации в соответствии с классификатором.

9

Связь (Communication)

Обеспечение безопасности объекта испытаний при передаче данных с использованием безопасных протоколов связи и алгоритмов шифрования.

10

Вредоносный код (Malicious Code)

Применение средств защиты для предотвращения выполнения вредоносного кода в объекте испытаний.

11

Бизнес-логика (Business Logic)

Обеспечение корректной работы логического функционирования объекта испытания согласно техническому заданию.

12

Файлы и ресурсы (Files and Resources)

Обеспечение хранения данных, полученных из сторонних и ненадежных источников вне серверов приложений.

13

Программный интерфейс приложения (API)

Обеспечение соответствия API следующим требованиям:
- API должны иметь корректную авторизацию, основные параметры управления сеансом и аутентификацию для доступа ко всем веб-сервисам;
- API должны иметь надлежащую проверку вводимых данных на случай, если их параметры переходят с более низкого на более высокий уровень доверия;
- различные API, такие как облачные и бессерверные, должны иметь все необходимые элементы управления безопасностью.

14

Конфигурация (Configuration)

Обеспечение использования безопасных параметров конфигурации, сторонних библиотек, а также фильтрации небезопасных компонентов и надежной защиты конфиденциальных данных в файлах конфигураций при эксплуатации объекта испытаний.

  Приложение 3
к Методике проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности

Перечень функций защиты сетевой инфраструктуры

№ п/п

Наименование функций

Содержание функций

1

2

3

1

Идентификация и аутентификация

1. Использование уникальных идентификаторов учетных записей для установления связи пользователя с осуществленными действиями.
2. Привилегированные права доступа должны быть предназначены учетным записям на основе потребности в их использовании.
3. Регистрация неудачных и успешных попыток аутентификации.
4. Ограничение времени сеанса.
5. Отказы аутентификации (наличие возможности при достижении определенного числа неуспешных попыток аутентификации отказать субъекту в доступе).
6. Использование и выбор надежных паролей.
7. Проведение регулярной смены пароля, а также – по мере необходимости.

2

Отметки аудитов (формирование и наличие отчетов о событиях, связанных с безопасностью сетевых соединений)

1. Регистрация событий, связанных с состоянием информационной безопасности, при этом журналы событий должны включать:
идентификаторы пользователей;
системные действия;
дату, время и детали ключевых событий, например, вход и выход из системы;
отчеты об успешных и отклоненных попытках доступа;
изменения системной конфигурации;
использование привилегий;
сетевые адреса и протоколы.
2. Проведение мониторинга событий, связанных с нарушением информационной безопасности, и анализ результатов мониторинга.
3. Хранение журналов регистрации событий в течение срока, указанного в технической документации по информационной безопасности, но не менее трех лет и нахождение их в оперативном доступе не менее двух месяцев.
4. Обеспечение защиты журналов регистрации событий от вмешательства и неавторизованного доступа, при этом:
не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов.
для конфиденциальных информационных систем требуется создание и ведение резервного хранилища журналов.
5. Наличие оповещения о критичных видах событий информационной безопасности.
6. Обеспечение синхронизации времени журналов регистрации событий с эталоном времени и частоты, воспроизводящим национальную шкалу всемирного координированного времени UTC (kz).

3

Обнаружение вторжения

1. Обеспечение наличия средств, позволяющих прогнозировать вторжения (потенциальные вторжения в сетевую инфраструктуру), выявлять их в реальном масштабе времени и поднимать соответствующую тревогу.
2. Возможность автоматизированного обновления базы правил.

4

Управление сетевой безопасностью

1. Неиспользуемые интерфейсы кабельной системы локальной сети физически должны отключаться от активного оборудования.
2. Исключение подключения локальной сети внутреннего контура государственных органов и местных исполнительных органов к Интернету, а также исключение сопряжения локальной сети внутреннего контура и локальной сети внешнего контура государственных органов и местных исполнительных органов между собой.
3. Управление программно-аппаратным обеспечением информационной системы государственных органов и местных исполнительных органов должно осуществляться из внутренней локальной сети владельца информационной системы.
4. Применение средств логического и/или физического сегментирования локальной сети.
5. Обеспечение синхронизации по времени между компонентами объекта информатизации, а также между объектом информатизации и средой его функционирования.

5

Межсетевые экраны

1. Обеспечение фильтрации входящих и исходящих пакетов на каждом интерфейсе.
2. В настройках оборудования неиспользуемые порты должны блокироваться.
3. Преобразование сетевых адресов.

6

Защита конфиденциальности целостности данных, передаваемых по сетям

При организации выделенного канала связи, объединяющего локальные сети, должны применяться программно-технические средства защиты информации, в том числе криптографического шифрования, с использованием средств криптографической защиты информации.

7

Неотказуемость от совершенных действий по обмену информацией

Применение средств мониторинга и анализа сетевого трафика.

8

Обеспечение непрерывной работы и восстановления

Для обеспечения доступности и отказоустойчивости должно использоваться резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных.

9

Доверенный канал

Предоставление для связи с удаленным доверенным продуктом канала, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия. Обеспечение у обеих сторон возможности инициировать связь через доверенный канал.

10

Доверенный маршрут

Предоставление для связи с удаленным пользователем маршрута, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия. Обеспечение у пользователя возможности инициировать связь через доверенный маршрут. Для начальной аутентификации удаленного пользователя и удаленного управления использование доверенного маршрута является обязательным.

  Приложение 4
к Методике проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности

Перечень процессов обеспечения информационной безопасности и их содержание

№ п/п

Наименование процессов

Требование к содержанию процессов обеспечения информационной безопасности

1

2

3

1

Управление активами, связанными с информационно-коммуникационными технологиями

1. Идентификация активов в соответствии с порядком идентификации активов, определенном в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
2. Классификация информации в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
3. Проверка класса, определенного для объекта испытаний на соответствие требованиям правил классификации объектов информатизации.
4. Маркировка активов в соответствии с принципами маркировки, определенными в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
5. Закрепление ответственных лиц за идентифицированными активами.
6. Ведение и актуализация реестра активов в соответствии с принятой формой реестра.
7. Определение, документирование и реализация процедур обращения с активами (выдача, использование, хранение, внос/вынос и возврат) в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
8. Паспортизация средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения.
9. Безопасная организация работ при приеме/отгрузке активов, связанных с информационно-коммуникационными технологиями.
10. Безопасная утилизация (повторное использование) серверного и телекоммуникационного оборудования, систем хранения данных, рабочих станций, носителей информации.

2

Организация информационной безопасности

1. Наличие подразделения информационной безопасности или сотрудника, ответственного за информационную безопасность, обособленного от подразделения информационных технологий, подчиняющегося непосредственно высшему руководству.
2. Функционирование рабочих групп и проведение совещаний по вопросам координации работ и обеспечения информационной безопасности.
3. Разработка (актуализация), утверждение, одобрение руководством технической документации по информационной безопасности, доведение их содержимого до сотрудников и привлекаемых со стороны исполнителей.
4. Поддержание контактов с полномочными органами, профессиональными сообществами, профессиональными ассоциациями или форумами специалистов по информационной безопасности.
5. Определение и документирование процедур обеспечения информационной безопасности, в том числе, при привлечении сторонних организаций.
6. Разработка (пересмотр) соглашения о конфиденциальности или неразглашении, отражающие потребности в защите информации.
7. Определение и включение в соглашения со сторонними организациями требований по информационной безопасности и уровня обслуживания. Контроль за реализации положений соглашения.

3

Безопасность, связанная с персоналом

1. Предварительная проверка кандидатов при приеме на работу.
2. Определение, назначение и отражение в должностных инструкциях и (или) условиях трудового договора сотрудников и привлекаемых со стороны исполнителей ролей, обязанностей и ответственности, связанных с информационной безопасностью в период занятости, изменения или прекращения трудовых отношений и обязательств владельца объекта испытаний.
3. Определение и документирование процедур увольнения сотрудников, имеющих обязательства в области обеспечения информационной безопасности.
4. Определение и регламентирование действий, которые будут предприняты к нарушителям правил информационной безопасности.
5. Извещение сотрудников об изменениях в политиках, правилах и процедурах обеспечения информационной безопасности, затрагивающих исполнение их служебных обязанностей.
6. Осведомленность и исполнение сотрудниками и привлекаемыми со стороны исполнителями об обязанностях и ответственности, связанными с обеспечением информационной безопасности в период занятости, изменения или прекращения трудовых отношений.
7. Обучение и подготовка сотрудников в сфере информационной безопасности.
8. Ответственность руководства за обеспечение возможности выполнения сотрудниками и привлекаемыми со стороны исполнителями обязательств в отношении информационной безопасности.

4

Мониторинг событий ИБ и управление инцидентами ИБ

1. Регистрация действий пользователей, операторов, администратор и событий операционных систем, систем управления базой данных, антивирусного программного обеспечения (далее – ПО), прикладного ПО, телекоммуникационного оборудования, систем обнаружения и предотвращения атак, системы управления контентом.
2. Ведение, хранение и защита журналов регистрации событий.
3. Осуществление анализа журналов регистрации событий.
4. Мониторинг зарегистрированных событий и оповещение о событиях высокой и критичной степени важности для информационной безопасности.
5. Оценка и принятие решения по событию информационной безопасности.
6. Разработка, документирование, доведение до сведения сотрудников и привлекаемых со стороны исполнителей, выполнение процедур реагирования на инциденты информационной безопасности.
7. Проведение анализа инцидентов информационной безопасности.

5

Управление непрерывностью ИБ

1. Планирование непрерывности информационной безопасности.
2. Идентификация событий, которые являются возможной причиной нарушения непрерывности процесса обеспечения информационной безопасности или бизнес процессов.
3. Разработка (актуализация), внедрение процессов и процедур поддержания необходимого уровня непрерывности информационной безопасности во внештатных (кризисных) ситуациях.
4. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур во внештатных (кризисных ситуациях).
5. Проверка (тестирование), анализ и оценка процессов и процедур обеспечения непрерывности информационной безопасности.
6. Резервирование средств обработки информации, объекта информатизации с учетом требований законодательства.

6

Управление сетевой безопасностью

1. Определение, документирование и доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур управления сетевым оборудованием.
2. Определение и включение в соглашения по обслуживанию сетей и передаче информации механизмов обеспечения безопасности, уровней доступности для всех сетевых услуг и сервисов.
3. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение политик и процедур использования сетей и сетевых услуг, передачи информации, подключения к Интернету, сетям телекоммуникаций и связи и использования беспроводного доступа к сетевым ресурсам.
4. Определение, документирование и выполнение процедур по применению средств защиты информации, передаваемой по сети и электронных сообщений.
5. Способы подключения и взаимодействия сетей, учитывающие требования законодательства.

7

Криптографические методы защиты

1. Регламентация управления криптографическими ключами, включающая вопросы изготовления, учета, хранения, передачи, использования, возврата (уничтожения), защиты криптографических ключей, учитывающая требования законодательства.
2. Применение криптографических средств при хранении и передаче информации, включая аутентификационные данные.

8

Управление рисками информационной безопасности

1. Выбор методики оценки рисков.
2. Идентификация угроз (рисков) для идентифицированных и классифицированных активов и формирование (актуализация) каталога угроз (рисков) информационной безопасности. Отражение в каталоге угроз (рисков), рисков связанных с процессами обеспечения информационной безопасности.
3. Оценка (переоценка) идентифицированных рисков.
4. Обработка рисков, формирование и утверждение (актуализация) плана обработки рисков.
5. Мониторинг и пересмотр рисков.

9

Управление доступом

1. Разработка (актуализация), документирование, ознакомление пользователей с правилами разграничения прав доступа к информации, функциям прикладных систем, услугам, системному ПО, сетям и сетевым сервисам.
2. Применяемые методы и процедуры идентификации, аутентификации и авторизации пользователей.
3. Реализация правил разграничения прав доступа, установленных в Правилах разграничения прав доступа к электронным информационным ресурсам.
4. Процедуры регистрации и отмены регистрации (блокировки) пользователей.
5. Управление учетными записями с привилегированными правами доступа.
6. Использование и управление криптографическими методами в процедурах аутентификации пользователей.
7. Управление изменениями правами доступа.
8. Управление паролями.
9. Использование привилегированных утилит.
10. Управление доступом к исходному коду объекта испытаний.

10

Физическая безопасность и защита от природных угроз

1. Размещение серверного, телекоммуникационного оборудования, систем хранения данных с учетом требования законодательства.
2. Физическая защита периметра безопасности помещений, в которых размещены активы, связанные с информационно-коммуникационными технологиями.
3. Организация основного и резервного серверных помещений, учитывающая требования законодательства.
4. Оснащение основного и резервных серверных помещений системами обеспечения, учитывающее требования законодательства.
5. Организация контролируемого доступа в серверные помещения.
6. Организация работ в серверном помещении.
7. Организация работ по техническому сопровождению и обслуживанию серверного и телекоммуникационного оборудования, систем хранения данных и систем обеспечения.
8. Способы защиты оборудования от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб.
9. Обеспечение безопасности кабельной системы.
10. Обеспечение безопасности кроссовых помещений.

11

Эксплуатационные процедуры обеспечения ИБ

1. Разработка (актуализация), документирование, ознакомление пользователей с инструкциями, регламентирующими эксплуатационные процедуры обеспечения информационной безопасности.
2. Применение средств и систем обеспечения информационной безопасности.
3. Процедуры резервного копирования информации и тестирование результатов копирования. Безопасность мест хранения резервных копий.
4. Синхронизация времени журналов регистрации событий с единым источником времени.
5. Процедуры управления изменениями при установке новых версий прикладного и системного ПО в эксплуатируемых системах.
6. Контроль и управление уязвимостями ПО.
7. Ознакомление сотрудников и реализация положений Правил использования мобильных устройств и носителей информации.
8. Разработка (актуализация), ознакомление сотрудников, реализация положений инструкции по организации удаленной работы.
9. Мониторинг работоспособности объекта испытаний.
10. Разделение сред разработки, тестирования и эксплуатации.
11. Обеспечение конфиденциальности при передаче сообщений электронной почты и информации посредством Интернет.
12. Способа предоставления Интернета и взаимодействия с внешними электронными почтовыми системами в соответствии с требованиями законодательства.
13. Ограничения и порядок фильтрации при доступе к ресурсам Интернета.

12

Соответствие законодательным и договорным требованиям

1. Определение (актуализация), документирование законодательных, нормативных, иных обязательных, договорных требований для объекта испытаний.
2. Внедрение процедур, реализующих соответствие законодательным, нормативным и договорным требованиям, связанным с правами на интеллектуальную собственность.
3. Разработка и реализация политик защиты конфиденциальных и персональных данных, соответствующих нормам законодательства.
4. Соответствие применяемых криптографических методов и средств требованиям законодательства и соглашениям (договорам).
5. Проведение аудита информационной безопасности.
6. Проведение анализа объекта испытаний на предмет соответствия требованиям законодательства, стандартов и технической документации по информационной безопасности.
7. Защита записей от потери, повреждения, фальсификации, несанкционированного доступа и несанкционированного выпуска в соответствии с законодательными, нормативными, договорными требованиями.

13

Приобретение, разработка и обслуживание систем

1. Включение (актуализация) требований, связанных с информационной безопасностью и соответствующих действующему законодательству и стандартам в состав технической документации на объект испытаний.
2. Определение и применение безопасных процедур управления изменениями ПО (системного и прикладного) для эксплуатируемых систем.
3. Контроль процесса разработки ПО объекта испытаний, в том числе, осуществляемой сторонней организацией.
4. Контроль процесса технического сопровождения системы, осуществляемого сторонней организацией.
5. Тестирование функций безопасности системы.

  Приложение 2
к перечню некоторых приказов,
в которые вносятся изменения
  Приложение 2 к приказу
Министра цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ

Правила проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности

Глава 1. Общие положения

      1. Настоящие Правила проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации" (далее – Закон) и определяют порядок проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности.

      2. В настоящих Правилах используются следующие основные понятия и сокращения:

      1) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      2) подсистема информационной системы – совокупная часть (компонент) информационной системы, реализующая ее определенные функции, необходимые для достижения назначения информационной системы;

      3) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      4) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта испытаний;

      5) интернет-портал уполномоченного органа в сфере обеспечения информационной безопасности – интернет-портал уполномоченного органа в сфере обеспечения информационной безопасности, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности;

      6) программное обеспечение – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации;

      7) программный продукт – самостоятельная программа или часть программного обеспечения, являющаяся товаром, которая независимо от ее разработчиков может использоваться в предусмотренных целях в соответствии с системными требованиями, установленными технической документацией;

      8) исходные коды – исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске;

      9) распределенный объект испытаний – объект испытаний, состоящий из множества, в том числе и неопределенного, множества узлов, построенных по одинаковой архитектуре, предназначенных для одинаковых целей, выполняющих одинаковые функции и использующие одинаковое прикладное программное обеспечение;

      10) интернет-ресурс – информация (в текстовом, графическом, аудиовизуальном или ином виде), размещенная на аппаратно-программном комплексе, имеющем уникальный сетевой адрес и (или) доменное имя и функционирующем в Интернете;

      11) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

      12) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

      13) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

      14) испытательная лаборатория – юридическое лицо или структурное подразделение юридического лица, действующее от его имени, осуществляющее испытания, аккредитованное в соответствии с законодательством о техническом регулировании;

      15) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

      16) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;

      17) информационно-коммуникационная платформа "электронного правительства" – технологическая платформа, предназначенная для автоматизации деятельности государственного органа, в том числе автоматизации государственных функций и оказания вытекающих из них государственных услуг, а также централизованного сбора, обработки, хранения государственных электронных информационных ресурсов;

      18) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган на соответствие требованиям информационной безопасности.

      3. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.

      4. В состав испытаний объекта испытаний, за исключением программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе "электронного правительства" и информационно-коммуникационной платформы "электронного правительства" входят следующие виды работ:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры;

      5) обследование процессов обеспечения ИБ.

      5. При отсутствии исходного кода объекта испытания (за исключением объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган) или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний устанавливается решением уполномоченного органа в сфере обеспечения информационной безопасности по запросу заявителя.

      Уполномоченный орган в сфере обеспечения информационной безопасности направляет запрос поставщику о проверке обоснованности запроса заявителя об исключении анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний в период проведения испытаний по другим видам согласно пункту 7 настоящих Правил.

      6. В испытания программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе "электронного правительства" входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование процессов обеспечения ИБ.

      7. В испытания информационно-коммуникационной платформы "электронного правительства" входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) обследование сетевой инфраструктуры;

      4) обследование процессов обеспечения ИБ.

      8. Для однородных распределенных объектов испытаний, испытания проводятся для центрального(ых) узла(ов) и для некоторых (по согласованию с заявителем) отдельных узлов распределенного объекта испытаний в общей количестве составляющих не менее одной десятой части общего количества узлов распределенного объекта испытаний.

      Для центрального(ых) узла(ов) однородного распределенного объекта испытаний испытания проводятся в полном составе видов работ.

      Для узлов однородного распределенного объекта испытаний в состав испытаний входят:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности.

      9. В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое).

Глава 2. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в государственной технической службе

      10. Для проведения испытаний заявителем на интернет-портале SYNAQ заполняется, подписывается электронной цифровой подписью (далее - ЭЦП) и подается заявка на проведение испытаний (далее – заявка) в государственную техническую службу по форме, согласно приложению 1 к настоящим Правилам, с приложением следующих документов:

      1) анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, удостоверенная ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ;

      2) электронная копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

      3) электронная копия согласованного с уполномоченным органом в сфере информатизации и уполномоченным органом в сфере обеспечения информационной безопасности технического задания на объект информатизации;

      4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, (при необходимости);

      5) электронные копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде (при необходимости);

      6) электронная копия документа, уполномочивающего заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости):

      7) документ подтверждающий, что собственником (владельцем) и (или) заказчиком объекта испытания является государственный орган.

      11. В случае, если заявитель осуществляет закупки посредством веб-портала государственных закупок, заявка на проведение испытаний принимается не позднее 1 ноября текущего года.

      12. Государственная техническая служба в течение трех рабочих дней со дня получения заявки осуществляет проверку полноты документов, указанных в пункте 10 настоящих Правил.

      13. В случае несоответствия заявки и приложенных документов в соответствии с требованиями, указанными в пункте 10 настоящих Правил, в течение десяти рабочих дней заявка возвращается заявителю с указанием причин возврата.

      14. Государственная техническая служба после проверки заявки на наличие полного пакета документов согласно пункту 10 настоящих Правил в течение трех рабочих дней направляет заявителю:

      1) проект технической спецификации к договору на проведение испытаний при осуществлении закупки посредством веб-портала государственных закупок. Заявитель в течение трех рабочих дней со дня получения проекта технической спецификации размещает на веб-портале государственных закупок проект договора о государственных закупках способом из одного источника путем прямого заключения договора о государственных закупках;

      2) два экземпляра договора на проведение испытаний при осуществлении закупки без применения веб-портала государственных закупок.

      Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в государственную техническую службу.

      15. В случае, если заявитель осуществляет закупку посредством веб-портала государственных закупок, и в срок до 15 ноября не направил в адрес государственной технической службы договор о государственных закупках посредством веб-портала государственных закупок, заявка аннулируется и возвращается заявителю.

      16. Срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик объекта испытаний.

      В случае невозможности согласования сроков проведения испытания, заявка возвращается заявителю без удовлетворения с указанием возможности обратиться в уполномоченный орган в сфере обеспечения информационной безопасности для определения сроков испытаний.

      17. Для проведения испытаний заявитель обеспечивает для государственной технической службы:

      1) рабочее место, физический доступ к рабочему месту пользователя, серверному и сетевому оборудованию, сети телекоммуникаций объекта испытаний с проведением фото и видео фиксации и к документации на объект испытания и сопутствующей документации, в том числе к договорам на сопровождение и техническую поддержку объекта испытаний и компонентов, входящих в состав объекта испытаний;

      2) демонстрацию функций объекта испытаний, согласно требованиям технической документации.

      18. В случае невозможности обеспечения заявителем требований пункта 17 настоящих Правил, испытания приостанавливаются на время, необходимое Заявителю для их обеспечения с учетом подписания дополнительного соглашения к договору на продление его срока исполнения.

      19. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности.

      20. При проведении испытаний выявилось расхождение между данными анкеты-вопросника о характеристиках объекта испытаний, поданной в соответствии с подпунктом 1) пункта 10 настоящих Правил и фактическим состоянием объекта испытаний, заявитель направляет в государственную техническую службу обновленную анкету-вопросник о характеристиках объекта испытаний, удостоверенную ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ. Обновленная анкета-вопросник о характеристиках объекта испытаний (при необходимости) будет основанием для заключения дополнительного соглашения на продление срока испытаний и изменение стоимости проведения испытаний.

      21. При необходимости, если при проведении испытаний выявится необходимость проведения повторного испытания по одному или по нескольким видам испытаний до окончания срока испытания, заявитель обращается с запросом в государственную техническую службу и заключается дополнительное соглашение о проведении повторного испытания на безвозмездной основе по этим видам работ.

      22. Результаты работ, входящих в испытания, и рекомендации по устранению выявленных несоответствий вносятся в отдельные протоколы, размещаемые на интернет-портале SYNAQ в личном кабинете заявителя по завершению всех видов работ.

      23. Цены на проведение государственной технической службой каждого вида работ, входящих в испытания, устанавливаются согласно пункту 2 статьи 14 Закона.

      24. Для расчета стоимости проведения испытаний заявитель направляет в государственную техническую службу анкету-вопросник о характеристиках объекта испытаний, удостоверенную ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ.

      25. При устранении заявителем выявленные при испытаниях несоответствия в течение шестидесяти рабочих дней со дня размещения на интернет-портале SYNAQ протоколов испытаний по проведенным работам и направления в государственную техническую службу запроса на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий посредством интернет-портала SYNAQ, государственная техническая служба на безвозмездной основе в течение двадцати рабочих дней со дня получения от заявителя запроса проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Заявитель может подать заявку на повторные испытания не более двух раз, в установленный срок.

      При необходимости, заявитель может единожды увеличить срок проведения повторных испытаний путем подачи дополнительной заявки на увеличение срока проведения повторных испытаний, но не более 20 рабочих дней.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      26. При проведении повторных испытаний после исправления несоответствий, связанных с внесением изменений в программное обеспечение объекта, проводится анализ исходного кода.

      При этом заявитель к запросу на проведение повторных испытаний прикладывает исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний.

      27. В случае выявления несоответствий при проведении повторных испытаний государственная техническая служба оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 2 настоящих Правил.

      28. При утере, порче или повреждении протоколов испытаний, а также в случае изменения данных в анкете-вопроснике о характеристиках объекта испытаний, при проведении испытаний по одному или нескольким видам работ для объектов испытаний ранее получивших протоколы на бумажном носителе с отрицательным результатом, собственник или владелец объекта испытаний направляет в государственную техническую службу уведомление с указанием причин.

      Государственная техническая служба в течение пяти рабочих дней со дня получения уведомления выдает дубликат ранее выданного(ых) протокола(ов) испытаний либо дубликат протокола(ов) испытаний с актуализированной анкетой-вопросником о характеристиках объекта испытаний.

Глава 3. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в испытательных лабораториях

      29. Порядок заключения договоров на проведение испытаний в испытательных лабораториях определяется в соответствии с Гражданским кодексом Республики Казахстан.

      30. Для проведения испытаний заявителем направляется заявка на бумажном носителе поставщику согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:

      1) копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

      2) анкета-вопросник о характеристиках объекта испытаний о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденный собственником или владельцем объекта испытаний на бумажном носителе;

      3) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации, за исключением информационной системы государственного юридического лица и негосударственной информационной системы, предназначенные для формирования государственных электронных информационных ресурсов, на компакт-диске (при необходимости);

      4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);

      5) копии утвержденного перечня технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде на компакт-диске (при необходимости);

      6) документ, уполномочивающий заявителя собственником или владельцем подать заявку на проведение испытаний (при необходимости).

      31. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности.

      32. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня получения протоколов испытаний по проведенным работам и направил поставщику запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий, поставщик на безвозмездной основе в течение двадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Заявитель может подать заявку на повторные испытания не более двух раз, в установленный срок.

      При необходимости, заявитель может единожды увеличить срок проведения повторных испытаний путем подачи дополнительной заявки на увеличение срока проведения повторных испытаний, но не более 20 рабочих дней.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      33. В случае выявления несоответствий при проведении повторных испытаний поставщик оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 3 настоящих Правил.

      34. При утере, порче или повреждении протоколов испытаний собственник или владелец объекта испытаний направляет поставщику уведомление с указанием причин.

      Поставщик в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов испытаний.

Глава 4. Порядок выдачи и отзыва протоколов испытаний на соответствие требованиям информационной безопасности

      35. Протоколы испытаний на соответствие требованиям информационной безопасности выдаются поставщиком.

      36. Срок действия протоколов испытаний ограничивается сроком промышленной эксплуатации объекта испытаний, за исключением информационно-коммуникационной платформы "электронного правительства", или до момента начала модернизации объекта испытаний.

      При этом срок действия протокола по отдельному виду испытания не превышает одного года с даты выдачи протокола до ввода в промышленную эксплуатацию объекта информатизации.

      Протоколы испытаний информационно-коммуникационной платформы "электронного правительства" выдается со сроком действия один год.

      37. Поставщик на постоянной основе предоставляет в уполномоченный орган в сфере обеспечения информационной безопасности следующие данные:

      1) заявка на проведение испытаний;

      2) информацию о договоре на проведение испытаний в испытательных лабораториях (дата, номер);

      3) наименование объекта испытаний;

      4) наименование собственника и (или) владельца объекта испытаний;

      5) реестровый номер, дата выдачи и протокол испытаний на соответствие требованиям информационной безопасности по каждому виду работ с указанием результата;

      6) фактическое местоположение сетевого и серверного оборудования объекта испытаний;

      7) анкета-вопросник о характеристиках объекта испытаний, утвержденный собственником или владельцем объекта испытаний.

      Аккредитованная испытательная лаборатория обеспечивает внесение вышеуказанных данных в интернет-портал уполномоченного органа в сфере обеспечения информационной безопасности.

      Информация в виде отчета формируется с использованием ЭЦП аккредитованной испытательной лаборатории.

      Государственная техническая служба для передачи вышеуказанных данных, обеспечивает интеграцию интернет-портала SYNAQ с интернет-порталом уполномоченного органа в сфере обеспечения информационной безопасности.

      38. При изменении условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет поставщику уведомление с приложением описания всех произведенных изменений, прежней и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной собственником или владельцем объекта испытаний.

      39. Уполномоченный орган в сфере обеспечения информационной безопасности при выявлении несоответствий требованиям настоящих Правил, направляет поставщику информацию с приложением выявленных несоответствий.

      40. Поставщик в срок не более десяти рабочих дней рассматривает внесенные изменения в объект информатизации и (или) информацию о выявленных несоответствиях, и (или) информацию об изменениях исходного кода по результатам анализа неизменности и принимает решение об отзыве протоколов испытаний и необходимости проведения того вида испытаний функции которого были нарушены при изменении условий функционирования и (или) функциональности объекта информатизации.

      Решение принимается с учетом Перечня изменений функционирования и (или) функциональности объекта информатизации согласно приложению 4 к настоящим Правилам.

      41. При отзыве протоколов испытаний, собственник или владелец в трехмесячный срок принимает меры для подачи заявки поставщикам о прохождении испытаний в порядке, установленном в главе 2 или 3 настоящих Правил.

      42. Рассмотрение жалобы осуществляется в случае несогласия заявителя с результатами протоколов испытаний на соответствие требованиям информационной безопасности и производится уполномоченным органом в сфере обеспечения информационной безопасности в соответствии со статьей 91 Административного процедурно-процессуального кодекса Республики Казахстан.

  Приложение 1
к Правилам проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно- коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности
  Форма

_______________________________________________________________
(наименование поставщика)

Заявка на проведение испытаний
_________________________________________________________________
(наименование объекта испытаний)

      на соответствие требованиям информационной безопасности (далее – испытания)

      1.__________________________________________________________________
(наименование организации-заявителя, фамилия, имя, отчество. (при наличии),
бизнес-идентификационный номер, банковские реквизиты заявителя)
____________________________________________________________________
____________________________________________________________________
(почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит провести испытания
____________________________________________________________________
(наименование объекта испытаний, номер версии, дата разработки)
в составе следующих видов работ:
1) __________________________________________________________________
2) __________________________________________________________________
3) __________________________________________________________________
4) __________________________________________________________________
5) __________________________________________________________________
(перечень видов работ согласно пункта 7 / 8 / 9 / 10 / 11 настоящих Правил
(указать нужный пункт)

      2. Сведения о владельце (собственнике) испытываемого объекта испытаний
____________________________________________________________________
(наименование или фамилия, имя, отчество (при наличии)
____________________________________________________________________
____________________________________________________________________
(область, город, район, почтовый адрес, телефон)

      3. Сведения о разработчике испытываемого объекта испытаний
___________________________________________________________________
(информация о разработчике, наименование или фамилия, имя, отчество
(при наличии) авторов)
___________________________________________________________________
(область, город, район, почтовый адрес, телефон)

      4. Данные лица, ответственного за связь с поставщиком:
1) фамилия, имя, отчество: ___________________________________________;
2) должность: ______________________________________________________;
3) телефон рабочий: ___________, телефон сотовый: _____________________;
4) адрес электронной почты: Е-mail: ________________________@_________.
Руководитель организации – заявителя ( фамилия, имя, отчество (при наличии),
заявителя ______ (подпись, дата)
(место печати) при наличии

  Приложение 2
к Правилам проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно- коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности
  Форма

Анкета-вопросник о характеристиках объекта испытаний

      1. Наименование объекта испытаний: ____________________________________
____________________________________________________________________

      2. Краткая аннотация на объект испытаний _______________________________
____________________________________________________________________
(назначение и область применения)

      3. Классификация объекта испытаний:
1) класс прикладного программного обеспечения __________________________.
2) схема классификации по форме приложения 2 к Правилам классификации
объектов информатизации, утвержденным Приказом исполняющего обязанности
Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года
№ 135 (зарегистрирован в Реестре государственной регистрации нормативных
правовых актов за № 13349).

      4. Архитектура объекта испытаний:
1) функциональная схема объекта испытаний (при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;
связей между компонентами или модулями и направления информационных потоков;
точки подключения интеграционного взаимодействия с другими объектами информатизации;
точки подключения пользователей;
мест и технологий хранения данных;
применяемого резервного оборудования;
разъяснения применяемых терминов и аббревиатур;
2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:
архитектуры и характеристик сети;
серверного сетевого и коммуникационного оборудования;
адресации и применяемых сетевых технологий;
используемых локальных, ведомственных (корпоративных) и глобальных сетей;
решения(й) по обеспечению отказоустойчивости и резервированию.
разъяснения применяемых терминов и аббревиатур;

      5. Информация об объекте испытаний:
1) информация о серверном оборудовании (заполнить таблицу):


п/п

Наименование сервера или виртуального ресурса (доменное имя, сетевое имя или логическое имя сервера)

Назначение (выполняемые функциональные задачи)

Кол-во

Характеристики сервера или используемых заявленных виртуальных ресурсов

Операционная система (далее - ОС), система управления базами данных (далее – СУБД), программное обеспечение (далее – ПО), приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы (состав программной среды с указание номеров версий)

Применяемые IP-адреса

1

2

3

4

5

6

7















      2) информация о сетевом оборудовании (заполнить таблицу):


п/п

Наименование сетевого оборудования (марка/модель)

Назначение (выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые IP-адреса, в том числе, порт управления

1

2

3

4

5

6

7















      3) местонахождение серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа (фамилия, имя, отчество (при наличии)

Телефоны ответственных лиц (рабочие, сотовые)

1

2

3

4

5

6













      4) характеристики резервного серверного оборудования (заполнить таблицу):

№ п/п

Наименование сервера или виртуального ресурса (доменное имя, сетевое имя или логическое имя сервера)

Назначение (выполняемые функциональные задачи)

Кол-во

Характеристики сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы (состав программной среды с указание номеров версий)

Применяемые IP-адреса

Метод резервирования

1

2

3

4

5

6

7

8

















      5) характеристики резервного сетевого оборудования (заполнить таблицу):

№ п/п

Наименование сетевого оборудования (марка/модель)

Назначение (выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые IP-адреса, в том числе порт управления

Метод резервирования

1

2

3

4

5

6

7

8

















      6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(фамилия, имя, отчество (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      7) структура сети объекта испытаний (заполнить таблицу) (при необходимости):

№ п/п

Наименование сегмента сети

IP-адрес сети/маска сети

1

2

3







      8) информация по рабочим станциям администраторов (заполнить таблицу):

№ п/п

Роль администратора

Количество учетных записей администраторов

Наличие доступа к Интернет

Наличие удаленного доступа к оборудованию

IP-адрес рабочей станции администратора

Фактическое местоположение – адрес рабочего места

1

2

3

4

5

6

7















      9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):


п/п

Роль пользователя

Перечень типовых действий пользователя

Адрес и порт точки подключения пользователей к объекту испытаний

Протокол подключения пользователей к объекту испытаний

Количество пользователей согласно технической документации на создание или развитие объекта испытаний

Максимальное количество, обрабатываемых запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

      10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые (заполнить таблицу):


п/п

Наименование интеграционной связи (объекта информатизации)

Собственник или владелец интегрируемого объекта

Действующая/планируемая

Наличие модуля интеграции

Адрес точки подключения

Протокол подключения

Максимальное количество запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

9



















      11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):


п/п

Маркировка диска (при необходимости)

Наименование каталога/Наименование каталога на диске

Наименование файла

Размер файла, Мбайт

Применяемый язык программирования (при необходимости)

Версия языка программирования

Применяемый фреймворк, версия фреймворка

Версия среды разработки

Дата модификации файла

1

2

3

4

5

6

7

8

9

10





















      12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):


п/п

Маркировка диска (при необходимости)

Наименование каталога/Наименование каталога на диске

Наименование библиотеки/программной платформы/файла

Размер, Мбайт

Язык программирования (при необходимости)

Версия библиотеки

1

2

3

4

5

6

7















      6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):

№ п/п

Наименование документа

Наличие

Количество страниц

Дата утверждения

Стандарт или нормативный документ, в соответствии с которым был разработан документ

1

2

3

4

5

6

1

Политика информационной безопасности;





2

Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;





3

Методика оценки рисков информационной безопасности;





4

Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;





5

Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;





6

Правила проведения внутреннего аудита информационной безопасности;





7

Правила использования средств криптографической защиты информации;





8

Правила разграничения прав доступа к электронным информационным ресурсам;





9

Правила использования Интернет и электронной почты;





10

Правила организации процедуры аутентификации;





11

Правила организации антивирусного контроля;





12

Правила использования мобильных устройств и носителей информации;





13

Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;





14

Регламент резервного копирования и восстановления информации;





15

Руководство администратора по сопровождению объекта информатизации;





16

Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.





      7. Сведения о ранее пройденных видах работ или испытаниях
(номер протокола, дата):
________________________________________________________________

      8. Наличие лицензии на испытываемый объект (наличие авторских прав,
наличие соглашения с организацией-разработчиком на предоставление исходного кода)
_________________________________________________________________
_________________________________________________________________

      9. Дополнительная информация: _____________________________________
_________________________________________________________________
_________________________________________________________________

  Приложение 3
к Правилам проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности
  Форма

Перечень технической документации по информационной безопасности объекта испытаний

      1. Политика информационной безопасности;

      2. Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;

      3. Методика оценки рисков информационной безопасности;

      4. Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

      5. Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

      6. Правила проведения внутреннего аудита информационной безопасности;

      7. Правила использования средств криптографической защиты информации;

      8. Правила разграничения прав доступа к электронным информационным ресурсам;

      9. Правила использования Интернет и электронной почты;

      10. Правила организации процедуры аутентификации;

      11. Правила организации антивирусного контроля;

      12. Правила использования мобильных устройств и носителей информации;

      13. Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;

      14. Регламент резервного копирования и восстановления информации;

      15. Руководство администратора по сопровождению объекта информатизации;

      16. Инструкция о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

  Приложение 4
к Правилам проведения
испытаний объектов
информатизации
"электронного правительства"
и критически важных объектов
информационно-коммуникационной
инфраструктуры на соответствие
требованиям информационной
безопасности

Перечень изменений функционирования и (или) функциональности объекта информатизации

№ п/п

Произведенные изменения

Анализ исходных кодов

Функции информационной безопасности

Нагрузочное испытание

Обследование сетевой инфраструктуры

Обследование процессов обеспечения информационной безопасности

1

2

3

4

5

6

7

1.

Изменение среды разработки (язык программирования)

+

-

-

-

-

2.

Изменение функции прикладного программного обеспечения

+

+

+

-

-

3.

Замена серверного оборудования

-

+

+

+

+

4.

Замена сетевого оборудования

-

-

+

+

-

5.

Изменение типа операционной системы, системы управления базами данных

-

+

+

-

-

6.

Изменение место расположения объекта испытаний

-

+

-

+

+

7.

Миграция объекта испытаний из внутреннего контура на внешний контур или на оборот

-

+

+

+

+

8.

Добавление нового компонента (сервера)

-

+

-

+

+

9.

Новая интеграция с другими информационными системами

+

+

+

+

+

10.

Изменение класса объекта информатизации

-

+

-

+.и.

+

      Примечание:
"+" – необходимо проведения испытаний;
"-" – нет необходимости в проведении испытаний.