Ескерту. Күші жойылды - ҚР Премьер-Министрінің Кеңсесі Басшысының 15.03.2021 № 10-4-10 (ресми жарияланғаннан кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
"Техникалық реттеу туралы" Қазақстан Республикасының 2004 жылғы 9 қарашадағы Заңына және Қазақстан Республикасы Үкіметінің 2002 жылғы 11 қыркүйектегі № 993 қаулысымен бекітілген Қазақстан Республикасы Премьер-Министрінің Кеңсесі туралы ереженің 12-тармағының 21) тармақшасына сәйкес БҰЙЫРАМЫН:
1. Қоса беріліп отырған Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі нұсқаулығы бекітілсін.
2. "Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растау ережесін бекіту туралы" (Нормативтік құқықтар актілерін мемлекеттік тіркеу тізілімінде № 3923 тіркелген) Қазақстан Республикасы Премьер-Министрінің Кеңсесі Басшысының 2005 жылғы 3 қазандағы № 25-1-90 бұйрығының күші жойылған деп танылсын.
3. Осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелген күнінен бастап қолданысқа енгізіледі.
|
Қазақстан Республикасы Премьер-Министрінің Кеңсесі Басшысының 2013 жылғы 14 маусымдағы № 25-1-21 бұйрығымен бекітілді |
Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық
және бағдарламалық құралдардың (бұйымдардың), ақпаратты
қорғаудың техникалық құралдарының ақпараттық қауіпсіздік
талаптарына сәйкестігін растау жөніндегі Нұсқаулық
1. Жалпы ережелер
1. Осы Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі нұсқаулық (бұдан әрі - Нұсқаулық) мынадай нормативтік құқықтық актілерге:
"Техникалық реттеу туралы" 2004 жылғы 9 қарашадағы Қазақстан Республикасының Заңына;
"Қазақстан Республикасының ұлттық қауіпсіздігі туралы" 2012 жылғы 6 қаңтардағы Қазақстан Республикасының Заңына;
"Ақпараттандыру туралы" 2007 жылғы 11 қаңтардағы Қазақстан Республикасының Заңына;
"Электрондық құжат және электрондық цифрлық қолтаңба туралы" 2003 жылғы 7 қаңтардағы Қазақстан Республикасының Заңына сәйкес әзірленді.
2. Нұсқаулықта "Техникалық реттеу туралы" 2004 жылғы 9 қарашадағы Қазақстан Республикасының Заңына сәйкес сәйкестікті растау мәселелері жөніндегі ұғымдар мен анықтамалар пайдаланылады.
3. Нұсқаулық Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының (бұдан әрі - АҚҚ мен ЕТҚ) ақпараттық қауіпсіздік талаптарына сәйкестігін растауды (бұдан әрі - сәйкестікті растау) ұйымдастыру және жүргізу тәртібін нақтылайды. Сәйкестікті растау кезінде АҚҚ мен ЕТҚ сәйкестігі ақпараттық қауіпсіздік саласындағы, оның ішінде мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету уәкілетті мемлекеттік органымен, ұлттық қауіпсіздік органдарымен және басқа да мүдделі мемлекеттік органдармен келісілген ақпаратты қорғаудың техникалық құралдарын қолдану мәселелері жөніндегі нормативтік құқықтық актілердің, нақты стандарттардың талаптарына сәйкестігі расталады.
4. Ақпараттық қауіпсіздік талаптарына сәйкестікті растауға Қазақстан Республикасының Үкіметінің 2005 жылғы 20 сәуірдегі № 367 қаулысымен бекітілген Міндетті сертификаттауға жататын өнімдер мен қызметтердің тізбесіне енген АҚҚ мен ЕТҚ жатады.
АҚҚ мен ЕТҚ құрамына кіретін криптография (шифрлау) құралдары белгіленген тәртіппен бекітілген шифрлау құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растаудың жекелеген ережелеріне сәйкес сертификаттау нысанында сәйкестікті растауға жатады.
Мемлекеттік құпияларды құрайтын ақпаратты өңдеуге, беруге және сақтауға арналған техникалық құралдар осы Нұсқаулықтың 7-тарауында айқындалған тәртіппен сертификаттау нысанында сәйкестікті растауға жатады.
5. Сәйкестікті растау рәсімдерін тек сәйкестікті растау жөніндегі органдар (Орган) мен осындай сынақтарды өткізу құқығына аккредиттелген сынақ зертханалары (орталықтары) жасайды.
Ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестігін растау жөніндегі жұмысты жүзеге асыратын сәйкестікті растау жөніндегі органдар мен сынақ зертханалары (орталықтары) өтінім иесі беретін не сәйкестікті растауды жүргізу барысында алынған мәліметтерді жарияламауды қамтамасыз етеді.
6. Ұсынылатын мәліметтерді жарияламау талаптары өтінім иесі немесе меншік иесі мен сәйкестікті растау жөніндегі орган немесе сынақ зертханасы (орталығы) арасында жасалатын шартта және Қазақстан Республикасының мемлекеттік құпияларды қорғау туралы заңнамасына сәйкес айқындалады.
7. Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтердің, оның ішінде АҚҚ мен ЕТҚ нақты тізбелері, АҚҚ мен ЕТҚ сәйкестігін растауды жүргізу мақсатында оларды сәйкестікті растау жөніндегі органға және/немесе сынақ зертханасына (орталығына) беру шарттары мен тәртібі Қазақстан Республикасының мемлекеттік құпияларды қорғау жөніндегі заңнамасына сәйкес айқындалады және бірлескен жұмыстарды жүргізуге арналған шарттарда көрсетіледі.
8. Мемлекеттік органдарда қолданылатын АҚҚ мен ЕТҚ сәйкестігін растау бойынша жұмыстарды жүзеге асыратын сәйкестікті растау жөніндегі органдарда және сынақ зертханаларында (орталықтарында) Қазақстан Республикасының мемлекеттік құпияларын құрайтын мәліметтермен жұмыс жасауға Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің рұқсаты болуға тиіс.
2. Ақпараттық қауіпсіздік талаптарына
АҚҚ мен ЕТҚ сәйкестігін растау
9. АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау деп, нәтижесі бойынша техникалық регламенттерде, стандарттардың ережелерінде немесе басқа да құжаттарда белгіленген талаптарға сәйкестік сертификаты түрінде сәйкестікті растау жөніндегі орган берген ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестігін құжаттамалық куәландыру болып табылатын рәсім түсініледі.
АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау өңделетін (сақталатын) ақпараттың құпиялылық дәрежесіне байланысты сәйкестікті растауды және сынақтарды жүргізу параметрлері мен әдістерін белгілейтін нормативтік құжаттардың талаптарына сәйкес жүргізіледі.
Өңделетін (сақталатын) ақпараттың құпиялылық дәрежесін ескере отырып, ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ сәйкестігі сертификаттарының құрамынан алынған деректер АҚҚ мен ЕТҚ-ны пайдалануға берілген нұсқамаға (ақпараттық қауіпсіздік талаптары бойынша) енгізу үшін белгіленген тәртіппен пайдаланылады.
Сәйкестік сертификаты бар АҚҚ мен ЕТҚ-ны пайдаланушылар қолданыстағы пайдалануға арналған нұсқамалардың (ақпараттық қауіпсіздік талаптары бойынша) орындалуын қамтамасыз етеді. Бұл ретте ақпараттық қауіпсіздік талаптарына сәйкестігін міндетті растауға жататын АҚҚ мен ЕТҚ-ны құрудың ұсынылатын тәртібі осы Нұсқаулықтың қосымшасына сәйкес жүзеге асырылады.
3. Ақпараттық қауіпсіздік талаптарына сәйкестікті
растау бойынша жұмыстар жүргізу
12. АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растау рәсімдердің мынадай жүйелілігін көздейді:
сәйкестікті растау жөніндегі органға сертификаттау бойынша жұмыстар жүргізу туралы өтінім жасайтын тұлғаның (бұдан әрі - өтінім беруші) АҚҚ мен ЕТҚ-ны сертификаттау жүргізу туралы өтінімді беруі;
сәйкестікті растау жөніндегі органның өтінімді қарау нәтижелері бойынша шешім қабылдауы;
өтінім берушімен бірге сәйкестікті растау схемасын таңдау;
сәйкестікті растау жөніндегі орган мен өтінім иесі арасындағы сертификаттау жөніндегі жұмыстарды жүргізуге арналған шарттың жасалуы;
мәлімделген АҚҚ немесе ЕТҚ үлгісін (үлгілерін) Іріктеуді және сәйкестендіруді жүргізу;
сынау нәтижелерін талдау;
сәйкестік сертификатын беру туралы шешім қабылдау;
сәйкестік сертификатын мемлекеттік техникалық реттеу жүйесінің тізіліміне тіркеу және оны өтінім берушіге беру;
сертификатталған өнімге инспекциялық бақылау жүргізу (егер бұл сертификаттау схемасымен қаралса);
сертификаттау нәтижелері туралы ақпаратты ұсыну.
13. Мәлімделген АҚҚ мен ЕТҚ түріне және таңдап алынған сертификаттау схемасына байланысты мынадай ілеспе құжаттар өтінімге қоса беріледі:
өтінім иесінің құрылтай құжаттары;
АҚҚ мен ЕТҚ-ны жеткізуге жасалған инвойс, келісім-шарт (импорт кезінде);
мәлімделген АҚҚ мен ЕТҚ үлгілерінің ұсынылатын үлгі топтамасына берілген жүкқұжат;
АҚҚ мен ЕТҚ-ны сәйкестендіруге және АҚҚ мен ЕТҚ-ның белгіленген талаптарға сәйкестігін бағалауға мүмкіндік беретін, техникалық өлшемдерді қамтитын АҚҚ мен ЕТҚ-ның техникалық сипаттамасы;
өндірушінің сәйкестікті растау үшін мәлімделген АҚҚ мен ЕТҚ-ны өндіру фактісін растайтын оның құжаты (егер өтінім иесі сатушы болған жағдайда);
сынақ өткізу үшін үлгілерді іріктеу мүмкіндігі туралы;
мемлекеттік құпияны қорғау және ақпараттық қауіпсіздікті қамтамасыз ету (АҚҚ) жөніндегі уәкілетті мемлекеттік органмен және ақпараттандыру саласында (ЕТҚ) уәкілетті органмен АҚҚ немесе ЕТҚ техникалық сипаттамаларын бағалау;
АҚҚ мен ЕТҚ растайтын көрсеткіштеріне қойылатын талаптарды құрайтын нормативтік немесе техникалық құжаттар, сынау әдістері;
АҚҚ және ЕТҚ функцияларын іске асыратын программалардың бастапқы кодтары, оның ішінде ақпаратты өңдеу және қорғау механизмдері.
АҚҚ мен ЕТҚ техникалық сипаты мынаны құрауға тиіс:
атауы, қолданылуы, АҚҚ мен ЕТҚ жиынтықтығы, олармен орындалатын функциялары;
программалық қамтамасыз ету нұсқасы (болған жағдайда);
электр сипаттамалары, радиосәулелеу сипаттамалары (радиоэлектрондық құралдар үшін);
жалпы қолданыстағы деректерді беру желісіндегі қолдану шарты; іске асырылатын интерфейстерді және хаттамаларды көрсету арқылы жалпы қолданыстағы деректерді беру желісіне косу схемалары;
криптограмманың (шифрлеу) қоса салынған құралдарының, ғаламдық спутникті навигациялық жүйелердің қабылдағыштарының болуы (болмауы) туралы мәлімет;
климаттық және техникалық талаптарды, орналастыру тәсілдерін, электр қуатының типтерін қоса алғанда пайдалану шарттары.
14. Өтінім және оған ілеспе құжаттама мемлекеттік, орыс және/немесе ағылшын тілдерінде ұсынылады. Өтінім иесімен шет тілінен аудармасы болған жағдайда Қазақстан Республикасының заңнамасына сәйкес оның дәлме-дәлдігін растау ұсынылады.
Сәйкестікті растау жөніндегі органға өтінім иесі ұсынған нормативтік және техникалық құжаттамада осы ақпараттық жүйеде іске асырылған ақпаратты өңдеу мен қорғаудың барлық функциялары мен тетіктерінің толық сипаттамасы болуға тиіс.
15. Оған қоса берілген өтінім және (немесе) құжаттар осы Ереженің 13 және 14-тармақтарында белгіленген талаптарға сәйкес болмаса, онда олар Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасына сәйкес мерзімде қайтарудың негізделген себептерін көрсете отырып, тапсырыс бойынша шешіммен бірге қайтарылуы тиіс.
Ескертулер болмаған кезде (ескертулер жойылғаннан кейін) сәйкестікті растау органы өтінім иесіне өтінімді қарау нәтижелері бойынша шешімді жібереді және сәйкестікті растауды жүргізу үшін комиссия (бұдан әрі - комиссия) құрады.
Егер өтінім беруші сәйкестікті растау процедуралар шарттарымен келіссе, осы жұмыстарды жүргізуге шарт жасалады.
16. Өтінімді қарау кезінде мыналар белгіленеді:
өтінім иесінің құрылтай құжаттарының болуы;
өтінім иесінің Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасында белгіленген талаптарға сәйкестігі; ұсынылған құжаттаманың толықтығы.
17. Өтінімді алдын ала қарау барысында сәйкестікті растау жөніндегі орган:
өтінім иесіне сәйкестікті растау тәртібі мен рәсімдері, оларға сәйкестікке сәйкестікті растау жөніндегі жұмыстар жүргізілетін нормативтік талаптар туралы хабарлайды;
өтінім иесіне сәйкестік сертификатын беру кезінде қандай шектеулер белгіленуі мүмкіндігін түсіндіреді;
өтінім иесіне өтінімді қарау барысында анықталған кемшіліктер тізбесімен бірге жазбаша хабарлама жібереді.
сәйкестікті растау жөніндегі орган өтінім иесіне сәйкестікті растау жөніндегі жұмыстарды жүргізуден бас тартады.
Мұндай бас тартудың себептері мыналар болады:
мәлімделген АҚҚ мен ЕТҚ-ға сәйкес емес құжаттаманы ұсынуы;
өтінімді берген сәтте мәлімделген АҚҚ мен ЕТҚ-ның растайтын көрсеткіштеріне қойылатын талаптарды қамтитын нормативтік немесе техникалық құжаттар күшінің жойылуы;
мәлімделген АҚҚ мен ЕТҚ-ның нормативтік немесе техникалық құжаттамасында сәйкестікті растау жөніндегі жұмыстарды жүргізу кезінде расталатын көрсеткіштерге қойылатын талаптарды қамтитын сынақтар әдістерінің болмауы немесе олардың толық жазылмауы;
нормативтік немесе техникалық құжаттамада жазылған және мәлімделген АҚҚ мен ЕТҚ-ның сәйкестігін растау жөніндегі жұмыстарды жүргізу кезінде расталатын көрсеткіштердің нормативтік құжаттардың талаптарына сәйкес болмауы.
Өтінімді қанағаттандырудан бас тартылған жағдайда сәйкестікті растау жөніндегі орган 10 күнтізбелік күн ішінде өтінім иесіне ол ұсынған барлық құжаттарды ресми түрде шешіммен бірге жібереді. Мәлімделген АҚҚ мен ЕТҚ-ның ақпараттық қауіпсіздік талаптарына сәйкестігін растаудан дәлелді бас тартуды шешімге қоса береді.
4. АҚҚ мен ЕТҚ үлгілерін іріктеуді және сәйкестендіруді жүргізу
18. Мәлімделген АҚҚ немесе ЕТҚ үлгілерінің (үлгісінің) қажетті санын іріктеуді, оларды сәйкестендіруді, егер нормативтік және техникалық құжаттарда орамасы мен таңбалануы көзделген болса, олардың бар - жоқтығын және жай-күйін тексеруді өтінім иесі өкілінің қатысуымен сәйкестікті растау жөніндегі органның маманы, сынақ зертханасының (орталығының) қызметкері жүргізеді. Сәйкестікті растау жөніндегі органның тапсырмасы бойынша үлгілерді іріктеуді өтінім иесінің бұйрығымен тағайындалған, мүдделі емес ұйымдардың өкілдерінен тұратын құзыретті комиссия жүргізеді.
Іріктеп алынатын АҚҚ немесе ЕТҚ саны, оларды іріктеу әдістемесі, сондай-ақ оларды тасымалдау және сақтау шарттары мәлімделген АҚҚ-ға немесе ЕТҚ-ға сәйкестікті растау жөніндегі нормативтік құжаттардың талаптарына сәйкес болуға тиіс.
АҚҚ немесе ЕТҚ үлгілерін іріктеу екі данадағы актімен ресімделеді. АҚҚ немесе ЕТҚ үлгілерін сәйкестендіру нәтижелері іріктеу актісіне енгізіледі.
Іріктелген үлгілерді өтінім берушінің қатысуымен пломбаланады (егер бұл мүмкін болса) және өнім үлгілерін іріктеу актісін және оған арналған техникалық құжаттаманы қоса сала отырып, аккредиттелген сынақ зертханасына (орталығына) жіберіледі.
5. Ақпараттық қауіпсіздік талаптары бойынша АҚҚ немесе
ЕТҚ үлгілерін сертификаттық сынау
19. Мәлімделген АҚҚ-ның немесе ЕТҚ-ның іріктелген үлгілерін ақпараттық қауіпсіздік талаптары бойынша сертификаттық сынақтарды сәйкестікті растау жөніндегі жұмыстарды жүргізуге арналған шартқа сәйкес сынақ бағдарламасына орай белгіленген тәртіппен аккредиттелген сынақ зертханасы (орталығы) жүргізеді.
20. Сертификаттау нысанында АҚҚ-ның немесе ЕТҚ-ның сәйкестігін растау кезінде сертификаттаудың мынадай схемалары қолданылады:
№ 2 схема - өтінім иесінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және өтінім иесінен алынған үлгілерді сертификаттық сынақты және сертификаттың қолданылу мерзімі ішінде сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді көздейді. Сәйкестік сертификаты 1 жыл мерзімге беріледі;
№ 3 схема - әзірлеушінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және әзірлеушіден алынған үлгілерді сертификаттық сынақты және сертификаттың қолданылу мерзімі ішінде сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді көздейді. Сәйкестік сертификаты 1 жыл мерзімге беріледі;
№ 5 схема - әзірлеушінің өтінімі бойынша АҚҚ-ны немесе ЕТҚ-ны сертификаттау кезінде қолданылады және әзірлеушіден алынған үлгілерді сертификаттық сынақты жүргізуді және сәйкестік сертификаттың қолданылу мерзімі ішінде әзірлеушінің белгіленген талаптарға сәйкес АҚҚ-ны немесе ЕТҚ-ны шығару мүмкіндігін бақылайды. Сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеру сәйкестік сертификатының қолданылу мерзімі ішінде жүргізіледі. Сәйкестік сертификаты 3 жыл мерзімге беріледі;
№ 7 схема - әзірлеушінің немесе өтінім иесінің өтінімі бойынша әзірленген АҚҚ немесе ЕТҚ партиясын сертификаттау үшін қолданылады және осы партиядан алынған үлгілерді сертификаттық сынақты көздейді. Сәйкестік сертификаты ұсынылған партияға кіретін АҚҚ-ның немесе ЕТҚ-ның сәйкестендіру белгілерін көрсете отырып, 3 жыл мерзімге беріледі.
АҚҚ-ны немесе ЕТҚ-ны сертификаттауды жүргізу нысанында сәйкестікті растау сәйкестікті растау жөніндегі жұмыстарды жүргізу туралы шартты жасасқан күннен бастап 2 ай ішінде жүзеге асырылуы тиіс. АҚҚ немесе ЕТҚ күрделі жабдығының сәйкестігін растауды жүргізу кезінде мерзім 4 айға дейін ұлғайтылуы мүмкін.
Аталған схемалар мемлекеттік құпияларды құрайтын, ерекшеліктері осы Нұсқаулықтың 7-бөлімімен анықталатын, ақпараттарды өңдеу, беру және сақтау техникалық құралдарын сертификаттау өткізуге таралмайды.
21. Нормативтік құжаттамада белгіленген ақпараттық қауіпсіздік талаптарына сәйкестікке сертификаттық сынақтарды белгіленген тәртіппен аккредиттелген сынақ зертханасы (орталығы) АҚҚ және ЕТҚ түрін ескере отырып жүргізеді.
22. Мәлімделген АҚҚ немесе ЕТҚ үлгілерін сынау нәтижелері бойынша сынақ зертханасы (орталығы) хаттама жасайды, сәйкестікті растау жөніндегі органға және мәлімдеушіге жіберіледі.
Сертификаттау сызбасына байланысты өнімді өндіру жағдайын талдау жүргізіледі.
Сәйкестікті растау жөніндегі орган сынақ хаттамаларын талдау, өндірісті және өнім сәйкестігі туралы басқа құжаттарды бағалаудан кейін белгіленген талаптарға өнімнің сәйкестігін бағалауды іске асырады. Осы бағалау нәтижелері сарапшы қорытындысында көрсетіледі. Осы қорытындының негізінде Орган сәйкестік сертификатын беру туралы шешім қабылдайды, оны рәсімдейді және берілген сәйкестік сертификаты тізіліміне тіркейді не болмаса сәйкестік сертификатын беруден дәлелді бас тартады.
6. Құжаттамалық куәлігін беру
23. Шешім оң болған жағдайда сәйкестікті растау жөніндегі орган стандарттау жөніндегі нормативтік құжаттарға сәйкес сәйкестік сертификатын рәсімдейді және береді. Сәйкестік сертификатының көшірмелері өтінім берушінің өтінімі бойынша беріледі.
Сәйкестік сертификатының қолданылуы берілген сәйкестік сертификаттарының тізілімінде көрсетілген оны берген күннен басталады.
24. Құжаттамалық куәлігін беруден бас тарту, оның қолданылуын уақытша тоқтата тұру немесе тоқтату, оны қайтарып алу немесе күшін жою Қазақстан Республикасының техникалық реттеу жөніндегі заңнамасына сәйкес іске асырылады.
25. Сәйкестік сертификатының қолданылу кезеңінде сатып алынған АҚҚ-ның немесе ЕТҚ-ның қолданылу аясына сәйкес АҚҚ немесе ЕТҚ бүкіл жарамдылық (қолданылу) мерзімі ішінде Қазақстан Республикасының барлық аумағында пайдаланылады.
26. Сәйкестік сертификатын ұстаушы:
сәйкестік сертификаты берілген АҚҚ-ның немесе ЕТҚ-ның белгіленген талаптарға сәйкестігін қамтамасыз етеді;
сәйкестікті растау жөніндегі органның өкілдері және сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді орындайтын адамдардың өз өкілеттіктерін кедергісіз орындауын қамтамасыз етеді;
егер сәйкестік сертификатын қолданылу мерзімі өтсе, не сәйкестік сертификатының қолданылуы тоқтатылса немесе уақытша тоқтатылса, АҚҚ-ны немесе ЕТҚ-ны іске асыруды тоқтатады.
27. Сәйкестікті растау жөніндегі орган егер бұл сертификаттау схемасында көзделген болса, сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеруді жүзеге асырады.
Сертификатталған АҚҚ-ны немесе ЕТҚ-ны инспекциялық тексеру кемінде жылына бір рет жүзеге асырылады.
Инспекциялық тексерудің кезеңділігі, мерзімі мен көлемі сәйкестікті растау жөніндегі органмен және сәйкестік сертификатын ұстаушымен келісілген бағдарламада айқындалады.
28. Сәйкестікті растау жөніндегі орган инспекциялық тексеру нәтижелері бойынша АҚҚ-ның немесе ЕТҚ-ның белгіленген талаптарға сәйкестігі немесе сәйкессіздігі туралы қорытынды шығарады, бұл туралы сәйкестік сертификатын ұстаушыға хабарлайды, сәйкестік сертификатын қолдану уақытша тоқтағанда немесе қолданылу күші жойылғанда техникалық реттеу саласындағы уәкілетті органға және басқа мүдделі тұлғаларға да хабарлайды.
7. Өңдеу үшін арналған техникалық құралдарды, мемлекеттік
құпиялардан тұратын ақпараттарды беру және сақтау, ақпараттық
қауіпсіздік талаптарын сақтауды сертификаттық сынау
29. Ақпараттық қауіпсіздік талаптарына сәйкестігін сертификаттық сынаудан мемлекетті құпиялардан тұратын ақпараттарды өңдеу, беру және сақтау үшін арналған техникалық құралдардың (бұдан әрі - ТҚ) барлығы өтеді.
30. Сертификатталған ТҚ сәйкестік сертификатының жарамдылық мерзімі берілген күннен бастап үш жылды құрайды. Кешенді тораптары мен блоктары құрамын өзгерту барысында, ТҚ қайталап сертификаттау керек.
31. Жанама электромагнитті сәулелену арналары (бұдан әрі - ЖЭМС) жөніндегі нормалар талаптарына сәйкес сертификаттық сынау нәтижесінде Нормативтік құқықтық актілерді мемлекеттік тіркеу реестрінде № 2993 болып тіркелген Қазақстан Республикасы Премьер-Министрі Кеңсесі Басшысының 2004 жылғы 29 шілдедегі № 25-1-59с бұйрығымен бекітілген Есептеуіш техникалар құралын пайдаланып мемлекеттік құпиялардан тұратын деректерді өңдеу барысында құпиялылық режимін қамтамасыз ету жөніндегі нұсқаулықпен (бұдан әрі - Нұсқаулық) бекітілген талаптармен радиотехникалық қауіпсіздік аймағын есептеу нәтижелерінің деректерімен салыстыру арқылы ЕТҚ нысандарының санаттары бойынша ТҚ жіктелуі тиіс.
ТҚ жіктеу нәтижелері бойынша сертификаттаушы органмен ТҚ қолданылуы мүмкін ЕТҚ нысандарының санаттары бойынша ұсыныстар беріледі.
32. Радиотехникалық қауіпсіздік аймағын есептеу үшін Ұлттық қауіпсіздік комитетімен келісілген мемлекеттік құпияларды қорғау жөніндегі уәкілетті мемлекеттік органдармен анықталатын нормалар мен әдістемелер қолданылады. Әдістемелерді әзірлеу Қазақстан Республикасының Ұлттық қауіпсіздік комитетімен келісіліп, сертификаттаушы органдармен жүзеге асырылады.
33. Қажетті жағдайда, ЖЭМС арналары бойынша ақпараттық қауіпсіздік талаптарына сәйкестігін сынаудан өзге ТҚ сертификаттау барысында өтініш берушімен анықталған, акустоэлектрлік түрленулер арнасын (микрофонды әсер), параметрлік арналарын (жанама сәулеленулердің паразиттік түрленуі), жоғарыжиілікті арналарды және сәулеленулерді т.б. табуға сынау жүргізіледі.
34. ТҚ сәйкестігін растау жұмыстары барысында техникалық құралдардың құрамына кіретін тораптар мен блоктар туралы деректерден, соның ішінде оларды фото- және (немесе) рентген түсірілімдері бар тексерілген техникалық құралдардың тұратын электронды-құрауыш базасын енгізуді жүзеге асыру қажет.
Мүдделі мемлекеттік органдардың сұрау беруіне орай (ӨҚК, КПМ, ҚР СВР "Сырбар" және т.б.) сертификаттаушы органдар олардың мекен-жайына көрсетілген деректер қорынан ақпараттарды жібереді.
35. Мемлекеттік құпияны құрайтын ақпаратты өңдейтін ТҚ программалық қамтамасыз етуі ақпараттық қауіпсіздік стандарттарының талаптары бойынша жоғары деңгейлі сенімділікке сәйкес жекелей сертификаттауға тиіс.
36. Сертификаттық сынаулар жүргізілгеннен кейін техникалық құралдың барлық құрауыш тораптары мен блоктарын тексеруші ұйымның атауларын көрсете отырып арнайы жапсырмамен және ерекше нөмір беріп, мөрлеп бекітеді. Ол жерде сертификатталған техникалық құралдар туралы деректер қорына сілтеме жасалып, өлшеу және электронды-құрауыш базаларының хаттамалары енгізіледі. Құпия ақпаратты өңдеуге арналған ТҚ жапсырмаларында оны қолдануға ұсынылатын ЕТҚ объектісінің ең жоғарғы санаты көрсетілуге тиіс. Мысалы - "3-санат бойынша сертификатталған".
37. ТҚ сәйкестігі сертификаты не қосымша мынадай мәліметті құрауға тиіс:
ТҚ қолдану ұсынылған ЕТҚ объектісінің санаты;
1-, 2- және 3-санаттары бойынша радиотехникалық қауіпсіздік аймақтары есебінің нәтижелері;
осы Нұсқаудың 36-тармағында көрсетілген тарату арналарымен айқындалуына байланысты ТҚ пайдалану бойынша шектеулер туралы ұсыныстар.
38. Құпия ақпаратты қорғаудың техникалық құралдарын сертификаттау техникалық паспортта мәлімделген талаптарға сәйкестігін растау жолымен жүзеге асырылады.
|
Ақпараттық жүйелердің, техникалық, бағдарламалық-техникалық және бағдарламалық құралдардың (бұйымдардың), ақпаратты қорғаудың техникалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігін растау жөніндегі Нұсқаулығына қосымша |
Ақпараттық қауіпсіздік талаптарына сәйкестігін
растауға жататын АҚҚ мен ЕТҚ-ны құрудың
ұсынылатын тәртібі
1. Ақпараттық қауіпсіздік талаптарына сәйкестігін растауға жататын АҚҚ мен ЕТҚ-ны құру мынадай кезеңдерді:
ақпараттық жүйеге берілетін техникалық тапсырманы әзірлеу, келісу және бекітуді;
ақпараттық жүйеге берілетін жобалау-сметалық құжаттаманы әзірлеу және бекітуді;
келісілген жобалық шешімдерді іске асыруды;
бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені әзірлеуге конкурс өткізуді;
бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені әзірлеуді;
бекітілген техникалық тапсырмаға және жобалау-сметалық құжаттамаға сәйкес ақпараттық жүйені енгізуді;
ақпараттандыру және байланыс саласындағы уәкілетті органның нормативтік құжаттарына сәйкес оның ақпараттық жүйені салалық бағалау жүргізуін қамтиды.
2. Ақпараттық қауіпсіздік талаптарына АҚҚ мен ЕТҚ-ны әзірлеуге арналған техникалық тапсырма және жобалaу-сметалық құжаттама міндетті тәртіппен мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органмен, ақпараттандыру саласындағы уәкілетті органмен, ұлттық қауіпсіздік органдармен келісіледі.