Об утверждении Методики проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 51/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 11 апреля 2018 года № 16744. Утратил силу приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 15 июня 2019 года № 131/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования)

      Сноска. Утратил силу приказом Министра цифрового развития, оборонной и аэрокосмической промышленности РК от 15.06.2019 № 131/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 6) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемую Методику проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности.

      2. Признать утратившим силу приказ исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 108 "Об утверждении Методики проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 13236, опубликован 4 марта 2016 года в информационно-правовой системе "Әділет").

      3. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) в течение десяти календарных дней после государственной регистрации настоящего приказа направление его копии на официальное опубликование в периодические печатные издания;

      4) размещение настоящего приказа на интернет-ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      5) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, согласно подпунктам 1), 2),3) и 4) настоящего пункта.

      4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр оборонной и аэрокосмической
промышленности Республики Казахстан
Б. Атамкулов

  Утверждена
приказом Министра оборонной
и аэрокосмической промышленности
Республики Казахстан
от 28 марта 2018 года № 51/НҚ

Методика проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности

Глава 1. Общие положения

      1. Настоящая Методика проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 6) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и Правилами проведения аттестации информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 23 мая 2016 года № 298.

      2. Настоящая Методика предназначена для проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности.

      3. В настоящей Методике используются следующие определения и сокращения:

      1) информационные активы – базы данных, системная документация, руководства пользователя, учетные материалы, процедуры эксплуатации или поддержки объекта аттестации, планы по обеспечению непрерывности функционирования информационного обеспечения и другая документация;

      2) информационная система (далее – ИС) – организационно-упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      3) аттестация информационной системы, информационно-коммуникационной платформы "электронного правительства" и интернет-ресурса государственного органа на соответствие требованиям информационной безопасности (далее – аттестация) – организационно-технические мероприятия по определению состояния защищенности объектов аттестации, а также их соответствия требованиям информационной безопасности;

      4) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта аттестации;

      5) информационная безопасность в сфере информатизации (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      6) аутентификация – проверка принадлежности пользователю (субъекту доступа) предъявленного им идентификатора и подтверждение его подлинности;

      7) объекты аттестации – информационная система, информационно-коммуникационная платформа "электронного правительства", интернет-ресурс;

      8) инструментальное обследование компонентов инфраструктуры объекта аттестации – проведение сканирования посредством программного средства для удаленной или локальной диагностики каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и элементов сети на предмет выявления в них уязвимостей;

      9) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;

      10) аттестационное обследование – комплекс организационно-технических мероприятий направленных на изучение, анализ, оценку технической документации объекта аттестации, обследование состояния организации работ по выполнению требований информационной безопасности;

      11) программное обеспечение (далее – ПО) – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации;

      12) комплекс средств защиты (далее – КСЗ) – совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения защиты средств вычислительной техники или информационных систем от несанкционированного доступа к информации;

      13) физические активы – серверное оборудование, оборудование связи, магнитные носители и техническое оборудование, используемое в объекте аттестации.

      4. Аттестационное обследование информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности проводится в следующем порядке:

      1) предварительное изучение структуры объекта аттестации;

      2) изучение, анализ и оценка ТД по ИБ;

      3) обследование состояния организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001 "Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (далее – СТ РК ИСО/МЭК 27001) СТ РК ИСО/МЭК 27002 "Методы обеспечения защиты. Свод правил по управлению защитой информации" (далее – СТ РК ИСО/МЭК 27002), и СТ РК ГОСТ Р 50739 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования" (далее – СТ РК ГОСТ Р 50739), в том числе инструментальное обследование объекта аттестации;

      4) формирование акта аттестационного обследования.

Глава 2. Предварительное изучение структуры объекта аттестации

      5. Предварительное изучение структуры объекта аттестации проводится с целью определения особенностей функционирования объекта аттестации и получения общей информации об аппаратно-программных средствах, локальной и корпоративной сети, технологиях и процедурах по защите информации, применяемых на аттестуемом объекте.

      6. Процесс предварительного изучения структуры включает ознакомление со следующей технической документацией:

      1) техническое задание на создание объекта аттестации;

      2) общая функциональная и локальная схема объекта аттестации;

      3) список программных и технических средств используемых в объекте аттестации;

      4) договор на использование информационно-коммуникационных услуг (в случае, если объект аттестации использует информационно-коммуникационные услуги).

Глава 3. Изучение, анализ и оценка ТД по ИБ

      7. Изучение, анализ и оценка ТД по ИБ проводится с целью определения полноты, актуальности и корректности требований по информационной безопасности на соответствие требованиям ЕТ, СТ РК ИСО/МЭК 27001 и СТ РК ИСО/МЭК 27002.

      8. Изучению, анализу и оценке на соответствие требованиям информационной безопасности подвергаются следующие ТД по ИБ:

      1) политика информационной безопасности (далее – Политика);

      2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации (далее – Правила идентификации);

      3) методика оценки рисков информационной безопасности (далее – Методика оценки рисков);

      4) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации (далее – Правила по обеспечению непрерывной работы);

      5) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения (далее – Правила инвентаризации);

      6) правила проведения внутреннего аудита информационной безопасности (далее – Правила внутреннего аудита);

      7) правила использования криптографических средств защиты информации (далее – Правила использования криптографических средств);

      8) правила разграничения прав доступа к электронным ресурсам (далее – Правила разграничения доступа);

      9) правил использования Интернет и электронной почты;

      10) правила организации процедуры аутентификации;

      11) правила организации антивирусного контроля;

      12) правила использования мобильных устройств и носителей информации (далее – Правила использования мобильных устройств);

      13) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов (далее – Правила организации физической защиты);

      14) руководство администратора по сопровождению объекта аттестации (далее – Руководство администратора);

      15) регламент резервного копирования и восстановления информации (далее – Регламент резервного копирования);

      16) инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях (далее – Инструкция по внештатным ситуациям).

      9. Каждый ТД по ИБ необходимо проверить на наличие листа ознакомления (в произвольной форме), его полноту и актуальность.

      10. Результаты изучения, анализа и оценки ТД по ИБ фиксируются в акте аттестационного обследования.

Параграф 1. Изучение, анализ и оценка Политики

      11. Изучение, анализ и оценка Политики проводится с целью определения полноты, актуальности и корректности основных положений Политики и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) основных целей и принципов Политики с раскрытием значимости ИБ как инструмента, обеспечивающего возможность совместного использования информации;

      2) описания действий руководства по достижению целей по обеспечению ИБ;

      3) описание наиболее существенных для государственного органа или организации политики безопасности, принципов, правил и требований;

      4) требований в случае нарушения Политики;

      5) общих определений и функции сотрудников в рамках управления ИБ;

      6) требований к периодическому пересмотру Политики;

      7) функции руководства по поддержанию вопросов обеспечения ИБ.

      12. На основании результатов изучения, анализа и оценки Политики в акт аттестационного обследования заносится одно из следующих решений:

      1) Политика соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 11 настоящей Методики, и их соответствия требованиям ИБ;

      2) Политика не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 11 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 2. Изучение, анализ и оценка Правил идентификации

      13. Изучение, анализ и оценка Правил идентификации проводится с целью определения полноты, актуальности и корректности основных положений Правил идентификации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) порядка по проведению идентификации и классификации активов (информационные активы, физические активы и другие);

      2) закрепление ответственных лиц за идентифицированные активы;

      3) порядка составления и ведения реестра активов (с указанием класса актива, вида актива, значимость и владельца актива);

      4) порядка маркировки активов в зависимости от их установленного класса, конфиденциальности, ценности и критичности;

      5) выполнения требований на полноту сведений реестра активов.

      14. На основании результатов изучения, анализа и оценки Правил идентификации в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила идентификации соответствуют требованиям ИБ – в случае наличия всех сведений указанных в пункте 13 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила идентификации не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 13 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 3. Изучение, анализ и оценка Методики оценки рисков

      15. Изучение, анализ и оценка Методики оценки рисков проводится с целью определения полноты, актуальности и корректности основных положений Методики оценки рисков и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) выбора методики оценки рисков, выполнение идентификации рисков;

      2) описания методов по определению ценности и критичности информации;

      3) описания порядка мониторинга, пересмотра и изменения рисков ИБ;

      4) описания методов и последовательности по определению рисков информационной безопасности объекта аттестации;

      5) описания метода и последовательности оценки выявленных рисков;

      6) описания метода по обработке рисков;

      7) описания метода и анализа угроз информационной безопасности и источники;

      8) описания метода определения вероятности инцидента;

      9) описания порядка обработки рисков с учетом корректировки, сохранение, избежание, разделение;

      10) описания требований к периодичности пересмотра и переоценки рисков;

      11) определения и оценку последствий в случае реализации риска;

      12) определение ответственных лиц за ведение и обработку рисков;

      13) описания порядка составления карты рисков;

      14) описания порядка формирования плана обработки рисков по результатам оценки и анализа рисков.

      16. На основании результатов изучения, анализа и оценки Методики оценки рисков в акт аттестационного обследования заносится одно из следующих решений:

      1) Методика оценки рисков соответствует требованиям ИБ – в случае наличия всех сведений указанных в пункте 15 настоящей Методики, и их соответствия требованиям ИБ;

      2) Методика оценки рисков не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 15 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 4. Изучение, анализ и оценка Правил по обеспечению непрерывной работы

      17. Изучение, анализ и оценка Правил по обеспечению непрерывной работы проводится с целью определения полноты, актуальности и корректности основных положений Правил по обеспечению непрерывной работы и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) по идентификации событий, которые являются причиной прерывания процессов функционирования объекта аттестации (планирование должно сопровождаться оценкой рисков);

      2) определения процессов обеспечения непрерывности работы активов, занесенных в реестр активов в случае их выхода из строя;

      3) предусматривающих разработку плана обеспечения непрерывности работы активов, связанных со средствами обработки информации и их актуализация;

      4) о порядке тестирования и обновления планов развития существующих процессов по непрерывности работы активов;

      5) по назначению ответственных лиц за процессы функционирования объекта аттестации;

      6) по проведению анализа плана мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов;

      7) по разработке плана восстановления объекта аттестации;

      8) способы размещения оборудования снижающий риск возникновения угроз, опасностей и возможностей несанкционированного доступа;

      9) способы защиты оборудования от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;

      10) требования периодичности технического обслуживания оборудования для обеспечения непрерывности функционирования, доступности и целостности.

      18. На основании результатов изучения, анализа и оценки Правил по обеспечению непрерывной работы в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила по обеспечению непрерывной работы соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 17 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила по обеспечению непрерывной работы не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 17 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 5. Изучение, анализ и оценка Правил инвентаризации

      19. Изучение, анализ и оценка Правил инвентаризации проводится с целью определения полноты, актуальности и корректности основных положений Правил инвентаризации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований к идентификации средств вычислительной техники (далее – СВТ) c учетам их ценности и важности;

      2) порядок оформления паспортов СВТ;

      3) требований к периодичности проведения инвентаризации и паспортизации СВТ;

      4) требований к утилизации и (или) списанию СВТ, телекоммуникационного оборудования и программного обеспечения, в том числе по утилизации устройств хранения данных и гарантированному уничтожению информации при повторном использования оборудования;

      5) требований по назначению ответственных за инвентаризацию и паспортизацию СВТ;

      6) требований к использованию, приобретению и учету лицензионного ПО.

      20. На основании результатов изучения, анализа и оценки Правил инвентаризации в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила инвентаризации соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 19 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила инвентаризации не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 19 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 6.Изучение, анализ и оценка Правил внутреннего аудита

      21. Изучение, анализ и оценка Правил внутреннего аудита проводится с целью определения полноты, актуальности и корректности основных положений Правил внутреннего аудита и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) основных целей внутреннего аудита информационной безопасности;

      2) требований по предоставлению доступа аудиторам;

      3) требований к инструментальному аудиту;

      4) требования по периодичности проведения внутреннего аудита;

      5) требований к наличию и ведению плана - графика поэтапного проведения внутреннего аудита;

      6) требования по порядку формирования рабочей группы по проведению внутреннего аудита;

      7) требований по планированию, порядку и составу проведения аудита для объектов аттестации;

      8) порядка и формы оформления результатов внутреннего аудита информационной безопасности.

      22. На основании результатов изучения, анализа и оценки Правил внутреннего аудита в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила внутреннего аудита соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 21 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила внутреннего аудита не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 21 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 7. Изучение, анализ и оценка Правил использования
криптографических средств

      23. Изучение, анализ и оценка Правил использования криптографических средств проводится с целью определения полноты, актуальности и корректности основных положений Правил использования криптографических средств и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) политики использования криптографических средств защиты информации в соответствии со СТ РК ИСО МЭК 27002;

      2) требования к системе управления ключами;

      3) требований по срокам активизации и дезактивации ключей;

      4) требования по сертификату открытых ключей;

      5) требования к криптографическому шифрованию конфиденциальной информации при хранении, обработке и передаче по сетям телекоммуникаций в соответствии с заданием по безопасности.

      24. На основании результатов изучения, анализа и оценки Порядка использования криптографических средств в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила использования криптографических средств соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 23 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила использования криптографических средств не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 23 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 8.Изучение, анализ и оценка Правил разграничения доступа

      25. Изучение, анализ и оценка Правил разграничения доступа проводится с целью определения полноты, актуальности и корректности основных положений Правил разграничения доступа и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) описания стадии регистрации пользователей, с момента регистрации нового пользователя до снятия с регистрации пользователя;

      2) описания перечня предоставляемых прав доступа к ресурсам;

      3) описания порядка предоставления прав доступа;

      4) требований по ведению учета всех зарегистрированных пользователей;

      5) требований по проведению пересмотра прав доступа пользователей;

      6) требований по ознакомлению пользователей о запрете разглашения либо передачи полученных идентификаторов;

      7) описание требований по блокировке учетной записи.

      26. На основании результатов изучения, анализа и оценки Правил разграничения доступа в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила разграничения доступа соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 25 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила разграничения доступа не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 25 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 9. Изучение, анализ и оценка Правил использования Интернет и электронной почты

      27. Изучение, анализ и оценка Правил использования Интернет и электронной почты проводится с целью определения полноты, актуальности и корректности основных положений Правил использования Интернет и электронной почты и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) порядка использования электронной почты;

      2) требования к оформлению электронного сообщения;

      3) порядка и способов предоставления доступа в Интернет;

      4) мониторинга и контроля доступа в Интернет;

      5) требования об осуществлении электронного взаимодействия ведомственной электронной почты государственного органа с внешними электронными почтовыми системами только через единый шлюз электронной почты.

      28. На основании результатов изучения, анализа и оценки Правил использования Интернет и электронной почты в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила использования Интернет и электронной почты соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 27 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила использования Интернет и электронной почты не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 27 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 10. Изучение, анализ и оценка Правил организации
процедуры аутентификации

      29. Изучение, анализ и оценка Правил организации аутентификации проводится с целью определения полноты, актуальности и корректности основных положений Правил организации аутентификации и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по уведомлению пользователей о необходимости сохранения конфиденциальности вверенных им идентификаторов;

      2) требований по уведомлению пользователей о запрете записи паролей, пин-кодов на бумаге, персональном компьютере или на переносных устройствах, если только не обеспечено безопасное их хранение;

      3) описания порядка безопасного способа выдачи временных паролей;

      4) описания требований к временным паролям;

      5) требований о необходимости изменения идентифицирующих данных, при наличии любого признака возможности компрометации идентификатора;

      6) требований по выбору качественных паролей;

      7) описания требований по изменению парольной аутентификации через равные интервалы времени;

      8) описания требований по смене временных паролей при первой регистрации в системе;

      9) описания требований по запрету включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш.

      30. На основании результатов изучения, анализа и оценки Правил организации аутентификации пользователей в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила организации аутентификации пользователей соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 29 настоящей Методики;

      2) Правил организации аутентификации пользователей не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 29 настоящей Методики.

Параграф 11. Изучение, анализ и оценка Правил организации
антивирусного контроля

      31. Изучение, анализ и оценка Правил организации антивирусного контроля проводится с целью определения полноты, актуальности и корректности основных положений Правил организации антивирусного контроля и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по использованию лицензионных антивирусных программных обеспечений.

      2) требований по периодичности обновления антивирусных программных обеспечений;

      3) требований для пользователей, по соблюдению информационной безопасности при использовании антивирусных программных обеспечений;

      4) требований к веб-страницам на наличие вредоносного программного обеспечения;

      5) требований по анализу всех файлов на носителях информации сомнительного или неавторизованного происхождения или файлов, полученных из общедоступных сетей, на наличие вирусов;

      6) требований по анализу электронной почты и скачиваемой информации на наличие вредоносного программного обеспечения

      7) требований по организации мероприятий по управлению информационной безопасностью для борьбы с вредоносным программным обеспечением;

      8) описания процедур по восстановлению информации после вирусных атак.

      32. На основании результатов изучения, анализа и оценки Правил организации антивирусного контроля в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила организации антивирусного контроля соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 31 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила организации антивирусного контроля не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 31 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 12. Изучение, анализ и оценка Правил использования
мобильных устройств

      33. Изучение, анализ и оценка Правил использования мобильных устройств проводится с целью определения полноты, актуальности и корректности основных положений Правила использования мобильных устройств и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по анализу рисков в случае использования мобильных устройств за пределами организации;

      2) требований по физической защите мобильных устройств и носителей информации;

      3) требований по составлению перечня мобильных устройств, носителей информации и их маркировка;

      4) требований к ведению журнала выдачи носителей информации.

      5) порядка использования носителей информации;

      6) порядка учета, хранения и обращения со съемными носителями персональных данных, и их утилизации;

      7) требований к сотрудникам при использовании съемных носителей;

      8) способов защиты мобильного оборудования, находящегося за пределами рабочего места, с учетом различных рисков работы за пределами организационных помещений;

      9) порядка действий при выявлении фактов несанкционированных действий сотрудников при использовании, а также при утрате и уничтожении съемных носителей персональных данных.

      34. На основании результатов изучения, анализа и оценки Правил использования мобильных устройств в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила использования мобильных устройств соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 33 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила использования мобильных устройств не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 33 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 13. Изучение, анализ и оценка Правил организации
физической защиты

      35. Изучение, анализ и оценка Правил организации физической защиты проводится с целью определения полноты, актуальности и корректности основных положений Правил организации физической защиты и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований к организации физической защиты серверного помещения в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      2) требований к организации контроля доступа в серверные помещения в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      3) требований по выполнению работ в серверном помещений в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      4) требований по безопасному размещению серверного оборудования в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      5) требований по организации вспомогательных услуг в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      6) требований по безопасному использованию кабельной сети в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      7) требований по безопасному техническому обслуживанию серверного оборудования в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      8) требований к безопасной утилизации или повторному использованию оборудования в соответствии с ЕТ и СТ РК ИСО/МЭК 27002;

      9) требований к выносу/вносу оборудования в соответствии с ЕТ и СТ РК ИСО/МЭК 27002.

      36. На основании результатов изучения, анализа и оценки Правил организации физической защиты в акт аттестационного обследования заносится одно из следующих решений:

      1) Правила организации физической защиты соответствуют требованиям ИБ – в случае наличия всех сведений, указанных в пункте 35 настоящей Методики, и их соответствия требованиям ИБ;

      2) Правила организации физической защиты не соответствуют требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 35 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 14. Изучение, анализ и оценка Руководства администратора

      37. Изучение, анализ и оценка Руководства администратора проводится с целью определения полноты, актуальности и корректности основных положений Руководства администратора и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований к действиям администратора по основным типовым работам;

      2) требования к действиям администратора при возникновении инцидентов, внештатных ситуаций, стихийных природно-климатических и техногенных воздействий;

      3) порядок по установке, обновления и удаления ПО на серверах и рабочих станциях;

      4) процедуры управления изменениями и анализа ПО в случае изменения системного ПО.

      38. На основании результатов изучения, анализа и оценки Руководства администратора в акт аттестационного обследования заносится одно из следующих решений:

      1) Руководство администратора соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 37 настоящей Методики, и их соответствия требованиям ИБ;

      2) Руководство администратора не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 37 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 15. Изучение, анализ и оценка Регламента резервного копирования

      39. Изучение, анализ и оценка Регламента резервного копирования проводится с целью определения полноты, актуальности и корректности основных положений Регламента резервного копирования и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) описания требований по составу информации, подлежащей резервному копированию;

      2) определения объема резервного копирования;

      3) описаний требований по размещению резервного оборудования, резервных копий и выбору места хранения резервных копий;

      4) описаний требований по тестированию резервных копий и резервного оборудования;

      5) описаний требований по размещению резервного серверного оборудования и ее физической защиты;

      6) описаний процедур копирования информации и восстановления информации;

      7) требования о периодичности резервирования информации и составлении графика резервного копирования;

      8) требований по документированию процесса резервного копирования в части ведения реестра эталонных копий, реестра информационных ресурсов, подлежащих резервному копированию, журнала записи резервного копирования, журнала проверок резервных копий на восстановление, журнала учета электронных носителей резервной информации, журнала вноса/выноса электронных носителей резервной информации.

      40. На основании результатов изучения, анализа и оценки Регламента резервного копирования в акт аттестационного обследования заносится одно из следующих решений:

      1) Регламент резервного копирования соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 39 настоящей Методики, и их соответствия требованиям ИБ;

      2) Регламент резервного копирования не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 39 настоящей Методики, либо их не соответствия требованиям ИБ.

Параграф 16. Изучение, анализ и оценка Инструкции по внештатным ситуациям

      41. Изучение, анализ и оценка Инструкции по внештатным ситуациям проводится с целью определения полноты, актуальности и корректности основных положений Инструкции по внештатным ситуация и заключается в проведении работ по определению наличия и качественной оценки следующих сведений:

      1) требований по составлению перечня возможных внештатных или кризисных ситуаций, идентификация инцидентов по ИБ;

      2) требование о назначении ответственных лиц за оповещение в случае инцидентов информационной безопасности;

      3) порядок оповещения при возникновении внештатных ситуаций;

      4) требования по принятию мер реагирования при возникновении инцидентов ИБ, внештатных (кризисных) ситуаций;

      5) требования по разработке процедур восстановления работы в случае их остановки;

      6) требования по осуществлению контроля за выполнением профилактических действий для предотвращения возникновения внештатных или кризисных ситуаций;

      7) требований по расследованию случаев возникновения инцидентов и других внештатных ситуаций.

      42. На основании результатов изучения, анализа и оценки Инструкции по внештатным ситуациям в акт аттестационного обследования заносится одно из следующих решений:

      1) Инструкция по внештатным ситуациям соответствует требованиям ИБ – в случае наличия всех сведений, указанных в пункте 41 настоящей Методики, и их соответствия требованиям ИБ;

      2) Инструкция по внештатным ситуациям не соответствует требованиям ИБ – в случае отсутствия одного и более сведений, указанных в пункте 41 настоящей Методики, либо их не соответствия требованиям ИБ.

Глава 4. Обследование состояния организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001-2015 и СТ РК ИСО/МЭК 27002-2015, СТ РК ГОСТ Р 50739-2006, ТД по ИБ, в том числе инструментальное обследование объекта аттестации

      43. Обследование состояние организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001 и СТ РК ИСО/МЭК 27002, СТ РК ГОСТ Р 50739, ТД по ИБ в том числе инструментальное обследование объекта аттестации проводится с целью обследования и анализа:

      1) положений Политики;

      2) процессов по управлению информационной безопасностью;

      3) организации управления активами;

      4) обеспечения безопасности, связанной с персоналом;

      5) физической защиты оборудования и безопасности окружающей среды;

      6) обеспечения надлежащего и безопасного функционирования средств обработки информации;

      7) организации управления доступом к информационным ресурсам;

      8) процессов разработки, внедрения и обслуживания объектов аттестации;

      9) организации управления инцидентами в области информационной безопасности;

      10) управления непрерывности бизнеса;

      11) степени соответствия правовым требованиям;

      12) системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739.

      44. Результаты обследования состояние организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001 и СТ РК ИСО/МЭК 27002, СТ РК ГОСТ Р 50739, ТД по ИБ в том числе инструментальное обследование объекта аттестации фиксируются в акте аттестационного обследования.

Параграф 1. Обследование и анализ положений Политики

      45. При обследовании и анализе положений Политики необходимо проверить:

      1) одобрение руководством Политики, опубликование и доведение до сведения всех сотрудников и связанных внешних организаций;

      2) понимание и принятие Политики сотрудниками организации;

      3) периодический пересмотр Политики;

      4) адекватность и выполнимость требований документов;

      5) результаты анализа Политики через запланированные интервалы времени или в случае возникновения значительных изменений;

      6) наличие ответственного лица за руководство разработкой, анализом Политики.

      46. По итогам изучения и анализа положений Политики в акт аттестационного обследования заносится одно из следующих решений:

      1) положение Политики соответствует требованиям ИБ – в случае выполнение пункта 45 настоящей Методики;

      2) положение Политики не соответствует требованиям ИБ – в случае не выполнения одного и более подпунктов пункта 45 настоящей Методики.

Параграф 2. Обследование и анализ процессов по управлению информационной безопасностью

      47. При обследовании и анализе процессов по управлению информационной безопасностью, необходимо осуществить обследование следующих процессов:

      1) функционирование подразделения, ответственное за обеспечение информационной безопасности и (или) ответственное лицо за обеспечение информационной безопасности объекта аттестации;

      2) функционирование органа (технический совет, рабочая группа по информационной безопасности) по вопросам информационной безопасности, с участием высшего руководства организации, для обсуждения политик, рисков и других вопросов информационной безопасности;

      3) проведение в организации регулярных совещаний руководства по вопросам координации действий по поддержанию режима безопасности;

      4) разделение ролей и ответственности в области информационной безопасности между сотрудниками организации;

      5) координация деятельности по вопросам ИБ внутри подразделений и между подразделениями государственного органа или организации;

      6) внедрение идентификации рисков организации и средств обработки информации со стороны бизнес-процессов, затрагивающих сторонние организации (в случае если привлекаются сторонние организации);

      7) соблюдение требований к безопасности перед предоставлением сторонним организациям права доступа к информации или активам организации (в случае если привлекаются сторонние организации);

      8) соблюдение требований безопасности в соглашении со сторонней организацией, включающих доступ, обработку, передачу или управление информацией организации или средствами ее обработки (в случае если привлекаются сторонние организации).

      48. На основании результатов обследования и анализа процессов по управлению информационной безопасностью в акт аттестационного обследования заносится одно из следующих решений:

      1) процесс по управлению информационной безопасностью соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 47 настоящей Методики;

      2) процесс по управлению информационной безопасностью не соответствует требованиям ИБ – в случае не выполнении подпунктов, указанных в пункте 47 настоящей Методики.

Параграф 3. Обследование и анализ организации управления активами

      49. При обследовании и анализе организации управления активами необходимо осуществить обследование следующих процессов:

      1) анализ идентификации, оформления и поддержки в рабочем состоянии инвентарной ведомости всех активов связанных с объектом аттестации;

      2) определение степени владения организацией или государственного органа информации и активов, связанных со средствами обработки информации;

      3) закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению ИБ активов.

      5) анализ классификации информации с точки зрения ее ценности, законодательных требований, чувствительности и критичности для организации;

      6) маркировки и обращения с информацией в соответствии с принятой в организации схемой классификации и их исполнения.

      50. На основании результатов обследовании и анализе процессов организации управления активами в акт аттестационного обследования заносится одно из следующих решений:

      1) организация управления активами соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 49 настоящей Методики;

      2) организация управления активами не соответствует требованиям ИБ – в случае не выполнения подпунктов пункта 49 настоящей Методики.

Параграф 4. Обследование и анализ обеспечения безопасности,
связанной с персоналом

      51. При обследовании и анализе обеспечения безопасности, связанной с персоналом необходимо обследовать:

      1) функции персонала по обеспечению безопасности и исполнение закрепленных функций по ИБ в соответствии со СТ РК ИСО/МЭК 27002;

      2) полноту требований по информационной безопасности устанавливаемых для сотрудников при приеме на работу в соответствии со СТ РК ИСО/МЭК 27002;

      3) условия трудового договора в части информационной безопасности в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      4) соблюдение требования руководства о соблюдении безопасности в соответствии с установленными политиками и процедурами организации сотрудниками, подрядчиками и пользователями третьей стороны в соответствии со СТ РК ИСО/МЭК 27002;

      5) осведомленность, обучение и переподготовку сотрудников в области информационной безопасности в соответствии со СТ РК ИСО/МЭК 27002;

      6) наличие формализованного дисциплинарного процесса для сотрудников, нарушивших требования безопасности и его фактическое применение в соответствии со СТ РК ИСО/МЭК 27002;

      7) наличие ответственности сотрудников при окончании срока или изменении условий трудоустройства в части информационной безопасности (возврат активов, аннулирование прав доступа) в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ.

      52. На основании результатов обследования и анализа обеспечения безопасности, связанных с персоналом в акт аттестационного обследования заносится одно из следующих решений:

      1) обеспечение безопасности, связанное с персоналом соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 51 настоящей Методики;

      2) обеспечение безопасности, связанное с персоналом не соответствует требованиям ИБ – в случае невыполнения подпунктов пункта 51 настоящей Методики.

Параграф 5. Обследование и анализ физической защиты оборудования и
безопасности окружающей среды

      53. При обследовании и анализе физической защиты оборудования и безопасности окружающей среды необходимо осуществить обследование следующих процессов:

      1) обеспечение физической защиты периметра и серверного помещения в соответствии со СТ РК ИСО/МЭК 27002;

      2) организация контроля доступа в серверные помещения в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      3) организация защиты от внешних угроз в соответствии со СТ РК ИСО/МЭК 27002;

      4) организация работ в серверных помещениях в соответствии со СТ РК ИСО/МЭК 27002;

      5) обеспечение информационной безопасности при приеме и отгрузки материальных ценностей в зонах общественного доступа (если таковые имеются) в соответствии со СТ РК ИСО/МЭК 27002;

      6) размещение оборудования (включая и то, что используется вне организации) для обеспечения защиты и информационной безопасности в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      7) обеспечение защиты от перебоев в подаче электроэнергии и других сбоев, связанных с отказом в обеспечении вспомогательных услуг в соответствии со СТ РК ИСО/МЭК 27002;

      8) обеспечение информационной безопасности кабельной сети в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      9) обеспечение информационной безопасности при техническом обслуживании серверного оборудования в соответствии со СТ РК ИСО/МЭК 27002;

      10) обеспечение информационной безопасности серверного оборудования, используемого вне серверного помещения в соответствии со СТ РК ИСО/МЭК 27002;

      11) организация безопасной утилизации (списания) оборудования в соответствии со СТ РК ИСО/МЭК 27002.

      54. На основании результатов обследования и анализа физической защиты оборудования и безопасности окружающей среды в акт аттестационного обследования заносится одно из следующих решений:

      1) физическая защита оборудования и безопасности окружающей среды соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 53 настоящей Методики;

      2) физическая защита оборудования и безопасности окружающей среды не соответствует требованиям ИБ – в случае не выполнения подпунктов пункта 53 настоящей Методики.

Параграф 6. Обследование и анализ обеспечения надлежащего и безопасного функционирования средств обработки информации

      55. При обследовании и анализе обеспечения надлежащего и безопасного функционирования средств обработки информации необходимо осуществить обследование следующих процессов:

      1) документальное оформление операционных процедур, ведение контроля изменений в объекте аттестации, разграничение обязанностей в объекте аттестации и разграничение средств разработки, тестирования и эксплуатации в соответствии со СТ РК ИСО/МЭК 27002;

      2) соблюдение требований информационной безопасности при получение услуг от сторонних организации и (или) поставке услуг сторонним организациям в соответствии со СТ РК ИСО/МЭК 27002;

      3) обеспечение информационной безопасности при управлении производительностью объектов аттестации в соответствии со СТ РК ИСО/МЭК 27002;

      4) обеспечение безопасной защиты от вредоносного кода в соответствии со СТ РК ИСО/МЭК 27002;

      5) соблюдение требований информационной безопасности при проведении процедур резервирования информации в объектах аттестации в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      6) обеспечение информационной безопасности при управлении сетью в соответствии со СТ РК ИСО/МЭК 27002;

      7) исполнение требований к локальной и ведомственной (корпоративной) сети, установленных в ЕТ;

      8) соблюдение информационной безопасности при работе с носителями информации (ленты, диски, флеш - накопители) в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      9) соблюдение информационной безопасности при обмене информации в соответствии со СТ ИСО/МЭК 27002;

      10) обеспечения мониторинга информационной безопасности в объекта аттестации в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      11) обеспечение надлежащего и безопасного функционирования вычислительных ресурсов, реализующих технологии виртуализации и "облачных" вычислений в соответствии с требованиями ЕТ.

      56. На основании результатов обследования и анализа обеспечения надлежащего и безопасного функционирования средств обработки информации в акт аттестационного обследования заносится одно из следующих решений:

      1) обеспечение надлежащего и безопасного функционирования средств обработки информации соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 55 настоящей Методики

      2) обеспечение надлежащего и безопасного функционирования средств обработки информации не соответствует требованиям ИБ – в случае не выполнения одно и более подпунктов пункта 55 настоящей Методики.

Параграф 7. Обследование и анализ организации управления доступом к информационным ресурсам

      57. При обследовании и анализе организации управления доступа к информационным ресурсам необходимо обследовать следующие процессы:

      1) обеспечение информационной безопасности по контролю доступа к информации и объекту аттестации в соответствии со СТ РК ИСО/МЭК 27002;

      2) обеспечение информационной безопасности при управлении доступом пользователей в объекте аттестации в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      3) осведомление пользователей об их функциональных обязанностях по управлению доступом и их исполнение в соответствие со СТ РК ИСО/МЭК 27002 и ЕТ;

      4) обеспечение информационной безопасности при предоставлении доступа сетевым сервисам в соответствии со СТ РК ИСО/МЭК 27002;

      5) обеспечение информационной безопасности при предоставлении доступа к операционной системе в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      6) обеспечение контроля доступа к прикладным системам и информации в соответствии со СТ РК ИСО/МЭК 27002 и ЕТ;

      7) соблюдение требований информационной безопасности при работе с переносными устройствами и работа в дистанционном режиме в соответствии со СТ РК ИСО МЭК 27002;

      8) разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний, с исполнением требовании установленных в ЕТ (для информационных систем);

      9) обеспечение информационной безопасности интернет – ресурса в соответствии с ЕТ.

      58. На основании результатов обследования и анализа организации управления доступа к информационным ресурсам в акт аттестационного обследования заносится одно из следующих решений:

      1) организация управления доступа к информационным ресурсам соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 57 настоящей Методики;

      2) организация управления доступа к информационным ресурсам не соответствует требованиям ИБ – в случае не выполнения одного и более подпунктов пункта 57 настоящей Методики.

Параграф 8. Обследование и анализ процессов разработки, внедрения и обслуживания объектов аттестации

      59. При аттестационном обследовании и анализе процессов разработки, внедрения и обслуживание объектов аттестации необходимо обследовать:

      1) обеспечение информационной безопасности на каждом этапе жизненного цикла в соответствии со СТ РК ИСО МЭК 27002;

      2) обеспечение информационной безопасности при обработке данных в объекте аттестации в соответствии со СТ РК ИСО МЭК 27002;

      3) корректность использования криптографических средств защиты информации в соответствии со СТ РК ИСО МЭК 27002;

      4) обеспечение информационной безопасности системных файлов объекта аттестации в соответствии со СТ РК ИСО МЭК 27002;

      5) обеспечение информационной безопасности в процессе разработки и внедрения объекта аттестации в соответствии со СТ РК ИСО МЭК 27002;

      6) проведение работ по устранению, мониторингу уязвимостей объекта аттестации в соответствии со СТ РК ИСО МЭК 27002;

      7) разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний, с исполнением требований, установленных в ЕТ (для информационных систем);

      8) обеспечение информационной безопасности интернет - ресурса в соответствии с ЕТ.

      60. На основании результатов обследования и анализа процессов разработки, внедрения и обслуживание объектов аттестации в акт аттестационного обследования заносится одно из следующих решений:

      1) процессы разработки, внедрения и обслуживания объектов аттестации соответствуют требованиям ИБ – в случае выполнения всех подпунктов пункта 59 настоящей Методики;

      2) процессы разработки, внедрения и обслуживания объектов аттестации не соответствуют требованиям ИБ – в случае не выполнения подпунктов пункта 59 настоящей Методики.

Параграф 9. Обследование и анализ организации управления инцидентами в области информационной безопасности

      61. При обследовании и анализе организации управления инцидентами в области информационной безопасности необходимо обследовать следующие процессы:

      1) оповещение о случаях нарушения информационной безопасности, позволяющей обеспечить быстрое, результативное и последовательное реагирование на инциденты в области информационной безопасности в соответствии со СТ РК ИСО МЭК 27002;

      2) назначение ответственности руководства в соответствии со СТ РК ИСО МЭК 27002;

      3) мониторинг и регистрация инцидентов информационной безопасности, оперативность информирования об инцидентах в области информационной безопасности, процедуры составлению отчетов об инцидентах информационной безопасности в соответствии со СТ РК ИСО МЭК 27002;

      4) сбор, сохранение и предоставление информации об инцидентах информационной безопасности на случай, если инцидент информационной безопасности может привести к судебному разбирательству в соответствии с СТ РК ИСО МЭК 27002;

      5) регистрация событий, связанных с состоянием информационной безопасности и выявление нарушений путем анализа журналов событий в соответствие с ЕТ.

      62. На основании результатов обследования и анализа организации управления инцидентами информационной безопасности в акт аттестационного обследования заносится одно из следующих решений:

      1) организация управления инцидентами в области информационной безопасности соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 61 настоящей Методики;

      2) организация управления инцидентами в области информационной безопасности не соответствует требованиям ИБ – в случае невыполнения подпунктов пункта 61 настоящей Методики.

Параграф 10. Обследование и анализ управления непрерывности бизнеса

      63. При обследовании и анализе управления непрерывности бизнеса необходимо обследовать следующие процессы:

      1) развитие и поддержки непрерывности бизнеса включающие в себя процессы по информационной безопасности в соответствии со СТ РК ИСО МЭК 27002;

      2) идентификация событий, которые являются причиной прерывания бизнес-процессов в соответствии со СТ РК ИСО МЭК 27002;

      3) реализация планов непрерывности бизнеса в соответствии со СТ РК ИСО МЭК 27002;

      4) проведение тестирования, поддержки и пересмотра планов по обеспечению непрерывности бизнеса в соответствии со СТ РК ИСО МЭК 27002.

      64. На основании результатов обследования и анализа управления непрерывности бизнеса в акт аттестационного обследования заносится одно из следующих решений:

      1) управление непрерывностью бизнеса соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 63 настоящей Методики;

      2) управление непрерывностью бизнеса не соответствует требованиям ИБ – в случае невыполнения подпунктов пункта 63 настоящей Методики.

Параграф 11. Обследование и анализ степени соответствия правовым требованиям

      65. При обследовании и анализе степени соответствия правовым требованиям необходимо обследовать следующие процессы:

      1) защита записей организации от потери, разрушения и фальсификации в соответствии с законодательными, другими обязательными, контрактными требованиями и бизнес – требованиями в соответствии со СТ РК ИСО МЭК 27002;

      2) обеспечение информационной безопасности при переносе конфиденциальной персональной информации в соответствии со СТ РК ИСО МЭК 27002;

      3) контроль нецелевого использования средств обработки информации в соответствии со СТ РК ИСО МЭК 27002;

      4) проведение мероприятий по управлению техническими уязвимостями в ручную и (или) при помощи соответствующих инструментальных и программных средств в соответствии со СТ РК ИСО МЭК 27002;

      5) применение мер по управлению и согласованию при проведении аудита информационной безопасности в соответствии со СТ РК ИСО МЭК 27002;

      6) обеспечение информационной безопасности при доступе инструментальных средств аудита в соответствие со СТ РК ИСО МЭК 27002.

      66. На основании результатов обследования и анализа степени соответствия правовым требованиям в акт аттестационного обследования заносится одно из следующих решений:

      1) степень соответствия правовым требованиям соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 65 настоящей Методики;

      2) степень соответствия правовым требованиям не соответствует требованиям ИБ – в случае не выполнении подпунктов пункта 65 настоящей Методики.

Параграф 12. Обследование и анализ системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739

      67. При обследовании и анализе системы защиты от несанкционированного доступа к информации согласно СТ РК ГОСТ Р 50739 необходимо обследовать следующие процессы:

      1) обеспечение защищенность информации при ее обработке в объекте аттестации от НСД в соответствии со СТ РК ГОСТ Р 50739;

      2) реализация разграничения прав доступа показателями защищенности в соответствии со СТ РК ГОСТ Р 50739;

      3) исполнение требовании к учету, предусматривающие то, что СВТ должны поддерживать регистрацию событий, имеющих отношение к защищенности информации в соответствии со СТ РК ГОСТ Р 50739;

      4) исполнение требований к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету в соответствии со СТ РК ГОСТ Р 50739;

      5) подробное и всестороннее описание комплексных средств защиты в соответствии со СТ РК ГОСТ Р 50739.

      68. На основании результатов изучения и анализа объектов аттестации на соответствие требованиям защиты от несанкционированного доступа в акт аттестационного обследования заносится одно из следующих решений:

      1) система защиты от несанкционированного доступа объекта аттестации согласно СТ РК ГОСТ Р 50739 соответствует требованиям ИБ – в случае выполнения всех подпунктов пункта 67 настоящей Методики;

      2) система защиты от несанкционированного доступа объекта аттестации согласно СТ РК ГОСТ Р 50739 не соответствует требованиям защиты – в случае не выполнения подпунктов пункта 67 настоящей Методики.

Параграф 13. Инструментальное обследование объекта аттестации

      69. Инструментальное обследование объекта аттестации проводится с целью выявления уязвимостей на объекте аттестации, в частности в системе защиты от внешнего и внутреннего проникновения, с помощью специализированного программного-аппаратного комплекса (далее – ПАК) на основании учетных записей для доступа к компонентам объекта аттестации, предоставленных заявителем.

      70. Проведение инструментального обследования объекта аттестации включает в себя:

      1) настройку ПАК (прописка учетной записи для проведения локальных и удаленных проверок, выбор режима инструментального обследования и т.п.);

      2) запуск ПАК;

      3) формирование и выдачу программного отчета, включающего в себя перечень выявленных уязвимостей с указанием их описания, количества и уровня;

      4) экспертную оценку результатов инструментального обследования с учетом обоснования, представленного заявителем до формирования отчета, прилагаемого к акту аттестационного (дополнительного аттестационного) обследования.

      71. На основании результатов инструментального обследования в акт аттестационного обследования заносится одно из следующих решений:

      1) система защиты от внешнего и внутреннего проникновения соответствует требованиям ИБ – в случае отсутствия уязвимостей;

      2) система защиты от внешнего и внутреннего проникновения не соответствует требованиям ИБ – в случае наличия уязвимостей.

Глава 5.Формирование Акта аттестационного обследования

      72. Результаты аттестационного обследования оформляются в виде акта аттестационного обследования, который составляется по окончанию всех видов работ, входящих в аттестационное обследование, на основании полного комплекта проверочных листов по всем работам;

      73. Акт аттестационного обследования составляется в произвольной форме и включает в себя:

      1) результаты изучения, анализа и оценки ТД по ИБ;

      2) отчет о состоянии организации работ по выполнению требований ЕТ, стандартов СТ РК ИСО/МЭК 27001 и СТ РК ИСО/МЭК 27002, СТ РК ГОСТ Р 50739, ТД по ИБ;

      3) отчет по инструментальному обследованию объекта аттестации;

      4) заключение по результатам всех видов работ аттестационного обследования и рекомендации по устранению несоответствий в случае их наличия.

      74. Акт аттестационного обследования составляется в трех экземплярах, один из которых остается в государственной технической службе, а другие 2 экземпляра передаются в уполномоченный орган для уполномоченного органа и заявителя.

Ақпараттық жүйенің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесін бекіту туралы

Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 28 наурыздағы № 51/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 11 сәуірде № 16744 болып тіркелді. Күші жойылды - Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 15 маусымдағы № 131/НҚ бұйрығымен

      Ескерту. Күші жойылды – ҚР Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 15.06.2019 № 131/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1-бабының 6) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Ақпараттық жүйенің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі бекітілсін.

      2. "Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесін бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушысының 2016 жылғы 28 қаңтардағы № 108 бұйрығының (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 13236 болып тіркелген, "Әділет" Қазақстан Республикасы нормативтік құқықтық актілерінің ақпараттық-құқықтық жүйесінде 2016 жылғы 4 наурызда жарияланған) күші жойылды деп танылсын.

      3. Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күнінен бастап күнтізбелік он күн ішінде оның көшірмелерін кағаз және электронды түрде қазақ және орыс тілдерінде баспа және электрондық түрде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу және ресми жариялауға "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

      3) осы бұйрық мемлекеттік тіркелген күнінен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспа басылымдарына ресми жариялауға жіберуді;

      4) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің ресми интернет-ресурсында орналастыруды;

      5) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2), 3) және 4) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер беруді қамтамасыз етсін.

      4. Осы бұйрықтың орындалуын бақылауды жетекшілік ететін Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      5. Осы бұйрық алғаш ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасың
      Қорғаныс және аэроғарыш
өнеркәсібі министрі
Б. Атамқұлов

  Қазақстан Республикасы
Қорғаныс және аэроғарыш
өнеркәсібі министрінің
2018 жылғы 28 наурыздағы
№ 51/НҚ бұйрығымен
бекітілген

Ақпараттық жүйенің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі

1-тарау. Жалпы ережелер

      1. Осы Ақпараттық жүйенің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі (бұдан әрі – Әдістеме) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 6) тармақшасына және Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысымен бекітілген Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына сәйкес әзірленді.

      2. Осы Әдістеме ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауға жүргізуге арналған.

      3. Осы Әдістемеде мынадай негізгі ұғымдар мен қысқартулар пайдаланылады:

      1) ақпараттық активтер – деректер базалары, жүйелік құжаттама, пайдаланушыға арналған басшылықтар, есеп материалдары, аттестаттау объектісін пайдалану немесе қолдау рәсімдері, ақпараттық бағдарламалық қамтылымның үздіксіз жұмыс істеуін қамтамасыз ету жөніндегі жоспарлар және басқа құжаттама;

      2) ақпараттық жүйе (бұдан әрі – АЖ) – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсетуші персоналдың және техникалық құжаттаманың ұйымдастырушылық- реттелген жиынтығы;

      3) ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау (бұдан әрі –аттестаттау) – аттестаттау объектілерінің қорғалу жай-күйін, сондай-ақ олардың ақпараттық қауіпсіздік талаптарына сәйкестігін анықтау бойынша ұйымдастырушылық-техникалық іс-шаралар;

      4) ақпараттық қауіпсіздік бойынша техникалық құжаттама (бұдан әрі – АҚ бойынша ТҚ) – ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға (бұдан әрі – БТ) сәйкес әзірленген және аттестаттау объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі жалпы талаптарды, қағидаттармен қағидаларды регламенттейтін құжаттар жиынтығы;

      5) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;

      6) аутентификация – пайдаланушы (қол жеткізу субъектісі) үшін ол ұсынған сәйкестендіргішті зерттеп-қарау және оның түпнұсқалығын растау;

      7) аттестаттау объектілері – ақпараттық жүйе, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы, интернет-ресурс;

      8) аттестаттау объектісінің инфрақұрылымы компоненттерін аспаптық зерттеп-қарау – байланыс арналарын, тораптарын, серверлерді, жұмыс станцияларын, қолданбалы және жүйелік бағдарламалық қамтылымды, деректер базалары мен желі элементтерін бағдарламалық құрал немесе қашықтықтағы не локалдық диагностика арқылы олардағы осалдықтарды айқындауға қатысты сканерлеу жүргізу;

      9) осалдық – бағдарламалық қамтылымда жұмыс қабілеттілігін бұзуға немесе белгіленген рұқсаттардан тыс қандай болсын заңсыз іс-әрекеттерді орындауға мүмкіндік беретін бағдарламалық қамтылымдағы кемшілік;

      10) аттестаттық зерттеп-қарау – аттестаттау объектісінің техникалық құжаттамасын зерделеуге, талдауға, бағалауға бағытталған ұйымдастырушылық-техникалық іс-шаралар кешені, ақпараттық қауіпсіздік талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйін тексеру;

      11) бағдарламалық қамтылым (бұдан әрі – БҚ) – бағдарламалардың, бағдарламалық кодтардың, сондай-ақ бағдарламалық өнімдердің оларды пайдалану үшін қажетті техникалық құжаттамасының жиынтығы;

      12) қорғау құралдары кешені (бұдан әрі – ҚҚК) – есептеу техникасы құралдарын немесе ақпараттық жүйелерді ақпаратқа рұқсатсыз қол жеткізуден қорғауды қамтамасыз ету үшін құрылатын және қолдау көрсетілетін бағдарламалық және техникалық құралдар жиынтығы;

      13) физикалық активтер – аттестаттау объектісінде пайдаланылатын серверлік жабдық, байланыс жабдығы, магниттік тасығыштар мен техникалық жабдық.

      4. Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарау мына тәртіппен жүргізіледі:

      1) аттестаттау объектісінің құрылымын алдын ала зерделеу;

      2) АҚ жөніндегі ТҚ зерделеу, талдау және бағалау;

      3) аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 "Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар" (бұдан әрі – ҚР СТ ИСО/МЭК 27001), ҚР СТ ИСО/МЭК 27002 "Қауіпсіздікті қамтамасыз ету әдістері. Ақпаратты қорғауды басқару жөніндегі қағидалар жинағы (бұдан әрі – ҚР СТ ИСО/МЭК 27002) және ҚР СТ МЕМСТ Р 50739 "Есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" (бұдан әрі - ҚР СТ МЕМСТ Р 50739), АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйін зерттеп-қарау.

      4) аттестаттық зерттеп-қарау актісін қалыптастыру.

2-тарау. Аттестаттау объектісінің құрылымын алдын ала зерделеу

      5. Аттестаттау объектісінің құрылымын алдын ала зерделеу аттестаттау объектісінің жұмыс істеу ерекшеліктерін айқындау және аттестаттау объектісінде пайдаланылатын аппараттық-бағдарламалық құралдар, локалдық және корпоративтік желі, ақпаратты қорғау технологиялары мен рәсімдері туралы жалпы ақпарат алу мақсатында жүргізіледі.

      6. Құрылымды алдын ала зерделеу процесі мынадай техникалық құжаттамамен танысуды қамтиды:

      1) аттестаттау объектісін құруға арналған техникалық тапсырма;

      2) аттестаттау объектісінің жалпы функционалдық және локалдық схемасы;

      3) аттестаттау объектісінде пайдаланылатын бағдарламалық және техникалық құралдар тізімі;

      4) көрсетілетін ақпараттық-коммуникациялық қызметтерді пайдалануға арналған шарт (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланған жағдайда).

3-тарау. АҚ жөніндегі ТҚ-ны зерделеу, талдау және бағалау

      7. АҚ жөніндегі ТҚ-ны зерделеу, талдау және бағалау БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002 талаптарына ақпараттық қауіпсіздік бойынша талаптардың толықтығын, өзектілігін және дұрыстығын анықтау мақсатында жүргізіледі.

      8. Ақпараттық қауіпсіздік талаптарына сәйкестікке зерделеу, талдау және бағалау жүргізілетін АҚ жөніндегі ТҚ:

      1) ақпараттық қауіпсіздік саясаты (бұдан әрі – Саясат);

      2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары (бұдан әрі – Сәйкестендіру қағидалары);

      3) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі (бұдан әрі –Тәуекелдерді бағалау әдістемесі);

      4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары (бұдан әрі – Жұмыстың үздіксіздігін қамтамасыз ету қағидалары);

      5) есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары (бұдан әрі – Түгендеу қағидалары);

      6) ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары (бұдан әрі – Ішкі аудит қағидалары);

      7) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары (бұдан әрі – Криптографиялық құралдарды пайдалану қағидалары);

      8) электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары (бұдан әрі – Қол жеткізу құқықтарын шектеу қағидалары);

      9) Интернетті және электрондық поштаны пайдалану қағидалары;

      10) аутентификация рәсімін ұйымдастыру қағидалары;

      11) вирусқа қарсы бақылауды ұйымдастыру қағидалары;

      12) мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары (бұдан әрі – Мобильдік құрылғыларды пайдалану қағидалары);

      13) ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары (бұдан әрі – Физикалық қорғауды ұйымдастыру қағидалары);

      14) әкімшінің аттестаттау объектісін сүймелдеу жөніндегі басшылығы (бұдан әрі – Әкімші басшылығы);

      15) Ақпаратты резервтік көшіру және қалпына келтіру регламенті (бұдан әрі – Резервтік көшіру регламенті);

      16) пайдаланушылардың АҚ оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық (бұдан әрі – Штаттан тыс жағдайлар бойынша нұсқаулық).

      9. Әрбір АҚ жөніндегі ТҚ таныстыру парағының (ерікті нысанда) бар болуына, оның толықтығы мен өзектілігіне тексеру қажет.

      10. АҚ жөніндегі ТҚ зерделеу, талдау және бағалаудың нәтижелері аттестаттық зерттеп-қарау актісінде белгіленеді.

1-параграф. Саясатты зерделеу, талдау және бағалау

      11. Саясатты зерделеу, талдау және бағалау Саясаттың негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) АҚ маңыздылығын ақпаратты бірлесіп пайдалану мүмкіндігін қамтамасыз ететін аспап ретінде ашу арқылы Саясаттың негізгі мақсаттары мен қағидаттары;

      2) АҚ қамтамасыз ету бойынша мақсаттарға қол жеткізу жөніндегі басшылық іс-әрекеттерінің сипаттамасы;

      3) мемлекеттік орган немесе ұйым үшін барынша маңызды қауіпсіздік саясаттарының, қағидаттардың, қағидалар мен талаптардың сипаттамасы;

      4) Саясат бұзылған жағдайда қойылатын талаптар;

      5) АҚ басқару шеңберіндегі жалпы анықтамалар және қызметкерлердің функциялары;

      6) Саясатты мерзімді қайта қарауға қойылатын талаптар;

      7) басшылықтың АҚ қамтамасыз ету мәселелерін қолдау бойынша функциялары.

      12. Саясатты зерделеу, талдау және бағалау нәтижелері негізінде аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) осы Әдістеменің 11-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Саясат АҚ талаптарына сәйкес;

      2) осы Әдістеменің 11-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда – Саясат АҚ талаптарына сәйкес емес.

2-параграф. Сәйкестендіру қағидаларын зерделеу, талдау және бағалау

      13. Сәйкестендіру қағидаларын зерделеу, талдау және бағалау Сәйкестендіру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) активтерді (ақпараттық активтер, физикалық активтер және басқа) сәйкестендіруді және сыныптауды жүргізу тәртібі;

      2) сәйкестендірілген активтерге жауапты тұлғаларды бекіту;

      3) активтер тізілімін құру және жүргізу (актив тобын, актив класын, маңыздылығы мен активтің иесін көрсетіп);

      4) активтердің белгіленген класына, құпиялығына, құндылығы мен маңыздылығына байланысты маркалау тәртібі;

      5) активтер тізілімінің мәліметі толықтығына арналған талаптарды орындау.

      14. Сәйкестендіру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Сәйкестендіру қағидалары АҚ талаптарына сәйкес - осы Әдістеменің 13-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Сәйкестендіру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 13-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

3-параграф. Тәуекелдерді бағалау әдістемесін зерделеу, талдау және бағалау

      15. Тәуекелдерді бағалау әдістемесін зерделеу, талдау және бағалау Тәуекелдерді бағалау әдістемесі негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) тәуекелдерді бағалау әдістемесін таңдау, тәуекелдерді сәйкестендіруді орындау;

      2) ақпараттың құндылығы мен маңыздылығын анықтау бойынша әдістемелердің сипаттамасы;

      3) АҚ тәуекелдерінің мониторингі, қайта қарау және өзгерту тәртібінің сипаттамасы;

      4) аттестаттау объектісінің ақпараттық қауіпсіздік тәуекелдерін анықтау әдістерінің және реттілігінің сипаттамасы;

      5) айқындалған тәуекелдерді бағалау әдісінің және реттілігінің сипаттамасы;

      6) тәуекелдерді өңдеу әдісінің сипаттамасы;

      7) ақпараттық қауіпсіздік қатерлерін және көздерін айқындау және талдау әдісінің сипаттамасы;

      8) оқыс оқиға ықтималдығын айқындау әдісінің сипаттамасы;

      9) тәуекелдерді түзетуді, сақтауды, болдырмауды және бөлуді ескере отырып, өңдеу тәртібінің сипаттамасы;

      10) тәуекелдерді қайта қарау мен қайта бағалауға қойылатын талаптардың сипаттамасы;

      11) тәуекелді жүзеге асыру жағдайында салдарларды анықтау және бағалау;

      12) тәуекелдерді жүргізу және өңдеу үшін жауапты тұлғаларды белгілеу;

      13) тәуекелдер картасын құру тәртібінің сипаттамасы;

      14) тәуекелдерді бағалау мен талдау нәтижелері бойынша өңдеу жоспарын қалыптастыру тәртібінің сипаттамасы.

      16. Тәуекелдерді бағалау әдістемесін зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Тәуекелдерді бағалау әдістемесі АҚ талаптарына сәйкес – осы Әдістеменің 15-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Тәуекелдерді бағалау әдістемесі – АҚ талаптарына сәйкес емес осы Әдістеменің 15-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

4-параграф. Жұмыстың үздіксіздігін қамтамасыз ету қағидаларын зерделеу, талдау және бағалау

      17. Жұмыстың үздіксіздігін қамтамасыз ету қағидаларын зерделеу, талдау және бағалау Жұмыстың үздіксіздігін қамтамасыз ету қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) аттестаттау объектісінің жұмыс істеу процестерін бұзудың себебі болып табылатын оқиғаларды сәйкестендіру бойынша (жоспарлау тәуекелдерді бағалаумен сүйемелденуі тиіс);

      2) активтер істен шыққан жағдайда активтер тізбесінде белгіленген жұмысының үздіксіздігін қамтамасыз ету процестерін анықтау;

      3) Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және оларды өзектендіруді қамтамасыз ету жоспарын әзірлеуді көздейтін;

      4) тестілеу және активтер жұмысының үздіксіздігі бойынша қолданыстағы процестерді дамыту жоспарларын жаңарту тәртібі туралы;

      5) аттестаттау объектісінің жұмыс істеу процестері үшін жауапты тұлғаларды тағайындау бойынша;

      6) Активтер жұмысының үздіксіздігін қамтамасыз ету жоспарын талдауды жүргізу бойынша;

      7) аттестаттау объектісін қалпына келтіру жоспарын әзірлеу бойынша;

      8) қатерлердің, қауіптердің және рұқсатсыз қол жеткізу мүмкіндіктерінің пайда болу тәуекелдерін төмендететін жабдықты орналастыру тәсілдері;

      9) электрмен жабдықтау жүйесіндегі жұмыс істемей қалудан және коммуникация қызметтерінің жұмысынан орын алатын бұзушылықтардан жабдықты қорғау тәсілдері;

      10) жұмыс істеудің үздіксіздігін, қолжетімділігі мен тұтастығын қамтамасыз ету үшін жабдыққа техникалық қызмет көрсетудің мерзімділігіне қойылатын талаптар.

      18. Жұмыстың үздіксіздігін қамтамасыз ету қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Жұмыстың үздіксіздігін қамтамасыз ету қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 17-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Жұмыстың үздіксіздігін қамтамасыз ету қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 17-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

5-параграф. Түгендеу қағидаларын зерделеу, талдау және бағалау

      19. Түгендеу қағидаларын зерделеу, талдау және бағалау Түгендеу қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) құндылығы мен маңыздылығын ескере отырып, есептеу техникасы құралдарын (бұдан әрі – ЕТҚ) сәйкестендіруге қойылатын талаптар;

      2) ЕТҚ паспорттарын ресімдеу тәртібі;

      3) ЕТҚ түгендеу мен паспорттандыруды жүргізу мерзімділігіне қойылатын талаптар;

      4) ЕТҚ, телекоммуникациялық жабдықты және бағдарламалық қамтылымды кәдеге жаратуға және (немесе) шығысқа шығаруға, соның ішінде деректерді сақтау құрылғыларын кәдеге жарату мен жабдықты қайтадан пайдаланған кезде ақпаратты кепілдікті жоюға қойылатын талаптар;

      5) ЕТҚ түгендеу мен паспорттандыру үшін жауапты тұлғаларды тағайындау бойынша талаптар;

      6) лицензияланған БҚ пайдалануға, сатып алуға және есепке алуға қойылатын талаптар.

      20. Түгендеу қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Түгендеу қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 19-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Түгендеу қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 19-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

6-параграф. Ішкі аудит қағидаларын зерделеу, талдау және бағалау

      21. Ішкі аудит қағидаларын зерделеу, талдау және бағалау Ішкі аудит қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) ішкі ақпараттық қауіпсіздік аудитінің негізгі мақсаттары;

      2) аудиторларға қолжетімділік беру бойынша талаптар;

      3) аспаптық аудитке қойылатын талаптар;

      4) ішкі аудитті жүргізудің мерзімділігі бойынша талаптар;

      5) ішкі аудитті кезеңмен жүргізудің кесте-жоспарының болуы мен жүргізілуіне қойылатын талаптар;

      6) ішкі аудит жүргізу жөніндегі жұмыс тобын қалыптастыру тәртібі бойынша талаптар;

      7) аттестаттау объектілері үшін аудит жүргізуді жоспарлау, тәртібі мен құрамы бойынша талаптар;

      8) ішкі ақпараттық қауіпсіздік аудитінің нәтижелерін ресімдеу тәртібі мен нысаны.

      22. Ішкі аудит қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Ішкі аудит қағидалары АҚ талаптарына сәйкес –;осы Әдістеменің 21-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда.

      2) Ішкі аудит қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 21-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

7-параграф. Криптографиялық құралдарды пайдалану қағидаларын зерделеу, талдау және бағалау

      23. Криптографиялық құралдарды пайдалану қағидаларын зерделеу, талдау және бағалау Криптографиялық құралдарды пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты криптографиялық қорғау құралдарын пайдалану саясаты;

      2) кілттерді басқару жүйесіне қойылатын талаптар;

      3) кілттерді активациялау және дезактивациялау мерзімдеріне қойылатын талаптар;

      4) ашық кілттер сертификаты жөніндегі талаптар;

      5) құпия ақпаратты сақтау, өңдеу және телекоммуникациялар желілері бойынша жіберген кезде қауіпсіздік бойынша тапсырмаға сәйкес криптографиялық шифрлауға қойылатын талаптар.

      24. Криптографиялық құралдарды пайдалану қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) осы Әдістеменің 23-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Криптографиялық құралдарды пайдалану қағидалары АҚ талаптарына сәйкес;

      2) осы Әдістеменің 23-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда – Криптографиялық құралдарды пайдалану қағидалары АҚ талаптарына сәйкес емес.

8-параграф. Қол жеткізу құқықтарын бөлу қағидаларын зерделеу, талдау және бағалау

      25. Қол жеткізу құқықтарын бөлу қағидаларын зерделеу, талдау және бағалау Қол жеткізу құқықтарын бөлу қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) жаңа пайдаланушыны тіркеу сәтінен бастап пайдаланушыны тіркеуден алып тастағанға дейін пайдаланушыларды тіркеу кезеңінің сипаттамасы;

      2) берілетін ресурстарға қол жеткізу құқықтар тізбесінің сипаттамасы;

      3) қол жеткізу құқығын беру тәртібінің сипаттамасы;

      4) барлық тіркелген пайдаланушылардың есебін жүргізу бойынша талаптар;

      5) пайдаланушылардың қол жеткізу құқықтарын қайта қарауды жүргізу бойынша талаптар;

      6) пайдаланушыларды алынған сәйкестендіргіштерді жариялауға немесе басқа біреуге беруге тыйым салумен таныстыру бойынша талаптар;

      7) есеп жазбасын бұғаттау бойынша талаптардың сипаттамасы.

      26. Қол жеткізу құқықтарын бөлу қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Қол жеткізу құқықтарын бөлу қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 25-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Қол жеткізу құқықтарын бөлу қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 25-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

9-параграф. Интернетті және электрондық поштаны пайдалану қағидаларын зерделеу, талдау және бағалау

      27. Интернетті және электрондық поштаны пайдалану қағидаларын зерделеу, талдау және бағалау Интернетті және электрондық поштаны пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) электрондық поштаны пайдалану тәртібі;

      2) электрондық хабарламаны ресімдеуге қойылатын талаптар;

      3) Интернетке қол жеткізуге рұқсат беру тәртібі мен әдістері;

      4) Интернетке қолжетімділікті мониторингілеу және бақылау;

      5) мемлекеттік органның ведомстволық электрондық поштасының сыртқы электрондық пошта жүйелерімен тек қана электрондық поштаның бірыңғай шлюзі арқылы электрондық өзара іс-қимылды жүзеге асыру туралы талаптар.

      28. Интернетті және электрондық поштаны пайдалану қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Интернетті және электрондық поштаны пайдалану қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 27-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Интернетті және электрондық поштаны пайдалану қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 27-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

10-параграф. Аутентификация рәсімін ұйымдастыру қағидаларын зерделеу, талдау және бағалау

      29. Аутентификация рәсімін ұйымдастыру қағидаларын зерделеу, талдау және бағалау Аутентификация рәсімдерін ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) пайдаланушыларды оларға сеніп тапсырылған сәйкестендіргіштердің құпиялығын сақтау қажеттігі туралы хабарландыру бойынша талаптар;

      2) пайдаланушыларды парольдерді, пин-кодтарды олардың қауіпсіз сақталуы қамтамасыз етілмесе, қағазға, дербес компьютерге немесе тасымалдау құрылғыларына жазуға рұқсат етілмейтіні туралы хабарландыру бойынша талаптар;

      3) уақытша парольдерді берудің қауіпсіз тәсілі тәртібінің сипаттамасы;

      4) уақытша парольдерге қойылатын талаптардың сипаттамалары;

      5) сәйкестендіргішті жария ету мүмкіндігінің кез келген белгілері болған кезде сәйкестендіру деректерін өзгерту қажеттілігі туралы талаптар;

      6) сапалы парольдерді таңдау бойынша талаптар;

      7) уақыттың тең аралықтарында парольдік аутентификацияны өзгерту бойынша талаптардың сипаттамасы;

      8) жүйеде алғашқы рет тіркеген кезде уақытша парольдерді ауыстыру бойынша талаптардың сипаттамасы;

      9) парольдерді автоматты тіркеу процесіне енгізуге, мысалы, сақталатын макрокомандаларды немесе функционалдық клавишаларды пайдалана отырып, тыйым салу бойынша талаптардың сипаттамасы.

      30. Аутентификация рәсімін ұйымдастыру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Аутентификация рәсімдерін ұйымдастыру қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 29-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Аутентификация рәсімдерін ұйымдастыру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 29-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

11-параграф. Вирусқа қарсы бақылауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау

      31. Вирусқа қарсы бақылауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау Вирусқа қарсы бақылауды ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) лицензияланған вирусқа қарсы бағдарламалық қамтылымдарды пайдалану бойынша талаптар;

      2) вирусқа қарсы бағдарламалық қамтылымдарды жаңарту мерзімділігі бойынша талаптар;

      3) вирусқа қарсы бағдарламалық қамтылымдарды пайдаланған кезде ақпараттық қауіпсіздікті сақтау жөніндегі пайдаланушыларға арналған талаптар;

      4) веб-парақтарды зиянды бағдарламалық қамтылымның болуына қатысты зерттеп-қарау талаптары;

      5) күдікті немесе авторланбаған ақпарат тасымалдауыштардағы барлық файлдарды немесе жалпыға қолжетімді желілерден алынған файлдарды вирустардың болуына қатысты зерттеп-қарау бойынша талаптар;

      6) электрондық поштаны және көшірілетін ақпаратты зиянды бағдарламалық қамтылымның болуына қатысты талдау бойынша талаптар;

      7) зиянды бағдарламалық қамтылыммен күресу үшін ақпараттық қауіпсіздікті басқару бойынша іс-шараларды ұйымдастыру бойынша талаптар;

      8) вирустық шабуыладардан кейін ақпаратты қалпына келтіру рәсімдерінің сипаттамалары.

      32. Вирусқа қарсы бақылауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Вирусқа қарсы бақылауды ұйымдастыру қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 31-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Вирусқа қарсы бақылауды ұйымдастыру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 31-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

12-параграф. Мобильдік құрылғыларды пайдалану қағидаларын зерделеу, талдау және бағалау

      33. Мобильдік құрылғыларды пайдалану қағидаларын зерделеу, талдау және бағалау Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) мобильдік құрылғыларды ұйымнан тыс жерде пайдаланған жағдайда, тәуекелдерді талдау бойынша талаптар;

      2) мобильдік құрылғыларды және ақпарат тасымалдауыштарды физикалық қорғау бойынша талаптар;

      3) мобильдік құрылғылардың және ақпарат тасымалдауыштардың тізбесін құру және оларды маркалау бойынша талаптар;

      4) ақпарат тасымалдауыштарды беру журналын жүргізуге қойылатын талаптар;

      5) ақпарат тасымалдауыштарды пайдалану тәртібі;

      6) дербес деректердің алмалы тасымалдауыштарын есепке алу, сақтау мен қолдану және оларды пайдаға асыру тәртібі;

      7) алмалы тасымалдауыштарды пайдалану кезінде қызметкерлерге қойылатын талаптар;

      8) жұмыс орнына тыс орналасқан мобильдік құрылғыны ұйымдастыру үй-жайлары аумағынан тыс жұмыс істеудің түрлі тәуекелдерін ескере отырып, қорғау тәсілдері;

      9) дербес деректердің алмалы тасымалдауыштарын пайдалану, сондай-ақ жоғалту және жою кезінде қызметкерлердің рұқсат етілмеген іс-қимыл жасау фактілері айқындалған кезіндегі іс-әрекет тәртібі.

      34. Мобильдік құрылғыларды пайдалану қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары АҚ талаптарына сәйкес - осы Әдістеменің 33-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 33-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

13-параграф. Физикалық қорғауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау

      35. Физикалық қорғауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау Физикалық қорғауды ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайды физикалық қорғауға қойылатын талаптар;

      2) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайларға кіруді бақылауды ұйымдастыруға қойылатын талаптар;

      3) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайларда жұмыстарды орындау бойынша талаптар;

      4) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік жабдықты қауіпсіз орналастыру бойынша талаптар;

      5) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес қосымша қызметтерді ұйымдастыру бойынша талаптар;

      6) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес кәбілдік желіні қауіпсіз пайдалану бойынша талаптар;

      7) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік жабдыққа қауіпсіз техникалық қызмет көрсету бойынша талаптар;

      8) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес жабдықты қауіпсіз кәдеге жаратуға немесе қайтадан пайдалануға қойылатын талаптар;

      9) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес жабдықты кіргізу/шығаруға қойылатын талаптар.

      36. Физикалық қорғауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Физикалық қорғауды ұйымдастыру қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 35-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Физикалық қорғауды ұйымдастыру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 35-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

14-параграф. Әкімші басшылығын зерделеу, талдау және бағалау

      37. Әкімші басшылығын зерделеу, талдау және бағалау Әкімші басшылығы негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) әкімшінің негізгі үлгілік жұмыстар бойынша іс-әрекеттеріне қойылатын талаптар;

      2) оқыс оқиғалар, штаттан тыс жағдайлар, апатты табиғат-климаттық және техногендік әсерлер орын алған кездегі әкімшінің іс-әрекеттеріне қойылатын талаптар;

      3) серверлер мен жұмыс станцияларына БҚ орнату, жаңарту және жою тәртібі;

      4) жүйелік БҚ өзгерген жағдайда БҚ өзгерулерін басқару және талдау рәсімдері.

      38. Әкімші басшылығын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Әкімшінің басшылығы АҚ талаптарына сәйкес – осы Әдістеменің 37-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Әкімшінің басшылығы АҚ талаптарына сәйкес емес – осы Әдістеменің 37-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

15-параграф. Резервтік көшіру регламентін зерделеу, талдау және бағалау

      39. Резервтік көшіру регламентін зерделеу, талдау және бағалау Резервтік көшіру регламенті негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) резервтік көшіруге жататын ақпараттың құрамы бойынша талаптардың сипаттамасы;

      2) резервтік көшірудің көлемін анықтау;

      3) резервтік жабдық пен резервтік көшірмелерді орналастыру және резервтік көшірмелерді сақтау орнын таңдау бойынша талаптардың сипаттамасы;

      4) резервтік көшірмелерді және резервтік жабдықты тестілеу бойынша талаптардың сипаттамасы;

      5) резервтік серверлік жабдықты орналастыру және оны физикалық қорғау бойынша талаптардың сипаттамасы;

      6) ақпаратты көшіру мен ақпаратты қалпына келтіру рәсімдерінің сипаттамасы;

      7) ақпаратты резервте сақтау және резервтік көшіру кестесін құру мерзімділігі туралы талаптар;

      8) эталондық көшірмелер тізілімін, резервтік көшіруге жататын ақпараттық ресурстар тізілімін, резервтік көшіруді жазу журналын, резервтік көшірмелерді қалпына келтіруге қатысты зерттеп-қарау журналын, резервтік ақпаратты электрондық тасымалдауыштарды есепке алу журналын, резервтік ақпаратты электрондық тасымалдауыштарды алып кіру/алып шығу журналын жүргізу бойынша талаптар.

      40. Резервтік көшіру регламентін зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Резервтік көшіру регламенті АҚ талаптарына сәйкес – осы Әдістеменің 39-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Резервтік көшіру регламенті АҚ талаптарына сәйкес емес – осы Әдістеменің 39-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

16-параграф. Штаттан тыс жағдайлар жөніндегі нұсқаулықты зерделеу, талдау және бағалау

      41. Штаттан тыс жағдайлар жөніндегі нұсқаулықты зерделеу, талдау және бағалау Штаттан тыс жағдайлар жөніндегі нұсқаулықтың негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

      1) ықтимал штаттан тыс және дағдарысты жағдайлардың тізбесін құру, АҚ бойынша оқыс оқиғаларды сәйкестендіру бойынша талаптар;

      2) ақпараттық қауіпсіздік оқыс оқиғалары жағдайында хабарлау үшін жауапты тұлғаларды тағайындау туралы талап;

      3) штаттан тыс жағдай орын алған кезде хабарлау тәртібі;

      4) АҚ оқыс оқиғалары, штаттан тыс (дағдарысты) жағдайлар орын алған кезде әрекет ету шараларын қабылдау жөніндегі талаптар;

      5) жұмыстар тоқатылған жағдайда оларды қалпына келтіру рәсімдерін әзірлеу бойынша талаптар;

      6) штаттан тыс немесе дағдарысты жағдайлардың орын алуына жол бермеуге арналған сақтандыру іс-қимылдарының орындалуын бақылауды жүзеге асыру бойынша талаптар;

      7) оқыс оқиғалардың және басқа штаттан тыс жағдайлардың орын алу оқиғаларын зерттеп-қарау бойынша талаптар.

      42. Штаттан тыс жағдайлар жөніндегі нұсқаулықты зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Штаттан тыс жағдайлар жөніндегі нұсқаулық АҚ талаптарына сәйкес– осы Әдістеменің 41-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

      2) Штаттан тыс жағдайлар жөніндегі нұсқаулық АҚ талаптарына сәйкес емес – осы Әдістеменің 41-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

4-тарау. Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002, ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін тексеру

      43. Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002, ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін зерттеп-қарау мыналарды зерттеп-қарау және талдау мақсатында жүргізіледі:

      1) Саясат ережелерін;

      2) ақпараттық қауіпсіздікті басқару бойынша процестерді;

      3) активтерді басқаруды ұйымдастыруды;

      4) персоналға байланысты қауіпсіздікті қамтамасыз етуді;

      5) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды;

      6) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді;

      7) ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды;

      8) аттестаттау объектілерін әзірлеу, енгізу мен қызмет көрсету процестерін;

      9) ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды;

      10) бизнестің үздіксіздігін басқаруды;

      11) құқықтық талаптарға сәйкестік дәрежесін;

      12) ҚР СТ МЕМСТ Р 50739 талаптарына сәйкес ақпаратты рұқсатсыз қол жеткізуден қорғау жүйесіне қойылатын талаптарды.

      44. Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002, ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін зерттеп-қарау нәтижелері Аттестаттық зерттеп-қарау актісінде белгіленеді.

1-параграф. Саясат ережелерін зерттеп-қарау және талдау

      45. Саясат ережелерін зерттеп-қарау және талдау кезінде:

      1) Саясатты басшылықтың мақұлдауын, жариялануын және барлық қызметкерлер мен байланысты сыртқы ұйымдардың назарына жеткізілуін;

      2) ұйым қызметкерлерінің Саясатты түсінуі мен қабылдауын;

      3) Саясатты мерзімді түрде қайта қарауды;

      4) құжаттарда қойылған талаптарының барабарлығын және орындалатындығын;

      5) жоспарланған уақыт аралығында немесе елеулі өзгерістер орын алған жағдайда Саясатты талдаудың нәтижелерін;

      6) Саясатты әзірлеуге, талдауға және бағалауға басшылық ету үшін жауапты тұлғаның болуын зерттеп-қарау қажет.

      46. Саясат ережелерін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Саясат ережелерінің орындалуы АҚ талаптарына сәйкес – осы Әдістеменің 45-тармағы орындалған жағдайда;

      2) Саясат ережелерінің орындалуы АҚ талаптарына сәйкес емес – осы Әдістеменің 45-тармағы орындалмаған жағдайда.

2-параграф. Ақпараттық қауіпсіздікті басқару бойынша процестерді зерттеп-қарау және талдау

      47. Ақпараттық қауіпсіздікті басқару бойынша процестерді зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарауды жүзеге асыру қажет:

      1) аттестаттау объектісінің ақпараттық қауіпсіздігін қамтамасыз ету үшін жауапты бөлімшенің және (немесе) ақпараттық қауіпсіздігін қамтамасыз ету үшін жаупты тұлғаның жұмыс істеу;

      2) ұйымның жоғары басшылығының қатысуымен ақпараттық қауіпсіздік саясаттарын, тәуекелдері мен басқа мәселелерін талқылауға арналған ақпараттық қауіпсіздік мәселелері жөніндегі органның (ақпараттық қауіпсіздік жөніндегі техникалық кеңес, жұмыс тобы) жұмыс істеуі;

      3) ұйымда басшылықтың қауіпсіздік режимін қолдау бойынша іс-қимылдарды үйлестіру жөніндегі тұрақты кеңестерін өткізу;

      4) ақпараттық қауіпсіздік саласындағы рольдерді және жауапкершілікті ұйым қызметкерлері арасында бөлу;

      5) мемлекеттік органның немесе ұйымның бөлімшелері ішінде және бөлімшелері арасында АҚ мәселелері жөніндегі қызметті үйлестіру;

      6) ұйым тәуекелдері мен сыртқы ұйымдарға (бөгде ұйымдар тартылған жағдайда) қатысты бизнес-процестер тарапынан ақпаратты өңдеу құралдарын сәйкестендіруді енгізу;

      7) бөгде ұйымдарға ұйымдарға (бөгде ұйымдар тартылған жағдайда) ұйымның ақпаратына немесе активтеріне қолжетімділік құқығын беру алдында қауіпсіздікке қойылатын талаптарды сақтау;

      8) бөгде ұйыммен (бөгде ұйымдар тартылған жағдайда) жасалған ақпаратқа қолжетімділікті, өңдеуді, жіберуді немесе оны өңдеу құралдарын басқаруды қамтитын келісімде қауіпсіздік талаптарын сақтау.

      48. Ақпараттық қауіпсіздікті басқару бойынша процестерді зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) ақпараттық қауіпсіздікті басқару АҚ талаптарына сәйкес – осы Әдістеменің 47-тармағының барлық тармақшалары орындалған жағдайда;

      2) ақпараттық қауіпсіздікті басқару АҚ талаптарына сәйкес емес – осы Әдістеменің 47-тармағының барлық тармақшалары орындалмаған жағдайда.

3-параграф. Активтерді басқаруды ұйымдастыруды зерттеп-қарау және талдау

      49. Активтерді басқаруды ұйымдастыруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарауды жүзеге асыру қажет:

      1) аттестаттау объектісімен байланысты барлық активтердің түгендеу тізімдемесін сәйкестендіруді, ресімдеу мен жұмыс жай-күйінде қолдауды талдау;

      2) ұйымның немесе мемлекеттік органның ақпаратты және ақпаратты өңдеу құралдарымен байланысты активтерді иелену деңгейін анықтау;

      3) активтерді лауазымды тұлғаларға бекіту және активтердің АҚ басқару жөніндегі іс-шараларды іске асыру үшін олардың жауапкершілік көлемін анықтау;

      4) ақпаратты оның құндылығына, заңнамалық талаптар, сезгіштігі мен ұйым үшін маңыздылығы тұрғысынан сыныптауды талдау;

      5) ұйымда қабылданған сыныптау және оларды орындау схемасына сәйкес ақпаратты маркалау және онымен жұмыс істеу.

      50. Активтерді басқаруды ұйымдастыру процестерін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) активтерді басқаруды ұйымдастыру процесі АҚ талаптарына сәйкес –осы Әдістеменің 49-тармағының барлық тармақшалары орындалған жағдайда;

      2) активтерді басқаруды ұйымдастыру процесі АҚ талаптарына сәйкес емес – осы Әдістеменің 49-тармағының барлық тармақшалары орындалмаған жағдайда.

4-параграф. Персоналға байланысты қауіпсіздікті қамтамасыз етуді зерттеп-қарау және талдау

      51. Персоналға байланысты қауіпсіздікті қамтамасыз етуді зерттеп-қарау және талдау кезінде:

      1) персоналдың қауіпсіздікті қамтамасыз ету бойынша функцияларын және ҚР СТ ИСО/МЭК 27002 сәйкес АҚ бойынша бекітілген функциялардың орындалуын;

      2) жұмысқа қабылдаған кезде ҚР СТ ИСО/МЭК 27002 сәйкес қызметкерлер үшін белгіленетін ақпараттық қауіпсіздік бойынша талаптардың толықтығын;

      3) ҚР СТ ИСО/МЭК 27002 мен ЕТ 24-тармағына сәйкес еңбек шартының ақпараттық қауіпсіздікке қатысты шарттарын;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес қызметкерлердің, мердігерлер мен үшінші тарап пайдаланушыларының ұйымның саясаттарымен және рәсімдерімен белгіленген қауіпсіздікті сақтау туралы басшылық талаптарының сақталуын;

      5) ҚР СТ ИСО/МЭК 27002 сәйкес қызметкерлердің ақпараттық қауіпсіздік саласы бойынша хабардарлығын, оқыту мен қайта даярлауды;

      6) ҚР СТ ИСО/МЭК 27002 сәйкес қауіпсіздік талаптарын бұзған қызметкерлер үшін нысандандырылған тәртіптік процестің болуы мен оның нақты пайдаланылуын;

      7) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес жұмыспен қамту мерзімі аяқталған немесе жағдайлары өзгерген кезде қызметкерлердің ақпараттық қауіпсіздік бөлігіндегі (активтерді қайтару, қолжетімділік құқығын жою) жауапкершілігінің болуын зерттеп-қарау қажет.

      52. Персоналға байланысты қауіпсіздікті қамтамасыз етуді зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) Персоналға байланысты қауіпсіздікті қамтамасыз ету АҚ талаптарына сәйкес – осы Әдістеменің 51-тармағының барлық тармақшалары орындалған жағдайда;

      2) Персоналға байланысты қауіпсіздікті қамтамасыз ету АҚ талаптарына сәйкес емес – осы Әдістеменің 51-тармағының барлық тармақшалары орындалмаған жағдайда.

5-параграф. Жабдықты және қоршаған орта қауіпсіздігін физикалық қорғауды зерттеп-қарау және талдау

      53. Жабдықты және қоршаған орта қауіпсіздігін физикалық қорғауды зерттеп-қарау мен талдау кезінде мынадай процестерді зерттеп-қарау қажет:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес периметр мен серверлік үй-жайды физикалық қорғауды қамтамасыз ету;

      2) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес серверлік үй-жайларға кіруді бақылауды ұйымдастыру;

      3) ҚР СТ ИСО/МЭК 27002 сәйкес сыртқы қатерлерден қорғауды ұйымдастыру;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайларда жұмысты ұйымдастыру;

      5) ҚР СТ ИСО/МЭК 27002 сәйкес қоғамдық қолжетімділік аймақтарында (мұндайлар болған жағдайда) материалдық құндылықтарды қабылдау және жіберу кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      6) қорғау мен ақпараттық қауіпсіздікті қамтамасыз етуге арналған жабдықты ҚР СТ ИСО/МЭК 27002 мен БТ сәйкес орналастыру;

      7) ҚР СТ ИСО/МЭК 27002 сәйкес электр энергиясын берудегі кідірулер мен қосымша қызметтерді қамтамасыз етуде орын алатын кірірулерге байланысты тоқтап қалулардан қорғауды қамтамасыз ету;

      8) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес кәбілдік желінің ақпараттық қауіпсіздігін қамтамасыз ету;

      9) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік жабдыққа техникалық қызмет көрсету кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      10) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайдан тыс жерде пайдаланылатын серверлік жабдықтың ақпараттық қауіпсіздігін қамтамасыз ету;

      11) ҚР СТ ИСО/МЭК 27002 сәйкес жабдықты қауіпсіз қайтадан пайдаға асыруды (шығысқа шығаруды) ұйымдастыру.

      54. Жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес – осы Әдістеменің 53-тармағының барлық тармақшалары орындалған жағдайда;

      2) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес емес – осы Әдістеменің 53-тармағының барлық тармақшалары орындалмаған жағдайда.

6-параграф. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау

      55. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарауды жүзеге асыру қажет:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес операциялық рәсімдерды құжатпен ресімдеу, аттестаттау объектісіндегі өзгерістерді бақылауды жүргізу, аттестаттау объектісінде міндеттемелерді бөлу және әзірлеу, тестілеу мен пайдалану құралдарын бөлу;

      2) ҚР СТ ИСО/МЭК 27002 сәйкес бөгде ұйымдардан қызметтер алған және (немесе) бөгде ұйымдарға қызмет көрсеткен кезде ақпараттық қауіпсіздік талаптарын сақтау;

      3) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектілерінің өнімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес зиянды кодтан қауіпсіз қорғауды қамтамасыз ету;

      5) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектілерінде ақпаратты резервте сақтау рәсімдерін жүргізген кезде ақпараттық қауіпсіздік талаптарын сақтау;

      6) ҚР СТ ИСО/МЭК 27002 сәйкес желіні басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      7) БТ белгіленген локалдық және ведомстволық (корпоративтік) желіге қойылатын талаптарды орындау;

      8) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес ақпарат тасымалдаушылармен (таспалар, дискілер, флеш-жинақтағыштар) жұмыс кезінде ақпараттық қауіпсіздікті сақтау;

      9) ҚР СТ ИСО/МЭК 27002 сәйкес ақпарат алмасу кезінде ақпараттық қауіпсіздікті сақтау;

      10) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес аттестаттау объектісінде ақпараттық қауіпсіздік мониторингін қамтамасыз ету;

      11) БТ талаптарына сәйкес виртуалдау мен "бұлтты" есептеу технологияларын іске асыратын есептеу ресурстарының тиісінше және қауіпсіз жұмысын қамтамасыз ету.

      56. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес – осы Әдістеменің 55-тармағының барлық тармақшалары орындалған жағдайда;

      2) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес емес – осы Әдістеменің 55-тармағының барлық тармақшалары орындалмаған жағдайда.

7-параграф. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау

      57. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратқа және аттестаттау объектісіне қолжетімділікті бақылау бойынша ақпараттық қауіпсіздікті қамтамасыз ету;

      2) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес пайдаланушылардың аттестаттау объектісінде қолжетімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      3) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес пайдаланушыларды қолжетімділікті басқару бойынша олардың функционалдық міндеттері туралы хабарландыру мен олардың орындалуы;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес желілік сервистерге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      5) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес операциялық жүйеге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

      6) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес қолданбалы бағдарламалар мен ақпаратқа қолжетімділікті бақылауды қамтамасыз ету;

      7) ҚР СТ ИСО/МЭК 27002 сәйкес тасымалдау құрылғыларымен жұмыс кезінде ақпараттық қауіпсіздік талаптарын сақтау және қашықтық режимінде жұмыс істеу;

      8) БТ-да белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлу;

      9) БТ-ға сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз ету.

      58. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) осы Әдістеменің 57-тармағының барлық тармақшалары орындалған жағдайда – ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес;

      2) осы Әдістеменің 57-тармағының барлық тармақшалары орындалмаған жағдайда – ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес емес.

8-параграф. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау

      59. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау кезінде:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес өміршеңдік кезеңнің әр сатысында ақпараттық қауіпсіздікті қамтамасыз етуді;

      2) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісіндегі деректерді өңдеген кезде ақпараттық қауіпсіздікті қамтамасыз етуді;

      3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты криптографиялық қорғау құралдарын пайдаланудың дұрыстығын;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісінің жүйелік файлдарының ақпараттық қауіпсіздігін қамтамасыз етуді;

      5) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісін әзірлеу және енгізу процесінде ақпараттық қауіпсіздікті қамтамасыз етуді;

      6) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісінің осалдықтарын жою, мониторингілеу бойынша жұмыстар жүргізуді;

      7) БТ белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлуді;

      8) БТ сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз етуді зерттеп-қарау қажет.

      60. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес –осы Әдістеменің 59-тармағының барлық тармақшалары орындалған жағдайда;

      2) Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес емес – осы Әдістеменің 59-тармағының барлық тармақшалары орындалмаған жағдайда.

9-параграф. Ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды зерттеп-қарау және талдау

      61. Ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік саласындағы оқыс оқиғаларға жылдам, нәтижелі және жүйелі әрекет етуді қамтамасыз етуге мүмкіндік беретін ақпараттық қауіпсіздікті бұзу оқиғалары туралы хабарлау;

      2) ҚР СТ ИСО/МЭК 27002 сәйкес басшылық жауаптылығын белгілеу;

      3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік оқыс оқиғаларын тіркеу және мониторингілеу, ақпараттық қауіпсіздік саласындағы оқыс оқиғалар туралы хабарлаудың жеделдігі, ақпараттық қауіпсіздік оқыс оқиғалары туралы есептер құру рәсімдері;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік оқыс оқиғасы сот талқылауына әкеп соғу жағдайында ақпараттық қауіпсіздік оқыс оқиғалары туралы ақпаратты жинау, сақтау және ұсыну;

      5) БТ сәйкес ақпараттық қауіпсіздік жай-күйіне байланысты оқиғаларды тіркеу мен оқиғалар журналын талдау жолымен бұзуларды айқындау.

      62. Ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) ақпараттық қауіпсіздік оқыс оқиғаларын басқару АҚ талаптарына сәйкес – осы Әдістеменің 61-тармағының барлық тармақшалары орындалған жағдайда;

      2) ақпараттық қауіпсіздік оқыс оқиғаларын басқару АҚ талаптарына сәйкес емес – осы Әдістеменің 61-тармағының барлық тармақшалары орындалмаған жағдайда.

10-параграф. Бизнестің үздіксіздігін басқаруды зерттеп-қарау және талдау

      63. Бизнестің үздіксіздігін басқаруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік бойынша процестерді қамтитын бизнестің үздіксіздігін дамыту және қолдау;

      2) ҚР СТ ИСО/МЭК 27002 сәйкес бизнес-процестерді үзудің себебі болып табылатын оқиғаларды сәйкестендіру;

      3) ҚР СТ ИСО/МЭК 27002 сәйкес бизнестің үздіксіздігі жоспарларын іске асыру;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес бизнестің үздіксіздігін қамтамасыз ету жөніндегі жоспарларды тестілеуді, қолдау мен қайта қарауды жүргізу.

      64. Бизнестің үздіксіздігін басқаруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) бизнестің үздіксіздігін басқару бойынша рәсімдер АҚ талаптарына сәйкес – осы Әдістеменің 63-тармағының барлық тармақшалары орындалған жағдайда;

      2) бизнестің үздіксіздігін басқару бойынша рәсімдер АҚ талаптарына сәйкес емес – осы Әдістеменің 63-тармағының барлық тармақшалары орындалмаған жағдайда.

11-параграф. Құқықтық талаптарға сәйкестік деңгейін зерттеп-қарау және талдау

      65. Құқықтық талаптарға сәйкестік деңгейін зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:

      1) ҚР СТ ИСО/МЭК 27002 сәйкес ұйым жазбаларын жоғалудан, бұзудан және бұрмалаудан заңнамалық, басқа міндетті, келісімдік талаптар мен бизнес-талаптарға сай қорғау;

      2) ҚР СТ ИСО/МЭК 27002 сәйкес дербес құпия ақпаратты тасымалдаған кезде ақпараттық қауіпсіздікті қамтамасыз ету;

      3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты қорғау құралдарын мақсатсыз пайдалануды бақылау;

      4) ҚР СТ ИСО/МЭК 27002 сәйкес техникалық осалдықтарды қолмен және (немесе) тиісті аспаптық және бағдарламалық құралдардың көмегімен басқару бойынша іс-шаралар өткізу;

      5) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік аудитін жүргізген кезде басқару және келісу бойынша шараларды қолдану;

      6) ҚР СТ ИСО/МЭК 27002 сәйкес аспаптық аудит құралдары қолжетімді болған кезде ақпараттық қауіпсіздікті қамтамасыз ету.

      66. Құқықтық талаптарға сәйкестік деңгейін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес – осы Әдістеменің 65-тармағының барлық тармақшалары орындалған жағдайда;

      2) құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес емес –осы Әдістеменің 65-тармағының барлық тармақшалары орындалмаған жағдайда.

12-параграф. ҚР СТ МЕМСТ Р 50739 сәйкес ақпаратқа рұқсатсыз қолжетімділіктен қорғау жүйесін зерттеп-қарау және талдау

      67. ҚР СТ МЕМСТ Р 50739 сәйкес ақпаратқа рұқсатсыз қолжетімділіктен қорғау жүйесін зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:

      1) ҚР СТ МЕМСТ Р 50739 сәйкес ақпаратты аттестаттау объектісінде өңдеген кезде оны РҚЖ қорғаулын қамтамасыз ету;

      2) ҚР СТ МЕМСТ Р 50739 сәйкес қолжетімділік құқықтарын қорғалу көрсеткіштерімен бөлуді іске асыру;

      3) ҚР СТ МЕМСТ Р 50739 сәйкес ЕТҚ ақпараттың қорғалуына қатысы бар оқиғаларды тіркеуді қолдауы тиістілігін көздейтін талаптарды орындау;

      4) ҚР СТ МЕМСТ Р 50739 сәйкес ЕТҚ құрамында ЕТҚ қолжетімділікті бөлуге және есепке алуға қойылатын талаптардың орындалуын қамтамасыз ететіне кепілдік алуға мүмкіндік беретін техникалық және бағдарламалық механизмдердің болу қажеттігін көздейтін кепілдіктерге қойылатын талаптардың орындалуы;

      5) ҚР СТ МЕМСТ Р 50739 сәйкес кешенді қорғау құралдарының толық және жан-жақты сипаттамасы.

      68. Аттестаттау объектілерін рұқсатсыз қолжетімділіктен қорғау талаптарына сәйкестігіне зерделеу және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес – осы Әдістеменің 67-тармағының барлық тармақшалары орындалған жағдайда;

      2) аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес емес – осы Әдістеменің 67-тармағының барлық тармақшалары орындалмаған жағдайда.

13-параграф. Аттестаттау объектісін аспаптық тексеру

      69. Аттестаттау объектісі инфрақұрылымы компоненттерін аспаптық зерттеп-қарау өтініш беруші ұсынған аттестаттау объектісі компоненттеріне қол жеткізуге арналған есеп жазбалары негізінде мамандандырылған бағдарламалық аппаратық кешеннің (бұдан әрі – БАК) көмегімен аттестаттау объектісіндегі осалдықтарды айқындау мақсатында жүргізіледі.

      70. Аттестаттау объектісін аспаптық зерттеп-қарау мыналарды қамтиды:

      1) БАК күйге келтіру (локалдық және қашықтықтан тексерулер жүргізуге арналған есеп жазбасын жазу, аспаптық зерттеп-қарау режимін таңдау және т.б.);

      2) БАК іске қосу;

      3) айқындалған осалдықтардың сипаттамасы, саны мен деңгейі көрсетілген тізбесін қамтитын бағдарламалық есепті қалыптастыру және беру;

      4) аспаптық зерттеп-қарау нәтижелерін сараптамалық бағалау мен аттестаттық зерттеп-қарау актісіне (қосымша аттестаттық) қоса берілетін есепті қалыптастыру.

      71. Аспаптық зерттеп-қарау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

      1) осалдықтар жоқ болған жағдайда – сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес;

      2) осалдықтар орын алған жағдайда – сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес емес.

5-тарау. Аттестаттық зерттеп-қарау актісін жасау

      72. Аттестаттық зерттеп-қараудың нәтижелері барлық жұмыстар бойынша зерттеп-қарау парақтарының толық жинағы негізінде аттестаттық зерттеп-қарауға кіретін барлық жұмыс түрлері аяқталғаннан кейін жасалатын Аттестаттық зерттеп-қарау актісі түрінде ресімделеді.

      73. Аттестаттық зерттеп-қарау актісі еркін нысанда жасалады және мыналарды қамтиды:

      1) АҚ жөніндегі ТҚ зерделеу, талдау және бағалау нәтижелері;

      2) БТ, ҚР СТ ИСО/МЭК 27001, ҚР СТ ИСО/МЭК 27002 және ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ стандарттары талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйі туралы есеп;

      3) аттестаттау объектісін аспаптық зерттеп-қарау бойынша есеп;

      4) аттестаттық зерттеп-қараудың барлық жұмыс түрлерінің нәтижелері бойынша қорытынды мен сәйкессіздіктер орын алған жағдайда оларды жою жөніндегі ұсынымдар.

      74. Аттестаттық зерттеп-қарау актісі үш данада жасалады және бір данасы мемлекеттік техникалық қызметте қалады, ал қалған 2 даналары уәкілетті органға уәкілетті орган мен өтінім берушіге жіберіледі