Ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу

“Электрондық үкіметтің» ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу

«Электрондық үкіметтің” ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу» қызметін (бұдан әрі- Сынақтар) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының (бұдан әрі -Заң) 14-бабы 1-тармағының 7) тармақшасы негізінде ақпараттандыру саласында мемлекеттік монополияға жатқызылған қызмет түрі ретінде ҚР ҰҚК "Мемлекеттік техникалық қызмет" РМК (бұдан әрі – «МТҚ» РМК) көрсетеді.

1. Сынақтар міндетті болып табылатын және «МТҚ» РМК жүргізетін "электрондық үкіметтің" ақпараттандыру объектілерінің тізбесі:
«Ақпараттандыру туралы» 2015 жылғы  24 қарашадағы Қазақстан Республикасының Заңы 49-бабының 2-тармағына сәйкес сынақтар міндетті болып табылады және ақпараттандырудың келесі объектілеріне жүргізіледі:
1) сервистік бағдарламалық өнім;
2)«электрондық үкіметтің» ақпараттық-коммуникациялық платформасы;
3) мемлекеттік органның (бұдан әрі – МО ) интернет-ресурсы;
4) МО ақпараттық жүйесі;
5) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған МО ақпараттық жүйесі;
6) мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтерді көрсетуге арналған мемлекеттік емес ақпараттық жүйе.

Ескертпе: Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне ("электрондық үкіметтің" ақпараттандыру объектілері болып табылатындарды қоспағанда) жатқызылған мемлекеттік емес ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтарды Заңға және Қазақстан Республикасының техникалық реттеу туралы заңнамасына сәйкес аккредиттелген сынақ зертханалары жүргізеді.

2. Қолданылатын нормативтік құқықтық актілер мен стандарттар
1. «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы № 418-V Қазақстан Республикасының Заңы (http://adilet.zan.kz/kaz/docs/Z1500000418);
2. «Ақпаратқа қол жеткізу туралы» 2015 жылғы 16 қарашадағы
№ 401-V ҚРЗ Қазақстан Республикасының Заңы (http://adilet.zan.kz/kaz/docs/Z1500000401 );
3.«Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы (http://adilet.zan.kz/kaz/docs/P1600000832);
4. «Электрондық үкіметтің» ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы» Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығы (http://adilet.zan.kz/kaz/docs/V1900018795);
"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі  Сынақтар жұмыстарының құрамы мен мазмұнын белгілейді.
"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары  Сынақтар жүргізу тәртібін белгілейді.
5. «Ақпараттандыру объектілерін сыныптау қағидаларын және ақпараттандыру объектілерінің сыныптауышын бекіту туралы» Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы
28 қаңтардағы № 135 бұйрығы (http://adilet.zan.kz/kaz/docs/V1600013349);
6. «Электрондық үкіметтің» ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу қағидаларын бекіту туралы» Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 28 наурыздағы № 52/НҚ бұйрығы (http://adilet.zan.kz/kaz/docs/V1800017019);
7. «Электрондық үкіметтің» ақпараттандыру объектілерін интеграциялау қағидаларын бекіту туралы» Қазақстан Республикасы Ақпарат және коммуникациялар министрінің м.а. 2018 жылғы 29 наурыздағы № 123 бұйрығы (http://adilet.zan.kz/kaz/docs/V1800016777);
8. ҚР СТ ИСО/МЭК 15408-2-2017 «Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары. 2-бөлім. Қауіпсіздікке қойылатын функционалдық талаптар»;
9. ҚР СТ ИСО/МЭК 13335-5-2008 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару. 5-бөлім. Желіні қорғауды басқару жөніндегі басшылық»;
10. ҚР СТ ISO/IEC 27001-2015 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері»;
11. ҚР СТ ISO/IEC 27002-2015 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару құралдары туралы ережелер жиынтығы».

3.Сынақтар жүргізу кезіндегі жұмыстардың құрамы (Қағидалардың 2-тармағына сәйкес сервистік бағдарламалық өнімді қоспағанда)
Сынақтар мына жұмыстардан тұрады (Қағидалардың 7-тармағы):
1) Бастапқы кодтарды талдау – бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып, бағдарламалық қамтылымды «кемшіліктердің» болуына қарқынды және статикалық талдау жүргізуді қамтиды;
2) Ақпараттық қауіпсіздік функцияларын сынау - сервердің және виртуалды ресурстың  қауіпсіздік функцияларын (функциялардың құрамы мен мазмұны Әдістемеге 1-қосымшада беріледі)  техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін, соның ішінде бағдарламалық құралды пайдалана отырып (қажет болған кезде) тексеруді қамтиді;
3) Жүктемелік сынау – сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауды бағалауды қамтиді, сынақ объектісінің нақты жүктемелік қабілеттілігінің параметрлері айқындалады, дербес деректер жалған деректермен алмастырылған сынақ объектісін штаттық пайдалану ортасында автоматтандырылған сценарийлер негізінде мамандандырылған бағдарламалық құралды пайдалана отырып жүргізіледі;
4) Желілік инфрақұрылымды зерттеп-қарау -  желілік инфрақұрылымның қорғалу функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігіне тексеруді қамтиді, бағдарламалық қамтылымның осалдықтары тұрғысынан сканерлеу, өтініш берушінің желілік инфрақұрлымын, соның ішінде бағдарламалық құралдарды пайдалана отырып қажет болған кезде зерттеп-қарау (функциялардың құрамы мен мазмұны Әдістемеге 2-қосымшада беріледі);
5) Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау - ақпараттық қауіпсіздікті қамтамасыз ету процестерінің ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалауды (функциялардың құрамы мен мазмұны Әдістемеге 3-қосымшада беріледі), бағдарламалық құралдармен серверлерді, виртуалды ресурстар мен желілік жабдықты белгілі осалдықтар тұрғысынан сканерлеуді, оларды жою жөнінде ұсынымдар (қажет болған кезде) қалыптастыруды қамтиді.
Сынақтардың нәтижелері бойынша жұмыстардың әрбір түрі бойынша хаттама қалыптастырылады.

4. Сервистік бағдарламалық өнімді сынауға:
1) бастапқы кодтарын талдау;
2) ақпараттық қауіпсіздік функцияларын сынау;
3) жүктемелік сынау кіреді.

5. Көрсетілетін қызметтің құны
«Электрондық үкіметтің» ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу» қызметінің бағасы «Ақпараттандыру, ақпараттық қауіпсіздікті қамтамасыз ету салаларындағы мемлекеттік монополия субъектісі іске асыратын қызметтердің бағаларын бекіту туралы» Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2018 жылғы 23 қазандағы № 86/қе бұйрығымен белгіленеді және мынаны құрайды:

Бастапқы кодтарды талдау

1 Мб үшін

2 934 теңге

Ақпараттық қауіпсіздік функцияларын сынау

1 сынау объектісіне (жүйе/ішкі жүйе)

423 524 теңге

Жүктемелік сынау

Пайдаланушыларды қосу әдісінің (хаттамасының) бір нұсқасына және интеграциялық өзара іс-қимыл әдісінің (хаттамасының) бір нұсқасына

328 371 теңге

Желілік инфрақұрылымды зерттеп-қарау

1 телекоммуникация желісіне (кіші желісіне)

748 164 теңге

Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау

1 сынау объектісіне (жүйе/ішкі жүйе)

уақытша тариф жоқ

Сынақтар жүргізу құнын есептеу үшін өтініш беруші «МТҚ» РМК-ге сынақ объектісінің меншік иесі немесе иеленушісі бекіткен сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық (Қағидалардың 9-тармағы) және сынақ объектісінің компакт-дискіде компоненттері мен модульдерінің бастапқы кодтарды жіберуге тиіс.

6. Cынақ жүргізу тәртібі

 

1-ші қадам бойынша берілетін өтінімге қоса берілетін құжаттардың тізбесі
Сынақтар жүргізу үшін Өтініш беруші мынадай құжаттарды ұсына отырып, «МТҚ» РМК-ге  қағаз тасымалдауышта ілеспе хатпен Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінім береді (Қағидалардың 16-тармағы):
1) жеке басты куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін);
2) өтініш берушінің қолымен және мөрімен (болған кезде) куәландырылған:
-заңды тұлғаның құрылтай құжаттарының көшірмелері (заңды тұлғалар үшін);
-заңды тұлғаны мемлекеттік тіркеу туралы анықтаманың немесе куәліктің көшірмесі (заңды тұлғалар үшін);
-шарттарға қол қоюға өкілеттік берілген тұлғаның атына сенімхаттың немесе заңды тұлғаның басшысын тағайындау туралы құжаттың көшірмесі (заңды тұлғалар үшін);
-банк деректемелері;
3) сынақ объектісінің меншік иесі немесе иеленушісі бекіткен қағаз тасымалдауышта Қағидалардың 2-қосымшасына сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық;
4) меншік иесі немесе иеленушісі бекіткен компакт-дискіде ақпараттандыру объектісіне арналған техникалық тапсырма немесе техникалық ерекшелігі не ақпараттық-коммуникациялық көрсетілетін қызметті (сервистік бағдарламалық өнім үшін) жобалауға арналған тапсырма;
5) сәтті компиляция үшін қажетті сынақ объектілері компоненттерінің және кітапханалары мен файлдары бар модульдерінің бастапқы кодтары компакт-дискіде (қажет болған кезде), бұл ретте бастапқы код және сынақтар жүргізу туралы өтінімге қоса беріліп отырған құжаттар жеке ақпарат тасымалдауышта қабылданады;
6) Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің бекітілген ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының көшірмелері электрондық түрде компакт-дискіде (қажет болған кезде);
7) иеленуші (меншік иесі) сынақтар жүргізу туралы өтінім беруге өтініш берушіге өкілеттік беретін құжат (қажет болған кезде).

7. Ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні алу тәртібі:
Ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні (бұдан әрі – сынақтар актісін) уәкілетті орган Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Акпараттық қауіпсіздік комитеті (бұдан әрі – ҚР ЦДИАӨМ АҚК) береді.
Сынақтар актісіне енгізілетін сынақтың жеке түрі бойынша хаттаманың жарамдылық мерзімі хаттама берілген күнінен бастап бір жылдан аспайды.
Сынақтар актісін алу үшін өтініш беруші сынақ объектісінің иеленушісі (меншік иесі) бекіткен қағаз тасымалдауышта оң нәтижесімен хаттамалардың толық жинағымен және сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықты қоса бере отырып  уәкілетті органға өтініш жібереді.
Уәкілетті орган он жұмыс күні ішінде сынақтар актісін беру туралы шешім қабылдайды.
Оң нәтижесімен сынақтар актісінің жарамдылық мерзімі "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектісін өнеркәсіптік пайдалану мерзімімен немесе сынақ объектісін жаңғыртуды бастау сәтіне дейін шектеледі.

8. Сынақ объектісінің бастапқы коды болмаған немесе сынақтардың басқа түр(лер)ін жүргізу мүмкін болмаған жағдайда, сынақ объектісінің бастапқы кодына талдау немесе сынақтардың басқа түр(лер)ін жүргізудің міндетті еместігі туралы шешім өтінім берушінің сұрау салуы бойынша ҚР ЦДИАӨМ АҚК шешімімен белгіленеді.

9. Сынақ объектісінің басқа ақпараттандыру объектісімен интеграциялануы (қолданыстағы немесе жоспарлы) жағдайында, сынақтар сынақ объектісінің құрамына   қамтамасыз ететін компоненттер енгізу (интеграциялау модулі, ішкі интеграциялау жүйесі, интеграциялық шина немесе басқа) арқылы жүргізіледі (Қағидалардың
15-тармағы).

Кеңес алу үшін байланыстар
Сынақтар жүргізу мәселелері жөнінде «МТҚ» РМК байланысты тұлғаларымен  +7 (7172) 552988 телефоны бойынша хабарласуға болады,  e-mail synaq@sts.kz.