Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережесін бекіту туралы
Қазақстан Республикасы Үкіметінің 2009 жылғы 30 желтоқсандағы № 2280 Қаулысы
Осы редакция 2011 жылғы 3 қарашада енгізілген өзгерістеріне дейін қолданылды
«Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңының 5-бабына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:
1. Қоса беріліп отырған Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережесі бекітілсін.
2. «Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесін бекіту туралы» Қазақстан Республикасы Үкіметінің 2008 жылғы 17 қаңтардағы № 24 қаулысының (Қазақстан Республикасының ПҮАЖ-ы, 2008 ж., № 1, 13-құжат) күші жойылды деп танылсын.
3. Осы қаулы алғаш рет ресми жарияланған күнінен бастап қолданысқа енгізіледі.
Қазақстан Республикасының Премьер-Министрі | К. Мәсімов |
Қазақстан Республикасы
Үкіметінің
2009 жылғы 30 желтоқсандағы
№ 2280 қаулысымен
бекітілген
Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық
жүйелермен интеграцияланатын мемлекеттік емес ақпараттық
жүйелерді олардың ақпараттық қауіпсіздік талаптарына және
Қазақстан Республикасының аумағында қабылданған
стандарттарға сәйкестігіне аттестаттау жүргізу ережесі
1. Жалпы ережелер мен негізгі ұғымдар
1. Осы Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережесі (бұдан әрі - Ереже) «Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңына сәйкес әзірленді және мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау тәртібін анықтайды.
2. Ережеде пайдаланылатын негізгі ұғымдар:
1) аттестаттау комиссиясы (бұдан әрі - Комиссия) - аттестаттық тексеру нәтижелерін қарайтын және тиісті ұсынымдарды әзірлейтін, уәкілетті орган жанындағы консультациялық-кеңес беру органы;
2) ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігі аттестаты (бұдан әрі - аттестат) - ақпараттық жүйенің (бұдан әрі - АЖ) ақпараттық қауіпсіздік (бұдан әрі - АҚ) талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігі фактісін растайтын құжат;
3) уәкілетті орган - ақпараттандыру саласындағы уәкілетті орган;
4) уәкілетті ұйым - ақпараттандыру саласындағы уәкілетті ұйым;
5) өтініш беруші - АЖ-нің АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізуге өтініш берген жеке немесе заңды тұлға.
3. АЖ-ні АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау деп АЖ қорғалуының нақты жағдайын және оның АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігін анықтау жөніндегі ұйымдастыру-техникалық іс-шаралар кешені түсіндіріледі.
4. Мемлекеттік АЖ-ні, сондай-ақ олармен интеграцияланатын барлық мемлекеттік емес АЖ-ні пайдалану мен енгізуге оларды АҚ талаптары мен Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттағаннан кейін жол беріледі.
5. АЖ-ні АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттауды АЖ аттестаттық тексеру негізінде уәкілетті орган жүзеге асырады.
6. АЖ-ні АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттық тексеруді уәкілетті ұйым жүргізеді.
7. Аттестаттық тексеру актісін (бұдан әрі - акт) қарау үшін Комиссия құрылады, оның ережесі мен құрамы уәкілетті органның бұйрығымен бекітіледі.
8. Комиссия құрамына мыналардың:
1) Қазақстан Республикасы ұлттық қауіпсіздік органдарының;
2) мемлекеттік құпияларды қорғау мен ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органның;
3) уәкілетті органның өкілдері кіреді.
9. Берілген аттестаттар туралы мәліметтерді уәкілетті орган АЖ иесі мен әзірлеушісі, АЖ атауы, актінің және аттестаттың деректемелері туралы ақпаратты қамтитын аттестаттар тізіліміне енгізеді.
2. Аттестаттау жүргізу тәртібі
10. Аттестаттау мынадай тәртіппен жүзеге асырылады:
1) өтініш беруші осы Ереженің 1-қосымшасына сәйкес нысан бойынша мынадай құжаттарды ұсынумен уәкілетті органға өтінім береді:
жеке басын куәландыратын құжаттың көшірмесі (жеке тұлғалар үшін);
құрылтайшы құжаттардың және заңды тұлғаны мемлекеттік тіркеу туралы куәліктің көшірмелері (заңды тұлғалар үшін);
Қазақстан Республикасының заңнамасында белгіленген тәртіппен сәйкестігін растау жөніндегі органдар берген аттестатталатын АЖ құрамына кіретін техникалық және бағдарламалық құралдардың АҚ талаптарына сәйкестік сертификаттары;
аттестатталатын АЖ-нін, сондай-ақ осы Ереженің 2-қосымшасына сәйкес уәкілетті орган бекіткен құрамда олардың интеграциялануы бөлігінде интеграцияланатын АЖ-нің АҚ бойынша нормативтік-техникалық құжаттары;
сериялық және түгендеу нөмірлерін көрсетумен бағдарламалық және техникалық құралдардың, оның ішінде АҚ-ны қамтамасыз ету кезінде пайдаланылатын құралдардың тізбесі;
өтініш беруші бекіткен АЖ құрамдас бөліктерінің, сондай-ақ интеграцияланатын АЖ құрамдас бөліктерінің өзара іс-қимылының функционалдық схемасы (жоспары);
2) уәкілетті орган өтінімді алған сәттен бастап үш жұмыс күні ішінде өтінімнің және өтінімге қоса берілетін құжаттардың осы Ережеде белгіленген нысан мен жинақтылық талаптарына сәйкестігіне тексеруді жүзеге асырады;
3) өтінім мен қоса берілетін құжаттар осы Ережеде белгіленген нысан мен жинақтылық талаптарына сәйкес келген жағдайда, уәкілетті орган осы Ереженің 10-тармағының 2) тармақшасында белгіленген мерзімде қоса берілетін құжаттармен бірге өтінімді уәкілетті ұйымға жібереді, ал керісінше жағдайда өтінім қайтару себептерін көрсетумен өтініш берушіге қайтарылады;
4) уәкілетті ұйым өтінімнің негізінде және оған қоса берілетін құжаттарды ескере отырып, АЖ аттестаттық тексеруді жүргізеді. Аттестаттық тексеру аттестатталатын АЖ-де қолданылған ақпараттық технологияларды ескере отырып, тізбесін уәкілетті ұйым анықтайтын Қазақстан Республикасының аумағында қабылданған ақпараттық қауіпсіздік саласындағы нормативтік құқықтық актілер мен стандарттарға сәйкес жүргізіледі. Аттестаттық тексеруді жүргізу жөніндегі жұмыстардың құны Қазақстан Республикасының қолданыстағы заңнамасына сәйкес анықталады;
5) аттестаттық тексерудің мерзімі қоса берілетін құжаттармен бірге өтінім түскен сәттен бастап бір айдан аспауы тиіс. Егер аттестаттық тексеруді белгіленген мерзімде жүргізу мүмкін болмаса, уәкілетті ұйым белгіленген мерзімді сақтамауының себебін мазмұндаумен аттестаттық тексерудің мерзімін ұзарту туралы өтінішпен қолдау хатпен уәкілетті органға жүгінеді. Уәкілетті орган аттестаттық тексеру мерзімін екі айға дейінгі мерзімге ұзарту туралы шешім қабылдауы мүмкін;
6) аттестаттық тексерудің нәтижелері бойынша уәкілетті ұйым уәкілетті органға берілетін актіні жасайды. Акт төрт данада (Комиссия, мемлекеттік құпияларды қорғау жөніндегі уәкілетті орган, ұлттық қауіпсіздік органдары және өтініш беруші үшін бір-бірден) жасалады және АЖ қорғалуының нақты жай-күйі туралы мәліметтерді қамтиды;
7) уәкілетті орган актіні алған сәттен бастап он жұмыс күні ішінде Комиссия шақырады және актіні Комиссияның қарауына береді;
8) Комиссия актінің негізінде хаттама түрінде ресімделетін тиісті ұсынымдарды әзірлейді. Комиссия осы актіні қарау кезінде АЖ-нің функционалдық күрделілік деңгейін және оның арналуын, өңделетін АЖ ақпаратының сипатын, ақпараттың құпиялылығын, АЖ-ге қол жеткізу санатын, АЖ-гі деректерді өңдеу режимін, ақпараттық қауіпсіздік бойынша нормативтік-техникалық құжаттаманың жинақтығын және оның талаптарының сақталуын, қауіпсіздіктің нақты қауіп-қатерін бағалауды (қауіп-қатердің және осалдылығының әлеуетті көздері) ескереді;
9) Комиссия хаттамасының негізінде және актіні ескере отырып, уәкілетті орган бес жұмыс күні ішінде аттестатты беру немесе беруден бас тарту туралы шешім қабылдайды;
10) оң шешім қабылданған жағдайда уәкілетті орган осы Ереженің 10-тармағының 9) тармақшасында белгіленген мерзімде осы Ереженің 3-қосымшасына сәйкес нысан бойынша аттестат береді және аттестаттардың тізіліміне тиісті мәліметтерді енгізеді;
11) уәкілетті орган аттестатты беруден бас тартқан жағдайда осы Ереженің 10-тармағының 9) тармақшасында белгіленген мерзімде бас тартудың себептерін көрсетумен, өтініш берушіге тиісті хабарламаны жібереді.
11. Аттестат жүйенің функционалдығы шарттарының өзгермеуін, ақпараттың қауіпсіздігін анықтайтын, қорғалатын ақпаратты өңдеуді қамтамасыз ететін аппараттық-бағдарламалық кешенді және ақпараттық технологияларды (техникалық құралдардың құрамы мен құрылымы, орналастыру шарттары, пайдаланылатын бағдарламалық қамтамасыз ету, ақпаратты өңдеудің режимі, қорғау құралдары мен шаралары) ескере отырып, өтініш берушіге 3 жыл мерзімге беріледі.
12. Ақпаратты өңдеудің шарттары мен технологиялары өзгерген жағдайда аттестатталған АЖ иеленушілері осындай өзгерістер болған сәттен бастап бес жұмыс күні ішінде болған өзгерістердің сипаттамасын коса берумен хабарламаны уәкілетті органға жібереді.
13. Уәкілетті ұйым уәкілетті органнан хабарламаны алған сәттен бастап он жұмыс күні ішінде АЖ-ні қосымша тексеруді жүргізеді. АЖ қорғалу деңгейін бұзуы мүмкін өзгерістер анықталған жағдайда, уәкілетті ұйым АЖ-ні қайта аттестаттау қажеттігі туралы хабарламаны уәкілетті органға жібереді, мұндай өзгерістер болмаған жағдайда уәкілетті ұйым уәкілетті органға тиісті хабарламаны жібереді.
14. Уәкілетті орган уәкілетті ұйымнан хабарламаны алған сәттен бастап үш жұмыс күні ішінде АЖ иеленушілеріне АЖ-ні қайта аттестаттау қажеттігі (қажеттігінің жоқтығы) туралы хабарлайды. АЖ-ні қайта аттестаттау осы Ережеде аттестаттауды жүргізу үшін белгіленген тәртіппен жүзеге асырылады.
15. Аттестатталған АЖ иеленушісі аттестатты жоғалтқан жағдайда жоғалтқан сәттен бастап үш жұмыс күні ішінде уәкілетті органға жоғалту себептерін көрсетумен оның жоғалғаны туралы хабарламаны жібереді. Уәкілетті орган хабарламаны алған сәттен бастап бес жұмыс күні ішінде аттестаттың телнұсқасын береді.
Мемлекеттік ақпараттық жүйелерді
және мемлекеттік ақпараттық
жүйелермен интеграцияланатын
мемлекеттік емес ақпараттық жүйелерді
олардың ақпараттық қауіпсіздік
талаптарына және Қазақстан
Республикасының аумағында
қабылданған стандарттарға сәйкестігіне
аттестаттау жүргізу ережесіне
1-қосымша
Кімге______________________________________
(аттестаттау жөніндегі органның атауы)
Мемлекеттік (мемлекеттік емес) ақпараттық жүйеге аттестаттау жүргізуге
ӨТІНІШ
_______________________________________________________________________________________________________________
________________________________________________________________________________________________________________
(өтініш берушінің атауы, өтініш берушінің Т.А.Ә.)
________________________________________________________________________________________________________________
________________________________________________________________________________________________________________
(ақпараттық жүйенің атауы)
ақпараттық қауіпсіздік жөніндегі талаптарға және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттауды жүргізуді сұрайды.
1. Мемлекеттік (мемлекеттік емес) ақпараттық жүйе бойынша бастапқы деректер ___________ парақта қоса беріліп отыр.
2. Өтініш беруші қажетті құжаттарды ұсынуға және аттестаттауды жүргізу үшін жағдай жасауға дайын.
__________________________
(қолы, күні)
М.О.
Мемлекеттік ақпараттық жүйелерді
және мемлекеттік ақпараттық
жүйелермен интеграцияланатын
мемлекеттік емес ақпараттық жүйелерді
олардың ақпараттық қауіпсіздік
талаптарына және Қазақстан
Республикасының аумағында
қабылданған стандарттарға сәйкестігіне
аттестаттау жүргізу ережесіне
2-қосымша
Ақпараттық қауіпсіздік бойынша нормативтік-техникалық
құжаттардың
ТІЗБЕСІ
1. Өтініш берушінің ақпараттық қауіпсіздік саясаты.
2. Есептеу техникасы құралдарын паспорттандыру және ақпараттық ресурстарды пайдалану ережесі.
3. Парольдік қорғау туралы нұсқаулық.
4. Штаттан тыс (дағдарыстық) жағдайларда пайдаланушылардың іс-қимыл тәртібі туралы нұсқаулық.
5. Пайдаланушының компьютерлік жабдықтар мен бағдарламалық қамтамасыз етуді пайдалану жөніндегі нұсқаулығы.
6. Вирусқа қарсы қорғауды ұйымдастыру жөніндегі нұсқаулық.
7. Ақпаратты резервтік көшіру туралы нұсқаулық.
8. Сервер әкімшісінің функциялары мен өкілеттіктерін бекіту жөніндегі нұсқаулық.
9. Пайдаланушылар мен әкімшілердің серверлік үй-жайларға кіру ережесі.
10. Корпоративтік ақпараттық желіде пайдаланушыларды тіркеу ережесі.
11. Жүйелік әкімшілердің жұмысы үшін жадынама.
12. Есептеу техникасы құралдарын пайдаланушыға жадынама.
Мемлекеттік ақпараттық жүйелерді
және мемлекеттік ақпараттық
жүйелермен интеграцияланатын
мемлекеттік емес ақпараттық жүйелерді
олардың ақпараттық қауіпсіздік
талаптарына және Қазақстан
Республикасының аумағында
қабылданған стандарттарға сәйкестігіне
аттестаттау жүргізу ережесіне
3-қосымша
Ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына және
Қазақстан Республикасының аумағында қабылданған
стандарттарға сәйкестігіне
№ _______АТТЕСТАТ
__________________________________________________________
(АЖ толық атауы көрсетіледі)
200____ж. « »_________ дейін жарамды
1. Осы аттестатпен:
_____________________________________________________________________
(АЖ толық атауы)
ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігі куәландырылады.
АЖ техникалық құралдары кешенінің құрамы (зауыттық нөмірлерін, моделін, жасап шығарушыны, сертификаттарының нөмірлерін көрсетумен), үй-жайлардағы орналасу схемасы, пайдаланылатын бағдарламалық құралдардың, сондай-ақ АЖ қорғау құралдарының (жасап шығарушы мен сертификаттарының нөмірлерін көрсетумен) тізбесі қоса беріліп отыр.
2. АЖ-ні аттестаттау 200__ж. «____» _____ №____________ бекітілген аттестаттау сынақтар өткізу бағдарламасы мен әдістемелеріне сәйкес орындалды.
3. АЖ-ге аттестаттау сынақтарының нәтижелерін ескере отырып,
________________________________________________ақпаратты өңдеуге
(қызметтік, құпия және с.с.)
рұқсат етіледі.
4. АЖ-ні пайдалану кезінде:
_____________________________________________________________________
(ақпаратты қорғау құралдары мен шаралары тиімділігіне әсер етуі
мүмкін шектеулер көрсетіледі)
тыйым салынады.
5. Іске асырылған қорғау шаралары мен құралдарының тиімділігін бақылау ақпараттық қауіпсіздік қызметіне жүктеледі.
6. Аттестаттық тексерудің толық нәтижелері аттестаттық тексеру актісінде (200___ ж. «___» ____________ № __) және сынақ хаттамаларында келтірілген.
7. Аттестат үш жылға берілді, осы уақыт ішінде АЖ жұмыс істеу шарттарының өзгермеуі қамтамасыз етілуі тиіс.
8. Өзгерістері туралы ақпараттандыру саласындағы уәкілетті ұйымды міндетті түрде хабардар ету талап етілетін сипаттамалардың тізбесі
8.1 ____________________________________
8.2 ____________________________________
Төраға (Т.А.Ә.)
МО
200___ ж. «___» ___________