Об утверждении Правил проведения аттестации государственных информационных систем на соответствие требованиям информационной безопасности

Постановление Правительства Республики Казахстан от 17 января 2008 года N 24. Утратило силу постановлением Правительства Республики Казахстан от 30 декабря 2009 года N 2280

      Сноска. Утратило силу постановлением Правительства РК от 30.12.2009 N 2280 (порядок введения в действие см. п. 3).

      В соответствии со статьей 5 Закона Республики Казахстан от 11 января 2007 года "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
      1. Утвердить прилагаемые Правила проведения аттестации государственных информационных систем на соответствие требованиям информационной безопасности.
      2. Настоящее постановление вступает в силу со дня подписания.

      Премьер-Министр
      Республики Казахстан

Утверждены        
постановлением Правительства
Республики Казахстан   
от 17 января 2008 года  
N 24           

ПРАВИЛА
проведения аттестации государственных информационных систем на
соответствие требованиям информационной безопасности

1. Общие положения

      1. Настоящие Правила проведения аттестации государственных информационных систем на соответствие требованиям информационной безопасности (далее - Правила) разработаны в соответствии с Законом Республики Казахстан от 11 января 2007 года "Об информатизации" и определяют порядок организации и проведения работ по аттестации государственных информационных систем на соответствие требованиям информационной безопасности.

      2. Доступ к государственной информационной системе определяется правилами, разрабатываемыми владельцами государственной информационной системы.

      3. Под аттестацией государственных информационных систем на соответствие требованиям информационной безопасности понимается процедура, результатом которой является документальное удостоверение соответствия государственной информационной системы требованиям информационной безопасности.
      Цель аттестации государственных информационных систем - показать, что она является полной, непротиворечивой, технически правильной и поэтому пригодна для изложения требований к одной или нескольким оцениваемым информационным системам.

      4. Соответствие государственной информационной системы требованиям информационной безопасности проводится в соответствии с требованиями нормативных документов, устанавливающих параметры и методы проведения аттестации с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

      5. Эксплуатация государственных информационных систем и (или) принятие государственной информационной системы осуществляется по результатам аттестации на соответствие требованиям информационной безопасности.

      6. Регулирование процессов аттестации, а также порядок их проведения выполняется уполномоченным органом в сфере информатизации.

2. Порядок проведения аттестации

      7. Устанавливается следующий порядок проведения аттестации:
      1) подача заявителем в организацию проводящей аттестацию заявки по форме, согласно приложению к настоящим Правилам, с приложением документов, указанных в пункте 6 настоящих Правил;
      2) предварительная оценка и принятие решения по заявке организацией проводящей аттестацию;
      3) проведение организацией проводящей аттестацию аттестационного обследования;
      4) принятие решения и выдача (отказ в выдаче) аттестата.

      8. К заявке прилагаются следующие документы:
      1) учредительные документы заявителя;
      2) свидетельство о государственной регистрации юридического лица;
      3) перечень средств, примененных при обеспечении информационной безопасности информационной системы;
      4) сертификаты соответствия по требованиям информационной безопасности технических и программных средств, входящих в состав информационной системы и подлежащих подтверждению соответствия в соответствии с законодательством Республики Казахстан ;
      5) перечень нормативно-технических документов по информационной безопасности;
      6) акт инспекционного обследования организации - заявителя (при условии его проведения);
      7) утвержденная схема (план) взаимодействия информационной системы с ее компонентами;
      8) проектно-техническая документация информационной системы;
      9) эксплуатационная документация информационной системы.

      9. В случае если заявка и (или) прилагаемые к заявке документы не соответствуют требованиям Правил или прилагаемые к заявке документы представлены не в полном объеме, такая заявка подлежит возврату в течение десяти календарных дней, с указанием причин возврата.

3. Аттестационное обследование

      10. Аттестационное обследование проводится на основании методик и программ испытаний, разработанных организацией проводящей аттестацию и согласованных с заявителем, а также с уполномоченными органами в сфере информатизации, по защите государственных секретов и обеспечению информационной безопасности, органами национальной безопасности.

      11. Для технических и программных средств обработки и защиты информации, входящих в состав аттестуемой информационной системы, необходима аттестация на соответствие требованиям информационной безопасности.

      12. Приказом органа по подтверждению соответствия создается Комиссия для проведения аттестационного обследования (далее - Комиссия).

      13. При обследовании прикладного программного обеспечения организацией проводящей аттестацию изучаются:
      методы защиты информации с общим доступом;
      запись регистрации событий;
      защищенность данных системных журналов;
      запись регистрации сбоев;
      управление доступом к системе.

      14. При обследовании баз данных орган по подтверждению соответствия изучает:
      методы защиты информации с общим доступом;
      запись регистрации событий;
      защищенность данных системных журналов;
      запись администратора и оператора;
      запись регистрации сбоев;
      управление доступом к системе.

      15. При обследовании специальных программных средств, предназначенных для защиты информации, орган по подтверждению соответствия изучает:
      методы защиты информации с общим доступом;
      запись регистрации событий;
      запись регистрации сбоев;
      защиту средств аудита;
      управление доступом к системе.

      16. При обследовании операционных систем орган по подтверждению соответствия изучает:
      методы защиты информации с общим доступом;
      запись регистрации событий;
      запись администратора и оператора;
      запись регистрации сбоев;
      управление доступом к системе;
      мониторинг использования системы.

      17. Срок аттестационного обследования объекта Комиссией проводится в течение тридцати календарных дней с момента прибытия Комиссии к месту аттестационного обследования.

      18. На основании решения Комиссии орган по подтверждению соответствия выдает заявителю акт об итогах аттестационного обследования.

      19. Акт составляется в двух экземплярах (по одному для заявителя и организации проводящей аттестацию), с указанием фактического состояния государственной информационной системы, выводов, рекомендаций и заключения о возможности (невозможности) выдачи аттестата.

      20. Аттестат соответствия оформляется и выдается заявителю после положительного решения Комиссии по результатам аттестации.

      21. Организация, проводящая аттестацию ведет реестр выданных аттестатов. Государственные информационные системы регистрируются в государственном регистре электронных информационных ресурсов и информационных систем в порядке, установленном законодательством Республики Казахстан об информатизации .

Приложение           
к Правилам проведения аттестации 
государственных информационных 
систем, на соответствие требованиям 
информационной безопасности  

Кому_______________________________
      (наименование органа по аттестации)

ЗАЯВКА
на проведение аттестации государственной информационной системы

_______________________________________________________________________________
                             (наименование заявителя)

просит провести аттестацию ____________________________________________________
                              (наименование объекта информатизации или СВТ)
на соответствие требованиям по информационной безопасности.
      1. Исходные данные по государственной информационной системе на ___ листах прилагаются.
      2. Заявитель готов представить необходимые документы и создать условия для проведения аттестации.
      3. Заявитель согласен, на договорной основе, оплатить расходы по всем видам работ и услуг по аттестации информационной системы.

      М.П.

      ______________________________________             _______________
      (Ф.И.О. руководителя органа заявителя)             (подпись, дата)

Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесін бекіту туралы

Қазақстан Республикасы Үкіметінің 2008 жылғы 17 қаңтардағы N 24 Қаулысы. Күші жойылды - Қазақстан Республикасы Үкіметінің 2009 жылғы 30 желтоқсандағы № 2280 Қаулысымен.

      Ескерту. Күші жойылды - ҚР Үкіметінің 2009.12.30 № 2280 (қолданысқа енгізілу тәртібін 3-т. қараңыз) Қаулысымен.

      "Ақпараттандыру туралы" Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңының 5-бабына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесі бекітілсін.

      2. Осы қаулы қол қойылған күнінен бастап қолданысқа енгізіледі.

      Қазақстан Республикасының
      Премьер-Министрі

Қазақстан Республикасы
Үкіметінің     
2008 жылғы 17 қаңтардағы
N 24 қаулысымен  
бекітілген    

Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік
талаптарына сәйкестігіне аттестаттау жүргізу
ережесі

1. Жалпы ережелер

      1. Осы Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесі (бұдан әрі - Ереже) "Ақпараттандыру туралы" Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңына сәйкес әзірленді және мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жөніндегі жұмыстарды ұйымдастырудың және жүргізудің тәртібін анықтайды.

      2. Мемлекеттік ақпараттық жүйелерге қол жеткізу мемлекеттік ақпараттық жүйелерді иеленушілер әзірлейтін ережелермен анықталады.

      3. Мемлекеттік ақпараттық жүйелерді ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау деп нәтижесінде мемлекеттік ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына сәйкестігіне құжатты түрде куәлік ету болып табылатын рәсім түсініледі.
      Мемлекеттік ақпараттық жүйелерді аттестаттаудың мақсаты - оның толық, қарама-қарсы емес, техникалық дұрыс екендігін және сондықтан бағаланатын бір немесе бірнеше ақпараттық жүйелерге қойылатын талаптарды баяндау үшін жарамды екендігін көрсету.

      4. Мемлекеттік ақпараттық жүйенің ақпараттық қауіпсіздіктің талаптарына сәйкестігі ақпаратты қорғауды ұйымдастыруға арналған шығындар мен ақпараттық ресурстардың меншік иесіне тигізуі мүмкін залал шамасының арақатынасын ескере отырып, аттестаттауды жүргізудің параметрлері мен әдістерін белгілейтін нормативтік құжаттардың талаптарына сәйкес жүргізіледі.

      5. Мемлекеттік ақпараттық жүйелерді пайдалану және (немесе) мемлекеттік ақпараттық жүйені қабылдау ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау нәтижелері бойынша жүзеге асырылады.

      6. Аттестаттау үдерістерін реттеуді, сондай-ақ оларды жүргізудің тәртібін ақпараттандыру саласындағы уәкілетті орган орындайды.

2. Аттестаттауды жүргізу тәртібі

      7. Аттестаттауды жүргізудің мынадай тәртібі белгіленеді:
      1) өтінім берушінің осы Ереженің 6-тармағында көрсетілген құжаттарды қоса бере отырып, осы Ережеге қосымшаға сәйкес нысан бойынша аттестаттауды жүргізуші ұйымға өтінім беруі;
      2) аттестаттауды жүргізуші ұйымның алдын ала бағалауы және өтінім бойынша шешім қабылдауы;
      3) аттестаттауды жүргізуші ұйымның аттестаттық тексеру жүргізуі;
      4) шешім қабылдау және аттестатты беру (беруден бас тарту).

      8. Өтінімге мынадай құжаттар қоса беріледі:
      1) өтініш берушінің құрылтай құжаттары;
      2) заңды тұлғаның мемлекеттік тіркелуі туралы куәлік;
      3) ақпараттық жүйенің қауіпсіздігін қамтамасыз ету кезінде қолданылған құралдардың тізбесі;
      4) Қазақстан Республикасының заңнамасына және ақпараттық жүйенің құрамына кіретін әрі сәйкестігін растауға жататын техникалық және бағдарламалық құралдардың ақпараттың қауіпсіздігі жөніндегі талаптарға сәйкестігіне сертификаттар;
      5) ақпараттық қауіпсіздік бойынша нормативтік-техникалық құжаттардың тізбесі;
      6) ұйымның - өтініш берушінің инспекторлық тексеру актісі (оны жүргізген жағдайда);
      7) ақпараттық жүйенің оның құрауыштарымен өзара іс-қимылының бекітілген схемасы (жоспары);
      8) ақпараттық жүйенің жобалау-техникалық құжаттамасы;
      9) ақпараттық жүйені пайдалану құжаттамасы.

      9. Егер өтініш және (немесе) өтінішке қоса беріліп отырған құжаттар Ереженің талаптарына сәйкес келмесе немесе өтінішке қоса беріліп отырған құжаттар толық көлемде ұсынылмаса, мұндай өтініш қайтарылу себептерін көрсете отырып, қайтарылуға тиіс.

3. Аттестаттық тексеру

      10. Аттестаттық тексеру аттестаттауды жүргізуші ұйым әзірлеген және өтініш берушімен, сондай-ақ ақпараттандыру саласындағы, мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті органдармен, ұлттық қауіпсіздік органдарымен келісілген әдістемелер мен сынақ бағдарламалары негізінде жүргізіледі.

      11. Аттестатталатын ақпараттық жүйенің құрамына кіретін ақпаратты өңдеу мен қорғаудың техникалық және бағдарламалық құралдары үшін ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау қажет.

      12. Сәйкестікті растау жөніндегі органның бұйрығымен аттестаттық тексеру жүргізуге арналған комиссия (бұдан әрі - Комиссия) құрылады.

      13. Аттестаттауды жүргізуші ұйым қолданбалы бағдарламалық қамтамасыз етуді тексеру кезінде:
      жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
      оқиғаларды тіркеу жазбасын;
      жүйелік журналдар деректерінің қорғалуын;
      жұмыстың тоқтауын тіркеу жазбасын;
      жүйеге қол жеткізуді басқаруды зерделейді.

      14. Сәйкестікті растау жөніндегі орган дерекқорды тексеру кезінде:
      жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
      оқиғаларды тіркеу жазбасын;
      жүйелік журналдар деректерінің қорғалуын;
      әкімші мен оператордың жазбасын;
      жұмыстың тоқтауын тіркеу жазбасын;
      жүйеге қол жеткізуді басқаруды зерделейді.

      15. Сәйкестікті растау жөніндегі орган ақпаратты қорғауға арналған арнайы бағдарламалық құралдарды тексеру кезінде:
      жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
      оқиғаларды тіркеу жазбасын;
      жұмыстың тоқтауын тіркеу жазбасын;
      аудит құралдарын қорғауды;
      жүйеге қол жеткізуді басқаруды зерделейді.

      16. Сәйкестікті растау жөніндегі орган операциялық жүйелерді тексеру кезінде:
      жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
      оқиғаларды тіркеу жазбасын;
      әкімші мен оператордың жазбасын;
      жұмыстың тоқтауын тіркеу жазбасын;
      жүйеге қол жеткізуді басқаруды;
      жүйені пайдаланудың мониторингін зерделейді.

      17. Объектіні Комиссияның аттестаттық тексеру мерзімі аттестаттық тексеру орнына Комиссияның келген сәтінен бастап отыз күнтізбелік күн ішінде жүргізіледі.

      18. Комиссия шешімінің негізінде сәйкестікті растау жөніндегі орган өтініш берушіге аттестаттық тексерудің қорытындылары туралы актіні береді.

      19. Акт мемлекеттік ақпараттық жүйенің нақты жай-күйін, тұжырымдарды, ұсынымдарды және аттестатты беру мүмкіндігі (мүмкін еместігі) туралы қорытындыны көрсетумен екі данада (өтініш беруші мен аттестаттауды жүргізуші ұйым үшін бір-бірден) жасалады.

      20. Аттестаттау нәтижелері бойынша Комиссияның оң шешімінен кейін сәйкестік аттестаты ресімделеді және өтініш берушіге беріледі.

      21. Аттестаттауды жүргізуші ұйым берілген аттестаттардың тізілімін жүргізеді. Мемлекеттік ақпараттық жүйелер Қазақстан Республикасының ақпараттандыру туралы заңнамасында белгіленген тәртіппен электрондық ақпараттық ресурстар мен ақпараттық жүйелердің мемлекеттік тіркелімінде тіркеледі .

Мемлекеттік ақпараттық жүйелердің
ақпараттық қауіпсіздік талаптарына
сәйкестігіне аттестаттау  
жүргізу ережесіне     
қосымша          

Кімге: _______________________________
(аттестаттау жөніндегі органның
  атауы)          

Мемлекеттік ақпараттық жүйені аттестаттауды жүргізуге арналған
ӨТІНІШ

______________________________________________________
                  (өтініш берушінің атауы)
______________________________________________________
      (ақпараттандыру объектісінің атауы немесе ЕТЖ)
ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттауды жүргізуді сұрайды.
      1. Мемлекеттік ақпараттық жүйе бойынша бастапқы деректері ______ бетте қоса беріліп отыр.
      2. Өтініш беруші аттестаттауды жүргізу үшін қажетті құжаттарды беруге және жағдайлар жасауға дайын.
      3. Өтініш беруші шарттық негізде ақпараттық жүйені аттестаттау жөніндегі барлық жұмыстар мен қызметтердің түрлері бойынша шығыстарды төлеуге келіседі.

      М.О.

    ______________________________________     ____________
   (Өтініш беруші орган басшысының Т.А.Ә.)     (қолы, күні)