2016 жылғы 23 мамыр, Астана, Үкімет Үйі
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларын бекіту туралы
«Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 5) тармақшасына сәйкес Қазақстан Республикасының Үкіметі қаулы етеді:
1. Қоса беріліп отырған Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидалары бекітілсін.
2. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасы Үкіметінің кейбір шешімдерінің күші жойылды деп танылсын.
3. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Премьер-Министрі К.МӘСІМОВ
Қазақстан Республикасы Үкіметінің
2016 жылғы 23 мамырдағы №298 қаулысымен бекітілген
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидалары
1. Жалпы ережелер
1. Осы Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидалары (бұдан әрі – Қағидалар) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 6-бабының 5) тармақшасына сәйкес әзірленді және ақпараттық жүйелерді, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу тәртібін айқындайды.
2. Осы Қағидалар мемлекеттік құпияларға жатқызылған, қорғалып орындалатын ақпараттық жүйелерге аттестаттау жүргізуге қолданылмайды.
3. Қағидаларда пайдаланылатын негізгі анықтамалар, терминдер және ұғымдар:
1) ақпараттандыру саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – ақпараттандыру және «электрондық үкiмет» саласында басшылықты және салааралық үйлестiруді жүзеге асыратын орталық атқарушы орган;
2) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорын;
3) өтініш беруші – аттестаттау объектісін ақпараттық қауіпсіздік талаптарына сәйкестiкке аттестаттау жүргiзуге өтiнiш берген аттестаттау объектісінің иесі (иеленуші) немесе ол өкілеттік берген тұлға;
4) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі –ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;
5) ақпараттық-коммуникациялық инфрақұрылым – электрондық ақпараттық ресурстарды қалыптастыру және оларға қол жеткізуді ұсыну мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;
6) аттестаттау объектілері – ақпараттық жүйе, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы, интернет-ресурс;
7) аппараттық-бағдарламалық кешен – белгілі бір типтегі міндеттерді шешу үшін бірлесіп қолданылатын бағдарламалық қамтылым мен техникалық құралдар жиынтығы;
8) ақпараттық жүйе – ақпараттық өзара іс-қимыл арқылы белгілі бір технологиялық әрекеттерді іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсетуші персоналдың және техникалық құжаттаманың ұйымдастырылып ретке келтірілген жиынтығы;
9) «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы – ақпараттандырудың сервистік моделін іске асыруға арналған технологиялық платформа;
10) интернет-ресурс – аппараттық-бағдарламалық кешенде орналастырылатын, бірегей желілік адресі және (немесе) домендік аты бар және Интернетте жұмыс істейтін, мәтіндік, графикалық, аудиокөрінімді немесе өзге де түрде бейнеленетін электрондық ақпараттық ресурс;
11) аттестаттау комиссиясы – аттестаттық зерттеп-қарау нәтижелерін қарайтын және тиісті ұсынымдар беретін, уәкілетті орган жанындағы консультациялық-кеңесші орган;
12) ақпараттық жүйенің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігі аттестаты (бұдан әрі – аттестат) – аттестаттау объектісінің ақпараттық қауіпсіздік талаптарына сәйкестігі фактісін растайтын құжат;
13) аттестациялық зерттеп-қарау актісі – аттестаттау объектісінің нақты қорғалу жай-күйі туралы мәліметтерді қамтитын құжат;
14) ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттау (бұдан әрі – аттестаттау) – аттестаттау объектілерінің қорғалуының жай-күйін, сондай-ақ олардың ақпараттық қауіпсіздік талаптарына сәйкестігін айқындау жөніндегі ұйымдастырушылық-техникалық іс-шаралар;
15) аттестаттық зерттеп-қарау – аттестаттау объектісінің техникалық құжаттамасын зерделеуге, талдауға, бағалауға, ақпараттық қауіпсіздік талаптарын орындау жөніндегі жұмыстардың ұйымдастырылу жай-күйін зерттеп-қарауға бағытталған ұйымдастыру-техникалық іс-шаралар кешені;
16) ақпараттық қауіпсіздік бойынша техникалық құжаттама (бұдан әрі – АҚ бойынша ТҚ) – ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға (бұдан әрі – БТ) сәйкес әзірленген және аттестаттау объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі жалпы талаптарды, қағидаттар мен қағидаларды регламенттейтін құжаттар жиынтығы.
4. Мемлекеттік органның ақпараттық жүйесін, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйені, мемлекеттік органның ақпараттық жүйесімен интеграцияланатын немесе мемлекеттік органның электрондық ақпараттық ресурстарын қалыптастыруға арналған мемлекеттік емес ақпараттық жүйені, мемлекеттік органның интернет-ресурсын және «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын өнеркәсіптік пайдалануға аттестаты болған кезде ғана жол беріледі.
5. Міндетті аттестатталатын объектілер:
1) мемлекеттік органның ақпараттық жүйесі;
2) мемлекеттік органның ақпараттық жүйесімен интеграцияланатын немесе мемлекеттік органның электрондық ақпараттық ресурстарын қалыптастыруға арналған мемлекеттік емес ақпараттық жүйе;
3) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйе;
4) «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы;
5) мемлекеттік органның интернет-ресурсы.
6. Мемлекеттік емес ақпараттық жүйелер және мемлекеттік емес интернет-ресурстар меншік иесінің (иеленушінің) не ол уәкілеттік берген тұлғаның бастамасы бойынша ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттаудан өтуі мүмкін.
7. Аттестаттау мынадай кезеңдерден тұрады:
1) аттестаттаудан өткізуге өтініш қабылдау және құжаттар топтамасын нысан мен жиынтықтығына сәйкестігі тұрғысынан тексеру;
2) аттестаттық зерттеп-қарау;
3) аттестаттау комиссиясының аттестаттық зерттеп-қарау нәтижелерін қарауы;
4) уәкілетті органның шешім қабылдауы.
8. Аттестаттау объектілерін ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттауды уәкілетті орган жүргізеді.
9. Аттестаттау объектілерін аттестаттық зерттеп-қарауды мемлекеттік техникалық қызмет жүргізеді.
10. Аттестаттық зерттеп-қарау актісін қарауды және аттестаттық зерттеп-қарау нәтижелері бойынша ұсынымдар қалыптастыруды аттестаттау комиссиясы жүзеге асырады, оның құрамына мына:
Қазақстан Республикасы Ұлттық қауіпсіздік комитетінің;
мемлекеттік құпияларды қорғау мен ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органның;
уәкілетті органның өкілдері кіреді.
Аттестаттау комиссиясының ережесі мен құрамын уәкілетті орган бекітеді.
11. Міндетті аттестаттауға жататын аттестаттау объектісінің иесі не иеленуші немесе ол уәкілеттік берген тұлға ағымдағы жылы аттестаттау жоспарлаған объектiлердiң тiзбесін осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша жыл сайын 1 наурыздан кешіктірмей уәкілетті органға жолдайды.
12. Ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізуге арналған өтінішті уәкілетті орган ағымдағы жылғы 1 қарашадан кешіктірмей қабылдайды.
2. Аттестаттаудан өткізу тәртібі
13. Өтініш беруші мына құжаттарды ұсына отырып, осы Қағидаларға 2-қосымшаға сәйкес нысан бойынша уәкілетті органға аттестаттау жүргізуге өтініш береді:
1) жеке басын куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін);
2) техникалық тапсырманың көшірмесі, интернет-ресурсқа техникалық тапсырма жоқ болған жағдайда техникалық ерекшелік жіберіледі;
3) әкімші серверлерінің пайдаланылатын бірегей желілік мекенжайлары мен жұмыс станциялары көрсетіліп, меншік иесі (иеленуші) бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған аттестаттау объектісінің жалпы функционалдық схемасы және жалпы функционалдық схемаға түсіндірме жазба;
4) меншік иесі (иеленуші) бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған аттестаттау объектісінің осы Қағидаларға 3-қосымшаға сәйкес АҚ бойынша ТҚ көшірмелері;
5) аттестаттау объектісімен интеграцияланған ақпараттандыру объектілерінің осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша меншік иесі бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған тізбесі (аттестаттау объектісімен интеграцияланған ақпараттандыру объектілері болған кезде);
6) аттестаттау объектісінің құрамына кіретін техникалық және бағдарламалық құралдардың осы Қағидаларға 5 және 6-қосымшаларға сәйкес нысан бойынша меншік иесі (иеленуші) бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған көшірмелері (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланбайтын жағдайда);
7) техникалық сипаттама мен ақпараттық-коммуникациялық қызметтер көрсету шарты қоса берілген ақпараттық-коммуникациялық қызметтерді пайдалануға арналған шарттың көшірмесі (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланатын жағдайда).
14. Уәкілетті орган өтінішті алғаннан кейін үш жұмыс күні ішінде өтініштің және өтінішке қоса берілген құжаттардың осы Қағидаларда белгіленген нысан мен жиынтыққа қойылатын талаптарға сәйкестігін тексеруді жүзеге асырады.
15. Өтініш және (немесе) құжаттар белгіленген талаптарға сәйкес келмеген жағдайда уәкілетті орган оларды қайтару себептерін көрсете отырып, өтініш берушіге қайтарады.
16. Өтініш және қоса берілген құжаттар нысан мен жиынтыққа қойылатын талаптарға сәйкес келген жағдайда, уәкілетті орган осы Қағидалардың 14-тармағында белгіленген мерзім ішінде қоса берілген құжаттар мен өтінішті мемлекеттік техникалық қызметке жібереді.
17. Өтінішті және қоса берілген құжаттарды алғаннан кейін мемлекеттік техникалық қызмет үш жұмыс күнінен кешіктірмей өтініш берушіге аттестаттық зерттеп-қарау бойынша қызметтер көрсету шартының екі данасын жолдайды. Өтініш беруші шарттың даналарын алған күнінен бастап бес жұмыс күні ішінде қол қояды және бір данасын мемлекеттік техникалық қызметке қайтарады.
Көрсетілген мерзім өткен соң шарттың өтініш беруші қол қойған данасы мемлекеттік техникалық қызметке ұсынылмаған жағдайда, аттестаттау жүргізуге арналған өтініштің күші жойылды деп саналады.
18. Аттестаттық зерттеп-қарау құнын уәкілетті орган монополияға қарсы органмен келісу бойынша белгілейді.
19. Аттестаттық зерттеп-қарау мерзімі аттестаттық зерттеп-қарау жүргізу туралы шарт заңды күшіне енген күннен бастап отыз жұмыс күнінен аспауы тиіс.
20. Мемлекеттік техникалық қызмет аттестаттау объектісін аттестаттық зерттеп-қарауды уәкілетті органның бұйрығымен бекітілген ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, интернет-ресурсты ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттық зерттеп-қарау жүргізу әдістемесіне сәйкес жүргізеді.
21. Аттестаттық зерттеп-қарау бойынша қызметтер көрсету шартының талаптарына сәйкес аттестаттық зерттеп-қарауды жүргізу үшін өтініш беруші мемлекеттік техникалық қызметке аттестаттау объектісінің үй-жайына, жабдыққа және қажетті құжаттамаға қолжетімділікті қамтамасыз етеді.
22. Аттестаттық зерттеп-қарау мыналарды қамтиды:
1) аттестаттау объектісінің бастапқы деректерінің алдын ала сараптамасы;
2) аттестаттау объектісінің АҚ бойынша ТҚ-ның Қазақстан Республикасының аумағында қабылданған ақпараттық қауіпсіздік және ақпаратты қорғау саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін саралау және бағалау;
3) аттестаттау объектісін зерттеп-қарау және АҚ бойынша ТҚ, ұйымдастыру-өкімдік, пайдалану құжаттарымен және Қазақстан Республикасының аумағында қабылданған ақпараттық қауіпсіздік пен ақпаратты қорғау саласындағы нормативтік құқықтық актілермен және стандарттармен белгіленген талаптардың нақты орындалуын бағалау;
4) аттестаттау объектісінің компоненттерін аспаптық зерттеп-қарау.
23. Мемлекеттік техникалық қызметтің аттестаттау объектісін аттестаттық зерттеп-қарауды жүргізу бойынша жұмыстарды жүргізген кезде белгілі болған коммерциялық немесе заңмен қорғалатын өзге де құпияны құрайтын мәліметтерді жариялауға құқығы жоқ.
24. Мемлекеттік техникалық қызмет аттестаттық зерттеп-қарау нәтижелері бойынша аттестаттау объектісінің нақты қорғалуының жай-күйі туралы мәліметтерді қамтитын Аттестаттық зерттеп-қарау актісін жасайды.
25. Аттестаттық зерттеп-қарау актісі бес данада жасалады, оның бір данасы мемлекеттік техникалық қызметте қалады, ал қалғандары аттестаттау комиссиясының мүшелері мен өтініш беруші үшін уәкілетті органға жіберіледі.
Уәкілетті орган аттестаттық зерттеп-қарау актілерін алған күннен бастап бес жұмыс күні ішінде аттестаттау комиссиясының мүшелеріне бір-бір данасын жібереді және аттестаттық зерттеп-қарау нәтижелерін қарау үшін аттестаттау комиссиясын шақырады.
26. Аттестаттық зерттеп-қарау нәтижелерін қараған кезде аттестаттау комиссиясы аттестаттау объектісінің функционалдық күрделілік деңгейін, оның мақсатын, өңдейтін ақпараттың сипатын, аттестаттау объектісінде деректерді өңдеу режимін, АҚ бойынша ТҚ жиынтығы мен оның талаптарының сақталуын, нақты ақпараттық қауіпсіздік қатерлерін (қатерлер мен осалдықтардың әлеуетті көздері) бағалауды ескереді. Аттестаттау комиссиясының шешімі отырыс хаттамасы түрінде ресімделеді, ол уәкілетті органға тапсырылады.
27. Аттестаттық зерттеп-қарау актісі мен аттестаттау комиссиясының ұсынымы негізінде уәкілетті орган мынадай шешімдердің бірін қабылдайды:
1) аттестат беру туралы;
2) аттестатты беруден бас тарту туралы;
3) өтініш берушінің айқындалған сәйкессіздіктерді жоюы туралы.
Өтініш берушінің айқындалған сәйкессіздіктерді жоюы туралы шешім аттестаттау жүргізуге өтініш бойынша бір реттен артық қабылданбайды.
28. Аттестаттау туралы оң шешім қабылдаған жағдайда уәкілетті орган шешім қабылданған күннен бастап бес жұмыс күні ішінде өтініш берушіге аттестаттау комиссиясы отырысы хаттамасының көшірмесін, аттестаттық зерттеп-қарау актісі мен осы Қағидаларға 7-қосымшаға сәйкес нысан бойынша аттестатты жібереді және тиісті мәліметтерді аттестаттар тізіліміне енгізеді.
29. Аттестаттар тізілімін уәкілетті орган жүргізеді, онда мынадай мәліметтер қамтылады:
1) аттестаттау объектісінің атауы;
2) аттестаттау объектісінің меншік иесі (иеленуші);
3) аттестаттау объектісінің әзірлеушісі;
4) аттестаттық зерттеп-қарау актісінің (қосымша аттестаттық зерттеп-қарау актісінің) деректемелері;
5) аттестат деректемелері;
6) аттестатты кері қайтарып алу, кейін қайтару;
7) аттестаттың әрекетін тоқтату.
Аттестаттар тізілімі қағаз нысанда жүргізіледі.
30. Аттестатты беруден бас тарту туралы шешім қабылдаған жағдайда, уәкілетті орган шешім қабылданған күннен бастап бес жұмыс күні ішінде өтініш берушіге аттестаттау комиссиясы отырысы хаттамасының көшірмесін және аттестаттық зерттеп-қарау актісін жолдайды.
Өтініш беруші анықталған сәйкессіздіктерді жойғаннан кейін осы Қағидаларда белгіленген тәртіппен аталған объектіні аттестаттаудан өткізуге өтініш беруге құқылы.
31. Анықталған сәйкессіздіктерді жою туралы шешім қабылданған жағдайда, уәкілетті орган шешім қабылданған күннен бастап бес жұмыс күні ішінде өтініш берушіге аттестаттау комиссиясы отырысы хаттамасының көшірмесін және аттестаттық зерттеп-қарау актісін жолдайды.
Өтініш беруші жиырма жұмыс күні ішінде айқындалған сәйкессіздіктерді жойған жағдайда, ол уәкілетті органды оларды жойғаны туралы хабардар етеді және қосымша аттестаттық зерттеп-қарау үшін құжаттар ұсынады. Қосымша аттестаттық зерттеп-қарау тегін жүргізіледі.
Қосымша мерзім өтініш берушінің аталған құжаттарды алған күнінен бастап саналады.
32. Ескертулерді жою туралы хабарлама жиырма жұмыс күні ішінде келіп түспегені өтініш берушінің өтінішін қабылдамау үшін негіз болады.
33. Уәкілетті орган хабарламаны алған кезден бастап үш жұмыс күні ішінде мемлекеттік техникалық қызметке қосымша аттестаттық зерттеп-қарау жүргізу қажеттілігі туралы хабарлайды.
34. Мемлекеттік техникалық қызмет уәкілетті органнан қосымша аттестаттық зерттеп-қарау жүргізу туралы хабарлама келіп түскен күннен бастап он бес жұмыс күні ішінде аттестаттау объектісін қосымша аттестаттық зерттеп-қарауды жүргізеді.
35. Қосымша аттестаттық зерттеп-қарау нәтижелері бойынша мемлекеттік техникалық қызмет аттестаттау объектісін аттестаттық зерттеп-қарау жүргізу кезінде айқындалған ескертулерді жою туралы мәліметтерді қамтитын қосымша аттестаттық зерттеп-қарау актісін жасайды.
Қосымша аттестаттық зерттеп-қарау актісі бес данада жасалады, оның бір данасы мемлекеттік техникалық қызметте қалады, ал қалғандары аттестаттау комиссиясының мүшелері мен өтініш беруші үшін уәкілетті органға жіберіледі.
36. Уәкілетті орган қосымша аттестаттық зерттеп-қарау актілерін алған күннен бастап бес жұмыс күні ішінде аттестаттау комиссиясының мүшелеріне бір-бір данасын жібереді және қосымша аттестаттық зерттеп-қарау нәтижелерін қарау үшін аттестаттау комиссиясын шақырады.
37. Аттестаттау комиссиясы қосымша аттестаттық зерттеп-қарау актісін қарау негізінде мына шешімдердің бірін қабылдайды:
1) аттестат беру туралы;
2) аттестатты беруден бас тарту туралы.
38. Қосымша аттестаттық зерттеп-қарау нәтижелері бойынша оң шешім қабылдаған жағдайда уәкілетті орган шешім қабылданған күннен бастап бес жұмыс күні ішінде өтініш берушіге аттестаттау комиссиясы отырысы хаттамасының көшірмесін, қосымша аттестаттық зерттеп-қарау актісі мен осы Қағидаларға 7-қосымшаға сәйкес нысан бойынша аттестатты жібереді және тиісті мәліметтерді аттестаттар тізіліміне енгізеді.
39. Қосымша аттестаттық зерттеп-қарау нәтижелері бойынша сәйкестік аттестатын беруден бас тарту туралы шешім қабылданған жағдайда өтініш беруші айқындалған сәйкессіздіктерді жойғаннан кейін осы Қағидаларда белгіленген тәртіппен аталған объектіні аттестаттауды жүргізуге өтініш беруге құқылы.
40. Аттестат «электрондық үкімет» ақпараттық-коммуникациялық платформасын қоспағанда, қорғалатын ақпаратты өңдеуді қамтамасыз ететін және ақпараттың қауіпсіздігін айқындайтын аттестаттау объектісінің, аппараттық-бағдарламалық кешен мен ақпараттық-коммуникациялық технологияның көрсетілген мерзім ішінде жұмыс істеу жағдайлары мен функционалдығының өзгермеуін сақтаған (қамтамасыз еткен) кезде аттестаттау объектісін өнеркәсіптік пайдалану мерзіміне беріледі.
«Электрондық үкіметтің» ақпараттық-коммуникациялық платформасының аттестаты бір жылға беріледі.
41. Аттестаттың жарамдылық мерзімі өткен соң аттестаттау объектісі осы Қағидаларда белгіленген тәртіппен аттестаттауға жатады.
42. «Электрондық үкіметтің» ақпараттық-коммуникациялық платформасын қоспағанда, міндетті аттестаттауға жататын объектілер аттестатты алған күнінен бастап бір жыл ішінде мемлекеттік техникалық қызметтің ақпараттық қауіпсіздікті қамтамасыз етудің мониторингі ақпараттық жүйесіне қосылады және бұл туралы уәкілетті органға хабарлайды.
43. Аттестаттау объектісінің жұмыс істеу жағдайлары мен функционалдығы өзгерген жағдайда, аттестаттау объектісінің меншік иесі немесе иеленушісі оны дамыту жұмыстарын аяқтағаннан кейін уәкілетті органға осы Қағидаларда белгіленген тәртіппен барлық жүргізілген өзгерістердің сипаттамасы қоса берілген, қайта аттестаттауды жүргізу қажеттігі туралы хабарлама жібереді.
Аттестаттау объектісінің белгіленген жұмыс істеу жағдайларын, қорғалатын ақпаратты өңдеудің технологиясын және ақпараттық қауіпсіздік бойынша талаптарды орындау үшін жауапкершілік аттестаттау объектісінің меншік иесіне және (немесе) иеленушіге жүктеледі.
44. Уәкілетті орган хабарламаны алған күнінен бастап үш жұмыс күні ішінде аттестаттау объектісін қайта аттестаттық зерттеп-қарау жүргізу туралы шешім қабылдау үшін аттестаттау комиссиясын шақырады.
45. Уәкілетті орган:
1) осы Қағидалардың 41-тармағында көрсетілген талаптар орындалмаған;
2) аттестаттау объектісі меншік иесінің немесе иеленушінің жазбаша өтініші болған;
3) аттестаттау объектісінің Қазақстан Республикасының Кәсіпкерлік кодексіне сәйкес жүргізілген зерттеп-қарау кезінде анықталған ақпараттық қауіпсіздік талаптарына сәйкес келмеген;
4) ақпараттық жүйенің жұмыс істеу жағдайлары мен функционалдығы өзгерген;
5) аттестаттау объектісін пайдалану тоқтатылған жағдайларда аттестатты кері қайтарып алу туралы шешім қабылдайды.
46. Аттестатты кері қайтарып алу туралы шешімнің көшірмесі аттестаттау объектісінің меншік иесіне (иеленушіге) жіберіледі және ол аталған шешімінің көшірмесін алған күннен бастап үш жұмыс күні ішінде аттестатты уәкілетті органға қайтарады және қажет болған жағдайда, осы Қағидаларда белгіленген тәртіппен аттестаттау объектісін аттестаттаудан өткізуге өтініш жолдайды.
47. Жаңа сервистік бағдарламалық өнімді енгізу, сервистік бағдарламалық өнімнің өзгеруі «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының аттестатын кері қайтарып алуға әкеп соқтырмайды.
48. Аттестат жоғалған, бұзылған немесе бүлінген жағдайда аттестаттау объектісінің меншік иесі (иеленуші) уәкiлеттi органға себептерін көрсете отырып хабарлама жібереді. Уәкілетті орган хабарламаны алған күннен бастап бес жұмыс күні ішінде аттестаттың телнұсқасын береді.
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 1-қосымша
нысан
Ағымдағы жылы аттестаттау жүргізу жоспарланатын объектілердің тізбесі
Р/с № Аттестаттау объектісінің меншік иесі (иеленуші) Аттестаттау объектісінің атауы Аттестаттау объектісінің тіршілік циклінің кезеңі Аттестаттаудан өтудің жоспарлы мерзімі Аттестаттау объектісінің сынақтан өткізу актісінің деректемелері
1 2 3 4 5 7
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 2-қосымша
нысан
Кімге__________________________________
(аттестаттау жөніндегі органның атауы)
ақпараттық қауіпсіздік талаптарына сәйкестікке
аттестаттаудан өткізуге
ӨТІНІШ
________________________________________________________________________________
(өтініш берушінің атауы, өтініш берушінің БСН, өтініш берушінің Т.А.Ә. (бар болса)
____________________________________________ ақпараттық қауіпсіздік
(аттестаттау объектісінің атауы)
талаптарына сәйкестікке аттестаттаудан өткізуді сұрайды.
1. Ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттауға ұсынылған аттестаттау объектісінің бастапқы деректері ____ парақта қоса беріледі.
2. _____________________________________________________________________________
(өтініш берушінің атауы, өтініш берушінің Т.А.Ә. (бар болса)
аттестаттау объектісін ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу үшін қажетті құжаттарды ұсынуға және жағдай жасауға міндеттенеді.
____________________________ (қолы)
М.О.
20___ жылғы «_____» _________________
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 3-қосымша
Ақпараттық қауіпсіздік жөніндегі техникалық құжаттаманың тізбесі
1. Ақпараттық қауіпсіздік саясаты.
2. Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі.
3. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидалары.
4. Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету қағидалары.
5. Есептеу техникасы құралдарын, телекоммуникация жабдығын және бағдарламалық қамтамасыз етуді түгендеу мен паспорттандыру қағидалары.
6. Ішкі ақпараттық қауіпсіздік аудитін өткізу қағидалары.
7. Аттестаттау объектісінде ақпаратты криптографиялық қорғау құралдарын пайдалану тәртібі (бұл құжат ақпаратты криптографиялық қорғау құралдарын пайдаланатын аттестаттау объектілері үшін міндетті болып табылады).
8. Аттестаттау объектісінің ақпараттық ресурстарына қол жеткізу құқықтарының аражігін ажырату қағидалары.
9. Интернет желісі мен электрондық поштаны пайдалану қағидалары.
10. Аутентификация рәсімін ұйымдастыру қағидалары.
11. Вирусқа қарсы бақылауды ұйымдастыру қағидалары.
12. Мобильдік құрылғыларды және ақпарат тасығыштарды пайдалану қағидалары.
13. Аттестаттау объектісінің ақпаратты өндеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары.
14. Әкімшінің аттестаттау объектісін сүйемелдеу жөніндегі нұсқаулығы.
15. Аттестаттау объектісінің ақпаратын резервтік көшіру және қалпына келтіру регламенті.
16. Пайдаланушылардың ақпараттық қауіпсіздік инциденттеріне және штаттан тыс (дағдарысты) жағдайларда іс-қимыл тәртібі туралы нұсқаулық.
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 4-қосымша
нысан
Аттестаттау объектісімен интеграцияланған ақпараттандыру объектілерінің тізбесі
Р/с № Ақпараттандыру объектісінің атауы Меншік иесі (иеленуші) Өзара іс-қимыл сипаты
1 2 3 4
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 5-қосымша
нысан
Техникалық құралдардың тізбесі
Р/с № Өндіруші, моделі Сериялық/түгендеу нөмірі Ақпараттық қауіпсіздік сертификатының нөмірі (бар болса) Физикалық орналасқан жері Типі (техникалық құжаттамаға сәйкес) Негізгі функционалдық мақсаты (аттестаттау объектісіне бағдарламалық құжаттамаға сәйкес) Ақпаратты қорғаудың пайдаланылатын әдістері Әзірлеуші, атауы, нұсқасы (кіріктірілген бағдарламалық қамтылым) IP адрестері
1 2 3 4 5 6 7 8 9
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 6-қосымша
нысан
Бағдарламалық құралдардың тізбесі
Р/с № Әзірлеуші Атауы Нұсқасы Орнатылған жері (техникалық құралдардың тізбесінен) Типі (бағдарламалық құжаттамаға сәйкес) Негізгі функционалдық мақсаты (бағдарламалық құжаттамаға сәйкес) Ақпаратты қорғаудың пайдаланылатын әдістері
1 2 3 4 5 6 7 8
Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік
талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 7-қосымша
нысан
Аттестаттау объектісінің ақпараттық қауіпсіздік талаптарына сәйкестігінің
№ _______АТТЕСТАТЫ
_________________________________________________________________________________
(аттестаттау объектісінің атауы)
_________________________________________________________________________________
№____ 20____жылғы « »_________ дейін жарамды
Осы аттестат:
__________________________________________________________________
(аттестаттау объектісінің атауы)
ақпараттық қауiпсiздiк талаптарына, ақпараттық қауіпсіздік саласындағы стандарттарға сәйкестігін куәландырады. Ақпараттық жүйенің/ «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының/ мемлекеттік органның интернет-ресурсының бағдарламалық және техникалық құралдар кешенiнің құрамы аттестатқа қоса берiледі.
Аттестаттау объектілерінде аттестаттық зерттеп-қарау нәтижелерін ескере отырып, _________________________ ақпаратты өңдеуге рұқсат беріледі. (қызметтiк, жалпыға қол жетімді және т.б.)
Атестаттау объектілерін пайдалану кезінде тыйым салынады:
________________________________________________________________________________
(ақпаратты қорғау шаралары мен құралдары тиiмдiлiгiне
әсер етуi мүмкін шектеулер көрсетiледi)
Iске асырылған шаралардың және қорғау құралдарының тиiмдiлiгiн бақылау Өтініш берушінің тиісті бөлімшелеріне жүктеледi.
Аттестаттық зерттеп-қараудың толық нәтижелерi аттестаттық зерттеп-қарау актiсiнде (20___ жылғы «___» ____________ № __ ) келтiрiледі.
Осы аттестаттау объектісінің ақпараттық қауіпсіздік талаптарына сәйкестік аттестаты ____________________________ берiлдi,
(аттестаттың жарамдылық мерзімі)
осы уақыт ішінде аттестаттау объектісінің жұмыс істеу жағдайы мен функционалдығының өзгермеуі қамтамасыз етілуге тиіс.
Мемлекеттік техникалық қызметке мiндеттi түрде хабарлануы тиіс өзгерiстер сипаттамаларының тiзбесi:
1) ____________________________________ ;
2) ____________________________________ .
Төраға _________________
(Т.А.Ә. (бар болса)
М.О. 20__жылғы «____»_____________
жылғы
№ аттестатқа
Қосымша
№ 1-кесте
P/с № Өндіруші, моделі Сериялық/түгендеу нөмірі Ақпараттық қауіпсіздік сертификатының нөмірі (бар болса) Физикалық орналасқан жері Типі (техникалық құжаттамаға сәйкес) Негізгі функционалдық мақсаты (аттестаттау объектісіне бағдарламалық құжаттамаға сәйкес) Ақпаратты қорғаудың пайдаланылатын әдістері Әзірлеуші, атауы, нұсқасы (кіріктірілген бағдарламалық қамтылымның)
1 2 3 4 5 6 7 8 9
№ 2-кесте
Р/с № Әзірлеуші Атауы Нұсқасы Орнатылған жері (техникалық құралдардың тізбесінен) Типі (бағдарламалық құжаттамаға сәйкес) Негізгі функционалдық мақсаты (бағдарламалық құжаттамаға сәйкес) Ақпаратты қорғаудың пайдаланылатын әдістері
1 2 3 4 5 6 7 8
Қазақстан Республикасы Үкіметінің
2016 жылғы 23 мамырдағы №298 қаулысына қосымша
Қазақстан Республикасы Үкіметінің
кейбір күші жойылған шешімдерінің тізбесі
1. «Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережелерін бекіту туралы» Қазақстан Республикасы Үкіметінің 2009 жылғы 30 желтоқсандағы № 2280 қаулысы (Қазақстан Республикасының ПҮАЖ-ы, 2010 ж., № 4, 39-құжат).
2. «Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережелерін бекіту туралы» Қазақстан Республикасы Үкіметінің 2009 жылғы 30 желтоқсандағы № 2280 қаулысына өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасы Үкіметінің 2011 жылғы 3 қарашадағы № 1285 қаулысы (Қазақстан Республикасының ПҮАЖ-ы, 2012 ж., № 1, 7-құжат).
3. «Ақпараттық технологиялар саласындағы мемлекеттік көрсетілетін қызметтердің стандарттарын бекіту және Қазақстан Республикасы Үкіметінің «Жеке және заңды тұлғаларға көрсетілетін мемлекеттік қызметтердің тізілімін бекіту туралы» 2010 жылғы 20 шілдедегі № 745 және «Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережелерін бекіту туралы» 2009 жылғы 30 желтоқсандағы № 2280 қаулыларына өзгерістер енгізу туралы» Қазақстан Республикасы Үкіметінің 2012 жылғы 25 қыркүйектегі № 1241 қаулысы (Қазақстан Республикасының ПҮАЖ-ы, 2012 ж., № 71, 1047-құжат).
4. «Мемлекеттік техникалық қызметтің кейбір мәселелері туралы» Қазақстан Республикасы Үкіметінің 2013 жылғы 28 қаңтардағы № 49 қаулысымен бекітілген Қазақстан Республикасы Үкіметінің кейбір шешімдеріне енгізілетін өзгерістердің 5-тармағы (Қазақстан Республикасының ПҮАЖ-ы, 2013 ж., № 12, 226-құжат).
5. «Қазақстан Республикасы Үкіметінің кейбір шешімдеріне өзгерістер енгізу туралы» Қазақстан Республикасы Үкіметінің 2013 жылғы 21 мамырдағы № 507 қаулысымен бекітілген Қазақстан Республикасы Үкіметінің кейбір шешімдеріне енгізілетін өзгерістердің 3-тармағы (Қазақстан Республикасының ПҮАЖ-ы, 2013 ж., № 34, 505-құжат).