Ақпараттандыру объектілеріне олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу

«Сервистік бағдарламалық өнімді, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын және ақпараттық жүйесін, ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйені, мемлекеттік органның ақпараттық жүйесімен интеграцияланатын немесе мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйені ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау» мемлекеттік қызметі (бұдан әрі-АҚ бойынша сынақ) «Ақпараттандыру туралы» 2015 жылғы
24 қарашадағы Қазақстан Республикасы заңының (бұдан әрі-Заң) 49-бабы
2-тармағының негізінде көрсетіледі.
Заңның 14-бабы 1-тармағының 7) тармақшасына сәйкес АҚ бойынша сынақты Мемлекеттік техникалық қызмет жүзеге асырады.

Қолданылатын нормативтік құқықтық актілер мен стандарттар

1. «Ақпараттандыру туралы» 2015 жылғы  24 қарашадағы № 418-V  Қазақстан Республикасының заңы;
2. «Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы» Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 26 қаңтардағы бұйрығы.

Қағидалар АҚ бойынша сынақтар жүргізу тәртібін белгілейді.
Әдістеме АҚ бойынша сынақтар жұмыстарының құрамы мен мазмұнын белгілейді.
1. ҚР СТ ИСО/МЭК 27001-2008 Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар;
2. ҚР СТ ИСО/МЭК 27002-2009 Қорғауды қамтамасыз ету әдістері. Ақпараттық қорғауды басқару жөніндегі қағидалар жиынтығы;
3. ҚР СТ  ИСО/МЭК 15408-2-2002 «Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары. 2-бөлім. Қауіпсіздікке қойылатын функционалдық талаптар»;
4. ҚР СТ ИСО/МЭК 13335-5-2008 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару. 5-бөлім. Желіні қорғауды басқару жөніндегі басшылық».

Көрсетілетін қызметтің құны
 
АҚ бойынша сынақтар жүргізу қызметінің құнын уәкілетті орган монополияға қарсы органмен келісім бойынша белгілейді және қазіргі уақытта Қазақстан Республикасы Ұлттық экономика министрлігі Табиғи монополияларды реттеу және бәсекелестікті қорғау комитетінің Қорытындысымен айқындалады (АКМ мекенжайына 2016 жылғы 17 тамыздағы № 34-5-23/46, 1 – ҚБПҮ хат).

1) бір мегабайттың бастапқы кодын талдау – 2 934 (екі мың тоғыз жүз отыз төрт) теңге;
2) бір ақпараттандыру объектісінің қауіпсіздік және қорғалу функцияларын сынау – 423 524 ( төрт жүз жиырма үш мың бес жүз жиырма төрт) теңге;
3) ақпараттандыру объектісін пайдаланудың 1 нұсқасына арналған жүктемелік сынау – 328 371 (үш жүз жиырма сегіз мың үш жүз жетпіс бір) теңге;
4) 1 кіші желісінің телекоммуникациялар желісі мен серверлік жабдығын тексеру – 748 164 (жеті жүз қырық сегіз мың бір жүз алпыс төрт) теңге. 


Жұмыстардың құрамы

АҚ бойынша сынақтар мына жұмыстардан тұрады:
1) Бастапқы кодтарды талдау – бастапқы кодты бағдарламалық құралдарды пайдалана отырып және қолман талдау арқылы бағдарламалық қамтылымға «кемшіліктердің» (бағдарламалау қателерінің, осалдықтардың, құжатталмаған мүмкіндіктердің, бағдарламалық белгілердің) орын алуына қатысты статистикалық және қарқынды талдау жүргізуді қамтиды; 
2) Ақпараттық қауіпсіздік функцияларын сынау – жүйелік және қолданбалы БҚ қауіпсіздік функциялары (функцияларының құрамы мен мазмұны (Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне
1-қосымшада беріледі) мен күйге келтірулерінің стандарттардың талаптарына сәйкестігін тексеруді, сондай-ақ АҚ техникалық тәуекелдерін айқындауды қамтиды;
3) Жүктемелік сынау – сынақтан өткізу объектісінің бағдарламалық құралдардың көмегімен құрылатын нақты пайдаланушылардың жұмысына сәйкес келетін жүктеме кезіндегі қолжетімділігін, тұтастығы мен құпиялылығын бағалауды қамтиды;
4) Телекоммуникациялар желісін және серверлік жабдықты тексеру - телекоммуникациялар желісінің және серверлік жабдықтың қорғау функцияларының (Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне 2-қосымшада беріледі), архитектурасының, локальдық желілер мен телекоммуникациялар схемаларының техникалық құжаттаманың талаптарына және стандарттарға сәйкестігін тексеруді, сондай-ақ телекоммуникациялық және серверлік жабдықтың БҚ осалдықтарын айқындауды (бағдарламалық құралдарды пайдалана отырып) қамтиды;
5) Хаттамалар қалыптастыру (әрбір жұмыс түрінің қорытындылары бойынша);
6) Сынақтан өткізу актісін қалыптастыру (барлық жұмыс түрлерінің қорытындылары бойынша).

АҚ бойынша сынақтан өткізу объектілерінің тізбесі
        «Ақпараттандыру туралы» 2015 жылғы  24 қарашадағы Қазақстан Республикасының заңы 49-бабының 2-тармағына сәйкес АҚ бойынша сынау міндетті болып табылады және ақпараттандырудың келесі объектілеріне жүргізіледі:
1) сервистік бағдарламалық өнім;
2) «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы;
3) мемлекеттік органның (бұдан әрі-МО) интернет-ресурсы;
4) МО ақпараттық жүйесі;
5) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйе;
6) МО ақпараттық жүйесімен интеграцияланатын мемлекеттік емес ақпараттық жүйе;
7) мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға арналған мемлекеттік емес ақпараттық жүйе.

Өтінімге қоса берілетін құжаттар тізілімі
 (Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларының 9-тармағы – (бұдан әрі-Қағидалар)


 Сынақ жүргізу үшін өтініш беруші МТҚ-ға келесі құжаттарды қоса бере     отырып, Қағидаларға 1-қосымшаға сәйкес нысан бойынша АҚ қатысты сынау жүргізуге өтінім береді:
1) жеке басты куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін);
2) өтініш берушінің қолымен және мөрімен расталған құрылтай құжаттардың және заңды тұлғаны мемлекеттік тіркеу туралы анықтаманың немесе куәліктің көшірмелері (заңды тұлғалар үшін);
3) Қағидаларға 2-қосымшаға сәйкес нысан бойынша сынақтан өткізу объектісінің (бұдан әрі- СО) сипаттамалары туралы сауалнама-сұрақтар;
4) Қағидаларға 3-қосымшаға сәйкес Техникалық құжаттама тізбесі бойынша техникалық құжаттама;
5) сынақтан өткізу объектісін сәтті орнату үшін қажетті СО кітапханалары мен файлдары бар компоненттерінің және модульдерінің компакт-дискідегі бастапқы кодтары.