Мемлекеттік ақпараттық жүйелердің акпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесін бекіту туралы
Қазақстан Республикасы Үкіметінің 2008 жылғы 17 қаңтардағы № 24 Қаулысы
ҚР Үкіметінің 2009 жылғы 30 желтоқсандағы № 2280 Қаулысымен күші жойылды
«Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңының 5-бабына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:
1. Қоса беріліп отырған Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесі бекітілсін.
2. Осы қаулы қол қойылған күнінен бастап қолданысқа енгізіледі.
Қазақстан Республикасының Премьер-Министрі | К. Мәсімов |
Қазақстан Республикасы
Үкіметінің
2008 жылғы 17 қаңтардағы
№ 24 қаулысымен
бекітілген
Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік
талаптарына сәйкестігіне аттестаттау жүргізу
ережесі
1. Жалпы ережелер
1. Осы Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесі (бұдан әрі - Ереже) «Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңына сәйкес әзірленді және мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жөніндегі жұмыстарды ұйымдастырудың және жүргізудің тәртібін анықтайды.
2. Мемлекеттік ақпараттық жүйелерге қол жеткізу мемлекеттік ақпараттық жүйелерді иеленушілер әзірлейтін ережелермен анықталады.
3. Мемлекеттік ақпараттық жүйелерді ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау деп нәтижесінде мемлекеттік ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына сәйкестігіне құжатты түрде куәлік ету болып табылатын рәсім түсініледі.
Мемлекеттік ақпараттық жүйелерді аттестаттаудың мақсаты - оның толық, қарама-қарсы емес, техникалық дұрыс екендігін және сондықтан бағаланатын бір немесе бірнеше ақпараттық жүйелерге қойылатын талаптарды баяндау үшін жарамды екендігін көрсету.
4. Мемлекеттік ақпараттық жүйенің ақпараттық қауіпсіздіктің талаптарына сәйкестігі ақпаратты қорғауды ұйымдастыруға арналған шығындар мен ақпараттық ресурстардың меншік иесіне тигізуі мүмкін залал шамасының арақатынасын ескере отырып, аттестаттауды жүргізудің параметрлері мен әдістерін белгілейтін нормативтік құжаттардың талаптарына сәйкес жүргізіледі.
5. Мемлекеттік ақпараттық жүйелерді пайдалану және (немесе) мемлекеттік ақпараттық жүйені қабылдау ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау нәтижелері бойынша жүзеге асырылады.
6. Аттестаттау үдерістерін реттеуді, сондай-ақ оларды жүргізудің тәртібін ақпараттандыру саласындағы уәкілетті орган орындайды.
2. Аттестаттауды жүргізу тәртібі
7. Аттестаттауды жүргізудің мынадай тәртібі белгіленеді:
1) өтінім берушінің осы Ереженің 6-тармағында көрсетілген құжаттарды қоса бере отырып, осы Ережеге қосымшаға сәйкес нысан бойынша аттестаттауды жүргізуші ұйымға өтінім беруі;
2) аттестаттауды жүргізуші ұйымның алдын ала бағалауы және өтінім бойынша шешім қабылдауы;
3) аттестаттауды жүргізуші ұйымның аттестаттық тексеру жүргізуі;
4) шешім қабылдау және аттестатты беру (беруден бас тарту).
8. Өтінімге мынадай құжаттар қоса беріледі:
1) өтініш берушінің құрылтай құжаттары;
2) заңды тұлғаның мемлекеттік тіркелуі туралы куәлік;
3) ақпараттық жүйенің қауіпсіздігін қамтамасыз ету кезінде қолданылған құралдардың тізбесі;
4) Қазақстан Республикасының заңнамасына және ақпараттық жүйенің құрамына кіретін әрі сәйкестігін растауға жататын техникалық және бағдарламалық құралдардың ақпараттың қауіпсіздігі жөніндегі талаптарға сәйкестігіне сертификаттар;
5) ақпараттық қауіпсіздік бойынша нормативтік-техникалық құжаттардың тізбесі;
6) ұйымның - өтініш берушінің инспекторлық тексеру актісі (оны жүргізген жағдайда);
7) ақпараттық жүйенің оның құрауыштарымен өзара іс-қимылының бекітілген схемасы (жоспары);
8) ақпараттық жүйенің жобалау-техникалық құжаттамасы;
9) ақпараттық жүйені пайдалану құжаттамасы.
9. Егер өтініш және (немесе) өтінішке қоса беріліп отырған құжаттар Ереженің талаптарына сәйкес келмесе немесе өтінішке қоса беріліп отырған құжаттар толық көлемде ұсынылмаса, мұндай өтініш қайтарылу себептерін көрсете отырып, қайтарылуға тиіс.
3. Аттестаттық тексеру
10. Аттестаттық тексеру аттестаттауды жүргізуші ұйым әзірлеген және өтініш берушімен, сондай-ақ ақпараттандыру саласындағы, мемлекеттік құпияларды қорғау және ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті органдармен, ұлттық қауіпсіздік органдарымен келісілген әдістемелер мен сынақ бағдарламалары негізінде жүргізіледі.
11. Аттестатталатын ақпараттық жүйенің құрамына кіретін ақпаратты өңдеу мен қорғаудың техникалық және бағдарламалық құралдары үшін ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау қажет.
12. Сәйкестікті растау жөніндегі органның бұйрығымен аттестаттық тексеру жүргізуге арналған комиссия (бұдан әрі - Комиссия) құрылады.
13. Аттестаттауды жүргізуші ұйым қолданбалы бағдарламалық қамтамасыз етуді тексеру кезінде:
жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
оқиғаларды тіркеу жазбасын;
жүйелік журналдар деректерінің қорғалуын;
жұмыстың тоқтауын тіркеу жазбасын;
жүйеге қол жеткізуді басқаруды зерделейді.
14. Сәйкестікті растау жөніндегі орган дерекқорды тексеру кезінде:
жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
оқиғаларды тіркеу жазбасын;
жүйелік журналдар деректерінің қорғалуын;
әкімші мен оператордың жазбасын;
жұмыстың тоқтауын тіркеу жазбасын;
жүйеге қол жеткізуді басқаруды зерделейді.
15. Сәйкестікті растау жөніндегі орган ақпаратты қорғауға арналған арнайы бағдарламалық құралдарды тексеру кезінде:
жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
оқиғаларды тіркеу жазбасын;
жұмыстың тоқтауын тіркеу жазбасын;
аудит құралдарын қорғауды;
жүйеге қол жеткізуді басқаруды зерделейді.
16. Сәйкестікті растау жөніндегі орган операциялық жүйелерді тексеру кезінде:
жалпы қол жеткізумен ақпаратты қорғаудың әдістерін;
оқиғаларды тіркеу жазбасын;
әкімші мен оператордың жазбасын;
жұмыстың тоқтауын тіркеу жазбасын;
жүйеге қол жеткізуді басқаруды;
жүйені пайдаланудың мониторингін зерделейді.
17. Объектіні Комиссияның аттестаттық тексеру мерзімі аттестаттық тексеру орнына Комиссияның келген сәтінен бастап отыз күнтізбелік күн ішінде жүргізіледі.
18. Комиссия шешімінің негізінде сәйкестікті растау жөніндегі орган өтініш берушіге аттестаттық тексерудің қорытындылары туралы актіні береді.
19. Акт мемлекеттік ақпараттық жүйенің нақты жай-күйін, тұжырымдарды, ұсынымдарды және аттестатты беру мүмкіндігі (мүмкін еместігі) туралы қорытындыны көрсетумен екі данада (өтініш беруші мен аттестаттауды жүргізуші ұйым үшін бір-бірден) жасалады.
20. Аттестаттау нәтижелері бойынша Комиссияның оң шешімінен кейін сәйкестік аттестаты ресімделеді және өтініш берушіге беріледі.
21. Аттестаттауды жүргізуші ұйым берілген аттестаттардың тізілімін жүргізеді. Мемлекеттік ақпараттық жүйелер Қазақстан Республикасының ақпараттандыру туралы заңнамасында белгіленген тәртіппен электрондық ақпараттық ресурстар мен ақпараттық жүйелердің мемлекеттік тіркелімінде тіркеледі.
Мемлекеттік ақпараттық жүйелердің
ақпараттық қауіпсіздік талаптарына
сәйкестігіне аттестаттау
жүргізу ережесіне
қосымша
Кімге: _______________________________
(аттестаттау жөніндегі органның атауы)
Мемлекеттік ақпараттық жүйені аттестаттауды жүргізуге арналған
ӨТІНІШ
______________________________________________________
(өтініш берушінің атауы)
______________________________________________________
(ақпараттандыру объектісінің атауы немесе ЕТЖ)
ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттауды жүргізуді сұрайды.
1. Мемлекеттік ақпараттық жүйе бойынша бастапқы деректері ______ бетте қоса беріліп отыр.
2. Өтініш беруші аттестаттауды жүргізу үшін қажетті құжаттарды беруге және жағдайлар жасауға дайын.
3. Өтініш беруші шарттық негізде ақпараттық жүйені аттестаттау жөніндегі барлық жұмыстар мен қызметтердің түрлері бойынша шығыстарды төлеуге келіседі.
М.О.
______________________________________ ____________
(Өтініш беруші орган басшысының Т.А.Ә.) (қолы, күні)