Об утверждении Методики проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности

Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 108. Зарегистрирован в Министерстве юстиции Республики Казахстан 25 февраля 2016 года № 13236. Утратил силу приказом Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 51/НҚ ( вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования)

      Сноска. Утратил силу приказом Министра оборонной и аэрокосмической промышленности РК от 28.03.2018 № 51/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 26) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемую Методику проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности.

      2. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Казангап Т.Б.) обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) направление копии настоящего приказа в печатном и электронном виде на официальное опубликование в периодические печатные издания и информационно-правовую систему "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан, а также в Республиканский центр правовой информации в течение десяти календарных дней со дня получения зарегистрированного приказа для включения в эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;

      4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 2 настоящего приказа.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Исполняющий обязанности


Министра по инвестициям и


развитию Республики Казахстан

Ж. Касымбек


  Утверждена
приказом исполняющего
обязанности Министра
по инвестициям и развитию
Республики Казахстан
от 28 января 2016 года № 108

Методика
проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности
1. Общие положения

      1. Настоящая Методика проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 26) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон).

      2. Настоящая Методика предназначена для проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности.

      3. В настоящей Методике используются следующие определения и сокращения:

      1) информационные активы – базы данных, системная документация, руководства пользователя, учетные материалы, процедуры эксплуатации или поддержки объекта аттестации, планы по обеспечению непрерывности функционирования информационного обеспечения и другая документация;

      2) информационная система (далее – ИС) – организационно - упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      3) аттестация информационной системы, информационно - коммуникационной платформы "электронного правительства" и интернет - ресурса государственного органа на соответствие требованиям информационной безопасности (далее – аттестация) – организационно-технические мероприятия по определению состояния защищенности объектов аттестации, а также их соответствия требованиям информационной безопасности;

      4) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии со стандартами в области информационной безопасности и регламентирующих общие требования и принципы по обеспечению информационной безопасности объекта аттестации;

      5) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      6) аутентификация – проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности;

      7) объекты аттестации – информационная система государственного органа, негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для формирования государственных электронных информационных ресурсов, информационная система, отнесенная к критически важным объектам информационно - коммуникационной инфраструктуры, информационно -коммуникационная платформа "электронного правительства", интернет - ресурс государственного органа, негосударственная информационная система, негосударственный интернет-ресурс;

      8) инструментальное обследование компонентов инфраструктуры объекта аттестации – проведение сканирования посредством программного средства для удаленной или локальной диагностики каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и элементов сети на предмет выявления в них уязвимостей;

      9) уязвимость объекта аттестации – недостаток в объекте аттестации, который может нарушить работоспособность объекта аттестации, или привести к несанкционированному доступу в обход используемых средств защиты информации;

      10) аттестационное обследование – комплекс организационно-технических мероприятий направленных на изучение, анализ, оценку технической документации объекта аттестации, обследование состояния организации работ по выполнению требований информационной безопасности;

      11) программное обеспечение (далее – ПО) – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации;

      12) комплекс средств защиты (далее – КСЗ) – совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения защиты средств вычислительной техники или информационных систем от несанкционированного доступа к информации;

      13) физические активы – серверное оборудование, оборудование связи, магнитные носители и техническое оборудование, используемое в объекте аттестации.

      4. В настоящей Методике используются следующие нормативные правовые акты и стандарты:

      1) Закон Республики Казахстан от 24 ноября 2015 года "Об информатизации";

      2) Правила проведения аттестации информационной системы, информационно - коммуникационной платформы "электронного правительства", интернет - ресурса государственного органа на соответствие требованиям информационной безопасности, утверждаемые в соответствии с подпунктом 5) статьи 6 Закона;

      3) Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утверждаемые в соответствии с подпунктом 3) статьи 6 Закона (далее – ЕТ);

      4) СТ РК ИСО/МЭК 27002-2009 Методы обеспечения защиты. Свод правил по управлению защитой информации (далее – СТ РК ИСО/МЭК 27002-2009);

      5) СТ РК ИСО/МЭК 27001-2008 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (далее – СТ РК ИСО/МЭК 27001-2008);

      6) СТ РК ГОСТ Р 50739-2006 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования (далее – СТ РК ГОСТ Р 50739-2006).

      5. Аттестационное обследование информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности проводится в следующем порядке:

      1) предварительное изучение структуры объекта аттестации;

      2) изучение, анализ и оценка ТД по ИБ;

      3) обследование состояния организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009, СТ РК ГОСТ Р 50739-95-2006, ТД по ИБ, в том числе инструментальное обследование объекта аттестации;

      4) формирование акта аттестационного обследования.

2. Предварительное изучение структуры объекта аттестации

      6. Предварительное изучение структуры объекта аттестации проводится с целью определения особенностей функционирования объекта аттестации и получения общей информации об аппаратно-программных средствах, локальной и корпоративной сети, технологиях и процедурах по защите информации, применяемых на аттестуемом объекте.

      7. Процесс предварительного изучения структуры включает ознакомление со следующей технической документацией:

      1) техническое задание на создание объекта аттестации;

      2) общая функциональная и локальная схема объекта аттестации;

      3) перечень программных и технических средств используемых в объекте аттестации;

      4) договор на использование информационно-коммуникационных услуг (в случае, если объект аттестации использует информационно-коммуникационные услуги).

3. Изучение, анализ и оценка ТД по ИБ

      8. Изучение, анализ и оценка ТД по ИБ проводится с целью определения полноты, актуальности и корректности требований по информационной безопасности на соответствие требованиям ЕТ, СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009.

      9. Изучению, анализу и оценке на соответствие требованиям информационной безопасности подвергаются следующие ТД по ИБ:

      1) политика информационной безопасности (далее – Политика);

      2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации (далее – Правила идентификации);

      3) методика оценки рисков информационной безопасности (далее – Методика оценки рисков);

      4) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации (далее – Правила по обеспечению непрерывной работы);

      5) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения (далее – Правила инвентаризации);

      6) правила проведения внутреннего аудита информационной безопасности (далее – Правила внутреннего аудита);

      7) правила использования криптографических средств защиты информации (далее – Правила использования криптографических средств);

      8) правила разграничения прав доступа к электронным ресурсам (далее – Правила разграничения доступа);

      9) правил использования Интернет и электронной почты;

      10) правила организации процедуры аутентификации;

      11) правила организации антивирусного контроля;

      12) правила использования мобильных устройств и носителей информации (далее – Правила использования мобильных устройств);

      13) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов (далее – Правила организации физической защиты);

      14) руководство администратора по сопровождению объекта аттестации (далее – Руководство администратора);

      15) регламент резервного копирования и восстановления информации (далее - Регламент резервного копирования);

      16) инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях (далее – Инструкция по внештатным ситуациям).

      10. Каждый ТД по ИБ необходимо проверить на наличие листа ознакомления, его полноту и актуальность.

      11. Результаты изучения, анализа и оценки ТД по ИБ фиксируются в акте аттестационного обследования.

Параграф 1. Изучение, анализ и оценка Политики

      12. Изучение, анализ и оценка Политики проводится с целью определения полноты, актуальности и корректности основных положений Политики и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) основных целей и принципов Политики с раскрытием значимости ИБ как инструмента, обеспечивающего возможность совместного использования информации;

      2) описания действий руководства по достижению целей по обеспечению ИБ;

      3) описание наиболее существенных для государственного органа или организации политики безопасности, принципов, правил и требований;

      4) требований в случае нарушения Политики;

      5) общих определений и функции сотрудников в рамках управления ИБ;

      6) требований к периодическому пересмотру Политики;

      7) функции руководства по поддержанию вопросов обеспечения ИБ.

      13. На основании результатов изучения, анализа и оценки Политики в акт аттестационного обследования заносится одно из следующих решений:

      1) Политика соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 12 настоящей Методики, и их соответствия требованиям ИБ;

      2) Политика не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 12 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 2. Изучение, анализ и оценка Правил идентификации

      14. Изучение, анализ и оценка Правил идентификации проводится с целью определения полноты, актуальности и корректности основных положений Правил идентификации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) порядка по проведению идентификации и классификации активов (информационные активы, физические активы и другие), исходя из правовых требований, их конфиденциальности, а также ценности и критичности;

      2) закрепление ответственных лиц за идентифицированные активы;

      3) порядка составления и ведения реестра активов (с указанием класса актива, вида актива, значимость и владельца актива);

      4) порядка маркировки активов в зависимости от их установленного класса, конфиденциальности, ценности и критичности;

      5) требований по форме реестра активов на полноту сведений.

      15. На основании результатов изучения, анализа и оценки Правил идентификации в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила идентификации соответствуют требованиям ИБ – в случае наличия всех сведений указанных в пункте 14 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила идентификации не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 14 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 3. Изучение, анализ и оценка Методики оценки рисков

      16. Изучение, анализ и оценка Методики оценки рисков проводится с целью определения полноты, актуальности и корректности основных положений Методики оценки рисков и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) выбора методики оценки рисков, выполнение идентификации рисков;

      2) описания методов по определению ценности и критичности информации;

      3) описания порядка мониторинга, пересмотра и изменения рисков ИБ;

      4) описания методов и последовательности по определению рисков информационной безопасности объекта аттестации;

      5)описания метода и последовательности оценки выявленных рисков;

      6) описания метода по обработке рисков;

      7) описания метода и анализа угроз информационной безопасности и источники;

      8) описания метода определения вероятности инцидента;

      9) описания порядка обработки рисков с учетом корректировки, сохранение, избежание, разделение;

      10) описания требований к периодичности пересмотра и переоценки рисков;

      11) определения и оценку последствий в случае реализации риска;

      12) определение ответственных лиц за ведение и обработку рисков;

      13) описания порядка составления карты рисков;

      14) описания порядка формирования плана обработки рисков по результатам оценки и анализа рисков.

      17. На основании результатов изучения, анализа и оценки Методики оценки рисков в акт аттестационного обследования заносится одно из следующих решений:

      1) Методика оценки рисков соответствует требованиям ИБ – в случае наличия всех сведений указанных в пункте 16 настоящей Методики, и их соответствия требованиям ИБ;

      2) Методика оценки рисков не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 16 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 4. Изучение, анализ и оценка Правил по обеспечению
непрерывной работы

      18. Изучение, анализ и оценка Правил по обеспечению непрерывной работы проводится с целью определения полноты, актуальности и корректности основных положений Правил по обеспечению непрерывной работы и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) по идентификации событий, которые являются причиной прерывания процессов функционирования объекта аттестации (планирование должно сопровождаться оценкой рисков);

      2) определения процессов обеспечения непрерывности работы активов, установленных в реестре активов в случае их выхода из строя;

      3) предусматривающих разработку Плана обеспечения непрерывности работы активов, связанных со средствами обработки информации и их актуализация;

      4) о порядке тестирования и обновления планов развития существующих процессов по непрерывности работы активов;

      5) по назначению ответственных лиц за процессы функционирования объекта аттестации;

      6) по проведению анализа Плана обеспечения непрерывности работы активов;

      7) по разработке плана восстановления объекта аттестации;

      8) способы размещения оборудования снижающий риск возникновения угроз, опасностей и возможностей несанкционированного доступа;

      9) способы защиты оборудования от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;

      10) требования периодичности технического обслуживания оборудования для обеспечения непрерывности функционирования, доступности и целостности.

      19. На основании результатов изучения, анализа и оценки Правил по обеспечению непрерывной работы в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила по обеспечению непрерывной работы соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 18 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила по обеспечению непрерывной работы не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 18 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 5. Изучение, анализ и оценка Правил инвентаризации

      20. Изучение, анализ и оценка Правил инвентаризации проводится с целью определения полноты, актуальности и корректности основных положений Правил инвентаризации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований к идентификации средств вычислительной техники (далее – СВТ) c учетам их ценности и важности;

      2) порядок оформления паспортов СВТ;

      3) требований к периодичности проведения инвентаризации и паспортизации СВТ;

      4) требований к утилизации и (или) списанию СВТ, телекоммуникационного оборудования и программного обеспечения, в том числе по утилизации устройств хранения данных и гарантированному уничтожению информации при повторном использования оборудования;

      5) требований по назначению ответственных за инвентаризацию и паспортизацию СВТ;

      6) требований к использованию, приобретению и учету лицензионного ПО.

      21. На основании результатов изучения, анализа и оценки Правил инвентаризации в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила инвентаризации соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 20 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила инвентаризации не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 20 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 6. Изучение, анализ и оценка Правил
внутреннего аудита

      22. Изучение, анализ и оценка Правил внутреннего аудита проводится с целью определения полноты, актуальности и корректности основных положений Правил внутреннего аудита и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) основных целей внутреннего аудита информационной безопасности;

      2) требований по предоставлению доступа аудиторам;

      3) требований к инструментальному аудиту;

      4) требования по периодичности проведения внутреннего аудита;

      5) требований к наличию и ведению плана - графика поэтапного проведения внутреннего аудита;

      6) требования по порядку формирования рабочей группы по проведению внутреннего аудита;

      7) требований по планированию, порядку и составу проведения аудита для объектов аттестации;

      8) порядка и формы оформления результатов внутреннего аудита информационной безопасности.

      23. На основании результатов изучения, анализа и оценки Правил внутреннего аудита в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила внутреннего аудита соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 22 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила внутреннего аудита не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 22 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 7. Изучение, анализ и оценка Правил использования
криптографических средств

      24. Изучение, анализ и оценка Правил использования криптографических средств проводится с целью определения полноты, актуальности и корректности основных положений Правил использования криптографических средств и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) политики использования криптографических средств защиты информации в соответствии с разделом 15.1.6 СТ РК ИСО МЭК 27002-2009;

      2) требования к системе управления ключами;

      3) требований по срокам активизации и дезактивации ключей;

      4) требования по сертификату открытых ключей;

      5) требования к криптографическому шифрованию конфиденциальной информации при хранении, обработке и передаче по сетям телекоммуникаций в соответствии с заданием по безопасности.

      25. На основании результатов изучения, анализа и оценки Порядка использования криптографических средств в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила использования криптографических средств соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 24 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила использования криптографических средств не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 24 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 8. Изучение, анализ и оценка Правил
разграничения доступа

      26. Изучение, анализ и оценка Правил разграничения доступа проводится с целью определения полноты, актуальности и корректности основных положений Правил разграничения доступа и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) описания стадии регистрации пользователей, с момента регистрации нового пользователя до снятия с регистрации пользователя;

      2) описания перечня предоставляемых прав доступа к ресурсам;

      3) описания порядка предоставления прав доступа;

      4) требований по ведению учета всех зарегистрированных пользователей;

      5) требований по проведению пересмотра прав доступа пользователей;

      6) требований по ознакомлению пользователей о запрете разглашения либо передачи полученных идентификаторов;

      7) описание требований по блокировке учетной записи.

      27. На основании результатов изучения, анализа и оценки Правил разграничения доступа в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила разграничения доступа соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 26 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила разграничения доступа не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 26 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 9. Изучение, анализ и оценка Правил использования
Интернет и электронной почты

      28. Изучение, анализ и оценка Правил использования Интернет и электронной почты проводится с целью определения полноты, актуальности и корректности основных положений Правил использования Интернет и электронной почты и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) порядка использования электронной почты;

      2) требования к оформлению электронного сообщения;

      3) порядка и способов предоставления доступа в Интернет;

      4) мониторинга и контроля доступа в Интернет;

      5) требования об осуществлении электронного взаимодействия ведомственной электронной почты государственного органа с внешними электронными почтовыми системами только через единый шлюз электронной почты.

      29. На основании результатов изучения, анализа и оценки Правил использования Интернет и электронной почты в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила использования Интернет и электронной почты соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 28 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила использования Интернет и электронной почты не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 28 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 10. Изучение, анализ и оценка Правил организации
процедуры аутентификации

      30. Изучение, анализ и оценка Правил организации аутентификации проводится с целью определения полноты, актуальности и корректности основных положений Правил организации аутентификации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по уведомлению пользователей о необходимости сохранения конфиденциальности вверенных им идентификаторов;

      2) требований по уведомлению пользователей о запрете записи паролей, пин-кодов на бумаге, персональном компьютере или на переносных устройствах, если только не обеспечено безопасное их хранение;

      3) описания порядка безопасного способа выдачи временных паролей;

      4) описания требований к временным паролям;

      5) требований о необходимости изменения идентифицирующих данных, при наличии любого признака возможности компрометации идентификатора;

      6) требований по выбору качественных паролей;

      7) описания требований по изменению парольной аутентификации через равные интервалы времени;

      8) описания требований по смене временных паролей при первой регистрации в системе;

      9) описания требований по запрету включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш.

      31. На основании результатов изучения, анализа и оценки Правил организации аутентификации пользователей в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила организации аутентификации пользователей соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 30 настоящей Методики;

      2) Правил организации аутентификации пользователей не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 30 настоящей Методики.

Параграф 11. Изучение, анализ и оценка Правил организации
антивирусного контроля

      32. Изучение, анализ и оценка Правил организации антивирусного контроля проводится с целью определения полноты, актуальности и корректности основных положений Правил организации антивирусного контроля и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по использованию лицензионных антивирусных программных обеспечений.

      2) требований по периодичности обновления антивирусных программных обеспечений;

      3) требований для пользователей, по соблюдению информационной безопасности при использовании антивирусных программных обеспечений;

      4) требований к веб - страницам на наличие вредоносного программного обеспечения;

      5) требований по анализу всех файлов на носителях информации сомнительного или неавторизованного происхождения или файлов, полученных из общедоступных сетей, на наличие вирусов;

      6) требований по анализу электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения

      7) требований по организации мероприятий по управлению информационной безопасностью для борьбы с вредоносным программным обеспечением;

      8) описания процедур по восстановлению информации после вирусных атак.

      33. На основании результатов изучения, анализа и оценки Правил организации антивирусного контроля в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила организации антивирусного контроля соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 32 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила организации антивирусного контроля не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 32 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 12. Изучение, анализ и оценка Правил использования
мобильных устройств

      34. Изучение, анализ и оценка Правил использования мобильных устройств проводится с целью определения полноты, актуальности и корректности основных положений Правила использования мобильных устройств и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по анализу рисков в случае использования мобильных устройств за пределами организации;

      2) требований по физической защите мобильных устройств и носителей информации;

      3) требований по составлению перечня мобильных устройств, носителей информации и их маркировка;

      4) требований к ведению журнала выдачи носителей информации.

      5) порядка использования носителей информации;

      6) порядка учета, хранения и обращения со съемными носителями персональных данных, и их утилизации;

      7) требований к сотрудникам при использовании съемных носителей;

      8) способов защиты мобильного оборудования, находящегося за пределами рабочего места, с учетом различных рисков работы за пределами организационных помещений;

      9) порядка действий при выявлении фактов несанкционированных действий сотрудников при использовании, а также при утрате и уничтожении съемных носителей персональных данных.

      35. На основании результатов изучения, анализа и оценки Правил использования мобильных устройств в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила использования мобильных устройств соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 34 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила использования мобильных устройств не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 34 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 13. Изучение, анализ и оценка Правил организации
физической защиты

      36. Изучение, анализ и оценка Правил организации физической защиты проводится с целью определения полноты, актуальности и корректности основных положений Правил организации физической защиты и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований к организации физической защиты серверного помещения в соответствии с ЕТ и разделом 9.1.1, 9.1.3, 9.1.4, СТ РК ИСО/МЭК 27002-2009;

      2) требований к организации контроля доступа в серверные помещения в соответствии с ЕТ и разделом 9.1.2 СТ РК ИСО/МЭК 27002-2009;

      3) требований по выполнению работ в серверном помещений в соответствии с ЕТ и разделом 9.1.5СТ РК ИСО/МЭК 27002-2009;

      4) требований по безопасному размещению серверного оборудования в соответствии с ЕТ и разделом 9.2.1СТ РК ИСО/МЭК 27002-2009;

      5) требований по организации вспомогательных услуг в соответствии с ЕТ и разделом 9.2.2 СТ РК ИСО/МЭК 27002-2009;

      6) требований по безопасному использованию кабельной сети в соответствии с ЕТ и разделом 9.2.3 СТ РК ИСО/МЭК 27002-2009;

      7) требований по безопасному техническому обслуживанию серверного оборудования в соответствии с ЕТ и разделом 9.2.4 СТ РК ИСО/МЭК 27002-2009;

      8) требований к безопасной утилизации или повторному использованию оборудования в соответствии с ЕТ и разделом 9.2.6 СТ РК ИСО/МЭК 27002-2009;

      9) требований к выносу/вносу оборудования в соответствии с ЕТ и разделом 9.2.7 СТ РК ИСО/МЭК 27002-2009.

      37. На основании результатов изучения, анализа и оценки Правил организации физической защиты в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила организации физической защиты соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 36 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила организации физической защиты не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 36 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 14. Изучение, анализ и оценка Руководства
администратора

      38. Изучение, анализ и оценка Руководства администратора проводится с целью определения полноты, актуальности и корректности основных положений Руководства администратора и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований к действиям администратора по основным типовым работам;

      2) требования к действиям администратора при возникновении инцидентов, внештатных ситуаций, стихийных природно-климатических и техногенных воздействий;

      3) порядок по установке, обновления и удаления ПО на серверах и рабочих станциях;

      4) процедуры управления изменениями и анализа ПО в случае изменения системного ПО.

      39. На основании результатов изучения, анализа и оценки Руководства администратора в акт аттестационного обследования заносится одно из следующих решений:

      1) Руководство администратора соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 38 настоящей Методики, и их соответствия требованиям ИБ;

      2) Руководство администратора не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 38 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 15. Изучение, анализ и оценка Регламента
резервного копирования

      40. Изучение, анализ и оценка Регламента резервного копирования проводится с целью определения полноты, актуальности и корректности основных положений Регламента резервного копирования и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) описания требований по составу информации, подлежащей резервному копированию;

      2) определения объема резервного копирования;

      3) описаний требований по размещению резервного оборудования, резервных копий и выбору места хранения резервных копий;

      4) описаний требований по тестированию резервных копий и резервного оборудования;

      5) описаний требований по размещению резервного серверного оборудования и ее физической защиты;

      6) описаний процедур копирования информации и восстановления информации;

      7) требования о периодичности резервирования информации и составлении графика резервного копирования;

      8) требований по документированию процесса резервного копирования в части ведения реестра эталонных копий, реестра информационных ресурсов, подлежащих резервному копированию, журнала записи резервного копирования, журнала проверок резервных копий на восстановление, журнала учета электронных носителей резервной информации, журнала вноса/выноса электронных носителей резервной информации.

      41. На основании результатов изучения, анализа и оценки Регламента резервного копирования в акт аттестационного обследования заносится одно из следующих решений:

      1) Регламент резервного копирования соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 40 настоящей Методики, и их соответствия требованиям ИБ;

      2) Регламент резервного копирования не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 40 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 16. Изучение, анализ и оценка Инструкции по
внештатным ситуациям

      42. Изучение, анализ и оценка Инструкции по внештатным ситуациям проводится с целью определения полноты, актуальности и корректности основных положений Инструкции по внештатным ситуация и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по составлению перечня возможных внештатных или кризисных ситуаций, идентификация инцидентов по ИБ;

      2) требование о назначении ответственных лиц за оповещение в случае инцидентов информационной безопасности;

      3) порядок оповещения при возникновении внештатных ситуаций;

      4) требования по принятию мер реагирования при возникновении инцидентов ИБ, внештатных (кризисных) ситуаций;

      5) требования по разработке процедур восстановления работы в случае их остановки;

      6) требования по осуществлению контроля за выполнением профилактических действий для предотвращения возникновения внештатных или кризисных ситуаций;

      7) требований по расследованию случаев возникновения инцидентов и других внештатных ситуаций.

      43. На основании результатов изучения, анализа и оценки Инструкции по внештатным ситуациям в акт аттестационного обследования заносится одно из следующих решений:

      1) Инструкция по внештатным ситуациям соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 42 настоящей Методики, и их соответствия требованиям ИБ;

      2) Инструкция по внештатным ситуациям не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 42 настоящей Методики, либо их не соответствия требованиям ИБ.

4. Обследование состояния организации работ по выполнению
требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2008 и СТ РК
ИСО/МЭК 27002-2009, СТ РК ГОСТ Р 50739-95-2006, ТД по ИБ, в том
числе инструментальное обследование объекта аттестации

      44. Обследование состояние организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009, СТ РК ГОСТ Р 50739-95-2006, ТД по ИБ в том числе инструментальное обследование объекта аттестации проводится с целью обследования и анализа:

      1) положений Политики;

      2) процессов по управлению информационной безопасностью;

      3) организации управления активами;

      4) обеспечения безопасности, связанной с персоналом;

      5) физической защиты оборудования и безопасности окружающей среды;

      6) обеспечения надлежащего и безопасного функционирования средств обработки информации;

      7) организации управления доступом к информационным ресурсам;

      8) процессов разработки, внедрения и обслуживания объектов аттестации;

      9) организации управления инцидентами в области информационной безопасности;

      10) управления непрерывности бизнеса;

      11) степени соответствия правовым требованиям;

      12) системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739-95-2006.

      45. Результаты обследования состояние организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009, СТ РК ГОСТ Р 50739-95-2006, ТД по ИБ в том числе инструментальное обследование объекта аттестации фиксируются в акте аттестационного обследования.

Параграф 1. Обследование и анализ положений Политики

      46. При обследовании и анализе положений Политики необходимо проверить:

      1) одобрение руководством Политики, опубликование и доведение до сведения всех сотрудников и связанных внешних организаций;

      2) понимание и принятие Политики сотрудниками организации;

      3) периодический пересмотр Политики;

      4) адекватность и выполнимость требований документов;

      5) результаты анализа Политики через запланированные интервалы времени или в случае возникновения значительных изменений;

      6) наличие ответственного лица за руководство разработкой, анализом Политики.

      47. По итогам изучения и анализа положений Политики в акт аттестационного обследования заносится одно из следующих решений:

      1) положение Политики соответствует требованиям ИБ – в случае выполнение пункта 46 настоящей Методики;

      2) положение Политики не соответствует требованиям ИБ – в случае не выполнения одного и более подпунктов пункта 46 настоящей Методики.

Параграф 2. Обследование и анализ процессов по управлению
информационной безопасностью

      48. При обследовании и анализе процессов по управлению информационной безопасностью, необходимо осуществить обследование следующих процессов:

      1) функционирование подразделения, ответственное за обеспечение информационной безопасности и (или) ответственное лицо за обеспечение информационной безопасности объекта аттестации;

      2) функционирование органа (технический совет, рабочая группа по информационной безопасности) по вопросам информационной безопасности, с участием высшего руководства организации, для обсуждения политик, рисков и других вопросов информационной безопасности;

      3) проведение в организации регулярных совещаний руководства по вопросам координации действий по поддержанию режима безопасности;

      4) разделение ролей и ответственности в области информационной безопасности между сотрудниками организации;

      5) координация деятельности по вопросам ИБ внутри подразделений и между подразделениями государственного органа или организации;

      6) внедрение идентификации рисков организации и средств обработки информации со стороны бизнес-процессов, затрагивающих сторонние организации (в случае если привлекаются сторонние организации);

      7) соблюдение требований к безопасности перед предоставлением сторонним организациям права доступа к информации или активам организации (в случае если привлекаются сторонние организации);

      8) соблюдение требований безопасности в соглашении со сторонней организацией, включающих доступ, обработку, передачу или управление информацией организации или средствами ее обработки (в случае если привлекаются сторонние организации).

      49. На основании результатов обследования и анализа процессов по управлению информационной безопасностью в акт аттестационного обследования заносится одно из следующих решений:

      1) процесс по управлению информационной безопасностью соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 48 настоящей Методики;

      2) процесс по управлению информационной безопасностью не соответствует требованиям ИБ – в случае не выполнении подпунктов, указанных в пункте 48 настоящей Методики.

Параграф 3. Обследование и анализ организации
управления активами

      50. При обследовании и анализе организации управления активами необходимо осуществить обследование следующих процессов:

      1) анализ идентификации, оформления и поддержки в рабочем состоянии инвентарной ведомости всех активов связанных с объектом аттестации;

      2) определение степени владения организацией или государственного органа информации и активов, связанных со средствами обработки информации;

      3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов.

      5) анализ классификации информации с точки зрения ее ценности, законодательных требований, чувствительности и критичности для организации;

      6) маркировки и обращения с информацией в соответствии с принятой в организации схемой классификации и их исполнения.

      51. На основании результатов обследовании и анализе процессов организации управления активами в акт аттестационного обследования заносится одно из следующих решений:

      1) организация управления активами соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 50 настоящей Методики;

      2) организаци управления активами не соответствует требованиям ИБ – в случае не выполнения подпунктов пункта 50 настоящей Методики.

Параграф 4. Обследование и анализ обеспечения безопасности,
связанной с персоналом

      52. При обследовании и анализе обеспечения безопасности, связанной с персоналом необходимо обследовать:

      1) функции персонала по обеспечению безопасности и исполнение закрепленных функций по ИБ в соответствии с разделом 8.1.1 СТ РК ИСО/МЭК 27002-2009;

      2) полноту требований по информационной безопасности устанавливаемых для сотрудников при приеме на работу в соответствии с разделом 8.1.2 СТ РК ИСО/МЭК 27002-2009;

      3) условия трудового договора в части информационной безопасности в соответствии с разделом 8.1.3 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      4) соблюдение требования руководства о соблюдении безопасности в соответствии с установленными политиками и процедурами организации сотрудниками, подрядчиками и пользователями третьей стороны в соответствии с разделом 8.2.1 СТ РК ИСО/МЭК 27002-2009;

      5) осведомленность, обучение и переподготовку сотрудников в области информационной безопасности в соответствии с разделом 8.2.2 СТ РК ИСО/МЭК 27002-2009;

      6) наличие формализованного дисциплинарного процесса для сотрудников, нарушивших требования безопасности и его фактическое применение в соответствии с разделом 8.2.3 СТ РК ИСО/МЭК 27002-2009;

      7) наличие ответственности сотрудников при окончании срока или изменении условий трудоустройства в части информационной безопасности (возврат активов, аннулирование прав доступа) в соответствии с разделом 8.3 СТ РК ИСО/МЭК 27002-2009 и ЕТ.

      53. На основании результатов обследования и анализа обеспечения безопасности, связанных с персоналом в акт аттестационного обследования заносится одно из следующих решений:

      1) обеспечение безопасности, связанное с персоналом соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 52 настоящей Методики;

      2) обеспечение безопасности, связанное с персоналом не соответствует требованиям ИБ – в случае невыполнения подпунктов пункта 52 настоящей Методики.

Параграф 5. Обследование и анализ физической защиты
оборудования и безопасности окружающей среды

      54. При обследовании и анализе физической защиты оборудования и безопасности окружающей среды необходимо осуществить обследование следующих процессов:

      1) обеспечение физической защиты периметра и серверного помещения в соответствии с разделом 9.1.1 СТ РК ИСО/МЭК 27002-2009;

      2) организация контроля доступа в серверные помещения в соответствии с разделом 9.1.2 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      3) организация защиты от внешних угроз в соответствии с разделом с 9.1.4 СТ РК ИСО/МЭК 27002-2009;

      4) организация работ в серверных помещениях в соответствии с разделом 9.1.5 СТ РК ИСО/МЭК 27002-2009;

      5) обеспечение информационной безопасности при приеме и отгрузки материальных ценностей в зонах общественного доступа (если таковые имеются) в соответствии с разделом 9.1.6 и 9.2.7 СТ РК ИСО/МЭК 27002-2009;

      6) размещение оборудования (включая и то, что используется вне организации) для обеспечения защиты и информационной безопасности в соответствии с разделом 9.2.1 и 9.2.5 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      7) обеспечение защиты от перебоев в подаче электроэнергии и других сбоев, связанных с отказом в обеспечении вспомогательных услуг в соответствии с разделом 9.2.2 СТ РК ИСО/МЭК 27002-2009;

      8) обеспечение информационной безопасности кабельной сети в соответствии с разделом 9.2.3 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      9) обеспечение информационной безопасности при техническом обслуживании серверного оборудования в соответствии с разделом 9.2.4 СТ РК ИСО/МЭК 27002-2009;

      10) обеспечение информационной безопасности серверного оборудования, используемого вне серверного помещения в соответствии с разделом 9.2.5 СТ РК ИСО/МЭК 27002-2009;

      11) организация безопасной утилизации (списания) оборудования в соответствии с разделом 9.2.6 СТ РК ИСО/МЭК 27002-2009.

      55. На основании результатов обследования и анализа физической защиты оборудования и безопасности окружающей среды в акт аттестационного обследования заносится одно из следующих решений:

      1) физическая защита оборудования и безопасности окружающей среды соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 54 настоящей Методики;

      2) физическая защита оборудования и безопасности окружающей среды не соответствует требованиям ИБ – в случае не выполнения подпунктов пункта 54 настоящей Методики.

Параграф 6. Обследование и анализ обеспечения надлежащего и
безопасного функционирования средств обработки информации

      56. При обследовании и анализе обеспечения надлежащего и безопасного функционирования средств обработки информации необходимо осуществить обследование следующих процессов:

      1) документальное оформление операционных процедур, ведение контроля изменений в объекте аттестации, разграничение обязанностей в объекте аттестации и разграничение средств разработки, тестирования и эксплуатации в соответствии с разделом 10.1 СТ РК ИСО/МЭК 27002-2009;

      2) соблюдение требований информационной безопасности при получение услуг от сторонних организации и (или) поставке услуг сторонним организациям в соответствии с разделом 10.2 СТ РК ИСО/МЭК 27002-2009;

      3) обеспечение информационной безопасности при управлении производительностью объектов аттестации в соответствии с разделом СТ РК ИСО/МЭК 27002-2009;

      4) обеспечение безопасной защиты от вредоносного кода в соответствии с разделом 10.4 СТ РК ИСО/МЭК 27002-2009;

      5) соблюдение требований информационной безопасности при проведении процедур резервирования информации в объектах аттестации в соответствии с разделом 10.5 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      6) обеспечение информационной безопасности при управлении сетью в соответствии с разделом 10.6 СТ РК ИСО/МЭК 27002-2009;

      7) исполнение требований к локальной и ведомственной (корпоративной) сети, установленных в ЕТ;

      8) соблюдение информационной безопасности при работе с носителями информации (ленты, диски, флеш - накопители) в соответствии с разделом 10.7 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      9) соблюдение информационной безопасности при обмене информации в соответствии с разделом 10.8 СТ ИСО/МЭК 27002-2009;

      10) обеспечения мониторинга информационной безопасности в объекта аттестации в соответствии с разделом 10.10 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      11) обеспечение надлежащего и безопасного функционирования вычислительных ресурсов, реализующих технологии виртуализации и "облачных" вычислений в соответствии с требованиями ЕТ.

      57. На основании результатов обследования и анализа обеспечения надлежащего и безопасного функционирования средств обработки информации в акт аттестационного обследования заносится одно из следующих решений:

      1) обеспечение надлежащего и безопасного функционирования средств обработки информации соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 56 настоящей Методики

      2) обеспечение надлежащего и безопасного функционирования средств обработки информации не соответствует требованиям ИБ – в случае не выполнения одно и более подпунктов пункта 56 настоящей Методики.

Параграф 7. Обследование и анализ организации управления
доступом к информационным ресурсам

      58. При обследовании и анализе организации управления доступа к информационным ресурсам необходимо обследовать следующие процессы:

      1) обеспечение информационной безопасности по контролю доступа к информации и объекту аттестации в соответствии с разделом 11.1. СТ РК ИСО/МЭК 27002-2009;

      2) обеспечение информационной безопасности при управлении доступом пользователей в объекте аттестации в соответствии с разделом 11.2 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      3) осведомление пользователей об их функциональных обязанностях по управлению доступом и их исполнение в соответствие с разделом 11.3. СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      4) обеспечение информационной безопасности при предоставлении доступа сетевым сервисам в соответствии с разделом 11.4. СТ РК ИСО/МЭК 27002-2009;

      5) обеспечение информационной безопасности при предоставлении доступа к операционной системе в соответствии с разделом 11.5. СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      6) обеспечение контроля доступа к прикладным системам и информации в соответствии с разделом 11.6 СТ РК ИСО/МЭК 27002-2009 и ЕТ;

      7) соблюдение требований информационной безопасности при работе с переносными устройствами и работа в дистанционном режиме в соответствии с разделом 11.7 СТ РК ИСО МЭК 27002-2009;

      8) разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний, с исполнением требовании установленных в ЕТ (для информационных систем);

      9) обеспечение информационной безопасности интернет – ресурса в соответствии с ЕТ.

      59. На основании результатов обследования и анализа организации управления доступа к информационным ресурсам в акт аттестационного обследования заносится одно из следующих решений:

      1) организация управления доступа к информационным ресурсам соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 58 настоящей Методики;

      2) организация управления доступа к информационным ресурсам не соответствует требованиям ИБ – в случае не выполнения одного и более подпунктов пункта 58 настоящей Методики.

Параграф 8. Обследование и анализ процессов разработки,
внедрения и обслуживания объектов аттестации

      60. При аттестационном обследовании и анализе процессов разработки, внедрения и обслуживание объектов аттестации необходимо обследовать:

      1) обеспечение информационной безопасности на каждом этапе жизненного цикла в соответствии с разделом 12.1 СТ РК ИСО МЭК 27002-2009;

      2) обеспечение информационной безопасности при обработке данных в объекте аттестации в соответствии с разделом 12.2 СТ РК ИСО МЭК 27002-2009;

      3) корректность использования криптографических средств защиты информации в соответствии с разделом 12.3 СТ РК ИСО МЭК 27002-2009;

      4) обеспечение информационной безопасности системных файлов объекта аттестации в соответствии с разделом 12.4 СТ РК ИСО МЭК 27002-2009;

      5) обеспечение информационной безопасности в процессе разработки и внедрения объекта аттестации в соответствии с разделом 12.5 СТ РК ИСО МЭК 27002-2009;

      6) проведение работ по устранению, мониторингу уязвимостей объекта аттестации в соответствии с разделом 12.6 СТ РК ИСО МЭК 27002-2009;

      7) разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний, с исполнением требований, установленных в ЕТ (для информационных систем);

      8) обеспечение информационной безопасности интернет - ресурса в соответствии с ЕТ.

      61. На основании результатов обследования и анализа процессов разработки, внедрения и обслуживание объектов аттестации в акт аттестационного обследования заносится одно из следующих решений:

      1) процессы разработки, внедрения и обслуживания объектов аттестации соответствуют требованиям ИБ – в случае выполнения всех подпунктов пункта 60 настоящей Методики;

      2) процессы разработки, внедрения и обслуживания объектов аттестации не соответствуют требованиям ИБ – в случае не выполнения подпунктов пункта 60 настоящей Методики.

Параграф 9. Обследование и анализ организации управления
инцидентами в области информационной безопасности

      62. При обследовании и анализе организации управления инцидентами в области информационной безопасности необходимо обследовать следующие процессы:

      1) оповещение о случаях нарушения информационной безопасности, позволяющей обеспечить быстрое, результативное и последовательное реагирование на инциденты в области информационной безопасности в соответствии с разделом 13.1. СТ РК ИСО МЭК 27002-2009;

      2) назначение ответственности руководства в соответствии с разделом 13.2.1 СТ РК ИСО МЭК 27002-2009;

      3) мониторинг и регистрация инцидентов информационной безопасности, оперативность информирования об инцидентах в области информационной безопасности, процедуры составлению отчетов об инцидентах информационной безопасности в соответствии с разделом 13.2.2 СТ РК ИСО МЭК 27002-2009;

      4) сбор, сохранение и предоставление информации об инцидентах информационной безопасности на случай, если инцидент информационной безопасности может привести к судебному разбирательству в соответствии с разделом 13.2.3 СТ РК ИСО МЭК 27002-2009;

      5) регистрация событий, связанных с состоянием информационной безопасности и выявление нарушений путем анализа журналов событий в соответствие с ЕТ.

      63. На основании результатов обследования и анализа организации управления инцидентами информационной безопасности в акт аттестационного обследования заносится одно из следующих решений:

      1) организация управления инцидентами в области информационной безопасности соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 62 настоящей Методики;

      2) организация управления инцидентами в области информационной безопасности не соответствует требованиям ИБ – в случае невыполнения подпунктов пункта 62 настоящей Методики.

Параграф 10. Обследование и анализ управления
непрерывности бизнеса

      64. При обследовании и анализе управления непрерывности бизнеса необходимо обследовать следующие процессы:

      1) развитие и поддержки непрерывности бизнеса включающие в себя процессы по информационной безопасности в соответствии с разделом 14.1.1 СТ РК ИСО МЭК 27002-2009;

      2) идентификация событий, которые являются причиной прерывания бизнес-процессов в соответствии с разделом 14.1.2;

      3) реализация планов непрерывности бизнеса в соответствии с разделом 14.1.3 СТ РК ИСО МЭК 27002-2009;

      4) проведение тестирования, поддержки и пересмотра планов по обеспечению непрерывности бизнеса в соответствии с разделом 14.1.5 СТ РК ИСО МЭК 27002-2009.

      65. На основании результатов обследования и анализа управления непрерывности бизнеса в акт аттестационного обследования заносится одно из следующих решений:

      1) управление непрерывностью бизнеса соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 64 настоящей Методики;

      2) управление непрерывностью бизнеса не соответствует требованиям ИБ – в случае невыполнения подпунктов пункта 64 настоящей Методики.

Параграф 11. Обследование и анализ степени соответствия
правовым требованиям

      66. При обследовании и анализе степени соответствия правовым требованиям необходимо обследовать следующие процессы:

      1) защита записей организации от потери, разрушения и фальсификации в соответствии с законодательными, другими обязательными, контрактными требованиями и бизнес – требованиями в соответствии с разделом 15.1.3 СТ РК ИСО МЭК 27002-2009;

      2) обеспечение информационной безопасности при переносе конфиденциальной персональной информации в соответствии с разделом 15.1.4 СТ РК ИСО МЭК 27002-2009;

      3) контроль нецелевого использования средств обработки информации в соответствии с разделом 15.1.5 СТ РК ИСО МЭК 27002-2009;

      4) проведение мероприятий по управлению техническими уязвимостями в ручную и (или) при помощи соответствующих инструментальных и программных средств в соответствии с разделом 15.2.2 СТ РК ИСО МЭК 27002-2009;

      5) применение мер по управлению и согласованию при проведении аудита информационной безопасности в соответствии с разделом 15.3.1 СТ РК ИСО МЭК 27002-2009;

      6) обеспечение информационной безопасности при доступе инструментальных средств аудита в соответствие с разделом 15.3.2 СТ РК ИСО МЭК 27002-2009.

      67. На основании результатов обследования и анализа степени соответствия правовым требованиям в акт аттестационного обследования заносится одно из следующих решений:

      1) степень соответствия правовым требованиям соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 66 настоящей Методики;

      2) степень соответствия правовым требованиям не соответствует требованиям ИБ – в случае не выполнении подпунктов пункта 66 настоящей Методики.

Параграф 12. Обследование и анализ системы
защиты от несанкционированного доступа к информации
согласно СТ РК ГОСТ Р 50739-95-2006

      68. При обследовании и анализе системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739-95-2006 необходимо обследовать следующие процессы:

      1) обеспечение защищенность информации при ее обработке в объекте аттестации от НСД в соответствии с разделом 4 СТ РК ГОСТ Р 50739-2006;

      2) реализация разграничения прав доступа показателями защищенности в соответствии с разделом 5.1. СТ РК ГОСТ Р 50739-2006;

      3) исполнение требовании к учету, предусматривающие то, что СВТ должны поддерживать регистрацию событий, имеющих отношение к защищенности информации в соответствии с разделом 5.2

      СТ РК ГОСТ Р 50739-2006;

      4) исполнение требований к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету в соответствии с разделом 5.3 СТ РК ГОСТ Р 50739-2006;

      5) подробное и всестороннее описание комплексных средств защиты в соответствии с разделом 6 СТ РК ГОСТ Р 50739-2006.

      69. На основании результатов изучения и анализа объектов аттестации на соответствие требованиям защиты от несанкционированного доступа в акт аттестационного обследования заносится одно из следующих решений:

      1) система защиты от несанкционированного доступа объекта аттестации согласно СТ РК ГОСТ Р 50739-95-2006 соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 68 настоящей Методики;

      2) система защиты от несанкционированного доступа объекта аттестации согласно СТ РК ГОСТ Р 50739-95-2006 не соответствует требованиям защиты – в случае не выполнения подпунктов пункта 68 настоящей Методики.

Параграф 13. Инструментальное обследование объекта аттестации

      70. Инструментальное обследование объекта аттестации проводится с целью выявления уязвимостей на объекте аттестации, в частности в системе защиты от внешнего и внутреннего проникновения, с помощью специализированного программного - аппаратного комплекса (далее - ПАК) на основании учетных записей для доступа к компонентам объекта аттестации, предоставленных заявителем.

      71. Проведение инструментального обследования объекта аттестации включает в себя:

      1) настройку ПАК (прописка учетной записи для проведения локальных и удаленных проверок, выбор режима инструментального обследования и т.п.);

      2) запуск ПАК;

      3) формирование и выдачу программного отчета, включающего в себя перечень выявленных уязвимостей с указанием их описания, количества и уровня;

      4) экспертную оценку результатов инструментального обследования и формирование отчета, который прилагается к акту аттестационного (дополнительного аттестационного) обследования.

      72. На основании результатов инструментального обследования в акт аттестационного обследования заносится одно из следующих решений:

      1) система защиты от внешнего и внутреннего проникновения соответствует требованиям ИБ – в случае отсутствия уязвимостей;

      2) система защиты от внешнего и внутреннего проникновения не соответствует требованиям ИБ – в случае наличия уязвимостей.

5. Формирование Акта аттестационного обследования

      73. Результаты аттестационного обследования оформляются в виде акта аттестационного обследования, который составляется по окончанию всех видов работ, входящих в аттестационное обследование, на основании полного комплекта проверочных листов по всем работам;

      74. Акт аттестационного обследования составляется в произвольной форме и включает в себя:

      1) результаты изучения, анализа и оценки ТД по ИБ;

      2) отчет о состоянии организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2008 и СТ РК ИСО/МЭК 27002-2009, СТ РК ГОСТ Р 50739-95-2006, ТД по ИБ;

      3) отчет по инструментальному обследованию объекта аттестации;

      4) заключение по результатам всех видов работ аттестационного обследования и рекомендации по устранению несоответствий в случае их наличия.

      75. Акт аттестационного обследования составляется в пяти экземплярах, один из которых остается в государственной технической службе, а оставшиеся передаются в уполномоченный орган для членов аттестационной комиссии и заявителю.

Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесін бекіту туралы

Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 28 қаңтардағы № 108 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2016 жылы 25 ақпанда № 13236 болып тіркелді. Күші жойылды - Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 28 наурыздағы № 51/НҚ бұйрығымен

      Ескерту. Күші жойылды – ҚР Қорғаныс және аэроғарыш өнеркәсібі министрінің 28.03.2018 № 51/НҚ (алғаш ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының заңы 7-бабының 26) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі бекітілсін.

      2. Қазақстан Республикасы Инвестициялар және даму министрлігінің Байланыс, ақпараттандыру және ақпарат комитеті (Т.Б. Қазанғап):

      1) осы бұйрықтың Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелуін;

      2) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін оның көшірмелерін баспа және электрондық түрде күнтізбелік он күн ішінде мерзімді баспа басылымдарында және "Әділет" ақпараттық-құқықтық жүйесінде ресми жариялауға, сондай-ақ тіркелген бұйрықты алған күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін Республикалық құқықтық ақпарат орталығына жіберуді;

      3) осы бұйрықты Қазақстан Республикасы Инвестициялар және даму министрлігінің интернет-ресурсында және мемлекеттік органдардың интранет-порталында орналастыруды;

      4) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Инвестициялар және даму министрлігінің Заң департаментіне осы бұйрықтың 2-тармағының 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Инвестициялар және даму вице-министріне жүктелсін.

      4. Осы бұйрық оның алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасы


Инвестициялар және даму


министрінің міндетін атқарушы

Ж. Қасымбек


  Қазақстан Республикасы
Инвестициялар және даму
министрінің міндетін атқарушының
2016 жылғы 28 қаңтардағы
№ 108 бұйрығымен бекітілген

Ақпараттық жүйені, "электрондық үкіметтің"
ақпараттық-коммуникациялық тұғырнамасын, мемлекеттік органның
интернет-ресурсын ақпараттық қауіпсіздік талаптарына
сәйкестігіне аттестаттау жүргізу әдістемесі
1. Жалпы ережелер

      1. Осы Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық тұғырнамасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу әдістемесі (бұдан әрі – Әдістеме) "Ақпараттандыру туралы" 2015 жылғы 25 қарашадағы Қазақстан Республикасы заңының 7-бабы 26) тармақшасына (бұдан әрі – Заң) сәйкес әзірленді.

      2. Осы Әдістеме ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық тұғырнамасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізуге арналған.

      3. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

      1) ақпараттық активтер – дерекқорлары, жүйелік құжаттама, пайдаланушыға арналған басшылықтар, есеп материалдары, аттестаттау объектісін пайдалану немесе қолдау процедуралары, ақпараттық қамтамасыз етудің үздіксіз жұмыс істеуін қамтамасыз ету жөніндегі жоспарлар және басқа құжаттама;

      2) ақпараттық жүйе (бұдан әрі – АЖ) – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсетуші персоналдың және техникалық құжаттаманың ұйымдастырушылық-реттелген жиынтығы;

      3) ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық тұғырнамасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау (бұдан әрі - аттестаттау) – аттестаттау объектілерінің қорғалу жай-күйін, сондай-ақ олардың ақпараттық қауіпсіздік талаптарына сәйкестігін анықтау бойынша ұйымдастырушылық-техникалық іс-шаралар;

      4) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі - АҚ жөніндегі ТҚ) – ақпараттық қауіпсіздік саласындағы стандарттарға сәйкес әзірленген және аттестаттау объектісінің ақпараттық қауіпсіздігін қамтамасыз ету бойынша жалпы талаптары мен қағидаттарын реттейтін құжаттар жиынтығы;

      5) ақпараттық саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және әшкі қатерлерден қорғалу жай-күйі;

      6) аутентификация – пайдаланушы (қолжеткізу субъектісі) үшін ол ұсынған сәйкестендіргішті тексеру және оның түпнұсқалығын трастау;

      7) аттестаттау объектілері – мемлекеттік органның ақпараттық жүйесі, мемлекеттік органның ақпараттық жүйесімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресрустарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйе, ақпараттық-коммуникациялық инфрақұрылымның өте маңызды өбъектілеріне жатқызылған ақпараттық жүйе, электрондық үкіметтің" ақпараттық-коммуникациялық тұғырнамасы, мемлекеттік органның интернет-ресурсы, мемлекеттік емес ақпараттық жүйе, мемлекеттік емес интернет-ресурс;

      8) аттестаттау объектісінің инфрақұрылымы компоненттерін аспаптық тексеру – байланыс арналарын, тораптарын, серверлерді, жұмыс станцияларын, қолданбалы және жүйелік бағдарламалық қамтамасыз етуді, дерекқорлары мен желі элементтерін бағдарламалық құрал немесе қашықтықтағы не локальдық диагностика арқылы олардағы осалдықтарды айқындауға қатысты сканерлеу жүргізу;

      9) аттестаттау объектісінің осалдығы – аттестаттау объектісінің жұмыс қабілеттігін бұза алатын немесе ақпаратты қорғаудың қолданыстағы құралдарын пайдаланбай, рұқсатсыз қол жеткізуге әкеп соғатын аттестаттау объектісіндегі кемшілік;

      10) аттестаттық тексеру – аттестаттау объектісінің техникалық құжаттамасын зерттеуге, талдауға, бағалауға бағытталған ұйымдастырушылық-техникалық іс-шаралар кешені, ақпараттық қауіпсіздік талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйін тексеру;

      11) бағдарламалық қамтамасыз ету (бұдан әрі – БҚ) – бағдарламалардың, бағдарламалық кодтардың, сондай-ақ бағдарламалық өнімдердің оларды пайдалану үшін қажетті техникалық құжаттамасының жиынтығы;

      12) қорғау құралдары кешені (бұдан әрі – ҚҚК) – есептеу техникасы құралдарын немесе ақпараттық жүйелерді ақпаратқа рұқсатсыз қол жеткізуден қорғауды қамтамасыз ету үшін құрылатын және қолдау көрсетілетін бағдарламалық және техникалық құралдар жиынтығы;

      13) физикалық активтер – аттестаттау объектісінде пайдаланылатын серверлік жабдық, байланыс жабдығы, магниттік тасығыштар мен техникалық жабдық.

      4. Осы Әдістемеде келесі нормативтік құқықтық актілер мен стандарттар қолданылады:

      1) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасының заңы;

      2) Заңның 6-бабының 5) тармақшасына сәйкес бекітілетін Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық тұғырнамасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу қағидалары;

      3) Заңның 6-бабының 3) тармақшасына сәйкес бекітілетін Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптар (бұдан әрі – БТ);

      4) ҚР СТ ИСО/МЭК 27002-2009 Қауіпсіздікті қамтамасыз ету әдістері. Ақпаратты қорғауды басқару жөніндегі қағидалар жинағы (бұдан әрі – ҚР СТ ИСО/МЭК 27002-2009);

      5) ҚР СТ ИСО/МЭК 27001-2008 Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар (бұдан әрі – ҚР СТ ИСО/МЭК 27001-2008);

      6) ҚР СТ ИСО/МЭК 50739-2006 Есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар (бұдан әрі - ҚР СТ ИСО/МЭК 50739-2006).

      5. Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық тұғырнамасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық тексеру мына тәртіппен жүргізіледі:

      1) аттестаттау объектісінің құрылымын алдын ала зерттеу;

      2) АҚ жөніндегі ТҚ зерделеу, талдау және бағалау;

      3) аттестаттау объектісін аспаптық тексеруді қоса алғанда, БТ, ҚР СТ ИСО / МЭК 27001-2008 және ҚР СТ ИСО / МЭК 27002-2009, ҚР СТ ГОСТ Р 50739-95-2006, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйін тексеру;

      4) аттестаттық тексеру актісін жасау.

2. Аттестаттау объектісінің құрылымын алдын ала зерттеу

      6. Аттестаттау объектісінің құрылымын алдын ала зрттеу аттестаттау объектісінің жұмыс істеу ерекшеліктерін айқындау және аттестаттау объектісінде пайдаланылатын аппараттық-бағдарламалық құралдар, локальдық және корпоративтік желі, ақпаратты қорғау технологиялары мен процедуралар туралы жалпы ақпарат алу мақсатында жүргізіледі.

      7. Құрылымды алдын ала зерттеу процесі келесі техникалық құжаттамамен танысуды қамтиды:

      1) аттестаттау объектісін құрудың техникалық тапсырмасы;

      2) аттестаттау объектісінің жалпы функционалдық және локальдық схемасы;

      3) аттестаттау объектісінде пайдаланылатын бағдарламалық және техникалық құралдар тізбесі;

      4) көрсетілетін ақпараттық-коммуникациялық қызметтерді пайдалануға арналған шарт (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланған жағдайда).

3. АҚ жөніндегі ТҚ зерттеу, талдау және бағалау

      8. АҚ жөніндегі ТҚ зерттеу, талдау және бағалау ақпараттық қауіпсіздік бойынша талаптардың толықтығын, өзектілігін және БТ, ҚР СТ ИСО/МЭК 27001-2008 және СТ РК ИСО/МЭК 27002-2009 талаптарына дұрыстығын тексеру мақсатында жүргізіледі.

      9. Ақпараттық қауіпсіздік талаптарына сәйкестігіне зерттеу, талдау және бағалау жүргізілетін АҚ жөніндегі ТҚ:

      1) ақпараттық қауіпсіздік саясаты (бұдан әрі – Саясат);

      2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары (бұдан әрі – Сәйкестендіру қағидалары);

      3) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі (бұдан әрі – Тәуекелдерді бағалау әдістемесі);

      4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары (бұдан әрі – Жұмыстың үздіксіздігін қамтамасыз ету қағидалары);

      5) есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтамасыз етуді түгендеу мен паспорттандыру қағидалары (бұдан әрі – Түгендеу қағидалары);

      6) ішкі ақпараттық қауіпсіздік аудитін өткізу қағидалары (бұдан әрі – ішкі аудит қағидалары);

      7) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары (бұдан әрі – Криптографиялық құралдарды пайдалану қағидалары);

      8) электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары (бұдан әрі – Қол жеткізу құқықтарын шектеу қағидалары);

      9) Интернетті және электрондық поштаны пайдалану қағидалары;

      10) аутентификация процедурасын ұйымдастыру қағидалары;

      11) вирусқа қарсы бақылауды ұйымдастыру қағидалары;

      12) мобильдік құрылғыларды және ақпаратты тасығыштарды пайдалану қағидалары (бұдан әрі - Мобильдік құрылғыларды пайдалану қағидалары);

      13) ақпаратты өндеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары (бұдан әрі – Физикалық қорғауды ұйымдастыру қағидалары);

      14) әкімшінің аттестаттау объектісін сүймелдеу жөніндегі басшылығы (бұдан әрі – Әкімші басшылығы);

      15) Ақпаратты резервтік көшіру және қалпына келтіру регламенті (бұдан әрі - Резервтік көшіру регламенті);

      16) пайдаланушылардың АҚ инциденттеріне және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық (бұдан әрі – Штаттан тыс жағдайлар бойынша нұсқаулық).

      10. Әрбір АҚ жөніндегі ТҚ таныстыру парағының болуына қатысты, оның толықтығы мен өзектілігін тексеру қажет.

      11. АҚ жөніндегі ТҚ зерттеу, талдау және бағалаудың нәтижелері аттестаттық тексеру актісінде белгіленеді.

1-параграф. Саясатты зерттеу, талдау және бағалау

      12. Саясатты зерттеу, талдау және бағалау Саясаттың негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) АҚ маңыздылығын ақпаратты бірлесіп пайдалану мүмкіндігін қамтамасыз ететін аспап ретінде ашу арқылы Саясаттың негізгі мақсаттары мен қағидаттары;

      2) АҚ қамтамасыз ету бойынша мақсаттарға қол жеткізу жөніндегі басшылық іс-әрекеттерінің сипаттамасы;

      3) мемлекеттік орган немесе ұйым үшін барынша маңызды қауіпсіздік саясаттарының, қағидаттардың, қағидалар мен талаптардың сипаттамасы;

      4) Саясатты бұзу жағдайындағы талаптар;

      5) АҚ басқару шеңберіндегі жалпы анықтамаларды және қызметкерлердің функциялары;

      6) Саясатты мерзімді қайта қарауға қойылатын талаптар;

      7) басшылықтың АҚ мәселелерін қолдау бойынша функциялары.

      13. Саясатты зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 12-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Саясат АҚ талаптарына сәйкес;

      2) осы Әдістеменің 12-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Саясат АҚ талаптарына сәйкес емес.

2-параграф. Сәкестендіру қағидаларын зерттеу, талдау және бағалау

      14. Сәкестендіру қағидаларын зерттеу, талдау және бағалау Сәкестендіру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) активтердің құқықтық талаптарына, олардың құпиялығына, сондай-ақ құндылығы мен маңыздылығына сүйене отырып, оларды (ақпараттық активтер, физикалық активтер және басқа) сәйкестендіруді және сыныптауды жүргізу тәртібі;

      2) сәйкестендірілген активтерге жауапты тұлғаларды бекіту;

      3) активтер тізілімін құру және жүргізу (актив тобын, актив түрін, маңыздылығы мен активтің иесін көрсетумен);

      4) активтердің белгіленген тобына, құпиялығына, құндылығы мен маңыздылығына байланысты маркалау тәртібі;

      5) мәліметтердің толықтығына қатысты активтер тізілімінің нысаны бойынша талаптар.

      15. Сәкестендіру қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 14-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Сәкестендіру қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 14-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Сәкестендіру қағидалары АҚ талаптарына сәйкес емес.

3-параграф. Тәуекелдерді бағалау әдістемесін зерттеу, талдау және бағалау

      16. Тәуекелдерді бағалау әдістемесін зерттеу, талдау және бағалау Тәуекелдерді бағалау әдістемесі негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) тәуекелдерді бағалау әдістемесін таңдау, тәуекелдерді сәйкестендіруді орындау;

      2) ақпараттың құндылығы мен маңыздылығын анықтау бойынша әдістемелердің сипаттамасы;

      3) АҚ тәуекелдерінің мониторингі, қайта қаару және өзгерту тәртібінің сипаттамасы;

      4) аттестаттау объектісінің ақпараттық қауіпсіздік тәуекелдерін анықтау әдістерінің және реттілігінің сипаттамасы;

      5) айқындалған тәуекелдерді бағалау әдісінің және реттілігінің сипаттамасы;

      6) тәуекелдерді өңдеу әдісінің сипаттамасы;

      7) ақпараттық қауіпсіздік қатерлерін және көздерін айқындау және талдау әдісінің сипаттамасы;

      8) инциденттің ықтималдығын айқындау әдісінің сипаттамасы;

      9) тәуекелдерді түзетуді, сақтауды, болдырмауды және бөлуді ескере отырып, өңдеу тәртібінің сипаттамасы;

      10) тәуекелдерді қайта қарау мен қайта бағалауға қойылатын талаптардың сипаттамасы;

      11) тәуекелді жүзеге асыру жағдайында салдарларды анықтау және бағалау;

      12) тәуекелдерді жүргізу және өңдеу үшін жауапты тұлғаларды белгілеу;

      13) тәуекелдер картасын құру тәртібінің сипаттамасы;

      14) тәуекелдерді бағалау мен талдау нәтижелері бойынша өңдеу жоспарын қалыптастыру тәртібінің сипаттамасы.

      17. Тәуекелдерді бағалау әдістемесін зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 16-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Тәуекелдерді бағалау әдістемесі АҚ талаптарына сәйкес;

      2) осы Әдістеменің 16-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Тәуекелдерді бағалау әдістемесі АҚ талаптарына сәйкес емес.

4-параграф. Жұмыстың үздіксіздігін қамтамасыз ету қағидаларын
зерттеу, талдау және бағалау

      18. Жұмыстың үздіксіздігін қамтамасыз ету қағидаларын зерттеу, талдау және бағалау Жұмыстың үздіксіздігін қамтамасыз ету қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) аттестаттау объектісінің жұмыс істеу процестерін бұзудың себебі болып табылатын оқиғаларды сәйкестендіру бойынша (жоспарлау тәуекелдерді бағалаумен сүйемелденуі тиіс);

      2) активтер істен шыққан жағдайда активтер тізбесінде белгіленген жұмысының үздіксіздігін қамтамасыз ету процестерін анықтау;

      3) Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін қамтамасыз ету жоспарын әзірлеуді көздейтін;

      4) тестілеу және активтер жұмысының үздіксіздігі бойынша қолданыстағы процестерді дамыту жоспарларын жаңарту тәртібі туралы;

      5) аттестаттау объектісінің жұмыс істеу процестері үшін жауапты тұлғаларды тағайынду байынша;

      6) Активтер жұмысының үздіксіздігін қамтамасыз ету жоспарын талдауды жүргізу бойынша;

      7) аттестаттау объектісін қалпына келтіру жоспарын әзірлеу бойынша;

      8) қатерлердің, қауіптердің және рұқсатсыз қол жеткізу мүмкіндіктерінің пайда болу тәуекелдерін төмендететін жабдықты орналастыру тәсілдері;

      9) электрмен жабдықтау жүйесіндегі жұмыс істемей қалулардан және коммуникация қызметтерінің жұмысынан орын алатын бұзушылықтардан жабдықты қорғау тәсілдері;

      10) жұмыс істеуінің үздіксіздігін, қолжетімділігі мен тұтастығын қамтамасыз ету үшін жабдыққа техникалық қызмет көрсетудің мерзімділігіне қойылатын талаптар.

      19. Жұмыстың үздіксіздігін қамтамасыз ету қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 18-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Жұмыстың үздіксіздігін қамтамасыз ету қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 18-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Жұмыстың үздіксіздігін қамтамасыз ету қағидалары АҚ талаптарына сәйкес емес.

5-параграф. Түгендеу қағидаларын зерттеу, талдау және бағалау

      20. Түгендеу қағидаларын зерттеу, талдау және бағалау Түгендеу қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) құндылығы мен маңыздылығын ескере отырып, есептеу техникасы құралдарын (бұдан әрі - ЕТҚ) сәйкестендіруге қойылатын талаптар;

      2) ЕТҚ паспорттарын ресімдеу тәртібі;

      3) ЕТҚ түгендеу мен паспорттандыруды жүргізу мерзімділігіне қойылатын талаптар;

      4) ЕТҚ, телекоммуникациялық жабдықты және бағдарламалық қамтамасыз етуді кәдеге жаратуға және (немесе) шығысқа шығаруға, соның ішінде деректерді сақтау құрылғыларын кәдеге жарату мен жабдықты қайтадан пайдаланған кезде ақпаратты кепілдікті жоюға қойылатын талаптар;

      5) ЕТҚ түгендеу мен паспорттандыру үшін жауапты тұлғаларды тағайындау бойынша талаптар;

      6) лицензияланған БҚ пайдалануға, сатып алуға және есепке алуға қойылатын талаптар.

      21. Түгендеу қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 20-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Түгендеу қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 20-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Түгендеу қағидалары АҚ талаптарына сәйкес емес.

6-параграф. Ішкі аудит қағидаларын зерттеу, талдау және бағалау

      22. Ішкі аудит қағидаларын зерттеу, талдау және бағалау Ішкі аудит қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) ішкі ақпараттық қауіпсіздік аудитінің негізгі мақсаттары;

      2) аудиторларға қолжетімділік беру бойынша талаптар;

      3) аспаптық аудитке қойылатын талаптар;

      4) ішкі аудитті жүргізудің мерзімділігі бойынша талаптар;

      5) ішкі аудитті кезеңмен жүргізуді кесте-жоспарының болуы мен жүргізулуіне қойылатын талаптар;

      6) ішкі аудит жүргізу жөніндегі жұмыс тобын қалыптастыру тәртібі бойынша талаптар;

      7) аттестаттау объектілері үшін аудит жүргізуді жоспарлау, тәртібі мен құрамы бойынша талаптар;

      8) ішкі ақпараттық қауіпсіздік аудитінің нәтижелерін ресімдеу тәртібі мен нысаны.

      23. Ішкі аудит қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 22-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Ішкі аудит қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 22-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Ішкі аудит қағидалары АҚ талаптарына сәйкес емес.

7-параграф. Криптографиялық құралдарды пайдалану
қағидаларын зерттеу, талдау және бағалау

      1. Криптографиялық құралдарды пайдалану қағидаларын зерттеу, талдау және бағалау Криптографиялық құралдарды пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) ҚР СТ ИСО / МЭК 27002-2009 15.1.6–бөліміне сәйкес ақпаратты криптографиялық қорғау құралдарын пайдалану саясаты;

      2) кілттерді басқару жүйесіне қойылатын талаптар;

      3) кілттерді активациялау және дезактивациялау мерзімдеріне қойылатын талаптар;

      4) ашық кілттер сертификаты жөніндегі талаптар;

      5) құпия ақпаратты сақтау, өңдеу және телекоммуникациялар желілері бойынша жіберген кезде қауіпсіздік бойынша тапсырамға сәйкес криптографиялық шифрлауға қойылатыын талаптар.

      25. Криптографиялық құралдарды пайдалану қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 24-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Криптографиялық құралдарды пайдалану қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 24-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Криптографиялық құралдарды пайдалану қағидалары АҚ талаптарына сәйкес емес.

8-параграф. Қол жеткізу құқықтарын бөлу қағидаларын зерттеу,
талдау және бағалау

      26. Қол жеткізу құқықтарын бөлу қағидаларын зерттеу, талдау және бағалау Қол жеткізу құқықтарын бөлу қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) жаңа пайдаланушыны тіркеу сәтінен бастап пайдаланушыны тіркеуден алып тастағанға дейін пайдаланушыларды тіркеу кезеінің сипаттамасы;

      2) берілетін ресурстарға қол жеткізу құқықтар тізбесінің сипаттамасы;

      3) қол жеткізу құқығын беру тәртібінің сипаттамасы;

      4) барлық тіркелген пайдаланушылардың есебін жүргізу бойынша талаптар;

      5) пайдаланушылардың қол жеткізу құқықтарын қайта қарауды жүргізу бойынша талаптар;

      6) пайдаланушыларды алынған сәйкестендіргіштерді жариялауға немесе басқа біреуге беруге тыйым салумен таныстыру бойынша талаптар;

      7) есеп жазбасын бұғаттау бойынша талаптардың сипаттамасы.

      27. Қол жеткізу құқықтарын бөлу қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 26-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Қол жеткізу құқықтарын бөлу қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 26-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Қол жеткізу құқықтарын бөлу қағидалары АҚ талаптарына сәйкес емес.

9-параграф. Интернетті және электрондық поштаны пайдалану
қағидаларын зерттеу, талдау және бағалау

      28. Интернетті және электрондық поштаны пайдалану қағидаларын зерттеу, талдау және бағалау Интернетті және электрондық поштаны пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) электрондық поштаны пайдалану тәртібі;

      2) электрондық хабарламаны ресімдеуге қойылатын талаптар;

      3) Интернетке қол жеткізуге рұқсат беру тәртібі мен әдістері;

      4) Интернетке қолжетімділік мониторингі және бақылау;

      5) мемлекеттік органның ведомстволық электрондық поштасының сыртқы электрондық пошта жүйелерімен тек қана электрондық поштаның бірыңғай шлюзі арқылы электрондық өзара іс-қимылды жүзеге асыру туралы талаптар.

      29. Интернетті және электрондық поштаны пайдалану қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 28-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Интернетті және электрондық поштаны пайдалану қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 28-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Интернетті және электрондық поштаны пайдалану қағидалары АҚ талаптарына сәйкес емес.

10-параграф. Аутентификация процедурасын ұйымдастыру
қағидаларын зерттеу, талдау және бағалау

      30. Аутентификация процедурасын ұйымдастыру қағидаларын зерттеу, талдау және бағалау Аутентификация процедураларын ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) пайдаланушыларды оларға сенім тапсырылған сәйкестендіргіштердің құпиялығын сақтау қажеттігі туралы хабарландыру бойынша талаптар;

      2) пайдаланушыларды парольдерді, пин-кодтарды олардың қауіпсіз сақталуы қамтамасыз етілмесе, қағазға, дербес компьютерге немесе тасымалдау құрылғыларына жазуға рұқсат етілмейтіні туралы хабарландыру бойынша талаптар;

      3) уақытша парольдерді берудің қауіпсіз тәсілі тәртібінің сипаттамасы;

      4) уақытша парольдерге қойылатын талаптардың сипаттамалары;

      5) сәйкестендіргішті жария ету мүмкіндігінің кез келген белгілері болған кезде сәйкестендіру деректерін өзгерту қажеттілігі туралы талаптар;

      6) сапалы парольдерді таңдау бойынша талаптар;

      7) уақыттың тең аралықтарында парольдік аутентификацияны өзгерту бойынша талаптардың сипаттамасы;

      8) жүйеде алғашқы рет тіркеген кезде уақытша парольдерді ауыстыру бойынша талаптардың сипаттамасы;

      9) парольдерді автоматты тіркеу процесіне енгізуге, мәселең сақталатын макрокомандаларды немесе функционалдық клавишаларды пайдаланумен, тыйым салу бойынша талаптардың сипаттамасы.

      31. Аутентификация процедурасын ұйымдастыру қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 30-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Аутентификация процедураларын ұйымдастыру қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 30-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Аутентификация процедураларын ұйымдастыру қағидалары АҚ талаптарына сәйкес емес.

11-параграф. Вирусқа қарсы бақылауды ұйымдастыру
қағидаларын зерттеу, талдау және бағалау

      32. Вирусқа қарсы бақылауды ұйымдастыру қағидаларын зерттеу, талдау және бағалау Вирусқа қарсы бақылауды ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) лицензияланған вирусқа қарсы бағдарламалық қамтамасыз етулерді пайдалану бойынша талаптар;

      2) вирусқа қарсы бағдарламалық қамтамасыз етулерді жаңарту мерзімділігі бойынша талаптар;

      3) вирусқа қарсы бағдарламалық қамтамасыз етулерді пайдаланған кезде ақпараттық қауіпсіздікті сақтау жөніндегі пайдаланушыларға арналған талаптар;

      4) веб-парақтарды зиянды бағдарламалық қамтамасыз етудің болуына қатысты тексеру талаптары;

      5) күдікті немесе авторланбаған ақпаратты тасығыштардағы барлық файлдарды немесе жалпыға қолжетімді желілерден алынған файлдарды вирустардың болуына қатысты тексеру бойынша талаптар;

      6) электрондық поштаны және көшірілетін ақпаратты зиянды бағдарламалық қамтамасыз етудің болуына қатысты талдау бойынша талаптар;

      7) зиянды бағдарламалық қамтамасыз етумен күресу үшін ақпараттық қауіпсіздікті басқару бойынша іс-шараларды ұйымдастыру бойынша талаптар;

      8) вирустық шабуыладардан кейін ақпаратты қалпына келтіру процедураларынің сипаттамалары.

      33. Вирусқа қарсы бақылауды ұйымдастыру қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 32-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Вирусқа қарсы бақылауды ұйымдастыру қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 32-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Вирусқа қарсы бақылауды ұйымдастыру қағидалары АҚ талаптарына сәйкес емес.

12-параграф. Мобильдік құрылғыларды пайдалану қағидаларын
зерттеу, талдау және бағалау

      34. Мобильдік құрылғыларды пайдалану қағидаларын зерттеу, талдау және бағалау Мобильдік құрылғыларды және ақпаратты тасығыштарды пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) мобильдік құрылғыларды ұйымнан тыс жерде пайдаланған жағдайда, тәуекелдерді талдау бойынша талаптар;

      2) мобильдік құрылғыларды және ақпаратты тасығыштарды физикалық қорғау бойынша талаптар;

      3) мобильдік құрылғылардың және ақпаратты тасығыштардың тізбесін құру және оларды маркалау бойынша талаптар;

      4) ақпаратты тасығыштарды беру журналын жүргізуге қойылатын талаптар;

      5) ақпаратты тасығыштарды пайдалану тәртібі;

      6) дербес деректердің алмалы тасығыштарын есепке алу, сақтау мен қолдану және оларды пайдаға асыру тәртібі;

      7) алмалы тасығыштарды пайдалану кезінде қызметкерлерге қойылатын талаптар;

      8) жұмыс орнына тыс орналасқан мобильдік құрылғыны ұйымдастыру үй-жайлары аумағынан тыс жұмыс істеудің түрлі тәуекелдерін ескере отырып, қорғау тәсілдері;

      9) дербес деректердің алмалы тасығыштарын пайдалану, сондай-ақ жоғалту және жою кезінде қызметкерлердің рұқсат етілмеген іс-қимыл жасау фактілері айқындалған кезіндегі іс-әрекет тәртібі.

      35. Мобильдік құрылғыларды пайдалану қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 34-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Мобильдік құрылғыларды және ақпаратты тасығыштарды пайдалану қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 34-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Мобильдік құрылғыларды және ақпаратты тасығыштарды пайдалану қағидалары АҚ талаптарына сәйкес емес.

13-параграф. Физикалық қорғауды ұйымдастыру қағидаларын
зерттеу, талдау және бағалау

      36. Физикалық қорғауды ұйымдастыру қағидаларын зерттеу, талдау және бағалау Физикалық қорғауды ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.1.1, 9.1.3, 9.1.4 бөліміне сәйкес серверлік үй-жайды физикалық қорғауға қойылатын талаптар;

      2) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.1.2 бөліміне сәйкес серверлік үй-жайларға кіруді бақылауды ұйымдастыруға қойылатын талаптар;

      3) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.1.5 бөліміне сәйкес серверлік үй-жайларда жұмыстарды орындау бойынша талаптар;

      4) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.2.1 бөліміне сәйкес серверлік жабдықты қауіпсіз орналастыру бойынша талаптар;

      5) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.2.2 бөліміне сәйкес қосымша қызметтерді ұйымдастыру бойынша талаптар;

      6) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.2.3 бөліміне сәйкес кәбілдік желіні қауіпсіз пайдалану бойынша талаптар;

      7) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.2.4 бөліміне сәйкес серверлік жабдыққа қауіпсіз техникалық қызмет көрсету бойынша талаптар;

      8) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.2.6 бөліміне сәйкес жабдықты қауіпсіз пайдаға асыру немесе қайтадан пайдалануға қойылатын талаптар;

      9) БТ және ҚР СТ ИСО / МЭК 27002-2009 9.2.7 бөліміне сәйкес жабдықты кіргізу/шығаруға қойылатын талаптар.

      37. Физикалық қорғауды ұйымдастыру қағидаларын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 36-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Физикалық қорғауды ұйымдастыру қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 36-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Физикалық қорғауды ұйымдастыру қағидалары АҚ талаптарына сәйкес емес.

14-параграф. Әкімші басшылығын зерттеу, талдау және бағалау

      38. Әкімші басшылығын зерттеу, талдау және бағалау Әкімші басшылығы негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) әкімшінің негізгі үлгілік жұмыстар бойынша іс-әрекеттеріне қойылатын талаптар;

      2) инциденттер, штаттан тыс жағдайлар, апатты табиғаттық-климаттық және техногендік әсерлер орын алған кездегі әкімшінің іс-әрекеттеріне қойылатын талаптар;

      3) серверлер мен жұмыс станцияларына БҚ орнату, жаңарту және жою тәртібі;

      4) жүйелік БҚ өзгерген жағдайда БҚ өзгерулерін басқару және талдау процедуралары.

      39. Әкімші басшылығын зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 38-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Әкімшінің басшылығы АҚ талаптарына сәйкес;

      2) осы Әдістеменің 38-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Әкімшінің басшылығы АҚ талаптарына сәйкес емес.

15-параграф. Резервтік көшіру регламентін зерттеу, талдау және бағалау

      40. Резервтік көшіру регламентін зерттеу, талдау және бағалау Резервтік көшіру регламенті негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) резервтік көшіруге жататын ақпараттың құрамы бойынша талаптардың сипаттамасы;

      2) резервтік көшірудің көлемін анықтау;

      3) резервтік жабдық пен резервтік көшірмелерді орналастыру және резервтік көшірмелерді сақтау орнын таңдау бойынша талаптардың сипаттамасы;

      4) резервтік көшірмелерді және резервтік жабдықты тестілеу бойынша талаптардың сипаттамасы;

      5) резервтік серверлік жабдықты орналастыру және оны физикалық қорғау бойынша талаптардың сипаттамасы;

      6) ақпаратты көшіру мен ақпаратты қалпына келтіру процедураларының сипаттамасы;

      7) ақпаратты резервілеу және резервтік көшіру кестесін құру мерзімділігі туралы талаптар;

      8) эталондық көшірмелер тізілімін, резервтік көшіруге жататын ақпараттық ресурстар тізілімін, резервтік көшіруді жазу журналын, резервтік көшірмелерді қалпына келтіруге қатысты тексеру журналын, резервтік ақпаратты электрондық тасығыштарды есепке алу журналын, резервтік ақпаратты электрондық тасығыштарды алып кіру/алып шығу журналын жүргізу бойынша талаптар.

      41. Резервтік көшіру регламентін зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 40-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Резервтік көшіру регламенті АҚ талаптарына сәйкес;

      2) осы Әдістеменің 40-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Резервтік көшіру регламенті АҚ талаптарына сәйкес емес.

16-параграф. Штаттан тыс жағдайлар жөніндегі нұсқаулықты
зерттеу, талдау және бағалау

      42. Штаттан тыс жағдайлар жөніндегі нұсқаулықты зерттеу, талдау және бағалау Штаттан тыс жағдайлар жөніндегі нұсқаулықтың негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және келесі мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) ықтимал штаттан тыс және дағдарысты жағдайлардың тізбесін құру, АҚ бойынша инциденттерді сәйкестендіру бойынша талаптар;

      2) ақпараттық қауіпсіздік инциденттері жағдайында хабарлау үшін жауапты тұлғаларды тағайындау туралы талап;

      3) штаттан тыс жағдай орын алған кезде хабарлау тәртібі;

      4) АҚ инциденттері, штаттан тыс (дағдарысты) жағдайлар орын алған кезде әрекет ету шараларын қабылдау жөніндегі талаптар;

      5) жұмыстар тоқатылған жағдайда оларды қалпына келтіру процедураларын әзірлеу бойынша талаптар;

      6) штаттан тыс немесе дағдарысты жағдайлардың орын алуына жол бермеуге арналған сақтандыру іс-қимылдарының орындалуын бақылауды жүзеге асыру бойынша талаптар;

      7) инциденттердің және басқа штаттан тыс жағдайлардың орын алу оқиғаларын тексеру бойынша талаптар.

      43. Штаттан тыс жағдайлар жөніндегі нұсқаулықты зерттеу, талдау және бағалау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 42-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Штаттан тыс жағдайлар жөніндегі нұсқаулық АҚ талаптарына сәйкес;

      2) осы Әдістеменің 42-тармағында көрсетілген мәліметтердің біреуі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда - Штаттан тыс жағдайлар жөніндегі нұсқаулық АҚ талаптарына сәйкес емес.

4. Аттестаттау объектісін аспаптық тексеруді қоса алғанда, БТ,
ҚР СТ ИСО / МЭК 27001-2008 және ҚР СТ ИСО / МЭК 27002-2009,
ҚР СТ ГОСТ Р 50739-95-2006, АҚ жөніндегі ТҚ талаптарын орындау
бойынша жұмыстар ұйымдастырудың жай-күйін тексеру

      44. Аттестаттау объектісін аспаптық тексеруді қоса алғанда, БТ, ҚР СТ ИСО / МЭК 27001-2008 және ҚР СТ ИСО / МЭК 27002-2009, ҚР СТ ГОСТ Р 50739-95-2006, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін тексеру мыналарды тексеру және талдау мақсатында жүргізіледі:

      1) Саясат ережелерін;

      2) ақпараттық қауіпсіздікті басқару бойынша процестерді;

      3) активтерді басқаруды ұйымдастыруды;

      4) персоналға байланысты қауіпсіздікті қамтамасыз етуді;

      5) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды;

      6) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді;

      7) ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды;

      8) аттестаттау объектілерін әзірлеу, енгізу мен қызмет көрсету процестерін;

      9) ақпараттық қауіпсіздік саласындағы инциденттерді басқаруды ұйымдастыруды;

      10) бизнестің үздіксіздігін басқаруды;

      11) құқықтық талаптарға сәйкестік дәрежесін;

      12) ҚР СТ ГОСТ Р 50739-95-2006 талаптарына сәйкес ақпаратты рұқсатсыз қол жеткізуден қорғау жүйесіне қойылатын талаптарды.

      45. Аттестаттау объектісін аспаптық тексеруді қоса алғанда, БТ, ҚР СТ ИСО / МЭК 27001-2008 және ҚР СТ ИСО / МЭК 27002-2009, ҚР СТ ГОСТ Р 50739-95-2006, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін тексеру нәтижелері Аттестаттық тексеру актісінде белгіленеді.

1-параграф. Саясат ережелерін тексеру және талдау

      46. Саясат ережелерін тексеру және талдау кезінде:

      1) Саясатты басшылықтың мақұлдауын, жариялануын және барлық қызметкерлер мен байланысты сыртқы ұйымдардың назарына жеткізілуін;

      2) ұйым қызметкерлерінің Саясатты түсінуі мен қабылдауын;

      3) Саясатты мерзімді түрде қайта қарауды;

      4) құжаттарда қойылған талаптарының барабарлығын және орындалатындығын;

      5) жоспарланған уақыт аралығында немесе елеулі өзгерістер орын алған жағдайда Саясатты талдаудың нәтижелерін;

      6) Саясатты әзірлеуге, талдауға және бағалауға басшылық ету үшін жауапты тұлғаның болуын тексеру қажет.

      47. Саясат ережелерін тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 46-тармағы орындалған жағдайда – Саясат ережелерінің орындалуы АҚ талаптарына сәйкес;

      2) осы Әдістеменің 46-тармағы орындалмаған жағдайда - Саясат ережелерінің орындалуы АҚ талаптарына сәйкес емес.

2-параграф. Ақпараттық қауіпсіздікті басқару бойынша
процестерді тексеру және талдау

      48. Ақпараттық қауіпсіздікті басқару бойынша процестерді тексеру және талдау кезінде келесі процестерді тексеруді жүзеге асыру қажет:

      1) аттестаттау объектісінің ақпараттық қауіпсіздігін қамтамасыз ету үшін жаупты бөлімшенің және (немесе) ақпараттық қауіпсіздігін қамтамасыз ету үшін жаупты тұлғаның жұмыс істеу;

      2) ұйымның жоғары басшылығының қатысуымен ақпараттық қауіпсіздік саясаттарын, тәуекелдері мен басқа мәселелерін талқылауға арналған ақпараттық қауіпсіздік мәселелері жөніндегі органның (ақпараттық қауіпсіздік жөніндегі техникалық кеңес, жұмыс тобы) жұмыс істеуі;

      3) ұйымда басшылықтың қауіпсіздік режимін қолдау бойынша іс-қимылдарды үйлестіру жөніндегі тұрақты кеңестерін өткізу;

      4) ақпараттық қауіпсіздік саласындағы рольдерді және жауапкершілікті ұйым қызметкерлері арасында бөлу;

      5) мемлекеттік органның немесе ұйымның бөлімшелері ішінде және бөлімшелері арасында АҚ мәселелері жөніндегі қызметті үйлестіру;

      6) ұйым тәуекелдері мен сыртқы ұйымдарға (бөгде ұйымдар тартылған жағдайда) қатысты бизнес-процестер тарапынан ақпаратты өңдеу құралдарын сәйкестендіруді енгізу;

      7) бөгде ұйымдарға ұйымдарға (бөгде ұйымдар тартылған жағдайда) ұйымның ақпаратына немесе активтеріне қолжетімділік құқығын беру алдында қауіпсіздікке қойылатын талаптарды сақтау;

      8) бөгде ұйыммен (бөгде ұйымдар тартылған жағдайда) жасалған ақпаратқа қолжетімділікті, өңдеуді, жіберуді немесе оны өңдеу құралдарын басқаруды қамтитын келісімде қауіпсіздік талаптарын сақтау.

      49. Ақпараттық қауіпсіздікті басқару бойынша процестерді тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 48-тармағының барлық тармақшалары орындалған жағдайда – ақпараттық қауіпсіздікті басқару АҚ талаптарына сәйкес;

      2) осы Әдістеменің 48-тармағының барлық тармақшалары орындалмаған жағдайда - ақпараттық қауіпсіздікті басқару АҚ талаптарына сәйкес емес.

3-параграф. Активтерді басқаруды ұйымдастыруды
тексеру және талдау

      50. Активтерді басқаруды ұйымдастыруды тексеру және талдау кезінде келесі процестерді тексеруді жүзеге асыру қажет:

      1) аттестаттау объектісімен байланысты барлық активтердің түгендеу тізімдемесін сәйкестендіруді, ресімдеу мен жұмыс жай-күйінде қолдауды талдау;

      2) ұйымның немесе мемлекеттік органның ақпаратты және ақпаратты өңдеу құралдарымен байланысты активтерді иелену деңгейін анықтау;

      3) активтерді лауазымды тұлғаларға бекіту және активтердің АҚ басқару жөніндегі іс-шараларды іске асыру үшін олардың жауапкершілік көлемін анықтау;

      4) ақпаратты оның құндылығына, заңнамалық талаптар, әсерленгіштігі мен ұйым үшін маңыздылығы тұрғысынан сыныптауды талдау;

      5) ұйымда қабылданған сыныптау және оларды орындау схемасына сәйкес ақпаратты маркалау мен жұмыс істеу.

      51. Активтерді басқаруды ұйымдастыру процестерін тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 50-тармағының барлық тармақшалары орындалған жағдайда – активтерді басқаруды ұйымдастыру процесі АҚ талаптарына сәйкес;

      2) осы Әдістеменің 50-тармағының барлық тармақшалары орындалмаған жағдайда - активтерді басқаруды ұйымдастыру процесі АҚ талаптарына сәйкес емес.

4-параграф. Персоналға байланысты қауіпсіздікті қамтамасыз
етуді тексеру және талдау

      52. Персоналға байланысты қауіпсіздікті қамтамасыз етуді тексеру және талдау кезінде:

      1) перосналдың қауіпсіздікті қамтамасыз ету бойынша функцияларын және ҚР СТ ИСО/МЭК 27002-2009 8.1.1 бөліміне сәйкес АҚ бойынша бекітілген функциялардың орындалуын;

      2) жұмысқа қабылдаған кезде ҚР СТ ИСО/МЭК 27002-2009 8.1.2 бөліміне сәйкес қызметкерлер үшін белгіленетін ақпараттық қауіпсіздік бойынша талаптардың толықтығын;

      3) ҚР СТ ИСО/МЭК 27002-2009 8.1.3 бөлімі мен ЕТ 24-тармағына сәйкес еңбек шартының ақпараттық қауіпсіздікке қатысты шарттарын;

      4) ҚР СТ ИСО/МЭК 27002-2009 8.2.1 бөліміне сәйкес қызметкерлердің, мердігерлер мен үшінші тарап пайдаланушыларының ұйымның саясаттарымен және процедураларымен белгіленген қауіпсіздікті сақтау туралы басшылық талаптарының сақталуын;

      5) ҚР СТ ИСО/МЭК 27002-2009 8.2.2 бөліміне сәйкес қызметкерлердің ақпараттық қауіпсіздік саласы бойынша хабардарлығын, оқыту мен қайта даярлауды;

      6) ҚР СТ ИСО/МЭК 27002-2009 8.2.3 бөліміне сәйкес қауіпсіздік талаптарын бұзған қызметкерлер үшін нысандандырылған тәртіптік процестің болуы мен оның нақты пайдаланылуын;

      7) ҚР СТ ИСО/МЭК 27002-2009 8.3 бөліміне және БТ сәйкес жұмыспен қамту мерзімі аяқталған немесе жағдайлары өзгерген кезде қызметкерлердің ақпараттық қауіпсіздік бөлігіндегі (активтерді қайтару, қолжетімділік құқығын жою) жауапкершілігінің болуын тексеру қажет.

      53. Персоналға байланысты қауіпсіздікті қамтамасыз етуді тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 52-тармағының барлық тармақшалары орындалған жағдайда – Персоналға байланысты қауіпсіздікті қамтамасыз ету АҚ талаптарына сәйкес;

      2) осы Әдістеменің 52-тармағының барлық тармақшалары орындалмаған жағдайда - Персоналға байланысты қауіпсіздікті қамтамасыз ету АҚ талаптарына сәйкес емес.

5-параграф. Жабдықты және қоршаған орта қауіпсіздігін
физикалық қорғауды тексеру және талдау

      54. Жабдықты және қоршаған орта қауіпсіздігін физикалық қорғауды тексеру мен талдау кезінде келесі процестерді тексеру қажет:

      1) ҚР СТ ИСО/МЭК 27002-2009 9.1.1 бөліміне сәйкес периметр мен серверлік үй-жайды физикалық қорғауды қамтамасыз ету;

      2) ҚР СТ ИСО/МЭК 27002-2009 9.1.2 бөліміне және БТ сәйкес серверлік үй-жайларға кіруді бақылауды ұйымдастыру;

      3) ҚР СТ ИСО/МЭК 27002-2009 9.1.4 бөліміне сәйкес сыртқы қатерлерден қорғауды ұйымдастыру;

      4) ҚР СТ ИСО/МЭК 27002-2009 9.1.5 бөліміне сәйкес серверлік үй-жайларда жұмысты ұйымдастыру;

      5) ҚР СТ ИСО/МЭК 27002-2009 9.1.6 және 9.2.7 бөлімдеріне сәйкес қоғамдық қолжетімділік аймақтарында (мұндайлар болған жағдайда) материалдық құндылықтарды қабылдау және жіберу кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      6) қорғау мен ақпараттық қауіпсіздікті қамтамасыз етуге арналған жабдықты ҚР СТ ИСО/МЭК 27002-2009 9.2.1 және 9.2.5 бөлімдері мен БТ сәйкес орналастыру;

      7) ҚР СТ ИСО/МЭК 27002-2009 9.2.2 бөліміне сәйкес электр энергиясын берудегі кідірулер мен қосымша қызметтерді қамтамасыз етуде орын алатын кірірулерге байланысты тоқтап қалулардан қорғауды қамтамасыз ету;

      8) ҚР СТ ИСО/МЭК 27002-2009 9.2.3 бөліміне және БТ сәйкес кәбілдік желінің ақпараттық қауіпсіздігін қамтамасыз ету;

      9) ҚР СТ ИСО/МЭК 27002-2009 9.2.4 бөліміне сәйкес серверлік жабдыққа техникалық қызмет көрсету кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      10) ҚР СТ ИСО/МЭК 27002-2009 9.2.5 бөліміне сәйкес серверлік үй-жайдан тыс жерде пайдаланылатын серверлік жабдықтың ақпараттық қауіпсіздігін қамтамасыз ету;

      11) ҚР СТ ИСО/МЭК 27002-2009 9.2.6 бөліміне сәйкес жабдықты қауіпсіз қайтадан пайдаға асыруды (шығысқа шығаруды) ұйымдастыру.

      55. Жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 54-тармағының барлық тармақшалары орындалған жағдайда – жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес;

      2) осы Әдістеменің 54-тармағының барлық тармақшалары орындалмаған жағдайда - жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес емес.

6-параграф. Ақпаратты өңдеу құралдарының тиісінше және
қауіпсіз жұмыс істеуін қамтамасыз етуді тексеру және талдау

      56. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді тексеру және талдау кезінде келесі процестерді тексеруді жүзеге асыру қажет:

      1) ҚР СТ ИСО/МЭК 27002-2009 10.1 бөліміне сәйкес операциялық процедураларды құжатпен ресімдеу, аттестаттау объектісіндгі өзгерістерді бақылауды жүргізу, аттестаттау объектісінде міндетемелерді бөлу және әзірлеу, тестілеу мен пайдалану құралдарын бөлу;

      2) ҚР СТ ИСО/МЭК 27002-2009 10.2 бөліміне сәйкес бөгде ұйымдардан қызметтер алған және (немесе) бгде ұйымдарға қызмет көрсеткен кезде ақпараттық қауіпсіздік талаптарын сақтау;

      3) ҚР СТ ИСО/МЭК 27002-2009 10.3 бөліміне сәйкес аттестаттау объектілерінің өнімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      4) ҚР СТ ИСО/МЭК 27002-2009 10.4 бөліміне сәйкес зиянды кодтан қауіпсіз қорғауды қауіпсіздікті қамтамасыз ету;

      5) ҚР СТ ИСО/МЭК 27002-2009 10.5 бөліміне сәйкес аттестаттау объектілерінде ақпаратты резервілеу процедуруларын жүргізген кезде ақпараттық қауіпсіздік талаптарын сақтау;

      6) ҚР СТ ИСО/МЭК 27002-2009 10.6 бөліміне сәйкес желіні басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      7) БТ белгіленген локалдық және ведомстволық (корпоративтік) желіге қойылатын талаптарды орындау;

      8) ҚР СТ ИСО/МЭК 27002-2009 10.7 бөліміне және БТ сәйкес ақпаратты тасығыштармен (таспалар, дискілер, флеш-жинақтағыштар) жұмыс кезінде ақпараттық қауіпсіздікті сақтау;

      9) ҚР СТ ИСО/МЭК 27002-2009 10.8 бөліміне сәйкес ақпаратпен алмасу кезінде ақпараттық қауіпсіздікті сақтау;

      10) ҚР СТ ИСО/МЭК 27002-2009 10.10 бөліміне және БТ сәйкес аттестаттау объектісінде ақпараттық қауіпсіздік мониторингін қамтамасыз ету;

      11) БТ талаптарына сәйкес виртуалдау мен "бұлтты" есептеу технологияларын іске асыратын есептеу ресурстарының тиісінше және қауіпсіз жұмысын қамтамасыз ету.

      57. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 56-тармағының барлық тармақшалары орындалған жағдайда – ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес;

      2) осы Әдістеменің 56-тармағының барлық тармақшалары орындалмаған жағдайда - ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес емес.

7-параграф. Ақпараттық ресурстарға қолжетімділікті басқаруды
ұйымдастыруды тексеру және талдау

      58. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды тексеру және талдау кезінде келесі процестерді тексеру қажет:

      1) ҚР СТ ИСО/МЭК 27002-2009 11.1 бөліміне сәйкес ақпаратқа және аттестаттау объектісіне қолжетімділікті бақылау бойынша ақпараттық қауіпсіздікті қамтамасыз ету;

      2) ҚР СТ ИСО/МЭК 27002-2009 11.2 бөліміне және БТ сәйкес пайдаланушылардың аттестаттау объектісінде қолжетімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      3) ҚР СТ ИСО/МЭК 27002-2009 11.3 бөліміне және БТ сәйкес пайдаланушыларды қолжетімділікті басқару бойынша олардың функционалдық міндеттері туралы хабарландыру мен олардың орындалуы;

      4) ҚР СТ ИСО/МЭК 27002-2009 11.4 бөліміне сәйкес желілік сервістерге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      5) ҚР СТ ИСО/МЭК 27002-2009 11.5 бөліміне және БТ сәйкес операциялық жүйеге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      6) ҚР СТ ИСО/МЭК 27002-2009 11.6 бөліміне және БТ сәйкес қолданбалы бағдарламалар мен ақпаратқа қолжетімділікті бақылауды қамтамасыз ету;

      7) ҚР СТ ИСО/МЭК 27002-2009 11.7 бөліміне сәйкес тасымалдау құрылғыларымен жұмыс кезінде ақпараттық қауіпсіздік талаптарын сақтау және қашықтық режимінде жұмыс істеу;

      8) БТ белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлу;

      9) БТ сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз ету.

      59. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 58-тармағының барлық тармақшалары орындалған жағдайда – ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес;

      2) осы Әдістеменің 58-тармағының барлық тармақшалары орындалмаған жағдайда - ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес емес.

8-параграф. Аттестаттау объектілерін әзірлеу, енгізу және
қызмет көрсету процестерін тексеру және талдау

      60. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін тексеру және талдау кезінде:

      1) ҚР СТ ИСО/МЭК 27002-2009 12.1 бөліміне сәйкес өміршеңдік кезеңнің әр сатысында ақпараттық қауіпсіздікті қамтамасыз етуді;

      2) ҚР СТ ИСО/МЭК 27002-2009 12.2 бөліміне сәйкес аттестаттау объектісіндегі деректерді өңдеген кезде ақпараттық қауіпсіздікті қамтамасыз етуді;

      3) ҚР СТ ИСО/МЭК 27002-2009 12.3 бөліміне сәйкес ақпаратты криптографиялық қорғау құралдарын пайдаланудың дұрыстығын;

      4) ҚР СТ ИСО/МЭК 27002-2009 12.4 бөліміне сәйкес аттестаттау объектісінің жүйелік файлдарының ақпараттық қауіпсіздігін қамтамасыз етуді;

      5) ҚР СТ ИСО/МЭК 27002-2009 12.5 бөліміне сәйкес аттестаттау объектісін әзірлеу және енгізу прцесінде ақпараттық қауіпсіздікті қамтамасыз етуді;

      6) ҚР СТ ИСО/МЭК 27002-2009 12.6 бөліміне сәйкес аттестаттау объектісінің осалдықтарын жою, мониторингі бойынша жұмыстар жүргізуді;

      7) БТ белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлуді;

      8) БТ сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз етуді тексеру қажет.

      61. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 60-тармағының барлық тармақшалары орындалған жағдайда – аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес;

      2) осы Әдістеменің 60-тармағының барлық тармақшалары орындалмаған жағдайда - Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес емес.

9-параграф. Ақпараттық қауіпсіздік саласындағы инциденттерді
басқаруды ұйымдастыруды тексеру және талдау

      62. Ақпараттық қауіпсіздік саласындағы инциденттерді басқаруды ұйымдастыруды тексеру және талдау кезінде келесі процестерді тексеру қажет:

      1) ҚР СТ ИСО/МЭК 27002-2009 13.1 бөліміне сәйкес ақпараттық қауіпсіздік саласындағы инциденттерге жылдам, нәтижелі және жүйелі әрекет етуді қамтамасыз етуге мүмкіндік беретін ақпараттық қауіпсіздікті бұзу оқиғалары туралы хабарлау;

      2) ҚР СТ ИСО/МЭК 27002-2009 13.2.1 бөліміне сәйкес басшылық жауаптылығын белгілеу;

      3) ҚР СТ ИСО/МЭК 27002-2009 13.2.2 бөліміне сәйкес ақпараттық қауіпсіздік инциденттерін тіркеу және мониторингі, ақпараттық қауіпсіздік саласындағы инциденттер туралы хабарлаудың жеделдігі, ақпараттық қауіпсіздік инциденттері туралы есептер құру процедуралары;

      4) ҚР СТ ИСО/МЭК 27002-2009 13.2.3 бөліміне сәйкес ақпараттық қауіпсіздік инциденті сот талқылауына әкеп соғу жағдайына ақпараттық қауіпсіздік инциденттері туралы ақпаратты жинау, сақтау мен ұсыну;

      5) БТ сәйкес ақпараттық қауіпсіздік жай-күйіне байланысты оқиғаларды тіркеу мен оқиғалар журналын талдау жолымен бұзуларды айқындау.

      63. Ақпараттық қауіпсіздік саласындағы инциденттерді басқаруды ұйымдастыруды тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 62-тармағының барлық тармақшалары орындалған жағдайда – ақпараттық қауіпсіздік инциденттерін басқару АҚ талаптарына сәйкес;

      2) осы Әдістеменің 62-тармағының барлық тармақшалары орындалмаған жағдайда - ақпараттық қауіпсіздік инциденттерін басқару АҚ талаптарына сәйкес емес.

10-параграф. Бизнестің үздіксіздігін басқаруды тексеру және талдау

      64. Бизнестің үздіксіздігін басқаруды тексеру және талдау кезінде келесі процестерді тексеру қажет:

      1) ҚР СТ ИСО/МЭК 27002-2009 14.1.1 бөліміне сәйкес ақпараттық қауіпсіздік бойынша процестерді қамтитын бизнестің үздіксздігін дамыту мен қолдау;

      2) ҚР СТ ИСО/МЭК 27002-2009 14.1.2 бөліміне сәйкес бизнес-процестерді үзудің себебі болып табылатын оқиғаларды сәйкестендіру;

      3) ҚР СТ ИСО/МЭК 27002-2009 14.1.3 бөліміне сәйкес бизнестің үздіксздігі жоспарларын іске асыру;

      4) ҚР СТ ИСО/МЭК 27002-2009 14.1.5 бөліміне сәйкес бизнестің үздіксздігін қамтамасыз ету жөніндегі жоспарларды тестілеуді, қолдау мен қайта қарауды жүргізу.

      65. Бизнестің үздіксіздігін басқаруды тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 64-тармағының барлық тармақшалары орындалған жағдайда – бизнестің үздіксіздігін басқару бойынша процедуралар АҚ талаптарына сәйкес;

      2) осы Әдістеменің 64-тармағының барлық тармақшалары орындалмаған жағдайда - бизнестің үздіксіздігін басқару бойынша процедуралар АҚ талаптарына сәйкес емес.

11-параграф. Құқықтық талаптарға сәйкестік деңгейін тексеру және талдау

      66. Құқықтық талаптарға сәйкестік деңгейін тексеру және талдау кезінде келесі процестерді тексеру қажет:

      1) ҚР СТ ИСО/МЭК 27002-2009 15.1.3 бөліміне сәйкес ұйым жазбаларын жоғалудан, бұзудан және бұрмалаудан заңнамалық, басқа міндетті, келісімдік талаптар мен бизенс-талаптарға сай қорғау;

      2) ҚР СТ ИСО/МЭК 27002-2009 15.1.4 бөліміне сәйкес дербес құпия ақпаратты тасымалдаған кезде ақпараттық қауіпсіздікті қамтамасыз ету;

      3) ҚР СТ ИСО/МЭК 27002-2009 15.1.5 бөліміне сәйкес ақпаратты қорғау құралдарын мақсатсыз пайдалануды бақылау;

      4) ҚР СТ ИСО/МЭК 27002-2009 15.2.2 бөліміне сәйкес техникалық осалдықтарды қолмен және (немесе) тиісті аспаптық және бағдарламалық құралдардың көмегімен басқару бойынша іс-шаралар өткізу;

      5) ҚР СТ ИСО/МЭК 27002-2009 15.3.1 бөліміне сәйкес ақпараттық қауіпсіздік аудитін жүргізген кезде басқару мен келісу бойынша шараларды қолдану;

      6) ҚР СТ ИСО/МЭК 27002-2009 15.3.2 бөліміне сәйкес аспаптық аудаит құралдары қолжетімді болған кезде ақпараттық қауіпсіздікті қамтамасыз ету.

      67. Құқықтық талаптарға сәйкестік деңгейін тексеру және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 66-тармағының барлық тармақшалары орындалған жағдайда – құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес;

      2) осы Әдістеменің 66-тармағының барлық тармақшалары орындалмаған жағдайда - құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес емес.

12-параграф. ҚР СТ ГОСТ Р 50739-95-2006 сәйкес ақпаратқа
рұқсатсыз қолжетімділіктен қорғау жүйесін тексеру және талдау

      68. ҚР СТ ГОСТ Р 50739-95-2006 сәйкес ақпаратқа рұқсатсыз қолжетімділіктен қорғау жүйесін тексеру және талдау кезінде келесі процестерді тексеру қажет:

      1) ҚР СТ ГОСТ Р 50739-2006 4 бөліміне сәйкес ақпаратты аттестаттау объектісінде өңдеген кезде оны РҚЖ қорғаулын қамтамасыз ету;

      2) ҚР СТ ГОСТ Р 50739-2006 5.1 бөліміне сәйкес қолжетімділік құқықтарын қорғалу көрсеткіштерімен бөлуді іске асыру;

      3) ҚР СТ ГОСТ Р 50739-2006 5.2 бөліміне сәйкес ЕТҚ ақпараттың қорғалуына қатысы бар оқиғаларды тіркеуді қолдауы тиістілігін көздейтін талаптарды орындау;

      4) ҚР СТ ГОСТ Р 50739-2006 5.3 бөліміне сәйкес ЕТҚ құрамында ЕТҚ қолжетімділікті бөлуге және есепке алуға қойылатын талаптардың орындалуын қамтамасыз ететіне кепілдік алуға мүмкіндік беретін техникалық және бағдарламалық механизмдердің бар болу қажеттігін көздейтін кепілдіктерге қойылатын талаптардың орындалуы;

      5) ҚР СТ ГОСТ Р 50739-2006 6 бөліміне сәйкес кешенді қорғау құралдарының толық және жан-жақты сипаттамасы.

      69. Аттестаттау объектілерін рұқсатсыз қолжетімділіктен қорғау талаптарына сәйкестігіне зерттеу және талдау нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осы Әдістеменің 68-тармағының барлық тармақшалары орындалған жағдайда – аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес;

      2) осы Әдістеменің 68-тармағының барлық тармақшалары орындалмаған жағдайда - аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес емес.

13-параграф. Аттестаттау объектісін аспаптық тексеру

      70. Аттестаттау объектісі инфрақұрылымы компоненттерін аспаптық тексеру өтініш беруші ұсынған аттестаттау объектісі компоненттеріне қол жеткізуге арналған есеп жазбаларының негізінде мамандандырылған бағдарламалық аппаратық кешеннің (бұдан әрі - БАК) көмегімен аттестаттау объектісіндегі осалдықтарды айқындау мақсатында жүргізіледі.

      71. Аттестаттау объектісін аспаптық тексеру мыналарды қамтиды:

      1) БАК күйге келтіру (локальдық және қашықтықтан тексерулер жүргізуге арналған есеп жазбасын жазу, аспаптық тексеру режимін таңдау және т.б.);

      2) БАК іске қосу;

      3) айқындалған осалдықтардың сипаттамасы, саны мен деңгейі көрсетілген тізбесін қамтитын бағдарламалық есепті қалыптастыру және беру;

      4) аспаптық тексеру нәтижелерін сараптамалық бағалау мен аттестаттық тексеру актісіне (қосымша аттестаттық) қоса берілетін есепті қалыптастыру.

      72. Аспаптық тексеру нәтижелерінің нәтижелерінің негізінде Аттестаттық тексеру актісіне келесі шешімдердің біреуі енгізіледі:

      1) осалдықтар жоқ болған жағдайда – сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес;

      2) осалдықтар орын алған жағдайда - сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес емес.

5. Аттестаттық тексеру актісін жасау

      73. Аттестаттық тексерудің нәтижелері барлық жұмыстар бойынша тексеру парақтарының толық жинағы негізінде аттестаттық тексеруге кіретін барлық жұмыс түрлері аяқталғаннан кейін жасалатын Аттестаттық тексеру актісі түрінде ресімделеді.

      74. Аттестаттық тексеру актісі еркін нысанда жасалады және мыналарды қамтиды:

      1) АҚ жөніндегі ТҚ зерттеу, талдау және бағалау нәтижелері;

      2) БТ, ҚР СТ ИСО / МЭК 27001-2008, ҚР СТ ИСО / МЭК 27002-2009 және ҚР СТ ГОСТ Р 50739-95-2006, АҚ жөніндегі ТҚ стандарттары талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйі туралы есеп;

      3) аттестаттау объектісін аспаптық тексеру бойынша есеп;

      4) аттестаттық тексерудің барлық жұмыс түрлерінің нәтижелері бойынша қорытынды мен сәйкессіздіктер орын алған жағдайда оларды жою жөніндегі ұсынымдар.

      75. Аттестаттық тексеру актісі бес данада жасалады және біреуі мемлекеттк техникалық қызметте қалады, ал қалған даналары аттестациялық комиссия мүшелері мен өтініш беруші үшін уәкілетті органға жіберіледі.