Ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу

“Электрондық үкіметтің» ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу

«Электрондық үкіметтің” ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу» қызметін (бұдан әрі- Сынақтар) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының (бұдан әрі -Заң) 14-бабы 1-тармағының 7) тармақшасы негізінде ақпараттандыру саласында мемлекеттік монополияға жатқызылған қызмет түрі ретінде ҚР ҰҚК "Мемлекеттік техникалық қызмет" РМК (бұдан әрі – «МТҚ» РМК) көрсетеді.

Объектілерді АҚ талаптарына сәйкестікке сынақтар (бұдан әрі – сынақтар) өткізу объектілерінің техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау бойынша жұмыстарды қамтиды және сынақтар объектісін пайдаланудың штаттық ортасында жүргізіледі.

1. Сынақтар міндетті болып табылатын және «МТҚ» РМК жүргізетін "электрондық үкіметтің" ақпараттандыру объектілерінің тізбесі:
«Ақпараттандыру туралы» 2015 жылғы  24 қарашадағы Қазақстан Республикасының Заңы 49-бабының 2-тармағына сәйкес сынақтар міндетті болып табылады және ақпараттандырудың келесі объектілеріне жүргізіледі:
1) сервистік бағдарламалық өнім;
2)«электрондық үкіметтің» ақпараттық-коммуникациялық платформасы;
3) мемлекеттік органның (бұдан әрі – МО ) интернет-ресурсы;
4) МО ақпараттық жүйесі;
5) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған МО ақпараттық жүйесі;
6) мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтерді көрсетуге арналған мемлекеттік емес ақпараттық жүйе.

Ескертпе: Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне ("электрондық үкіметтің" ақпараттандыру объектілері болып табылатындарды қоспағанда) жатқызылған мемлекеттік емес ақпараттық жүйенің және «электрондық үкіметтің» ақпараттандыру объектілеріне жатпайтын басқа да ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сейкестігіне сынақтарды Заңға сәйкес және Қазақстан Республикасының техникалық реттеу саласындағы заңнамасына сәйкес аккредиттелген сынақ зертханалары жүргізеді.

2. Қолданылатын нормативтік құқықтық актілер мен стандарттар
1. «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы № 418-V Қазақстан Республикасының Заңы (http://adilet.zan.kz/kaz/docs/Z1500000418);
2. «Ақпаратқа қол жеткізу туралы» 2015 жылғы 16 қарашадағы 
№ 401-V ҚРЗ Қазақстан Республикасының Заңы (http://adilet.zan.kz/kaz/docs/Z1500000401 );
3.«Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысы (http://adilet.zan.kz/kaz/docs/P1600000832);
4. «Электрондық үкіметтің» ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы» Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығы (http://adilet.zan.kz/kaz/docs/V1900018795); 
"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі  Сынақтар жұмыстарының құрамы мен мазмұнын белгілейді.
"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары  Сынақтар жүргізу тәртібін белгілейді.

5. «Ақпараттандыру объектілерін сыныптау қағидаларын және ақпараттандыру объектілерінің сыныптауышын бекіту туралы» Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 
28 қаңтардағы № 135 бұйрығы (http://adilet.zan.kz/kaz/docs/V1600013349);
6. «Электрондық үкіметтің» ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздігін қамтамасыз етуге мониторинг жүргізу қағидаларын бекіту туралы» Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 28 наурыздағы № 52/НҚ бұйрығы (http://adilet.zan.kz/kaz/docs/V1800017019);
7. «Электрондық үкіметтің» ақпараттандыру объектілерін интеграциялау қағидаларын бекіту туралы» Қазақстан Республикасы Ақпарат және коммуникациялар министрінің м.а. 2018 жылғы 29 наурыздағы № 123 бұйрығы (http://adilet.zan.kz/kaz/docs/V1800016777);
8. ҚР СТ ИСО/МЭК 15408-2-2017 «Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары. 2-бөлім. Қауіпсіздікке қойылатын функционалдық талаптар»;
9. ҚР СТ ИСО/МЭК 13335-5-2008 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару. 5-бөлім. Желіні қорғауды басқару жөніндегі басшылық»;
10. ҚР СТ ISO/IEC 27001-2015 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері»;
11. ҚР СТ ISO/IEC 27002-2015 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару құралдары туралы ережелер жиынтығы».

3.Сынақтар жүргізу кезіндегі жұмыстардың құрамы (Қағидалардың 2-тармағына сәйкес сервистік бағдарламалық өнімді қоспағанда)
Сынақтар мына жұмыстардан тұрады (Қағидалардың 7-тармағы):
1) Бастапқы кодтарды талдау – бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып, бағдарламалық қамтылымды «кемшіліктердің» болуына қарқынды және статикалық талдау жүргізуді қамтиды;
2) Ақпараттық қауіпсіздік функцияларын сынау - сервердің және виртуалды ресурстың  қауіпсіздік функцияларын (функциялардың құрамы мен мазмұны Әдістемеге 1-қосымшада беріледі)  техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін, соның ішінде бағдарламалық құралды пайдалана отырып (қажет болған кезде) тексеруді қамтиді;
3) Жүктемелік сынау – сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауды бағалауды қамтиді, сынақ объектісінің нақты жүктемелік қабілеттілігінің параметрлері айқындалады, дербес деректер жалған деректермен алмастырылған сынақ объектісін штаттық пайдалану ортасында автоматтандырылған сценарийлер негізінде мамандандырылған бағдарламалық құралды пайдалана отырып жүргізіледі;
4) Желілік инфрақұрылымды зерттеп-қарау -  желілік инфрақұрылымның қорғалу функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігіне тексеруді қамтиді, бағдарламалық қамтылымның осалдықтары тұрғысынан сканерлеу, өтініш берушінің желілік инфрақұрлымын, соның ішінде бағдарламалық құралдарды пайдалана отырып қажет болған кезде зерттеп-қарау (функциялардың құрамы мен мазмұны Әдістемеге 2-қосымшада беріледі);
5) Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау - ақпараттық қауіпсіздікті қамтамасыз ету процестерінің ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалауды (функциялардың құрамы мен мазмұны Әдістемеге 3-қосымшада беріледі), бағдарламалық құралдармен серверлерді, виртуалды ресурстар мен желілік жабдықты белгілі осалдықтар тұрғысынан сканерлеуді, оларды жою жөнінде ұсынымдар (қажет болған кезде) қалыптастыруды қамтиді.
Сынақтардың нәтижелері бойынша жұмыстардың әрбір түрі бойынша хаттама қалыптастырылады.

4. Сервистік бағдарламалық өнімді сынауға:
1) бастапқы кодтарын талдау;
2) ақпараттық қауіпсіздік функцияларын сынау;
3) жүктемелік сынау кіреді.

5. Көрсетілетін қызметтің құны
«Электрондық үкіметтің» ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу» қызметінің бағасы «Ақпараттандыру, ақпараттық қауіпсіздікті қамтамасыз ету салаларындағы мемлекеттік монополия субъектісі іске асыратын қызметтердің бағаларын бекіту туралы» Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2018 жылғы 23 қазандағы № 86/қе бұйрығымен белгіленеді және мынаны құрайды:

Бастапқы кодтарды талдау

1 Мб үшін

9 654 теңге

Ақпараттық қауіпсіздік функцияларын сынау

1 сынау объектісіне (жүйе/ішкі жүйе)

840 255 теңге

Жүктемелік сынау

Пайдаланушыларды қосу әдісінің (хаттамасының) бір нұсқасына және интеграциялық өзара іс-қимыл әдісінің (хаттамасының) бір нұсқасына

528 371 теңге

Желілік инфрақұрылымды зерттеп-қарау

1 телекоммуникация желісіне (кіші желісіне)

924 405 теңге

Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау

1 сынау объектісіне (жүйе/ішкі жүйе)

845 855 теңге       

Сынақ жүргізу қызметінің баға ұсынысын (құның есептеу) алу үшін өтініш беруші «МТҚ» РМК-ның мекенжайына сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Ереженің 29-тармағына сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықты қоса бере отырып ресми сұрау салуды жібереді.
Егер сынақ жүргізуге өтінім берген кезде өтініш берушіге Сынақ жүргізу қызметінің баға ұсынысын (құның есептеуді) алу талап етілетін болса, өтініш беруші «МТҚ» РМК-ның мекенжайына бұл туралы ресми сұрау салу жіберуі қажет.

6. Cынақ жүргізу тәртібі

 

1-ші қадам бойынша берілетін өтінімге қоса берілетін құжаттардың тізбесі

Сынақтар жүргізу үшін өтініш беруші мынадай құжаттарды ұсына отырып, мемлекеттік техникалық қызметке қағаз тасымалдауышта ілеспе хатпен Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді (Қағидалардың 15-тармағы):

1) шарттарға қол қоюға өкілеттік берілген тұлғаның атына сенімхаттың немесе заңды тұлғаның басшысын тағайындау туралы құжаттың көшірмесі (заңды тұлғалар үшін);

2) сынақ объектісінің меншік иесі немесе иеленушісі бекіткен қағаз тасымалдауышта Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық;

3) меншік иесі немесе иеленушісі бекіткен компакт-дискіде ақпараттандыру объектісіне арналған техникалық тапсырма немесе техникалық ерекшелігі не ақпараттық-коммуникациялық көрсетілетін қызметті (сервистік бағдарламалық өнім үшін) жобалауға арналған тапсырма;

4) сәтті компиляция үшін қажетті сынақ объектілері компоненттерінің және кітапханалары мен файлдары бар модульдерінің бастапқы кодтары компакт-дискіде (қажет болған кезде);

5) Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының тізбесінің бекітілген көшірмелері электрондық түрде компакт-дискіде (қажет болған кезде);

6) иеленуші (меншік иесі) сынақтар жүргізу туралы өтінім беруге өтініш берушіге өкілеттік беретін құжат (қажет болған кезде).

7. Ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні алу тәртібі:

Қағидаларға 4-қосымшаға сәйкес нысан бойынша ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні (бұдан әрі – сынақтар актісін) Комитет (бұдан әрі – көрсетілетін қызметті беруші, уәкілетті орган) береді. 

Сынақтар актісін алу үшін өтініш беруші (бұдан әрі – көрсетілетін қызметті алушы, өтінім беруші) көрсетілетін қызметті берушіге қағаз нысанда не "электрондық үкіметтің" веб-порталы (бұдан әрі – портал) арқылы сынақтар объектісінің иеленушісі немесе меншік иесі бекіткен Қағидаларға 2-қосымшаға сәйкес сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықты (бұдан әрі – сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулық) қоса бере отырып, Қағидалардың 7-11-тармақтарында айқындалған хаттамалардың толық жинағымен Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш жібереді.

Бұл ретте сынақ актісіне енгізу үшін сынақтың жеке түрі бойынша хаттаманың қолдану мерзімі хаттама берілген күннен бастап бір жылдан аспайды.

Сынақ хаттамаларының оң нәтижелері кезінде өтініш тіркелген күнінен бастап он жұмыс күні ішінде қаралады. Қағидалардың 7-11-тармақтарында айқындалған сынақтар хаттамаларының толық жиынтығы негізінде көрсетілетін қызметті беруші жеті жұмыс күні ішінде сынақ хаттамаларын зерделейді және көрсетілетін қызметті берушіге ұсынылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық деректерін, сынақ хаттамаларына қоса берілген сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректерімен салыстырып, айырмашылықтарын белгілейді.

Сынақ хаттамаларын зерделеу және сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректеріндегі айырмашылықты белгілеу қорытындылары бойынша көрсетілетін қызметті беруші бір жұмыс күні ішінде мынадай:

1) сынақтар актісін беру туралы;

2) сынақтар актісін беруден бас тарту туралы шешімдердің бірін қабылдайды.

Сынақтар актісін беру туралы оң шешім қабылданған жағдайда:

өтініш қағаз нысанында берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды және тиісті мәліметтерді сынақтар актілерінің тізіліміне енгізеді;

портал арқылы өтініш берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақ актісінің ажырамас бөлігі болып табылатын сынақ объектісінің сипаттамасы туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін көрсетілетін қызметті берушінің уәкілетті адамы электрондық цифрлық қолтаңбасымен (бұдан әрі – ЭЦҚ) қолы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.

Сынақтар актісін беруден бас тарту туралы шешім қабылданған жағдайда:

өтініш қағаз нысанында берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісін беруден бас тарту туралы дәлелді жауапты қағаз нысанында жолдайды;

өтініш портал арқылы берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісін беруден бас тарту туралы дәлелді жауапты көрсетілетін қызметті берушінің уәкілетті адамы электрондық цифрлық қолтаңбасымен (бұдан әрі – ЭЦҚ) қолы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.

8. Сынақ объектісінің бастапқы коды болмаған немесе сынақтардың басқа түр(лер)ін жүргізу мүмкін болмаған жағдайда, сынақ объектісінің бастапқы кодына талдау немесе сынақтардың басқа түр(лер)ін жүргізудің міндетті еместігі туралы шешім өтінім берушінің сұрау салуы бойынша ҚР ЦДИАӨМ АҚК шешімімен белгіленеді.

9. Сынақ объектісінің басқа ақпараттандыру объектісімен интеграциялануы (қолданыстағы немесе жоспарлы) жағдайында, сынақтар сынақ объектісінің құрамына   қамтамасыз ететін компоненттер енгізу (интеграциялау модулі, ішкі интеграциялау жүйесі, интеграциялық шина немесе басқа) арқылы жүргізіледі (Қағидалардың 14-тармағы).

Кеңес алу үшін байланыстар

Сынақтар жүргізу мәселелері жөнінде «МТҚ» РМК байланысты тұлғаларымен  +7 (7172) 552988 телефоны бойынша хабарласуға болады,  e-mail synaq@sts.kz.