Ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу

«Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттiк органның интернет-ресурсына және ақпараттық жүйесіне, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйеге, мемлекеттік органның ақпараттық жүйесімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу» қызметін (бұдан әрі-АҚ бойынша сынақтар) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының (бұдан әрі -Заң)
 14-бабы 1-тармағының 7) тармақшасы негізінде Мемлекеттік техникалық қызмет көрсетеді.

 

Қолданылатын нормативтік құқықтық актілер мен стандарттар

1. Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы № 418-V Қазақстан Республикасының Заңы;

2. «Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы.

3. «Сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы» Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 14 наурыздағы № 40/НҚ бұйрығы.

Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі (бұдан әрі - Әдістеме) АҚ бойынша сынақтар жұмыстарының құрамы мен мазмұнын белгілейді.

Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары (бұдан әрі – Қағидалар) АҚ бойынша сынақтар жүргізу тәртібін белгілейді.

4. ҚР СТ ИСО/МЭК 15408-2-2002. «Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары. 2-бөлім. Қауіпсіздікке қойылатын функционалдық талаптар»;

5. ҚР СТ ИСО/МЭК 13335-5-2008 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару. 5-бөлім. Желіні қорғауды басқару жөніндегі басшылық».

 

Көрсетілетін қызметтің құны

АҚ бойынша сынақтарға кіретін жұмыс түрлеріне арналған тарифтер қазіргі уақытта «Электрондық құжат және электрондық цифрлық қолтаңба, ақпараттандыру салаларындағы және байланыс, телерадио хабарларын тарату салаларындағы мемлекеттік монополия субъектісі жүзеге асыратын қызметтердің бағаларын бекіту туралы" Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 30 қаңтардағы № 88 бұйрығына өзгеріс пен толықтырулар енгізу туралы» ҚР Ақпарат және коммуникациялар министрінің 2016 жылғы 19 қазандағы № 211 бұйрығымен белгіленген және мынаны құрайды:
1) 1 Мб бастапқы кодтарды талдау – 2 934 теңге;
2) 1 сынақ объектісінің ақпараттық қауіпсіздік функцияларын сынау – 423 524 теңге;
3) бір пайдалану нұсқасын жүктемелік сынау – 328 371 теңге;
4) бір кіші телекоммуникация желісінің желілік инфрақұрылымын зерттеп-қарау – 748 164 теңге.

Қағидалардың 14-тармағына сәйкес сынақтар жүргізу құнының есебі сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық деректерінің, сынақ объектісінің компакт-дискіде кітапханаларымен берілген компоненттері мен модульдерінің бастапқы кодтары негізінде жүзеге асырылады.
Осыны ескере отырып, сынақтардың құнын есептеу үшін толтырылған Сауалнама-сұраулық (Қағидаларға 2-қосымша) және сынақ объектісінің компакт-дискіде компоненттері мен модульдерінің бастапқы кодын ұсыну қажет.

 

 Ақпараттандыру объектісіне ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақ жүргізу тәртібі

Жұмыстардың құрамы

АҚ бойынша сынақтар мына жұмыстардан тұрады:
1) Бастапқы кодтарды талдау - бағдарламалық қамтылымның «кемшіліктері» (бағдарламалау қателері, осалдықтар, құжатталмаған мүмкіндіктер, бағдарламалық белгілер) тұрғысынан бастапқы кодты қолмен және талдауға арналған бағдарламалық құралдарды пайдалана отырып, статикалық және қарқынды талдау жүргізуді қамтиды;

 2) Ақпараттық қауіпсіздік функцияларын сынау - қауіпсіздік функциялары (функциялардың құрамы мен мазмұны Әдістемеге 1-қосымшада беріледі) мен жүйелік және қолданбалы БҚ баптауларының стандарттардың талаптарына сәйкестігін тексеруді, сондай-ақ АҚ техникалық тәуекелдерін айқындауды қамтиды;

3) Жүктемелік сынау - бағдарламалық құралдарды пайдалана отырып құрылатын нақты пайдаланушылардың жұмысына сәйкес келетін жүктемемен сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауын бағалауды қамтиды;

4) Желілік инфрақұрылымды тексеріп қарау - желілік инфрақұрылымның қорғалу функцияларының (функциялардың құрамы мен мазмұны Әдістемеге 2-қосымшада беріледі) техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілерінің және Қазақстан Республикасы аумғында қолданыстағы  стандарттардың талаптарына сәйкестігін тексеруді қамтиды;

5) Хаттамалар қалыптастыру (әрбір жұмыс түрінің қорытындылары бойынша);

6) Сынақтар актісін қалыптастыру (барлық жұмыс түрлерінің қорытындылары бойынша).

 

АҚ бойынша сынақ объектілерінің тізбесі

«Ақпараттандыру туралы» 2015 жылғы  24 қарашадағы Қазақстан Республикасының Заңы 49-бабының 2-тармағына сәйкес АҚ бойынша сынақтар міндетті болып табылады және ақпараттандырудың келесі объектілеріне жүргізіледі:
1) сервистік бағдарламалық өнім;
2) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;
3) мемлекеттік органның (бұдан әрі -МО) интернет-ресурсы;
4) МО ақпараттық жүйесі;
5) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйе;
6) МО ақпараттық жүйесімен интеграцияланатын мемлекеттік емес ақпараттық жүйе;
7) мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйе.

Қазақстан Республикасының ұлттық куәландырушы орталығының электрондық цифрлық қолтаңбаның төлнұсқалылығын тексеру бойынша сервистерін пайдалану үшін мемлекеттік органның ақпараттық жүйесі мен мемлекеттік емес ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өтуі талап етілмейді (Заңның 49-бабының 3т.).

Сынақ объектісінің бастапқы коды болмаған жағдайда сынақ объектісінің бастапқы кодына талдау жүргізудің міндетті еместігі туралы шешім ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның шешімімен белгіленеді (Қағидалардың 8т.).

Сервистік бағдарламалық өнімді сынауға:
1) бастапқы кодтарын талдау;
2) ақпараттық қауіпсіздік функцияларын сынау кіреді (Қағидалардың 9т.).

"Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынақтан өткізуге:
1) ақпараттық қауіпсіздік функцияларын сынау;
2) жүктемелік сынау;
3) желілік инфрақұрылымын тексеріп қарау кіреді (Қағидалардың 10т.).

Сынақ объектісінің басқа ақпараттандыру объектісімен интеграциялануы (қолданыстағы немесе жоспарлы) жағдайында, сынақтар сынақ объектісінің құрамына интеграциялауды қамтамасыз ететін компоненттер енгізу (интеграциялау модулі, ішкі интеграциялау жүйесі, интеграциялық шина немесе басқа) арқылы жүргізіледі (Қағидалардың 11т.).

 

Өтінімге қоса берілетін құжаттардың тізбесі

Сынақтар жүргізу үшін өтініш беруші мынадай құжаттарды ұсына отырып, Мемлекеттік техникалық қызметке қағаз түрінде осы Қағидаларға 1-қосымшаға  сәйкес сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді (Қағидалардың 15т.):
1) жеке басты куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін);
2) құрылтайшы құжаттардың және заңды тұлғаны мемлекеттiк тiркеу туралы анықтаманың немесе куәліктің өтініш берушінің қолымен және мөрімен куәландырылған көшірмелері (заңды тұлғалар үшiн);
3) осы Қағидаларға 2-қосымшаға  сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық;
4) осы Қағидаларға 3-қосымшаға  сәйкес сынақтар жүргізуге қажетті техникалық құжаттаманың тізбесі;
5) сәтті компиляция үшін қажетті сынақ объектілері компоненттерінің және қажетті кітапханалары мен файлдары бар модульдерінің бастапқы кодтары, сынақ объектісінің компакт-дискідегі дерекқорларының схемасы (мәліметтерді сипаттау тілінде);
6) меншік иесі (иеленуші) сынақтар жүргізу туралы өтінім беруге өтініш берушіге өкілеттік беретін құжат (қажет болған кезде).

 

Байланыстар

АҚ бойынша сынақтар мәселелері жөнінде Мемлекеттік техникалық қызметтің Ақпараттық-коммуникациялық технологиялар қауіпсіздігі зертханасы (бұдан әрі-АКТ ҚЗ) байланысты тұлғаларымен  ішкі телефон нөмірін (бұдан әрі-ішкі) қосымша теріп, + 7 7172 559999 телефоны бойынша хабарласуға болады:
1) сынақтарға дайындық және жүргізудің ұйымдастырушылық мәселелері - Татьяна Петровна Есипова (ішкі 351);
2) Сауалнама - сұраулықты толтырудың техникалық мәселелері - Татьяна Ивановна Радько (ішкі 308);3) бастапқы кодты талдау жүргізу - Ерден Тынықұлов (ішкі 356);
4) АҚ функцияларын сынау - Диас Әбілқасымов (ішкі 338);
5) жүктемелік сынау - Данияр Сыздыкбеков (ішкі 271);
6) желілік инфрақұрылымды тексеріп қарау - Ділшат Закария (ішкі 273).