2016 жылғы 26 қаңтар, Астана қаласы
Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы
«Ақпараттандыру туралы» 2015 жылғы 24 қарашдағы Қазақстан Республикасының Заңы 7-бабының 16) тармақшасына сәйкес бұйырамын:
1. Мыналар:
1) осы бұйрыққа 1-қосымшаға сәйкес Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;
2) осы бұйрыққа 2-қосымшаға сәйкес Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.
2. «Бағдарламалық өнімдерді, бағдарламалық кодтарды сынақтан өткізу, оларды және нормативтік құжаттаманы тіркеу, беру, сақтау, депозитке берудің толықтығын қамтамасыз ету және оларды тіркеу, депозитарийге беру мен сақтау туралы мәліметтерді ұсыну ережесін бекіту туралы» Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі Төрағасының 2009 жылғы 1 желтоқсандағы № 480 бұйрығының (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 5981 болып тіркелген және Қазақстан Республикасы орталық атқарушы және өзге де орталық мемлекеттік органдарының актілер жинағында 2010 жылғы 20 сәуірде жарияланған) күші жойылды деп танылсын.
3. Қазақстан Республикасы Инвестициялар және даму министрлігінің Байланыс, ақпараттандыру және ақпарат комитеті (Т.Б.Қазанғап):
1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;
2) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін оның көшірмелерін баспа және электрондық түрде күнтізбелік он күн ішінде мерзімді баспа басылымдарында және «Әділет» ақпараттық-құқықтық жүйесінде ресми жариялауға, сондай-ақ тіркелген бұйрықты алған күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін Республикалық құқықтық ақпарат орталығына жіберуді;
3) осы бұйрықты Қазақстан Республикасы Инвестициялар және даму министрлігінің интернет-ресурсында және мемлекеттік органдардың интранет-порталында орналастыруды;
4) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Инвестициялар және даму министрлігінің Заң департаментіне осы бұйрықтың 3-тармағының 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Инвестициялар және даму вице-министріне жүктелсін.
5. Осы бұйрық оның алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Инвестициялар және
даму министрінің міндетін атқарушы Ж. ҚАСЫМБЕК
Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының
2016 жылғы 26 қаңтардағы №63 бұйрығына 1-қосымша
Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі
1. Жалпы ережелер
1. Осы Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйені олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өткізуді жүргізу әдістемесі (бұдан әрі - Әдістеме) «Ақпараттандыру туралы» 2015 жылғы 25 қарашадағы Қазақстан Республикасы заңының 7-бабы 16) тармақшасына сәйкес әзірленді.
2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:
1) ақпараттық қауіпсіздік функцияларын сынау – сервистік бағдарламалық өнімді, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын және ақпараттық жүйені ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау;
2) жүктемелік сынау – жоспарлы, көтеріңкі және өте жоғары жүктемелер кезінде сынау объектілерінің қол жетімділігін, тұтастығын және құпиялықты сақтауды бағалау;
3) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорн;
4) осалдық – бағдарламалық қамтамасыз етуде жұмыс қабілеттілігін бұзуға немесе белгіленген рұқсаттардан тыс қандай болсын заңсыз іс-әрекеттерді орындауға мүмкіндік беретін бағдарламалық қамтамасыз етудегі кемшілік;
5) сараптамалық әдіс – сарапшының жеке пікірін немесе сарапшылар тобының ұжымдық пікірін пайдалану негізінде алынған іздестіру әдісі мен оны қолдану нәтижесі;
6) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі – ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнім арасындағы өзара іс-қимыл;
7) сенімді бағдар – функцияларды өзара іс-қимыл қауіпсіздігін қамтамасыз ету арқылы орындауға арналған пайдаланушылардың сынақ объектілерінің қауіпсіздік саясатын қолдауда сенімдікті қамтамасыз ететін пайдаланушылар мен ОҚФ арасындағы өзара іс-қимыл құралы;
8) сервистік бағдарламалық өнімді, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын және ақпараттық жүйені қауіпсіздік талаптарына сәйкестігіне сынау (бұдан әрі – сынау) – ақпараттық қауіпсіздік талаптарына сынақ объектілерін бағалау жөніндегі техникалық іс-шаралар;
9) сынау объектілері (бұдан әрі – СО) - сервистік бағдарламалық өнім, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы, мемлекеттік органның интернет-ресурсы, ақпараттық жүйе.
3. Сынақтан өткізуді жүргізу мыналарды қамтиды:
1) бастапқы кодтарды талдау;
2) ақпараттық қауіпсіздік функцияларын сынау;
3) жүктемелік сынау;
4) телекоммуникация желілерін және серверлік жабдықты тексеріп қарау.
2. Бастапқы кодтарды талдау
4. СО бастапқы кодтарын талдау бағдарламалық қамтамасыз етудің (бұдан әрі – БҚ) кемшіліктерін (бағдарламалық белгілер мен осалдықтарды) айқындау мақсатында жүргізіледі.
5. БҚ кемшіліктерін айқындау тапсырыс беруші ұсынған бастапқы кодтардың негізінде бағдарламалық құралдың талдауға арналған бастапқы кодын пайдалана отырып жүргізіледі.
6. Бастапқы кодтарды талдау:
1) БҚ кемшіліктерін айқындауды;
2) бастапқы кодты талдау нәтижелерін белгілеуді қамтиды.
7. БҚ кемшіліктерін айқындау мынадай тәртіппен жүзеге асырылады:
1) бастапқы деректерді дайындау жүргізіледі (СО бастапқы кодтарын жүктеу, сканерлеу режимін (қарқынды және/немесе статикалық) таңдау, сканерлеу режимдерінің сипаттамаларын күйге келтіру);
2) БҚ кемшіліктерін айқындауға арналған бағдарламалық құрал іске қосылады;
3) жалған іске қосылулардың болуына бағдарламалық есептерді талдау жүргізіледі;
4) сипаттамасы, бағдары (файлға дейінгі жолы) мен тәуекел деңгейі (жоғары, орташа, төмен) көрсетілген БҚ айқындалған кемшіліктерінің тізбесін қамтитын есеп қалыптастырылады.
8. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады.
9. Бастапқы кодтарды талдау нәтижелері Бастапқы кодтарды талдау хаттамасында белгіленеді.
10. СО бастапқы кодтарын талдауды жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде СО бастапқы кодтары таңбаланады және мөр басылған түрінде мемлекеттік техникалық қызметтің мұрағатына жауапты сақтауға тапсырылады.
3. Ақпараттық қауіпсіздік функцияларын сынау
11. Ақпараттық қауіпсіздік функцияларын сынау олардың стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.
12. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды:
1) қауіпсіздік функцияларының өтініш берушімен келісілген стандарттың талаптарына сәйкестігін бағалау;
2) бағалау нәтижелерін белгілеу.
13. Қауіпсіздік функцияларының мазмұны осы Әдістемеге 1-қосымшаға сәйкес ақпараттық қауіпсіздік функцияларының тізбесінде келтірілген.
14. Ақпараттық қауіпсіздік функцияларын сынау нәтижелері Ақпараттық қауіпсіздік функцияларын сынау хаттамасында тіркеледі.
4. Жүктемелік сынау
16. Жүктемелік сынау нақты пайдаланушылардың жұмысына сәйкес келетің жүктемемен СО қол жетімділігін, тұтастығын және құпиялығын сақтауды бағалау мақсатында жүргізіледі.
17. Жүктемелік сынау СО пайдаланушыларының жұмысын тапсырыс беруші ұсынған мындай орталардың бірінде қамтитын автоматты сценарийлер негізінде арнайы бағдарламалық құралды (бұдан әрі-БҚ) пайдалана отырып жүргізіледі:
СО штаттық пайдалану ортасына ұқсас тестілік орта;
дербес деректер жоқ СО штаттық пайдалану ортасы;
дербес деректер жалған деректерге ауыстырылған СО штаттық пайдалану ортасы.
18. Өтініш беруші жүктемелік сынау параметрлерін СО сипаттамалары туралы сауалнама-сұраулықта ұсынады және мыналарды қамтиды:
1) пайдаланушы рөлдерінің тізбесі;
2) пайдаланушының типтік іс-қимыл тізбесі;
3) пайдаланушылардың ең көп саны;
4) секундына өңделетін сұраулардың ең көп саны және сұраулар арасындағы күту уақыты.
19. Жүктемелік сынау мынадай тәртіппен жүзеге асырылады:
1) сынауға дайындық жүргізіледі;
2) сынақ жүргізіледі;
3) сынақ нәтижелері тіркеледі.
20. Сынауға дайындық мыналарды қамтиды:
1) виртуалды пайдаланушылардың операцияларын, сондай-ақ оқиғалар мен олардың іс-қимылының ерекшеліктерін сипаттай отырып сынақ сценарийінің сараптамалық әдісін әзірлеу;
2) әрбір операцияның уақытша сипаттамалары мен сынаққа қатысатын виртуалды пайдаланушылардың санын анықтау;
3) виртуалды пайдаланушылардың скриптерін қалыптастыру және:
әрбір виртуалды пайдаланушы;
бірнеше виртуалды пайдаланушы бір мезгілде орындайтын міндеттерді анықтау;
4) сынақтар жүргізу уақытын тапсырыс берушімен келісу.
21. Сынақ жүргізу:
1) СО-ға жиынтық жүктемені бөлуді, оның процесінде бірнеше виртуалды пайдаланушыға белгілі міндеттерді бір мезгілде орындау жөніндегі нұсқаулықтар беріледі;
2) конфигурацияны күйге келтіру мен сынақ сценарийін мамандандырылған БҚ жазуды;
3) мамандандырылған бағдарламалық құралды іске қосуды;
4) виртуалды пайдаланушының әрбір скриптінде белгіленген барлық транзакциялардың жазбалары (өңделген СО-ға сұрау салулар) қамтитын бағдарламалық есепті қалыптастыруды және беруді қамтиды.
22. Жүктемелік тестілеуді жүргізу жұмыстары СО пайдалану нұсқаларының саны бойынша бір СО үшін жүргізіледі.
23. Жүктемелік сынақ нәтижелері Жүктемелік сынақ хаттамасында тіркеледі.
5. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау
24. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау телекоммуникациялар желісі мен серверлік жабдықтың қауіпсіздігін бағалау, сондай-ақ оның компоненттері (сервер, жұмыс станциялары, желілік жабдық) пайдаланатын БҚ осалдықтарын айқындау мақсатында жүргізіледі.
25. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау мыналарды қамтиды:
1) телекоммуникациялар желісін және серверлік жабдықты қорғау функцияларының ҚР СТ ИСО/МЭК 13335-5-2008 «Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару. 5-бөлік. Желіні қорғауды басқару жөніндегі нұсқау» талаптарына сәйкестігін бағалау;
2) БҚ осалдықтарын айқындау;
3) алынған нәтижелерді белгілеу.
26. Телекоммуникациялар желісін және серверлік жабдықты қорғау функцияларының мазмұны осы Әдістемеге 2-қосымшада сәйкес телекоммуникациялар желісін және серверлік жабдықты қорғау функцияларының тізбесінде келтірілген.
27. БҚ осалдықтарын айқындау өтініш беруші ұсынған СО компоненттеріне қол жеткізуге арналған есептік жазбалардың негізінде бағдарламалық-аппараттық кешенді (бұдан әрі – БАК) пайдалана отырып жүргізіледі.
28. БҚ осалдықтарын айқындау мыналарды қамтиды:
1) БАК күйге келтіру (локальдық және қашықтықтан тексерулерді жүргізуге арналған есептік жазбаларды жазу, аспаптық тексеріп қарау режимін таңдау);
2) БАК іске қосу;
3) айқындалған осалдықтардың сипаттамасын, саны мен деңгейін көрсете отырып олардың тізбесін қамтитын бағдарламалық есепті қалыптастыру және беру.
29. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау бойынша жұмыстар, сондай-ақ СО компоненттерін аспаптық тексеріп қарау әр ішкі желі (желі сегменті) үшін бөлек жүргізіледі.
30. Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау нәтижелері Телекоммуникациялар желісін және серверлік жабдықты тексеріп қарау хаттамасында тіркеледі.
Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне 1-қосымша
Ақпараттық қауіпсіздік функцияларының тізбесі
р/с
№ Функциялардың атауы Функциялардың мазмұны
1 2 3
Қауіпсіздік аудиті (тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)
1 Қауіпсіздік аудитінің автоматты әрекет етуі Тіркеу журналына жазба енгізуді жүзеге асыру, қауіпсіздікті бұзушылықты айқындау туралы әкімшіге локальдық немесе қашықтықтан сигнал беру
2 Қауіпсіздік аудитінің деректерін өндіру Хаттамалаудың, ең болмаса, тіркеу функцияларын іске қосу мен аяқтаудың, сондай-ақ аудиттің базалық деңгейіндегі барлық оқиғалардың болуы. Яғни, әрбір тіркеу жазбасында оқиғаның мерзімі мен уақыты, оқиға түрі, субъектіні сәйкестендіргіш және оқиға нәтижесі (сәттілігі немесе сәтсіздігі) көрсетілуі тиіс
3 Қауіпсіздік аудитін талдау Сәйкестендіру тетіктерін пайдаланудың ең болмаса, сәтсіз нәтижелерін, сондай-ақ криптографиялық операцияларды орындаудың сәтсіз нәтижелерін жинақтау және/немесе біріктіру арқылы (ықтимал кемшіліктерді айқындау мақсатында) жүзеге асыру
4 Қауіпсіздік аудитін қарау Барлық тіркеу ақпаратын қарау (оқу) мүмкіндігін қамтамасыз ету және әкімшіге беру. Өзге пайдаланушыларға тіркеу ақпаратына қолжетімділік айқын ерекше оқиғаларды қоспағанда, жабық болуы тиіс.
5 Қауіпсіздік аудитінің оқиғаларын таңдау Оқиғаларды тіркеудің, ең болмаса, мынадай атрибуттарға негізделетін іріктеудің болуы:
объектіні сәйкестендіргіш;
субъектіні сәйкестендіргіш;
желі торабының мекенжайы;
оқиға түрі;
оқиға мерзімі мен уақыты
6 Қауіпсіздік аудитінің деректерін сақтау Тіркеу ақпараты рұқсатсыз түрлендіруден сенімді қорғалған болуы тиіс.
Байланысты ұйымдастыру (тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)
7 Жіберуден бас тартпаушылық Жіберуші куәлігі жіберуші мен жіберілген ақпарат арасындағы байланысты (мысалы, цифрлық қолтаңба) дәлелдейтін, ақпаратты жіберу фактісінен бас тартпауы үшін пайдаланушыларға/ жіберушінің ұқсастығын куәландыру субъектілеріне кейбір ақпаратты беру
8 Алудан бас тартпаушылық Алуышының ақпаратты алу фактісінен бас тарту мүмкінсіздігін қамтамасыз ету
9 Киптографиялық қолдау (тексеру СО ақпаратты криптографиялық қорғау құралдары бөлінісінде жүргізіледі)
10 Киптографиялық кілттерді басқару Мыналарды қолдаудың болуы:
1) киптографиялық кілттерді құру;
2) киптографиялық кілттерді бөлу;
3) киптографиялық кілттерге қолжетімділікті басқару;
4) киптографиялық кілттерді жою
11 Криптографиялық операциялар Сенімді арна арқылы жіберілетін барлық ақпарат үшін стандарттардың талаптарына сәйкес тұтастығын шифрлаудың және бақылаудың болуы
Пайдаланушының деректерін қорғау (тексеру серверлер (виртуалды ресурстар) бөлінісінде жүргізіледі)
12 Қолжетімділікті басқару саясаты Қауіпсіздік сервисімен тікелей немесе жанама операцияларды орындайтын пайдаланушылар үшін қолжетімділікті бөлуді жүзеге асыру
13 Қолжетімділікті басқару функциялары Қолжетімділікті бөлу функцияларын пайдалану, ең болмаса, мынадай қауіпсіздік атрибуттарына негізделуі тиіс:
қол жеткізу субъектілерін сәйкестендіргіштер;
қол жеткізу объектілерін сәйкестендіргіштер;
қол жеткізу субъектілерінің мекенжайлары;
қол жеткізу объектілерінің мекенжайлары;
субъектілердің қол жеткізу құқықтары.
14 Деректерді тексеру Ақпараттың мазмұны айлакерлік жолымен ұқсастырылмағанын немесе түрлендірілмегенін кейін тексеру үшін пайдаланылуы мүмкін өзіндік деректер жинағының дұрыстығы кепілдігін қолдау.
15 Деректерді СО қауіпсіздік функцияларының (бұдан әрі-ОҚФ) әрекетінен тыс экспорттау Пайдаланушының деректерін СО экспорттау кезінде оларды қорғау мен сақталуын немесе қауіпсіздік атрибуттарын ескермеуді қамтамасыз ету
16 Ақпараттық ағындарды басқару саясаты Пайдаланушының деректерін қауіпсіздік сервисінің физикалық бөлінген бөліктері арасында жіберген кезде оларды ашуға, түрлендіруге және/немесе қолжетімді болуына жол бермеуді қамтамасыз ету
17 Ақпараттық ағындарды басқару функциялары Деректер қоймасында қамтылған ақпаратты бақылаусыз таратуға жол бермеу мақсатында оған қолжетімділікті ұйымдастыру және қамтамасыз ету (БҚ сенімсіз болған жағдайда жариялаудан немесе түрлендіруден сенімді қорғауды іске асыру үшін ақпараттық ағындарды басқару)
18 Деректерді ОҚФ әрекетінен тыс жерден импорттау Пайдаланушының деректерін олардың талап етілетін қауіпсіздік және қорғау атрибуттары болатындай етіп СО жіберуге арналған тетіктердің болуы
19 СО шегінде жіберу Пайдаланушының деректерін ішкі арна бойынша СО түрлі бөліктері арасында жіберген кезде қорғаудың болуы
20 Қалған ақпаратты қорғау Қалған ақпаратты толық қорғауды қамтамасыз ету, яғни ресурс босаған кезде алдыңғы жай-күйінің қолжетімсіздігін қамтамасыз ету
21 Ағымдағы жай-күйін кері қалпына келтіру Кейбір шектелген (мысалы, уақыт аралығымен) соңғы операцияны немесе бірқатар операцияны жою және алдыңғы белгілі жай-күйге қайту мүмкіндігінің болуы.
Кері қалпына қайтару пайдаланушы деректерінің тұтастығын сақтау үшін операцияның немесе бірнеше операция нәтижелерін жоюға мүмкіндік береді.
22 Сақталатын деректердің тұтастығы Пайдаланушының деректерін ОҚФ шегінде сақтаған кезде олардың қорғалуын қамтамасыз ету
23 ОҚФ арасында жіберген кезде пайдаланушы деректерінің құпиялылығын қорғау Пайдаланушының деректерін ОҚФ арасында сыртқы арна немесе АТ басқа сенімді өнімі бойынша жіберген кезде олардың құпиялылығын қамтамасыз ету. Құпиялылық деректерді екі соңғы нүкте арасында жіберген кезде оларға рұқсатсыз қол жеткізуді болдырмау жолымен жүзеге асырылады. Соңғы нүктелер ОҚФ немесе пайдаланушы бола алады.
24 ОҚФ арасында жіберген кезде пайдаланушы деректерінің тұтастығын қорғау Пайдаланушының деректерін ОҚФ және АТ басқа сенімді өнімі арасында жіберген кезде олардың тұтастығы, сондай-ақ айқындалған қателер кезінде оларды қалпына келтіру мүмкіндігі қамтамасыз етілуі тиіс.
Сәйкестендіру және теңестіру (тексеру сәйкестендіру мен аутентификацияны орындайтын серверлердің және виртуалды есурстар бөлінісінде жүргізіледі)
25 Теңестіруден бас тарту Сәтсіз теңестіру талаптарының белгілі санына келгенде әкімшінің субъектіге қол жеткізуге рұқсат бермеу, тіркеу журналына жазба енгізу мен әкімшіге қауіпсіздіктің ықтимал бұзушылық туралы сигнал беру мүмкіндігінің болуы
26 Пайдаланушының атрибуттарын анықтау Әрбір пайдаланушы үшін, ең болмаса, келесі қауіпсіздік атрибуттарын қолдау қажет:
- сәйкестендіргіш;
- теңестірілген ақпарат (мысалы, пароль);
- қол жеткізу құқығы (рөлі).
27 Құпиялардың ерекшелігі Егер теңестірілген ақпарат криптографиялық операциялармен қамтамасыз етілсе, сондай-ақ ашық және құпия кілттеріне қолдау көрсетілуі қажет.
28 Пайдаланушыны теңестіру ОҚФ ұсынатын пайдаланушы теңестіру тетіктерінің болуы
29 Пайдаланушыны сәйкестендіру 1) Қауіпсіздік сервисі осы пайдаланушының атынан орындайтын кез келген іс-қимыл аяқталғанға дейін әрбір пайдаланушы сәтті сәйкестендірілуге және теңестіруге тиіс;
2) Басқа пайдаланушыдан көшіріп алынған немесе ұқсастырып жасалған теңестірілген деректерді пайдалануға жол бермеу мүмкіндіктері болуы тиіс;
3) Пайдаланушының ұсынылған кез келген сәйкестендіргішін теңестіру қажет;
4) Әкімші белгілеген уақыт интервалы аяқталғаннан кейін пайдаланушыны қайтадан теңестіруі тиіс;
5) Теңестіруді орындаған кезде қауіпсіздік функциялары пайдаланушыға тек қана жасырын кері байланысқа рұқсат беруі тиіс
30 Пайдаланушы-субъект байланыстырушы Пайдаланушының тиісті қауіпсіздік атрибуттарын осы пайдаланушы атынан әрекет ететін субъектілермен байланыстыру керек
Қауіпсіздікті басқару (тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)
31 ОҚФ жеке функцияларын басқару Жұмыс істеу, ажырату, қосу, сәйкестендіру мен теңестіру режимдерін түрлендіру, қолжетімділік, хаттамалау және аудит құқығын басқару режимдерін анықтауға әкімшінің жеке құқығының болуы.
32 Қауіпсіздік атрибуттарын басқару Қауіпсіздіктің түсіндірілетін мәндерін өзгертуге, сұрастыруға, атрибуттарын өзгертуге, жоюға, құруға әкімшінің жеке құқығының болуы. Бұл ретте, қауіпсіздік атрибуттарына тек қана қауіпсіздік мәндер беруді қамтамасыз ету қажет
33 ОҚФ деректерін басқару Тіркелетін оқиғалардың түсіндірілетін мәндерін өзгертуге, сұрастыруға, өзгертуге, жоюға, тазалауға, түрлерін анықтауға, тіркеу журналдарының өлшемін, субъектілердің қол жеткізу құқықтарын, қол жеткізу субъектілерінің есептік жазбаларының, парольдерінің, криптографиялық кілттерінің жарамдылық мерзімдерін өзгертуге әкімшінің жеке құқығының болуы.
34 Қауіпсіздік атрибуттарын жою Уақыттың кейбір сәттерінде қауіпсіздік атрибуттарын бұзуды жүзеге асырудың болуы. Пайдаланушылармен байланыстырылған қауіпсіздік атрибуттарын бұзу мүмкіндігі тек қана уәкілетті әкімшілерде болуы тиіс. Қауіпсіздік үшін маңызды өкілеттіктер дереу жойылуы тиіс.
35 Қауіпсіздік атрибутының қолданыс мерзімі Қауіпсіздік атрибуттарының қолданыс мерзімін белгілеу мүмкіндігін қамтамасыз ету
36 Қауіпсіздікті басқару рөлдері 1) Ең болмаса, мынадай рөлдерді қолдауды қамтамасыз ету: уәкілетті пайдаланушы, қашықтықтан пайдаланушы, әкімші.
2) Қашықтықтан пайдаланушы мен әкімші рөлдерін тек қана сұрау бойынша алуды қамтамасыз ету
Биресмилікті қамтамасыз ету (тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)
37 Құпиялық Пайдаланушының ресурсты немесе СО қызметін өзінің сәйкестендіргішін ашпай пайдалану мүмкіндігін қамтамасыз ету
38 Бүркеншек атау Пайдаланушының ресурсты немесе қызметті өзінің сәйкестендіргішін ашпай, сонымен қатар осы пайдалану үшін жауапты болып пайдалану мүмкіндігін қамтамасыз ету
39 Бейәлуметтік мүмкінсіздігі Пайдаланушының ресурстарды немесе қызметтерді, олардың пайдаланылғанын байланыстыруға ешкімге мүмкіндік бермей, бірнеше рет пайдалану мүмкіндігін қамтамасыз ету
40 Жасырындық 1) Ресурсты немесе қызметті пайдалану туралы ақпаратты кімге болсын, әсіресе үшінші тарапқа ұсынбай, пайдаланушының ресурстарды немесе қызметті пайдалану мүмкіндігін қамтамасыз ету;
2) Әкімшінің қауіпсіздік сервисінің ресурстарын пайдалануды бақылау мүмкіндігі болуы тиіс
ОҚФ қорғау (тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)
41 Кідіру кезіндегі қауіпсіздік Сервис аппараттық кідірістер кезінде (мысалы, электр қуатының іркілісінен орын алған) қауіпсіз жай-күйді сақтауға тиіс
42 ОҚФ экспортталатын деректерінің қолжетімділігі Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс
43 ОҚФ экспортталатын деректерінің құпиялылығы Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің құпиялылығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс
44 ОҚФ экспортталатын деректерінің тұтастығы Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс
45 ОҚФ деректерін СО шегінде жіберу Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін, құпиялылығы мен тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуге мүмкіндік беруге тиіс
46 ОҚФ физикалық қорғау ОҚФ физикалық қорғау жүзеге асырылуы тиіс
47 Сенімді қалпына келтіру Кідірулер немесе қызмет көрсету тоқтатылғаннан кейін автоматты түрде қалпына келтіру мүмкін болмаса, сервис қауіпсіз жай-күйге қайтаруға мүмкіндік беретін авариялық қолдау режиміне ауысу керек. Аппараттық кідірістерден кейін автоматты рәсімдерді қолданумен қауіпсіз жай-күйге кері қайту қамтамасыз етілуі тиіс
48 Екінші рет пайдалануды айқындау Сервис теңестірілген деректердің қайтадан пайдаланылуын айқындауға, қолжеткізуге жол бермеуге, тіркеу журналына жазба енгізуге және әкімшіге қауіпсіздіктің ықтимал бұзылуы туралы сигнал беруге тиіс
49 Өтініштер беру кезіндегі делдалдық Сервистің қауіпсіздік саясатын жүзеге асыратын функциялар сервистің кез келген басқа функциясын орындауға рұқсат етілгенге дейін шақырылып, сәтті орындалуы керек
50 Доменді бөлу Қаупісіздік функциялары оларды сенімсіз субъектілердің араласуы мен бұрмалауынан қорғайтын меншікті орындауға арналған жеке доменді қолдауға тиіс
51 Жай-күйді синхрондау хаттамасы Жай-күйлерді синхрондау қамтамасыз етілуі тиіс
52 Уақыт белгілері Қауіпсіздік функцияларының пайдалануына сенімді уақыт белгілері ұсынылуы тиіс
53 ОҚФ арасындағы деректердің келісілушілігі Тіркелетін ақпаратты, сондай-ақ қолданылатын криптографиялық операциялар параметрлерін келісімді түсіндіру қамтамасыз етілуі тиіс
54 СО шегінде қайталау кезінде ОҚФ деректерінің келісілушілігі СО түрлі бөліктерінде қайталаған кезде қауіпсіздік функциялары деректерінің келісу қамтамасыз етілуі тиіс. Қайталанатын деректерді қамтитын бөліктер ажыратылғанда, үйлесімділік көрсетілген қауіпсіздік функцияларына кез келген сұрауларды өңдеу алдындағы қосылуды қалпына келтіргеннен кейін қамтамасыз етілуі тиіс
55 ОҚФ өзін өзі тестілеу Іске қосу кезінде қауіпсіздік функциялары жұмысының дұрыстығын көрсету үшін қылыпты жұмыс процесінде және/немесе әкімшінің сұрауы бойынша мерзімді түрде өзін өзі тестілеу пакеті орындалу керек. Әкімшінің қауіпсіздік функциялары деректері мен орындалатын кодтың тұтастығын тексеру мүмкіндігі болуы тиіс
Ресурстарды пайдалану (тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)
56 Істеп шығуға қарсы тұрушылық Кідірулер кезінде де СО функционалдық мүмкіндіктеріне қолжетімділік қамтамасыз етілуі тиіс. Осындай кідірістердің үлгілері: қуат көзін ажырату, аппаратураның жұмыс істемей қалуы, бағдарламалық қамтамасыз етудің іркілісі
57 Қызмет көрсетудің басымдылығы Пайдаланушылардың немесе субъектілердің өздерінің әрекет ету аясында ресурстарды пайдалануын СО шегіндегі басымдылығы жоғары операциялар басымдылығы төмен операциялар жағынан кедергісіз және кідіріссіз орындалатын етіп басқаруды қамтамасыз ету
58 Ресурстарды бөлу Басқа пайдаланушылардың немесе субъектілердің ресурстарды монополиялауы себепті қызмет көрсетуден рұқсатсыз бас тартуға жол бермеу үшін пайдаланушылардың және субъектілердің ресурстарды пайдалануын басқару қамтамасыз етілуге тиіс
СО-ға қолжетімділік (тексеру жалпы СО үшін жүргізіледі)
59 Таңдалатын атрибуттардың аясын шектеу Қолжетімділік әдісі немесе орны және/немесе уақыты негізінде (мысалы, тәулік уақыты, апта күні) қол жеткізу жүзеге асырылып отырылған порттан пайдаланушы таңдай алатын қаупісзідік атрибуттарымен қатар пайдаланушы байланыста болуы мүмкін субъектілердің атрибуттары да шектелуге тиіс
60 Қатарлас сеанстарды шектеу Бір пайдаланушыға ұсынылатын қатарлас сеанстардың барынша көп саны шектелуі тиіс. Бұл шаманың әкімші белгілейтін ұйғарынды мәні болуы тиіс.
61 Сеансты бұғаттау Пайдаланушы әрекетсіздігі ұзақтығының әкімші белгілеген мәні аяқталғаннан кейін жұмыс сеансы мәжбүрлі аяқталуы тиіс.
62 СО-ға қол жеткізуге рұқсат беру алдында алдын алу Сәйкестендіруге және теңестіруге дейін әлеуетті пайдаланушылар үшін СО пайдаланудың сипатына қатысты ескерту хабарламасын көрсету мүмкіндігі қамтамасыз етілуі тиіс
63 СО-ға қолжетімділік тарихы Сеансты сәтті ашқан кезде пайдаланушы үшін осы пайдаланушы атынан қолжетімділікті алудың сәтсіз әрекеттерінің тарихын алу мүмкіндігі қамтамасыз етілуі тиіс. Бұл тарих қол жеткізу мерзімін, уақытын, құралдарын және СО соңғы рет сәтті қолжетімділік портын, сондай-ақ сәйкестендірілген пайдаланушының соңғы сәтті қол жеткізуінен кейінгі СО сәтсіз қол жеткізу әрекеттерінің санын қамтуы мүмкін.
64 СО-мен сеансты ашу Субъектіні сәйкестендіргішке, субъектінің пароліне, субъектінің қолжетімділік құқықтарына негізделе отырып, сервис сеансты ашуға жол бермеуге қабілетті болуы тиіс.
Сенімді бағдарды/арнаны қамтамасыз ету (тексеру серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі)
65 Сенімді арна 1) Қашықтықтағы сенімді АТ- өнімімен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестірудің, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсынуға тиіс;
2) Екі тараптың байланыстарды сенімді арна арқылы бастамалауға мүмкіндігі болуы тиіс.
66 Сенімді бағдар 1) Қашықтықтағы пайдаланушымен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестіретін, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсынуға тиіс;
2) Пайдаланушының байланыстарды сенімді арна арқылы бастамалауға мүмкіндігі болуы тиіс;
3) Қашықтықтағы пайдаланушы мен қашықтықтан басқаруды бастапқы аутентификациялау үшін сенімді бағдарды пайдалану міндетті болып табылады.
Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне 2-қосымша
Телекоммуникациялар желісін және серверлік жабдықты қорғау функцияларының тізбесі
р/с
№ Функциялардың атауы Функциялардың мазмұны
1 2 3
1 Сәйкестендіру және теңестіру Уәкілетті персоналға қосу арқылы қолжетімділікті шектеу жолымен (ұйым ішінде немесе одан тыс жерде) телекоммуникация желісі ұсынатын сервистердің қауіпсіздігін және тиісті деректердің сақталуын қамтамасыз ету.
2 Аудиттерді белгілеу (желілік қосылулардың қауіпсіздігіне байланысты оқиғалар туралы есептер қалыптастыру және олардың бар болуы) Күдікті және нақты оқиғаларды мұқият шолу мүмкіндігінің болуы үшін аудитті жүргізу барысындағы кідіру жағдайлары мен нақты оқиғалары бойынша жеткілікті ақпаратты белгілеу керек
3 Басып кіруді айқындау Басып кіруді болжауға (телекоммуникация желілеріне ықтимал енулер), оларды нақты уақыт масштабында айқындауға және тиісті алаңдаушылықты туғызуға мүмкіндік беретін құралдардың бар болуын қамтамасыз ету
4 Зиянды кодтан сақтап қалу Зиянды кодтан сақтап қалу үшін мыналарды қамтитын қорғау шараларының болуы: 1) нұсқаларын, кем дегенде, апта сайын жаңарту арқылы сканерлеуші бағдарламалық қамтамасыз етуді қазіргі уақыт деңгейінде қолдау;
2) зиянды кодтың жүйеге басып кіру мүмкіндігін азайтуға бағытталған рәсімдер мен практикалық іс-қимылдарды жалпы реттейтін басшылық нұсқаулардың бар болуы.
5 Желіні қорғауды басқару Қашықтықтан диагностикалаудың барлық порттарына (виртуалды немесе физикалық) рұқсатсыз қол жеткізуден сақтандыруды қамтамасыз ететін қорғау шараларының болуы.
6 Желіаралық экрандар Әрбір желіаралық экран үшін сервистерге қолжетіміділік саясатын (қауіпсіздік) белгілейтін жеке құжат әзірлеу және осы қосылу арқылы тек қане рұқсат етілген трафиктің өтуіне кепілідік беру үшін оны әрбір қосылуда жүзеге асыру қажет
7 Желілер арқылы деректермен алмасудың құпиялылығы Құпиялылықты сақтау маңызды болған жағдайларда желілік қосылулар арқылы өтетін ақпаратты шифрлау үшін криптографиялық қорғау шаралары қарастырылуы тиіс
8 Желілер бойынша жіберілетін деректердің тұтастығы Деректердің тұтастығын сақтау маңызды болған жағдайларда желілік қосылулар арқылы өтетін ақпаратты қорғау үшін цифрлық қолтаңба мен хабарламаның тұтастығын қорғау шаралары қарастырылуы тиіс
9 Ақпарат алмасу бойынша жасалған іс-қимылдардан бас тартпаушылық Ақпаратты желі бойынша жіберудің растауын ұсыну талап етілетін жағдайда, мынадай қорғау шараларын пайдалану керек:
1) құжатты жіберу фактісін растайтын байланыс хаттамалары;
2) бастапқы адресті немесе сәйкестендіргішті ұсынуды және аталған ақпараттың бар болуын тексеруді талап ететін қосымшалардың хатамалары;
3) жіберуші мен алушы мекнжайларының форматтары синтаксистің дұрыстығына және тиісті директорийлердегі ақпаратпен үйлесімділікке қатысты тексерілетін желіаралық экрандар;
4) желіаралық өзара іс-қимыл шеңберінде ақпаратты жеткізу фактілерін растайтын хаттамалар;
5) ақпараттың реттілігін белгілеуге рұқсат беретін тетіктерді қамтитын хаттамалар
10 Үздіксіз жұмысты және қалпына келтіруді қамтамасыз ету Табиғи апат жағдайында әрбір іскери операцияның үзілістен кейін үйлесімді уақыт аралығында қалпына келу қабілетін қамтамасыз ету арқылы бизнес функцияларын жалғастыруды қамтамасыз ететін қорғау шараларының болуы.
Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының
2016 жылғы 26 қаңтардағы №63 бұйрығына 2-қосымша
Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық
платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары
1. Жалпы ережелер
1. Осы Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары (бұдан әрі – Қағидалар) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 7-бабының 16) тармақшасына сәйкес әзірленді және сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге (бұдан әрі – сынақ объектілері) олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақта жүргізу тәртібін айқынтайды.
2. Осы Қағидаларда мынадай негізгі ұғымдар және қысқартулар пайдаланылады:
1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің, ақпараттық-коммуникациялық инфроқұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;
2) ақпараттық жүйе – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсететін персонал мен техникалық құжаттаманың ұйымдастырушылың ретке келтірілген жиынтығы;
3) интернет-ресурс – аппараттық-бағдарламалық кешенде орналастырылатын, мәтіндік, графикалық, аудиовизуалды немесе өзге де түрде бейнеленетін, бірегей желілік мекенжайы және (немесе) домендік атауы бар және (немесе) Интернет желісінде жұмыс істейтін, электрондық ақпараттық ресурс;
4) мемлекеттік техникалық қызмет (бұдан әрі – МТҚ) – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорны;
5) өтініш беруші – сер