"Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын және мемлекеттік органның интернет-ресурсын (бұдан әрі – аттестаттау объектілері) ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттау ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган мен ҚР ҰҚК «Мемлекеттік техникалық қызмет» РМК (бұдан әрі-«МТҚ» РМК) осы көрсетілетін қызметті берушілер болып айқындалған мемлекеттік көрсетілетін қызмет болып табылады.
Аттестаттау объектілеріне ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарау жүргізу аттестаттаудан өткізу кезеңдерінің бірі болып табылады және «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы № 418-V Қазақстан Республикасы Заңының (бұдан әрі-Заң) 14-бабы 1-тармағының 1) тармақшасына сәйкес «МТҚ» РМК монополиялық қызметі шеңберінде жүргізіліп, Заңның 51-бабымен реттеледі.
Аттестаттау объектілерін ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттау олардың ақпараттық қауіпсіздігін қамтамасыз ету мәселелеріндегі маңызды аспектілердің бірі, аттестаттау объектісінің жұмыс істеуінің қол жеткізілген сапасы мен қорғалу деңгейін тексерудің ең перспективалық тәсілі болып табылады және осалдықтар мен қатерлердің кең диапазонын айқындауға, нұқсанды барынша азайтуға, аттестаттау объектісінің үздіксіз және қауіпсіз жұмыс істеуін қамтамасыз етуге мүмкіндік береді.
1. Аттестаттау объектісінің құрылымын алдын ала зерделеу мынадай техникалық құжаттаманы зерделеуді қамтиды:1) аттестаттау объектісін құруға арналған техникалық тапсырма;2) аттестаттау объектісінің жалпы функционалдық және локальдық схемасы;3) аттестаттау объектісінде пайдаланылатын бағдарламалық және техникалық құралдар тізімі;4) көрсетілетін ақпараттық-коммуникациялық қызметтерді пайдалануға арналған шарт (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланған жағдайда).2. АҚ жөніндегі ТҚ зерделеу, талдау және бағалау Қағидалардың 13-тармағына сәйкес өтінішке қоса берілетін құжаттарға жүргізіледі (Қағидаларға 3-қосымшаға сәйкес 16 ТҚ).3. Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002, ҚР СТ МЕМСТ Р 50739 стандарттарының, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін зерттеп-қарау: 1) Саясат ережелерін;2) ақпараттық қауіпсіздікті басқару бойынша процестерді;3) активтерді басқаруды ұйымдастыруды;4) персоналға байланысты қауіпсіздікті қамтамасыз етуді;5) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды;6) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді;7) ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды;8) аттестаттау объектілерін әзірлеу, енгізу мен қызмет көрсету процестерін;9) ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды;10) бизнестің үздіксіздігін басқаруды;11) құқықтық талаптарға сәйкестік дәрежесін;12) ҚР СТ МЕМСТ Р 50739 талаптарына сәйкес ақпаратты рұқсатсыз қол жеткізуден қорғау жүйесін зерттеп-қарау және талдау мақсатында жүргізіледі.
1. «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы № 418- V Қазақстан Республикасының Заңы.2. «Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларын бекіту туралы» (бұдан әрі-Қағидалар) Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысы. 3. Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 28 наурыздағы № 51/НҚ бұйрығымен бекітілген Ақпараттық жүйенің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі. 4. ҚР СТ ИСО/МЭК 27002 «Қорғауды қамтамасыз ету әдістері. Ақпаратты қорғауды басқару жөніндегі қағидалардың жинағы». 5. ҚР СТ ИСО/МЭК 27001 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар». 6. ҚР СТ ГОСТ Р 50739 «Есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Қойылатын жалпы техникалық талаптар».
1. Жеке басты куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін).2. Техникалық тапсырманың көшірмесі, интернет-ресурсқа техникалық тапсырма жоқ болған жағдайда техникалық ерекшелік жіберіледі.3. Әкімші серверлерінің пайдаланылатын бірегей желілік мекенжайлары мен жұмыс станциялары көрсетіліп, меншік иесі (иеленуші) бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған аттестаттау объектісінің жалпы функционалдық схемасы және жалпы функционалдық схемаға түсіндірме жазба.4. Меншік иесі (иеленуші) бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған аттестаттау объектісінің осы Қағидаларға 3- қосымшаға сәйкес АҚ бойынша ТҚ көшірмелері: 1) ақпараттық қауіпсіздік саясаты;2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және таңбалау қағидалары;3) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету қағидалары;5) есептеу техникасы құралдарын, телекоммуникация жабдығын және бағдарламалық қамтамасыз етуді түгендеу мен паспорттандыру қағидалары;6) ішкі ақпараттық қауіпсіздік аудитін өткізу қағидалары;7) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;8) электрондық ресурстарға қол жеткізу құқықтарының аражігін ажырату қағидалары;9) Интернетті және электрондық поштаны пайдалану қағидалары;10) аутентификация рәсімін ұйымдастыру қағидалары;11) вирусқа қарсы бақылауды ұйымдастыру қағидалары;12) мобильдік құрылғыларды және ақпарат тасығыштарды пайдалану қағидалары;13) ақпаратты өндеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары;14) әкімшінің аттестаттау объектісін сүйемелдеу жөніндегі нұсқаулығы;15) ақпаратты резервтік көшіру және қалпына келтіру регламенті;16) пайдаланушылардың АҚ инциденттеріне және штаттан тыс (дағдарысты) жағдайларда іс-қимыл тәртібі туралы нұсқаулық.5. Аттестаттау объектісімен интеграцияланған ақпараттандыру объектілерінің осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша меншік иесі бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған тізбесі (аттестаттау объектісімен интеграцияланған ақпараттандыру объектілері болған кезде).6. Аттестаттау объектісінің құрамына кіретін техникалық және бағдарламалық құралдардың осы Қағидаларға 5 және 6-қосымшаларға сәйкес нысан бойынша меншік иесі (иеленуші) бекіткен және өтініш берушінің қолымен және мөрімен куәландырылған көшірмелері (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланбайтын жағдайда).7. Техникалық сипаттама мен ақпараттық-коммуникациялық қызметтер көрсету шарты қоса берілген ақпараттық-коммуникациялық қызметтерді пайдалануға арналған шарттың көшірмесі (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланатын жағдайда).
1.Міндетті түрде аттестатталуға жататын аттестаттау объектілері енгізілді, атап айтқанда: «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйе, Интернет-ресурстар.2. Заң аттестаттау жөніндегі нормалар қабылданғанға дейін өнеркәсіптік пайдалануға енгізілген ақпараттық жүйелерді міндетті түрде аттестаттау жөніндегі талаптармен толықтырылды.3. «Электрондық үкіметтің» ақпараттық-коммуникациялық платформасын қоспағанда, ақпараттық қауіпсіздік талаптарына сәйкестік аттестатын беру мерзімі 3 жылдан аттестаттау объектілерін өнеркәсіптік пайдалану мерзіміне өзгертілді.4. Ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізуді жүргізу мерзімдері ұзартылды. Аттестаттаудан өткізу мерзімі аттестаттық тексеру бойынша қызметтер көрсетуге арналған шарт күшіне енген күннен бастап отыз жұмыс күнін құрайды.5. Меморгандардың аттестаттаудан өткізу жоспарланып отырған объектілер туралы мәліметтерді беруін реттейтін норма енгізілді, ағымдағы жылдың 1 наурызынан кешіктірмей.6. ҚР ӘҚБтК толықтырулар енгізілді. Заңның 65-бабына сәйкес Қазақстан Республикасының ақпараттандыру туралы заңнамасын бұзу ҚР ӘҚБтК641-бабында көзделген жауаптылыққа әкеп соғады.7. Ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган ақпараттық қауіпсіздік талаптарына сәйкестік аттестатын беру немесе беруден бас тарту туралы шешім қабылдайды.
1.Аттестаттау объектісінің құрылымын алдын ала зерделеу.2.Ақпараттық қауіпсіздік жөніндегі техникалық құжаттаманы (бұдан әрі-АҚ жөніндегі ТҚ) зерделеу, талдау және бағалау3.Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002, ҚР СТ МЕМСТ Р 50739 стандарттарының, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін зерттеп- қарау.4.Аттестаттық зерттеп-қарау актісін қалыптастыру.
1. АҚ жөніндегі бөлімше туралы ереже; 2. ЛН немесе АҚ-ны ұйымдастыру үшін жауапкершілік жүктелетіні туралы өзге өкімдік құжаттар;3. АҚ бойынша қызметті үйлестіру белгіленген өкімдік құжаттар;4. ЛН немесе АҚ саясатына талдау жүргізу үшін жауапкершілік жүктелетіні туралы өзге өкімдік құжаттар;5. ЛН немесе АҚ инциденттері орын алған кезде, штаттан тыс (дағдарысты) жағдайларда әрекет ету бойынша жауапкершілік жүктелетіні туралы өзге өкімдік құжаттар;6. ЛН немесе бизнестің үздіксіздігін, АЖ-ның тұрақты жұмыс істеуін қамтамасыз ету үшін жауапкершілік жүктелетіні туралы өзге өкімдік құжаттар;7. ЛН немесе АҚ тәуекелдерін жүргізу мен өңдеу үшін жауапкершілік жүктелетіні туралы өзге өкімдік құжаттар;8. АҚ мәселелері жөніндегі мәжілістердің хаттамалары. Хаттамалық тапсырмаларды орындау бойынша есептер;9. АҚ бойынша ТҚ-мен таныстыру парақтары;10. Сыныптауышқа сәйкес АЖ сыныбы айқындалғанын растайтын құжат;11. АЖ-ны сүйемелдеуді жүзеге асыратын қызметкерлердің құпиялылықты сақтауы туралы шарт, қосымша келісім немесе шарттағы тармақ;12. Сыртқы ұйымдардың жұмыскерлерімен (сыртқы ұйымдармен жасалған шарттар болған жағдайда) ақпаратты жарияламау туралы келісімдер;13. АҚ тәуекелдерін бағалау картасы;14. АҚ тәуекелдерін барынша азайту жөніндегі іс-шаралардың жоспары;15. Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін қамтамасыз ету және оларды өзектілендіру жоспары;16. Бизнестің үздіксіздігін қамтамасыз ету жоспары;17. Төтенше жағдай туындағаннан кейін АЖ-ны қалпына келтіру жоспары;18. Тәуекелдерді бағалау мен талдау нәтижелері бойынша тәуекелдерді өңдеу жоспары;19. Бизнестің үздіксіздігін қамтамасыз ету бойынша жоспарды қайта қарау жөніндегі хаттамалар немесе өзге өкімдік құжаттар;20. Ішкі аудит жоспары;21. Ішкі аудит жүргізу, ішкі аудит жүргізу жөніндегі аудиторлық (жұмыс) тобын құру туралы бұйрық немесе өзге өкімдік құжаттар;22. Ішкі аудиттің есебі;23. Серверлік жабдыққа қауіпсіз техникалық қызмет көрсету жөніндегі талаптар жазылған өкімдік құжат;24. Түгендеу жүргізу туралы бұйрық немесе өзге өкімдік құжаттар;25. Актив сыныбының (активтердің құндылығы, маңыздылығы, аса маңыздылығы, құпиялылығы), нақты орналасқан орнының, активтің иеленушісінің сипаттамасы берілген, ақпаратты өңдеу құралдарымен басланысты активтердің тізілімі;26. Ұзақ мерзімді активтердің түгендеу тізілімі;27. Активтерді есепке алу журналы;28. Пайдаға асыру актілері;29. Ақпаратты тасығыштарды беру журналы;30. ЕТҚ паспорттары;31. Толық материалдық жауапкершілік туралы бұйрық. Материалдық жауапкершілік жүктелгені туралы өкімдік құжаттар;32. АЖ-ны сүйемелдеу мен техникалық қызмет көрсетуге (сүйемелдеу бойынша қызметті сыртқы ұйым көрсеткен жағдайда) арналған шарт;33. Жабдыққа техникалық қызмет көрсету бойынша өкімдік құжаттар;34. Сыртқы ұйымдармен активтерге қол жеткізу бойынша қосымша келісімдер;35. Сыртқы ұйымдардың жұмыскерлерін 16 АҚ бойынша ТҚ-мен таныстыру парақтары;36. Сыртқы ұйымдардың есептері мен орындалған жұмыстарды қабылдау актілері;37. Жүктемелік сынау мен тестілеу актілері немесе хаттамалары;38. АҚ бойынша нұсқама жүргізу немесе оқыту журналдары;39. ДҚ, ОЖ, БҚ резервтеу кестесі немесе тәртібі;40. Резервтік көшіру журналы;41. Резервтік көшірмелердің тұтастығын тексеру актілері (хаттамалары);42. Резервтік көшірмелерді тестілеу есебі;43. Жабдықты шығару/енгізу журналы;44. Ақпаратты тасығыштарды пайдалану тәртібі;45. АЖ мен оның компоненттерін тестілік қалпына келтіру актісі;46. АҚ-ны бұзу үшін (бұзушылық орын алған кезде, фактісі бойынша) тәртіптік жазалау туралы бұйрық;47. Активтерді қайтару туралы белгісі бар (қызметкерлер жұмыстан босатылған немесе ауысқан кезде) кету парағы;48. Пайдаланушыларды тіркеу журналы;49. Операциялық жүйелердің оқиғалар журналы;50. Дерекқорларын басқару жүйелерінің оқиғалар журналы;51. Вирусқа қарсы қорғау оқиғаларының журналы;52. Қолданбалы БҚ оқиғаларының журналы;53. Телекоммуникациялық жабдық оқиғаларының журналы;54. Шабуылдарды айқындау мен болдырмау жүйелерінің оқиғалар журналы;55. Контентті басқару жүйесінің оқиғалар журналы;56. АЖ пайдаланушыларының жұмысын ұйымдастыру бойынша нұсқама жүргізу журналы;57. АЖ-ның резервтік көшірмелерін сақтау журналы;58. Жаңартулар журналы;59. БҚ-ға арналған лицензиялар, вирусқа қарсы бағдарлама;60. Зияткерлік меншікті растайтын құжат;61. Ведомстволық (корпоративтік) желінің схемасы;62. Серверлік үй-жайға қол жеткізуге рұқсаты бар қызметкерлердің тізімі;63. Серверлік үй-жайларға кіру журналын жүргізуге жауапты қызметкерлердің тізімі;64. Резервтік көшірмеден қалпына келтіру процесінің скрині (экранның суреті);65. Сервердің және жұмыс станцияларының вирусқа қарсы бағдарламаны орнату бойынша скрині;66. Кіріс және шығыс трафиктің лог-файлдарының скрині;67. Web-парақшаларды зиянды кодтың орын алуы тұрғысынан тексеру скрині.Құжаттардың осы тізілімі АЖ Иеленушісі (Меншік иесі) БТ, ҚР СТ ИСО/МЭК 27001-2008 және ҚР СТ ИСО/МЭК 27002-2009, ҚР СТ МЕМСТ Р 50739-95-2006 стандарттарының, АҚ бойынша ТҚ талаптарын орындау жөніндегі жұмыстарды ұйымдастырудың нақты жай-күйін растау мақсатында белгілеген АҚ жөніндегі ТҚ талаптарын ескере отырып, толықтырылуы мүмкін.
Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V «Ақпараттандыру туралы» Заңын қабылдауға байланысты ақпараттандыру объектілері Қазақстан Республикасы Инвестициялар және даму министрінің 2016 жылғы 28 қаңтардағы № 135 бұйрығымен бекітілген Ақпараттандыру объектілерін сыныптау қағидаларына сәйкес (бұдан әрі- Сыныптауыш) сыныптауға жатады.Сыныптауышта көзделген санаттарға сүйене отырып, аттестаттау объектілерінің әр түрін аттестаттық зерттеп-қарау үшін талап етілетін нақты еңбек шығыстары, жұмылдырылған адам ресурстарының көлемі, материалдық және материалдық емес шығыстар саны әртүрлі болады. Осы себепті аттестаттық зерттеп-қарау бойынша көрсетілетін қызметтің құнын есептеу аттестаттау объектісінің түріне байланысты сараланған. Аттестаттық зерттеп-қарау бойынша көрсетілетін қызметтің құны 2017 жылғы 25 наурыздан бастап қолданысқа енгізілген «Электрондық құжат және электрондық цифрлық қолтаңба, ақпараттандыру салаларындағы және байланыс, телерадио хабарларын тарату салаларындағы мемлекеттік монополия субъектісі жүзеге асыратын қызметтердің бағаларын бекіту туралы» Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 30 қаңтардағы № 88 бұйрығына өзгерістер енгізу туралы» Қазақстан Республикасы Ақпарат және коммуникациялар министрінің 2017 жылғы 27 қаңтардағы № 30 бұйрығына сәйкес есептеледі. Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын және мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу құнын қалыптастырудың негізгі құраушылары өлшем бірлігіне есептелген 4 тариф болып табылады. 1. Локальдық (тұтас) ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын және мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттық зерттеп-қарау (аспаптық тексеру жүргізбей) - 1 065 215 (бір миллион алпыс бес мың екі жүз он бес) теңге (1жүйеге/кіші жүйеге);2. Аумақтық бөлінген ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын және мемлекеттік органның интернет-ресурсын облыс деңгейінде ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттық зерттеп-қарау (аспаптық тексеру жүргізбей) - 109 253 (жүз тоғыз мың екі жүз елу үш) теңге (1 облыс орталығы үшін);3. Аумақтық бөлінген ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын және мемлекеттік органның интернет-ресурсын аудан деңгейінде ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттық зерттеп-қарау (аспаптық тексеру жүргізбей) - 9 331 (тоғыз мың үш жүз отыз бір) теңге (1 аудан деңгейі үшін);4. Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын және мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аспаптық тексеру - 17 403 (он жеті мың төрт жүз үш) теңге (1 IP-мекенжайы үшін).Аумақтық бөлінген ақпараттық жүйені немесе Астана қаласы аумағынан тыс орналасқан локальдық (тұтас) ақпараттық жүйені тексерген кезде көрсетілетін қызметтердің белгіленген тарифіне қосымша қызметтік іссапарлар шығыстарының өтемақы сомасы енгізіледі.
Аттестаттау объектісін аттестаттық зерттеп-қараудың баға ұсынысын есептеу үшін мынадай құжаттарды ұсыну қажет:1. Техникалық тапсырма, интернет-ресурсқа арналған техникалық тапсырма жоқ болған жағдайда техникалық ерекшелік жіберіледі.2. Меншік иесі (иеленуші) бекіткен әкімшінің серверлері мен жұмыс станциясының пайдаланылатын бірегей желілік мекенжайлары көрсетілген аттестаттау объектісінің жалпы функционалдық схемасы, сондай-ақ желінің локальдық схемасы, өтініш берушінің қолымен және мөрімен куәландырылған жалпы функционалдық схемаға түсіндірме жазба.3. Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысымен бекітілген Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық- коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 5-қосымшаға сәйкес нысан бойынша аттестаттау объектісінің құрамына кіретін техникалық құралдардың тізбесі. Тізбе бекітілген және меншік иесінің (иеленушінің) қолымен және мөрімен куәландырылған болуы тиіс.
1. Қазақстан Республикасының ақпараттандыру туралы заңнамасын:1) дербес деректер қамтылған ақпараттық жүйелердің меншік иесінің немесе иеленушісінің оларды қорғау жөніндегі шараларды жүзеге асырмауы немесе тиісті түрде жүзеге асырмауы;2) ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бұзу;3) мемлекеттік органның ақпараттық жүйесін, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйені, мемлекеттік органның ақпараттық жүйесімен интеграцияландырылған немесе мемлекеттік органның электрондық ақпараттық ресурстарын қалыптастыруға арналған мемлекеттік емес ақпараттық жүйені, мемлекеттік органның интернет-ресурсын және «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын ақпараттық қауіпсіздік талаптарына сәйкестік аттестатынсыз өнеркәсіптік пайдалану;4) «электрондық үкіметтің» сервистік интеграторына мемлекеттік органдардың ақпараттық жүйелерінің әзірленген бағдарламалық қамтылымын, бастапқы бағдарламалық кодтарын (болған кезде), лицензиялық бағдарламалық қамтылымын баптау кешенін ұсынбау;5) техникалық құжаттаманың қағаз жеткізгіштегі түпнұсқаларын жоғалту;6) ақпараттық қауіпсіздік талаптарына сәйкестікке жүргізілген сынақтар бойынша оң нәтижесі бар актісі жоқ мемлекеттік органның ақпараттық жүйесін өнеркәсіптік пайдалану түрінде жасалған бұзушылық – жеке тұлғаларға – он, лауазымды адамдарға, шағын кәсіпкерлік субъектілеріне немесе коммерциялық емес ұйымдарға – он бес, орта кәсіпкерлік субъектілеріне – отыз, ірі кәсіпкерлік субъектілеріне бір жүз айлық есептік көрсеткіш мөлшерінде айыппұл салуға әкеп соғады.2. Мемлекеттік электрондық ақпараттық ресурстардың резервтік көшірмесін дайындамау – лауазымды адамдарға – отыз, заңды тұлғаларға сексен айлық есептік көрсеткіш мөлшерінде айыппұл салуға әкеп соғады.3. Осы баптың бiрiншi және екінші бөліктерінде көзделген, әкiмшiлiк жаза қолданылғаннан кейiн бiр жыл iшiнде қайталап жасалған әрекеттер (әрекетсіздік) – жеке тұлғаларға – жиырма, лауазымды адамдарға – елу, заңды тұлғаларға – бір жүз елу айлық есептік көрсеткіш мөлшерінде айыппұл салуға әкеп соғады.4. Жеке тұлғалар туралы дербес деректерді қамтитын электрондық ақпараттық ресурстарды оларға мүлiктiк және (немесе) моральдық зиян келтiру, Қазақстан Республикасының заңдарында кепiлдiк берiлген құқықтар мен бостандықтарды іске асыруын шектеу мақсатында пайдалану – ескерту жасауға немесе жеке тұлғаларға – он, лауазымды адамдарға, шағын кәсіпкерлік субъектілеріне немесе коммерциялық емес ұйымдарға – жиырма, орта кәсіпкерлік субъектілеріне – қырық, ірі кәсіпкерлік субъектілеріне екі жүз айлық есептік көрсеткіш мөлшерінде айыппұл салуға әкеп соғады.
- Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V «Ақпараттандыру туралы» Заңын қабылдауға байланысты ақпараттандыру объектілері Қазақстан Республикасы Инвестициялар және даму министрінің 2016 жылғы 28 қаңтардағы № 135 бұйрығымен бекітілген Ақпараттандыру объектілерін сыныптау қағидаларына сәйкес (бұдан әрі - Сыныптауыш) сыныптауға жатады.
Ақпараттық жүйелердің Сыныптауышта көзделген санаттарына сүйене отырып, аттестаттық зерттеп-қарау бойынша көрсетілетін қызметтің құны аттестаттау объектісінің түріне байланысты сараланған.
Аттестаттық зерттеп-қарау бойынша көрсетілетін қызметтің құны «Электрондық құжат және электрондық цифрлық қолтаңба, ақпараттандыру салаларындағы және байланыс, телерадио хабарларын тарату салаларындағы мемлекеттік монополия субъектісі жүзеге асыратын қызметтердің бағаларын бекіту туралы» Қазақстан Республикасы Ақпарат және коммуникациялар министрінің 2015 жылғы 30 қаңтардағы № 88 бұйрығына сәйкес есептеледі.
Ақпараттық жүйеге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына және мемлекеттік органның интернет-ресурсына олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарау жүргізу құнын қалыптастырудың негізгі құраушылары өлшем бірлігіне есептелген 4 тариф болып табылады.
1. Локальдық (монолиттік) ақпараттық жүйеге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына және мемлекеттік органның интернет-ресурсына олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарау (аспаптық тексеріп қарау жүргізбей) жүргізу - 1 065 215 (бір миллион алпыс бес мың екі жүз он бес) теңге (1жүйеге/кіші жүйеге);
2. Аумақтық бөлінген облыс деңгейіндегі ақпараттық жүйеге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына және мемлекеттік органның интернет-ресурсына олардың облыс деңгейінде ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарау (аспаптық тексеріп қарау жүргізбей) жүргізу - 109 253 (жүз тоғыз мың екі жүз елу үш) теңге (1 нүктеге*) (1 нүкте - 1 облыс деңгейіндегі деректерді өңдеу торабы);
3. Аумақтық бөлінген аудан деңгейіндегі ақпараттық жүйеге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына және мемлекеттік органның интернет-ресурсына олардың аудан деңгейінде ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарау (аспаптық тексеріп қарау жүргізбей) жүргізу - 9 331 (тоғыз мың үш жүз отыз бір) теңге (1 нүктеге*) (1 нүкте - 1 аудан деңгейіндегі деректерді өңдеу торабы);
4. Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын және мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аспаптық тексеріп қарау - 17 403 (он жеті мың төрт жүз үш) теңге (1 IP-мекенжайы үшін).
*Аумақтық бөлінген ақпараттық жүйені немесе Астана қаласы аумағынан тыс орналасқан локальдық (монолиттік) ақпараттық жүйені зерттеп-қарау кезінде көрсетілетін қызметтердің белгіленген бағаларына қосымша қызметтік іссапарлар шығыстарының өтемақы сомасы енгізіледі.
Аттестаттау объектісіне аттестаттық зерттеп-қарау жүргізудің баға ұсынысын есептеу үшін мынадай құжаттарды ұсыну қажет:
▪ Техникалық тапсырма, интернет-ресурсқа арналған техникалық тапсырма жоқ болған жағдайда техникалық ерекшелік жіберіледі;
▪ Меншік иесі (иеленуші) бекіткен әкімшінің серверлері мен жұмыс станциясының пайдаланылатын бірегей желілік мекенжайлары көрсетілген аттестаттау объектісінің жалпы функционалдық схемасы, сондай-ақ желінің локальдық схемасы, өтініш берушінің қолымен және мөрімен куәландырылған жалпы функционалдық схемаға түсіндірме жазба;
▪ Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысымен бекітілген Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық- коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына 5-қосымшаға сәйкес нысан бойынша аттестаттау объектісінің құрамына кіретін техникалық құралдардың тізбесі.
Тізбе бекітілген және меншік иесінің (иеленушінің) қолымен және мөрімен куәландырылған болуы тиіс.
- Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы № 418-V Қазақстан Республикасының Заңы;
«Ақпараттық жүйені, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларын бекіту туралы» Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысы (бұдан әрі – Қағидалар);
«Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» Қазақстан Республикасы Үкіметінің 2016 жылғы
20 желтоқсандағы № 832 қаулысы;
Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 28 наурыздағы № 51/НҚ бұйрығымен бекітілген Ақпараттық жүйенің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі;
ҚР СТ ИСО/МЭК 27002 «Қорғауды қамтамасыз ету әдістері. Ақпаратты қорғауды басқару жөніндегі қағидалардың жинағы»;
ҚР СТ ИСО/МЭК 27001 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар»;
ҚР СТ ГОСТ Р 50739 «Есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар».
Қағидалардың 22-тармағына сәйкес аттестаттық зерттеп-қарау мыналарды қамтиды:
▪ аттестаттау объектісінің бастапқы деректерін алдын-ала талдау;
▪ аттестаттау объектісінің АҚ бойынша ТҚ Қазақстан Республикасы аумағында қабылданған ақпараттық қауіпсіздік және ақпаратты қорғау салаларындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін талдау және бағалау;
▪ аттестаттау объектісін зерттеп-қарау мен аттестаттау объектісінің АҚ бойынша ТҚ, ұйымдастырушылық-өкімдік, пайдалану құжаттамасымен және Қазақстан Республикасы аумағында қабылданған ақпараттық қауіпсіздік және ақпаратты қорғау салаларындағы нормативтік құқықтық актілер мен стандарттар талаптарының нақты орындалуын бағалау;
▪ аттестаттау объектісінің компоненттерін аспаптық тексеріп қарау.
- Аттестаттық зерттеп-қараудың мерзімі аттестаттық зерттеп-қарау бойынша қызметтер көрсетуге арналған шарт күшіне енген күнінен бастап 30 жұмыс күнінен аспауы тиіс (Қағидалардың 19-т.).
Қосымша аттестаттық зерттеп-қараудың мерзімі уәкілетті органнан қосымша аттестаттық зерттеп-қарау жүргізу туралы хабарлама келіп түскен күнінен бастап 15 жұмыс күні (Қағидалардың 34-т.).
- Заңның 51-бабының 2-тармағында айқындалған барлық ақпараттық жүйелер бағдарламалық қамтылымның түріне байланыссыз міндетті аттестаттауға жатады.
- Сынақтан тәжірибелік пайдалану кезеңінде өтеді.
Аттестаттаудан - өнеркәсіптік пайдалануға енгізудің алдында.
- Ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган аттестаттық зерттеп – қарау нәтижелерін қарау кезінде ақпараттық қауіпсіздіктің нақты қатерлерінің деңгейін (қатерлер мен осалдықтардың әлеуетті көздері) ескеріп, келесі шешімдердің біреуін қабылдайды:
▪ аттестатты беру туралы;
▪ аттестатты беруден бас тарту туралы;
▪ өтініш берушінің айқындалған сәйкессіздіктерді жоюы туралы.
Өтініш берушінің айқындалған сәйкессіздіктерді жоюы туралы шешім (қосымша мерзім туралы шешім) аттестаттау жүргізу туралы өтініш бойынша бір реттен артық қабылданбайды.
- Шешімді ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті орган қабылдайды.
- Егер меншік иесі (иеленушісі) ресми өкілеттік берсе, үшінші тұлға бере алады.
- Жоқ, өздері жеке аттестаттаудан өткізілмейді.
ДӨО-ларды немесе Деректер орталығын ақпараттандыру объектісін аттестаттық зерттеп – қарау шеңберінде тексеріп қарау жүргізіледі.
- Аспаптық тексеріп қарау кезінде айқындалған осалдықтарды талдау және АО иеленушісімен осалдықтарды негіздеу бойынша өзара іс-қимыл жүргізіледі.
ҮЛГІЛЕР:
Образец_Заявление_на_аттестацию_и_приложения_4-6.docx
Техникалық ерекшелік
Аттестаттаудан өткізу қызметтерін көрсетушінің мекенжайы және байланыс деректері
Астана қаласы, Жирентаев көшесі, 1/1, телефон: +7 (7172) 55-29-88
