Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам

Постановление Правительства Республики Казахстан от 30 декабря 2009 года № 2280. Утратило силу постановлением Правительства Республики Казахстан от 23 мая 2016 года № 298

      Сноска. Утратило силу постановлением Правительства РК от 23.05.2016 № 298 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии со статьей 5 Закона Республики Казахстан от 11 января 2007 года "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
      1. Утвердить прилагаемые Правила проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.
      2. Признать утратившим силу постановление Правительства Республики Казахстан от 17 января 2008 года № 24 "Об утверждении Правил проведения аттестации государственных информационных систем на соответствие требованиям информационной безопасности" (САПП Республики Казахстан, 2008 г., № 1, ст. 13).
      3. Настоящее постановление вводится в действие со дня первого официального опубликования.

      Премьер-Министр
      Республики Казахстан                       К. Масимов

Утверждены         
постановлением Правительства
Республики Казахстан    
от 30 декабря 2009 года № 2280

Правила
проведения аттестации государственных информационных
систем и негосударственных информационных систем, интегрируемых
с государственными информационными системами, на соответствие
их требованиям информационной безопасности и принятым на
территории Республики Казахстан стандартам

1. Общие положения и основные понятия

      1. Настоящие Правила проведения аттестации государственных информационных систем, в том числе в соответствии с перечнем национальных электронных информационных ресурсов и национальных информационных систем, утвержденных постановлением Правительства Республики Казахстан от 1 октября 2007 года № 863, и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее - Правила) разработаны в соответствии с Законом Республики Казахстан от 11 января 2007 года "Об информатизации" и определяют порядок проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.
      Настоящие Правила не распространяются на проведение аттестации государственных информационных систем, осуществляющих обработку, хранение, передачу сведений, составляющих государственные секреты, а также в защищенном исполнении (созданных и принятых в эксплуатацию в соответствии с требованиями государственного стандарта Республики Казахстан СТ РК 34.025-2006 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения).
      Сноска. Пункт 1 в редакции постановления Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).
      2. Основные понятия, используемые в Правилах:
      1) аттестационная комиссия (далее - Комиссия) - консультативно-совещательный орган при уполномоченном органе, который рассматривает результаты аттестационного обследования и вырабатывает соответствующие рекомендации;
      2) аттестат соответствия информационной системы требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее - аттестат) - документ, подтверждающий факт соответствия информационной системы (далее - ИС) требованиям информационной безопасности (далее - ИБ) и принятым на территории Республики Казахстан стандартам;
      3) уполномоченный орган - уполномоченный орган в сфере информатизации;
      4) государственная техническая служба - республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;
      5) заявитель - владелец ИС, физическое или юридическое лицо уполномоченное владельцем ИС, подавший заявку на проведение аттестации ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам.
      Сноска. Пункт 2 с изменениями, внесенными постановлениями  Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования); от 28.01.2013 № 49 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      3. Под аттестацией ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам понимается комплекс организационно-технических мероприятий по определению фактического состояния защищенности ИС и ее соответствия требованиям ИБ и принятым на территории Республики Казахстан стандартам.
      4. Эксплуатация и внедрение государственных ИС, а также всех интегрируемых с ними негосударственных ИС допускается после их аттестации на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам.
      5. Аттестация ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам осуществляется уполномоченным органом на основании аттестационного обследования ИС.
      6. Аттестационное обследование ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам проводится государственной технической службой.
      Сноска. Пункт 6 в редакции постановления Правительства РК от 28.01.2013 № 49 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      6-1. Аттестационное обследование включает:
      1) проверку общей структуры на соответствие политике безопасности и размещения компонентов в структуре;
      2) проверку конфигурации компонентов, являющихся составляющими ИС;
      3) экспертизу организационных мер информационной безопасности эксплуатируемой ИС;
      4) инструментальное обследование компонентов ИС, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты.
      Сноска. Правила дополнены пунктом 6-1 в соответствии с постановлением Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).
      7. Для рассмотрения акта аттестационного обследования (далее - акт) создается Комиссия, положение и состав которой утверждаются приказом уполномоченного органа.
      8. В состав комиссии входят представители:
      1) органов национальной безопасности Республики Казахстан;
      2) уполномоченного государственного органа по защите государственных секретов и обеспечения информационной безопасности;
      3) уполномоченного органа.
      9. Сведения о выданных аттестатах вносятся уполномоченным органом в реестр аттестатов, содержащий информацию о владельце ИС и разработчике ИС, наименовании ИС, реквизитах акта аттестационного обследования и аттестата, дате и основании переоформления аттестата, датах проведения и результатах дополнительных обследований, датах и основаниях отзыва/возврата аттестата, дате и основаниях прекращения действия аттестата.
      Сноска. Пункт 9 в редакции постановления Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).

2. Порядок проведения аттестации

      10. Аттестация осуществляется в следующем порядке:
      1) заявителем подается заявка в уполномоченный орган по форме согласно приложению 1 к настоящим Правилам с предоставлением следующих документов:
      заверенная подписью заявителя копия документа, удостоверяющего личность (для физических лиц);
      заверенные подписью и печатью заявителя копии учредительных документов и справки либо свидетельства о государственной регистрации (перерегистрации) юридического лица (для юридических лиц);
      заверенные подписью и печатью заявителя копии нормативно-технических документов по ИБ аттестуемой ИС в составе согласно приложению 2 к настоящим Правилам;
      утвержденный заявителем перечень технических и программных средств, входящих в состав аттестуемой ИС, по форме согласно приложениям 4 и 5 к настоящим Правилам;
      утвержденная заявителем функциональная схема (план) взаимодействия компонентов ИС, а также интегрируемых компонентов ИС (физическая и логическая структура ИС, пояснительная записка к функциональной схеме);
      проектная (программная) и предпроектная (технико-экономическое обоснование) документация на ИС;
      2) уполномоченный орган в течение двух календарных дней с момента получения заявки осуществляет проверку соответствия заявки и прилагаемых к заявке документов требованиям к форме и комплектности, установленным настоящими Правилами;
      3) в случае соответствия заявки и приложенных документов требованиям к форме и комплектности, установленным настоящими Правилами, заявка с приложенными документами в установленный в подпункте 2) пункта 10 настоящих Правил срок направляется уполномоченным органом в государственную техническую службу, в противном случае заявка возвращается заявителю с указанием причин возврата;
      4) после получения заявки на проведение аттестации ИС государственная техническая служба в течение трех рабочих дней направляет заявителю два экземпляра договора на оказание услуг по аттестационному обследованию, договора на исполнение совместных работ по обеспечению информационной безопасности и при наличии в информационных системах средств криптографической защиты информации или при необходимости - договора на выполнение совместных секретных работ. Заявитель после получения двух экземпляров вышеуказанных договоров в течение трех рабочих дней подписывает и возвращает по одному экземпляру каждого договора в государственную техническую службу;
      5) на основании договора, заключенного с заявителем, государственная техническая служба проводит аттестационное обследование ИС. Аттестационное обследование проводится в соответствии с нормативными правовыми актами и стандартами в области информационной безопасности, принятыми на территории Республики Казахстан, перечень которых определяется государственной технической службой с учетом примененных информационных технологий в аттестуемой ИС. Стоимость работ по проведению аттестационного обследования определяется в соответствии с действующим законодательством Республики Казахстан;
      6) заявитель обеспечивает доступ к помещению, оборудованию и информации по аттестуемой ИС для проведения аттестационного обследования государственной технической службой;
      7) государственная техническая служба не допускает разглашения сведений, составляющих коммерческую или иную охраняемую законом тайну, ставшую известной при проведении работ по аттестационному обследованию ИС;
      8) срок аттестационного обследования не должен превышать тридцати календарных дней с момента заключения договора на проведение аттестационного обследования. В случае, если структура аттестуемой ИС включает ведомственные или региональные компоненты ИС, государственная техническая служба обращается в уполномоченный орган с ходатайством о продлении срока аттестационного обследования с изложением причин невозможности соблюдения установленного срока. Уполномоченным органом принимается решение о продлении срока аттестационного обследования сроком не более тридцати календарных дней, о чем сообщается заявителю в течение трех календарных дней;
      9) по результатам аттестационного обследования государственной технической службой составляется акт, который передается уполномоченному органу, составляется в четырех экземплярах (по одному для Комиссии, уполномоченного органа по защите государственных секретов, органов национальной безопасности и заявителя) и включает в себя сведения о фактическом состоянии защищенности ИС;
      10) уполномоченный орган в течение двух календарных дней с момента получения акта созывает Комиссию и передает акт на рассмотрение Комиссии;
      11) на основании акта Комиссией вырабатываются соответствующие рекомендации, которые оформляются в виде протокола. При рассмотрении данных акта Комиссия учитывает уровень функциональной сложности ИС и ее назначение, характер обрабатываемой ИС информации, категорию доступа ИС, режим обработки данных в ИС, комплектность нормативно-технической документации по информационной безопасности и соблюдение ее требований, оценку реальных угроз безопасности (потенциальные источники угроз и уязвимости);
      12) на основании протокола Комиссии и с учетом акта уполномоченный орган в течение одного календарного дня принимает одно из следующих решений:
      о выдаче или отказе в выдаче аттестата (решение об отказе в выдаче аттестата принимается на основании указанных в акте несоответствий требованиям стандартов в области информационной безопасности, принятых на территории Республики Казахстан);
      об устранении заявителем выявленных несоответствий (данное решение может быть принято не более одного раза к заявке на проведение аттестации ИС), копия решения направляется заявителю;
      13) в случае принятия решения об устранении заявителем выявленных несоответствий, заявитель в течение двадцати рабочих дней с момента получения копии решения устраняет выявленные при аттестационном обследовании несоответствия и извещает уполномоченный орган об их устранении, после чего уполномоченный орган в течение трех рабочих дней извещает государственную техническую службу о необходимости проведения дополнительного аттестационного обследования ИС. Срок дополнительного обследования не должен превышать десяти рабочих дней со дня получения извещения из уполномоченного органа;
      14) после проведения дополнительного аттестационного обследования осуществляются действия согласно подпунктам 9) - 12) пункта 10 настоящих Правил;
      15) в случае принятия положительного решения по результатам аттестационного либо дополнительного аттестационного обследования уполномоченный орган в установленный в подпункте 12) пункта 10 настоящих Правил срок выдает аттестат по форме согласно приложению 3  к настоящим Правилам и вносит соответствующие сведения в реестр аттестатов. Представитель заявителя подтверждает получение аттестата под роспись;
      16) реестр аттестатов имеет ограниченный доступ;
      17) в случае отказа в выдаче аттестата уполномоченным органом в установленный в подпункте 12) пункта 10 настоящих Правил срок заявителю направляется соответствующее уведомление с указанием причин отказа.
      Сноска. Пункт 10 в редакции постановления Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования); с изменениями, внесенными постановлениями Правительства РК от 25.09.2012 № 1241 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования); от 28.01.2013 № 49 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования); от 21.05.2013 № 507 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      11. Аттестат выдается заявителю сроком на 3 года, с учетом неизменности условий функциональности системы, аппаратно-программного комплекса и информационных технологий, обеспечивающих обработку защищаемой информации, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты).
      12. В случае изменения условий и технологии обработки информации, владельцы аттестованных ИС в течение пяти рабочих дней с момента таких изменений направляют в уполномоченный орган извещение с приложением описания произведенных изменений. В течение трех рабочих дней с момента получения извещения уполномоченный орган направляет в государственную техническую службу извещение с приложением описания произведенных изменений.
      Сноска. Пункт 12 в редакции постановления Правительства РК от 28.01.2013 № 49 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      13. Государственная техническая служба в течение десяти рабочих дней с момента получения извещения от уполномоченного органа проводит дополнительное обследование ИС. В случае выявления изменений, которые могут нарушить уровень защищенности ИС, государственная техническая служба направляет уведомление в уполномоченный орган о необходимости переаттестации ИС, при отсутствии таких изменений государственная техническая служба направляет уполномоченному органу соответствующее уведомление.
      Сноска. Пункт 13 в редакции постановления Правительства РК от 28.01.2013 № 49 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      14. Уполномоченный орган в течение трех рабочих дней с момента получения уведомления от государственной технической службы извещает заявителя аттестованной ИС о необходимости (отсутствие необходимости) переаттестации ИС. Переаттестация ИС осуществляется в порядке, установленном настоящими Правилами для проведения аттестации.
      Сноска. Пункт 14 в редакции постановления Правительства РК от 28.01.2013 № 49 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      15. При утере аттестата владелец аттестованной ИС в течение трех рабочих дней с момента утери направляет в уполномоченный орган уведомление о его утере с указанием причин. Уполномоченный орган в течение пяти рабочих дней с момента получения уведомления выдает дубликат аттестата.
      16. Уполномоченный орган принимает решение об отзыве аттестата в следующих случаях:
      1) наличие письменного заявления заявителя;
      2) выявление несогласованных с уполномоченным органом изменений в аттестованной ИС.
      Сноска. Правила дополнены пунктом 16 в соответствии с постановлением Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).
      17. Копия решения об отзыве аттестата направляется заявителю. Заявитель в течение трех рабочих дней с момента получения копии решения об отзыве аттестата возвращает аттестат уполномоченному органу.
      В случае отзыва аттестата по основанию, предусмотренному подпунктом 2) пункта 16 настоящих Правил, заявитель в течение пятнадцати календарных дней с момента получения копии решения об отзыве аттестата принимает меры по устранению выявленных изменений.
      Сноска. Правила дополнены пунктом 17 в соответствии с постановлением Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).
      18. После устранения несоответствий, послуживших основанием для отзыва аттестата, заявитель представляет сведения об их устранении в уполномоченный орган для принятия решения о возврате аттестата.
      Сноска. Правила дополнены пунктом 18 в соответствии с постановлением Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).

Приложение 1                 
к Правилам проведения аттестации государственных
информационных систем и негосударственных  
информационных систем, интегрируемых с   
государственными информационными системами, на
соответствие их требованиям информационной  
безопасности и принятым на территории    
Республики Казахстан стандартам       

Кому__________________________________
      (наименование органа по аттестации)

                                  ЗАЯВКА
       на проведение аттестации государственной (негосударственной)
                           информационной системы

_____________________________________________________________________
_____________________________________________________________________
             (наименование заявителя, Ф.И.О. заявителя)
просит провести аттестацию
_____________________________________________________________________
_____________________________________________________________________
             (наименование информационной системы)
на соответствие требованиям по информационной безопасности и принятым
на территории Республики Казахстан стандартам.
      1. Исходные данные по государственной (негосударственной)
информационной системе на ____ листах прилагаются.
      2. Заявитель готов представить необходимые документы и создать
условия для проведения аттестации.

      ____________________________
             (подпись, дата)

М.П.

Приложение 2                 
к Правилам проведения аттестации государственных
информационных систем и негосударственных  
информационных систем, интегрируемых с   
государственными информационными системами, на
соответствие их требованиям информационной  
безопасности и принятым на территории    
Республики Казахстан стандартам       

ПЕРЕЧЕНЬ
нормативно-технических документов по информационной
безопасности

      Сноска. Перечень с изменением, внесенным постановлением Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).

      1. Политика информационной безопасности заявителя.
      2. Правила паспортизации средств вычислительной техники и использования информационных ресурсов.
      3. Инструкция о парольной защите.
      4. Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях.
      5. Инструкция пользователя по эксплуатации компьютерного оборудования и программного обеспечения.     
      6. Инструкция по организации антивирусной защиты.
      7. Инструкция о резервном копировании информации.
      8. Инструкция по закреплению функций и полномочий администратора сервера.
      9. Правила доступа пользователей и администраторов в серверные помещения.
      10. Правила регистрации пользователей в корпоративной информационной сети.
      11. Памятка для работы системных администраторов.
      12. Памятка пользователю средств вычислительной техники.
      13. Инструкция по использованию электронной почты и служб Интернет на рабочих станциях.

Приложение 3                 
к Правилам проведения аттестации государственных
информационных систем и негосударственных  
информационных систем, интегрируемых с   
государственными информационными системами, на
соответствие их требованиям информационной  
безопасности и принятым на территории    
Республики Казахстан стандартам       

                          АТТЕСТАТ № _______
            соответствия информационной системы требованиям
         информационной безопасности и принятым на территории
                     Республики Казахстан стандартам

      Сноска. Приложение 3 в редакции постановления Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).
           _____________________________________________________
                    (указывается полное наименование ИС)

      Действителен до "__" _______ 201_ г.             № ____
      1. Настоящим аттестатом удостоверяется, что:
__________________________________________________________________
                     (полное наименование ИС)
соответствует информационной безопасности и принятым на территории
Республики Казахстан стандартам.
      Состав комплекса технических средств ИС (с указанием заводских
номеров, модели, изготовителя), перечень используемых программных
средств, а также средств защиты ИС (с указанием изготовителя)
прилагаются.
      2. С учетом результатов аттестационного обследования на ИС
разрешается обработка ___________________________________ информации.
                     (служебная, конфиденциальная и т.п.)
      3. При эксплуатации ИС запрещается:
__________________________________________________________________
(указываются ограничения, которые могут повлиять на эффективность
                мер и средств защиты информации)
      4. Контроль за эффективностью реализованных мер и средств
защиты возлагается на соответствующие подразделения Заявителя.
      5. Подробные результаты аттестационного обследования приведены
в акте аттестационного обследования (№ ____ "_____" 201__ г.) и
отчете к акту аттестационного обследования.
      6. Аттестат выдан на три года, в течение которых должна быть
обеспечена неизменность условий функционирования ИС.
      7. Перечень характеристик, об изменениях которых требуется обязательно извещать государственную техническую службу:
      Сноска. Пункт 7 в редакции постановления Правительства РК от 28.01.2013 № 49 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      7.1 _____________________________
      7.2 _____________________________

      Председатель                                   (Ф.И.О.)
               МП
      "____" ____________ 20__ г.

Приложение 4                 
к Правилам проведения аттестации государственных
информационных систем и негосударственных  
информационных систем, интегрируемых с   
государственными информационными системами, на
соответствие их требованиям информационной  
безопасности и принятым на территории    
Республики Казахстан стандартам       

Перечень технических средств

      Сноска. Правила дополнены приложением 4 в соответствии с постановлением Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).

№ п\п

Произ-
водитель,
модель

Серийный/
инвен-
тарный
номер

Номер
сертифи-
ката по
ИБ (при
наличии)

Физичес-
кое
место-
располо-
жение

Тип
(согласно
техничес-
кой
докумен-
тации)

Основное
функцио-
нальное
назначе-
ние
(согласно
программ-
ной
докумен-
тации
к ИС)

Используе-
мые методы
защиты
информации

Разработ-
чик,
название,
версия
(встроен-
ного
программ-
ного
обеспече-
ния)

1

2

3

4

5

6

7

8

9



















Приложение 5                
к Правилам проведения аттестации государственных
информационных систем и негосударственных  
информационных систем, интегрируемых с   
государственными информационными системами, на
соответствие их требованиям информационной  
безопасности и принятым на территории    
Республики Казахстан стандартам       

Перечень программных средств

      Сноска. Правила дополнены приложением 5 в соответствии с постановлением Правительства РК от 03.11.2011 № 1285 (вводится в действие по истечении десяти календарных дней после первого официального опубликования).

№ п\п

Разра-
ботчик

Название

Версия

Место установки
(из перечня
технических
средств)

Тип (согласно
программной
документации)

Основное
функциональное
назначение
(согласно
программной
документации)

Используемые
методы
защиты
информации

1

2

3

4

5

6

7

8

















Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережесін бекіту туралы

Қазақстан Республикасы Үкіметінің 2009 жылғы 30 желтоқсандағы № 2280 Қаулысы. Күші жойылды - Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысымен

      Ескерту. Күші жойылды - ҚР Үкіметінің 23.05.2016 № 298 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      «Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңының 5-бабына сәйкес Қазақстан Республикасының ҮкіметіҚАУЛЫ ЕТЕДІ:
      1. Қоса беріліп отырған Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережесі бекітілсін.
      2. «Мемлекеттік ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау жүргізу ережесін бекіту туралы» Қазақстан Республикасы Үкіметінің 2008 жылғы 17 қаңтардағы № 24 қаулысының (Қазақстан Республикасының ПҮАЖ-ы, 2008 ж., № 1, 13-құжат) күші жойылды деп танылсын.
      3. Осы қаулы алғаш рет ресми жарияланған күнінен бастап қолданысқа енгізіледі.

      Қазақстан Республикасының
      Премьер-Министрі                                К. Мәсімов

Қазақстан Республикасы
Үкіметінің     
2009 жылғы 30 желтоқсандағы
№ 2280 қаулысымен  
бекітілген     

Мемлекеттік ақпараттық жүйелерді және мемлекеттік ақпараттық
жүйелермен интеграцияланатын мемлекеттік емес ақпараттық
жүйелерді олардың ақпараттық қауіпсіздік талаптарына және
Қазақстан Республикасының аумағында қабылданған
стандарттарға сәйкестігіне аттестаттау жүргізу ережесі

1. Жалпы ережелер мен негізгі ұғымдар

      1. Осы Мемлекеттік ақпараттық жүйелерді, оның ішінде Қазақстан Республикасы Үкіметінің 2003 жылғы 1 қазандағы № 863 қаулысымен бекітілген Ұлттық электрондық ақпараттық ресурстар мен ұлттық ақпараттық жүйелердің тізбесіне сәйкес және мемлекеттік ақпараттық жүйелермен интеграцияланатын мемлекеттік емес ақпараттық жүйелерді олардың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау жүргізу ережесі (бұдан әрі – Ереже) «Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы Заңына сәйкес әзірленді және мемлекеттік ақпараттық жүйелерді және мемлекеттiк ақпараттық жүйелермен интеграцияланатын мемлекеттiк емес ақпараттық жүйелердi ақпараттық қауiпсiздiк талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестiгiне аттестаттау жүргізу тәртібін анықтайды.
      Осы Ереже мемлекеттік құпияларды құрайтын мәліметтерді өңдеуді, сақтауды, беруді жүзеге асыратын, сондай-ақ қорғалған орындаудағы (ҚР СТ 34.025-2006 Ақпаратты қорғау. Қорғалған орындаудағы автоматтандырылған жүйелерді құру тәртібі. Жалпы ережелер. Қазақстан Республикасының мемлекеттік стандартының талаптарына сәйкес құрылған және пайдалануға қабылданған) мемлекеттік ақпараттық жүйелерге аттестаттау жүргізуге қолданылмайды.
      Ескерту. 1-тармақ жаңа редакцияда - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.
      2. Ережеде пайдаланылатын негізгі ұғымдар:
      1) аттестаттау комиссиясы (бұдан әрі - Комиссия) - аттестаттық тексеру нәтижелерін қарайтын және тиісті ұсынымдарды әзірлейтін, уәкілетті орган жанындағы консультациялық-кеңес беру органы;
      2) ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігі аттестаты (бұдан әрі - аттестат) - ақпараттық жүйенің (бұдан әрі - АЖ) ақпараттық қауіпсіздік (бұдан әрі - АҚ) талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігі фактісін растайтын құжат;
      3) уәкілетті орган - ақпараттандыру саласындағы уәкілетті орган;
      4) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімімен құрылған шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорын;
      5) өтініш беруші – АЖ-ны АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестiгiне аттестаттау жүргiзуге өтiнiш берген АЖ иесі, АЖ иесі уәкілеттік берген жеке немесе заңды тұлға.
      Ескерту. 2-тармаққа өзгерістер енгізілді - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi); 28.01.2013 № 49 (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) Қаулыларымен.
      3. АЖ-ні АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттау деп АЖ қорғалуының нақты жағдайын және оның АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігін анықтау жөніндегі ұйымдастыру-техникалық іс-шаралар кешені түсіндіріледі.
      4. Мемлекеттік АЖ-ні, сондай-ақ олармен интеграцияланатын барлық мемлекеттік емес АЖ-ні пайдалану мен енгізуге оларды АҚ талаптары мен Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттағаннан кейін жол беріледі.
      5. АЖ-ні АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттауды АЖ аттестаттық тексеру негізінде уәкілетті орган жүзеге асырады.
      6. АЖ-ні АҚ талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттық тексеруді мемлекеттік техникалық қызмет жүргізеді.
      Ескерту. 6-тармақ жаңа редакцияда - ҚР Үкіметінің 28.01.2013 № 49 Қаулысымен (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      6-1. Аттестаттық тексеру:
      1) қауіпсіздіктің жалпы құрылымын тексеру және құрамдастарды құрылымда орналастыруды;
      2) АЖ құрамдастары болып табылатын құрамдастарының үйлесімділігін тексеруді;
      3) пайдаланылатын АЖ ақпараттық қауіпсіздігінің ұйымдастырушылық шараларын сараптауды;
      4) пайдаланушылардың қолданыстағы қорғау механизмдерін айналып өтіп, ақпаратқа қол жеткізуіне мүмкіндік беретін АЖ құрамдастарын аспаптық тексеруді қамтиды.
      Ескерту. Ереже 6-1-тармақпен толықтырылды - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.
      7. Аттестаттық тексеру актісін (бұдан әрі - акт) қарау үшін Комиссия құрылады, оның ережесі мен құрамы уәкілетті органның бұйрығымен бекітіледі.
      8. Комиссия құрамына мыналардың:
      1) Қазақстан Республикасы ұлттық қауіпсіздік органдарының;
      2) мемлекеттік құпияларды қорғау мен ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі уәкілетті мемлекеттік органның;
      3) уәкілетті органның өкілдері кіреді.
      9. Берiлген аттестаттар туралы мәлiметтерді уәкiлеттi органмен АЖ иесi мен АЖ әзiрлеушiсi, АЖ атауы, аттестациялық тексеру актiсі мен аттестаттың деректемелерi, аттестаттың қайта ресімделу күні мен негізі, қосымша тексеру жүргізу күндері мен нәтижелері, аттестатты қайтару/кері шақырту күндері мен негіздері, аттестаттың қолданылуының тоқтатылу күні және негіздері туралы ақпаратты қамтитын аттестаттар тiзiлiмiне енгiзедi.
      Ескерту. 9-тармақ жаңа редакцияда - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.

2. Аттестаттау жүргізу тәртібі

      10. Аттестаттау мынадай тәртіппен жүзеге асырылады:
      1) өтініш беруші осы Ереженің 1-қосымшасына сәйкес нысан бойынша келесі құжаттарды ұсына отырып, уәкілетті органға өтінім береді:
      жеке басын куәландыратын құжаттың өтініш берушінің қолы қойылып куәландырылған көшірмесі (жеке тұлғалар үшін);
      құрылтайшы құжаттардың және заңды тұлғаны мемлекеттiк тiркеу (қайта тіркеу) туралы анықтаманың не куәліктің өтініш берушінің қолы қойылып және мөрі басылып куәландырылған көшірмелері (заңды тұлғалар үшiн);
      аттестатталатын АЖ-ның АҚ бойынша нормативтік-техникалық құжаттары, сондай-ақ осы Ереженің 2-қосымшасына сәйкес құрамда интеграцияланатын АЖ;
      осы Ережеге 4 және 5-қосымшаларға сәйкес нысан бойынша аттестатталатын АЖ құрамына кіретін техникалық және бағдарламалық құралдардың өтініш беруші бекіткен тізбесі;
      АЖ құрамдастарының, сондай-ақ интеграцияланатын АЖ құрауыштарының (АЖ-ның физикалық және логикалық құрылымы, функционалдық схемаға түсіндірме жазба) өзара iс-қимылының өтiнiш берушi бекiткен функционалдық схемасы (жоспары);
      АЖ-ға жобалық (бағдарламалық) және жоба алдындағы (техникалық-экономикалық негіздеме) құжаттама;
      2) уәкілетті орган өтінішті алған сәттен бастап күнтізбелік екі күн ішінде өтініштің және өтінішке қоса берілген құжаттардың осы Ережеде белгіленген нысан мен жинақтылыққа қойылатын талаптарға сәйкестігін тексеруді жүзеге асырады;
      3) өтінім мен қоса берілген құжаттар осы Ережеде белгіленген нысан мен жинақтылық талаптарына сәйкес келген жағдайда, уәкілетті орган осы Ереженің 10-тармағының 2) тармақшасында белгіленген мерзімде қоса берілетін құжаттармен бірге өтінімді мемлекеттік техникалық қызметке жібереді, ал керісінше жағдайда өтінім қайтару себептері көрсетіле отырып, өтініш берушіге қайтарылады;
      4) АЖ аттестациясын жүргізуге өтінімді қабылдағаннан кейін мемлекеттік техникалық қызмет үш жұмыс күні ішінде өтініш берушіге аттестациялық тексеру бойынша қызмет көрсету шартының, ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі бірлескен жұмыстарды орындау шартының және ақпараттық жүйелерде ақпаратты қорғаудың криптографиялық құралдары болған кезде немесе қажет жағдайда бірлескен құпия жұмыстарды орындау шартының екі данасын жібереді. Өтініш беруші жоғарыда көрсетілген шарттардың екі данасын алғаннан соң, үш жұмыс күні ішінде оған қол қояды және әрбір шарттың бір данасын мемлекеттік техникалық қызметке қайтарады;
      5) мемлекеттік техникалық қызмет өтініш берушімен жасалған шарттың негізінде АЖ аттестаттық тексеруді жүргізеді. Аттестаттық тексеру аттестатталатын АЖ-де қолданылған ақпараттық технологияларды ескере отырып, тізбесін мемлекеттік техникалық қызмет айқындайтын Қазақстан Республикасының аумағында қабылданған ақпараттық қауіпсіздік саласындағы нормативтік құқықтық актілер мен стандарттарға сәйкес жүргізіледі. Аттестаттық тексеруді жүргізу жөніндегі жұмыстардың құны Қазақстан Республикасының қолданыстағы заңнамасына сәйкес айқындалады;
      6) өтініш беруші мемлекеттік техникалық қызметтің аттестациялық тексеру өткізуі үшін аттестатталатын АЖ бойынша үй-жайға, құрал-жабдыққа, ақпаратқа қол жеткізуді қамтамасыз етеді;
      7) мемлекеттік техникалық қызмет АЖ-ны аттестациялық тексеру бойынша жұмыстар жүргізгенде белгілі болған коммерциялық немесе   заңмен қорғалатын өзге де құпияны құрайтын мәліметтерді жариялауға жол бермейді;
      8) аттестациялық тексеру мерзімі аттестациялық тексеру жүргізуге шарт жасалған сәттен бастап күнтізбелік отыз күннен аспауы тиіс. Егер аттестатталатын АЖ құрылымына АЖ-ның ведомостволық немесе өңірлік құрамдастары енгізілген жағдайда, мемлекеттік техникалық қызмет белгіленген мерзімді сақтаудың мүмкін болмау себептерін баяндай отырып, аттестациялық тексеру мерзімін ұзарту туралы уәкілетті органға өтініш жасайды. Уәкілетті орган аттестациялық тексеру мерзімін күнтізбелік отыз күннен аспайтын мерзімге дейін ұзарту туралы шешім қабылдайды, бұл туралы өтініш берушіге күнтізбелік үш күн ішінде хабарланады;
      9) аттестаттық тексерудің нәтижелері бойынша мемлекеттік техникалық қызмет уәкілетті органға берілетін актіні жасайды. Акт төрт данада (Комиссия, мемлекеттік құпияларды қорғау жөніндегі уәкілетті орган, ұлттық қауіпсіздік органдары және өтініш беруші үшін бір-бірден) жасалады және АЖ қорғалуының нақты жай-күйі туралы мәліметтерді қамтиды;
      10) уәкілетті орган актіні алған сәттен бастап күнтізбелік екі күн ішінде Комиссия шақырады және актіні Комиссияның қарауына береді;
      11) Комиссия актінің негізінде хаттама түрінде ресімделетін тиісті ұсынымдарды әзірлейді. Комиссия осы актіні қарау кезінде АЖ-нің функционалдық күрделілік деңгейін және оның арналуын, өңделетін АЖ ақпаратының сипатын, ақпараттың құпиялылығын, АЖ-ға қол жеткізу санатын, АЖ-дағы деректерді өңдеу режимін, ақпараттық қауіпсіздік бойынша нормативтік-техникалық құжаттаманың жинақтығын және оның талаптарының сақталуын, қауіпсіздіктің нақты қауіп-қатерін бағалауды (қауіп-қатердің және осалдылығының әлеуетті көздері) ескереді;
      12) Комиссия хаттамасының негiзiнде және актiнi ескере отырып, уәкiлеттi орган күнтізбелік бір күн iшiнде мынадай шешімдердің бірін қабылдайды:
      аттестатты беру немесе беруден бас тарту туралы (аттестат беруден бас тарту туралы шешім актіде көрсетілген Қазақстан Республикасының аумағында қабылданған ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкессіздіктер негізінде қабылданады);
      өтініш берушінің анықталған сәйкессіздіктерді жоюы туралы (бұл шешім АЖ-ны аттестаттауды жүргізу өтініміне көп дегенде бір рет қабылдануы тиіс) шешімнің көшірмесі өтініш берушіге жіберіледі.
      13) егер өтініш берушінің анықталған сәйкессіздіктерді жоюы туралы шешім қабылданған жағдайда, өтініш беруші шешімнің көшірмесін алған сәттен бастап жиырма жұмыс күні ішінде аттестациялық тексеруде анықталған сәйкессіздіктерді жояды және олардың жойылуы туралы уәкілетті органға хабарлайды, осыдан соң уәкілетті орган үш жұмыс күні ішінде АЖ-ға қосымша аттестациялық тексеру жүргізудің қажеттілігі туралы мемлекеттік техникалық қызметке хабарлайды. Қосымша тексерудің мерзімі уәкілетті органнан хабарлама алған күннен бастап он жұмыс күнінен аспауы тиіс;
      14) қосымша аттестациялық тексеру өткізілгеннен кейін осы Ереженің 10-тармағының 9), 12) тармақшаларына сәйкес іс-қимылдар жүзеге асырылады;
      15) аттестациялық немесе қосымша аттестациялық тексеру нәтижелері бойынша оң шешiм қабылданған жағдайда уәкiлеттi орган осы Ереженiң 10-тармағының 12) тармақшасында белгiленген мерзiмде өтініш берушіге осы Ереженiң 3-қосымшасына сәйкес нысан бойынша аттестат бередi және аттестаттардың тiзiлiмiне тиiстi мәлiметтердi енгiзедi. Өтініш берушінің өкілі аттестатты алғанын қол қойып растайды;
      16) аттестаттар тізіліміне қол жеткізуі шектелген;
      17) аттестатты беруден бас тартқан жағдайда уәкілетті орган осы Ереженің 10-тармағының 12) тармақшасында белгіленген мерзімде бас тартудың себептерін көрсете отырып, өтініш берушіге тиісті хабарламаны жібереді.
      Ескерту. 10-тармақ жаңа редакцияда - ҚР Үкіметінің 2011.11.03 № 1285 қаулысымен (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi), өзгерістер енгізілді - ҚР Үкіметінің 2012.09.25 N 1241 (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі); 28.01.2013 № 49 (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі); 21.05.2013 № 507 (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.
      11. Аттестат жүйенің функционалдығы шарттарының өзгермеуін, ақпараттың қауіпсіздігін анықтайтын, қорғалатын ақпаратты өңдеуді қамтамасыз ететін аппараттық-бағдарламалық кешенді және ақпараттық технологияларды (техникалық құралдардың құрамы мен құрылымы, орналастыру шарттары, пайдаланылатын бағдарламалық қамтамасыз ету, ақпаратты өңдеудің режимі, қорғау құралдары мен шаралары) ескере отырып, өтініш берушіге 3 жыл мерзімге беріледі.
      12. Ақпаратты өңдеудің шарттары мен технологиялары өзгерген жағдайда аттестатталған АЖ иеленушілері осындай өзгерістер болған сәттен бастап бес жұмыс күні ішінде болған өзгерістердің сипаттамасын қоса берумен хабарламаны уәкілетті органға жібереді. Хабарламаны алған сәттен бастап үш жұмыс күні ішінде уәкілетті орган жүргізілген өзгерістердің сипаттамасы қоса берілген хабарламаны мемлекеттік техникалық қызметке жібереді.
      Ескерту. 12-тармақ жаңа редакцияда - ҚР Үкіметінің 28.01.2013 № 49 Қаулысымен (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      13. Мемлекеттік техникалық қызмет уәкілетті органнан хабарламаны алған сәттен бастап он жұмыс күні ішінде АЖ-ні қосымша тексеруді жүргізеді. АЖ қорғалу деңгейін бұзуы мүмкін өзгерістер анықталған жағдайда, мемлекеттік техникалық қызмет АЖ-ні қайта аттестаттау қажеттігі туралы хабарламаны уәкілетті органға жібереді, мұндай өзгерістер болмаған жағдайда мемлекеттік техникалық қызмет уәкілетті органға тиісті хабарламаны жібереді.
      Ескерту. 13-тармақ жаңа редакцияда - ҚР Үкіметінің 28.01.2013 № 49 Қаулысымен (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      14. Уәкілетті орган мемлекеттік техникалық қызметтен хабарламаны алған сәттен бастап үш жұмыс күні ішінде аттестатталған АЖ-ның өтініш берушісіне АЖ-ні қайта аттестаттау қажеттігі (қажеттігінің жоқтығы) туралы хабарлайды. АЖ-ні қайта аттестаттау осы Ережеде аттестаттауды жүргізу үшін белгіленген тәртіппен жүзеге асырылады.
      Ескерту. 14-тармақ жаңа редакцияда - ҚР Үкіметінің 28.01.2013 № 49 Қаулысымен (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      15. Аттестатталған АЖ иеленушісі аттестатты жоғалтқан жағдайда жоғалтқан сәттен бастап үш жұмыс күні ішінде уәкілетті органға жоғалту себептерін көрсетумен оның жоғалғаны туралы хабарламаны жібереді. Уәкілетті орган хабарламаны алған сәттен бастап бес жұмыс күні ішінде аттестаттың телнұсқасын береді.
      16. Уәкілетті орган аттестатты кері қайтарып алу туралы шешімді мынадай жағдайларда қабылдайды:
      1) өтініш берушінің жазбаша өтінішінің болуы;
      2) аттесталған АЖ-ға уәкілетті органмен келісілмеген өзгерістерін айқындау.
      Ескерту. Ереже 16-тармақпен толықтырылды - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.
      17. Аттестатты кері қайтарып алу туралы шешімінің көшірмесі өтініш берушіге жіберіледі. Өтініш беруші аттестатты кері қайтарып алу туралы шешімнің көшірмесін алған сәттен бастап үш жұмыс күні ішінде аттестатты уәкілетті органға қайтарады.
      Аттестат осы Ереженің 16-тармағының 2) тармақшасында көзделген негіз бойынша кері қайтарып алынған жағдайда, өтініш беруші аттестатты кері қайтарып алу туралы шешімнің көшірмесін алған сәттен бастап он бес күнтізбелік күн ішінде анықталған өзгерістерді жою бойынша шаралар қабылдауға міндетті.
      Ескерту. Ереже 17-тармақпен толықтырылды - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.
      18. Аттестатты кері қайтарып алу үшін негіз болған сәйкессіздіктерді жойғаннан кейін, өтініш беруші олардың жойылғаны туралы мәліметтерді аттестатты қайтару туралы шешім қабылдауы үшін уәкілетті органға ұсынады.
      Ескерту. Ереже 18-тармақпен толықтырылды - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.

Мемлекеттік ақпараттық жүйелерді
және мемлекеттік ақпараттық  
жүйелермен интеграцияланатын   
мемлекеттік емес ақпараттық жүйелерді
олардың ақпараттық қауіпсіздік  
талаптарына және Қазақстан    
Республикасының аумағында    
қабылданған стандарттарға сәйкестігіне
аттестаттау жүргізу ережесіне 
1-қосымша           

Кімге______________________________________
(аттестаттау жөніндегі органның атауы)

Мемлекеттік (мемлекеттік емес) ақпараттық жүйеге аттестаттау
жүргізуге
ӨТІНІШ

____________________________________________________________________
____________________________________________________________________
           (өтініш берушінің атауы, өтініш берушінің Т.А.Ә.)

____________________________________________________________________
_________________________________________________________
                        (ақпараттық жүйенің атауы)

ақпараттық қауіпсіздік жөніндегі талаптарға және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігіне аттестаттауды жүргізуді сұрайды.

      1. Мемлекеттік (мемлекеттік емес) ақпараттық жүйе бойынша бастапқы деректер ___________ парақта қоса беріліп отыр.
      2. Өтініш беруші қажетті құжаттарды ұсынуға және аттестаттауды жүргізу үшін жағдай жасауға дайын.

__________________________
      (қолы, күні)
       М.О.

Мемлекеттік ақпараттық жүйелерді
және мемлекеттік ақпараттық  
жүйелермен интеграцияланатын   
мемлекеттік емес ақпараттық жүйелерді
олардың ақпараттық қауіпсіздік  
талаптарына және Қазақстан    
Республикасының аумағында    
қабылданған стандарттарға сәйкестігіне
аттестаттау жүргізу ережесіне 
2-қосымша           

Ақпараттық қауіпсіздік бойынша нормативтік-техникалық
құжаттардың
ТІЗБЕСІ

      Ескерту. 2-қосымшаға өзгерту енгізілді - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.

      1. Өтініш берушінің ақпараттық қауіпсіздік саясаты.
      2. Есептеу техникасы құралдарын паспорттандыру және ақпараттық ресурстарды пайдалану ережесі.
      3. Парольдік қорғау туралы нұсқаулық.
      4. Штаттан тыс (дағдарыстық) жағдайларда пайдаланушылардың іс-қимыл тәртібі туралы нұсқаулық.
      5. Пайдаланушының компьютерлік жабдықтар мен бағдарламалық қамтамасыз етуді пайдалану жөніндегі нұсқаулығы.
      6. Вирусқа қарсы қорғауды ұйымдастыру жөніндегі нұсқаулық.
      7. Ақпаратты резервтік көшіру туралы нұсқаулық.
      8. Сервер әкімшісінің функциялары мен өкілеттіктерін бекіту жөніндегі нұсқаулық.
      9. Пайдаланушылар мен әкімшілердің серверлік үй-жайларға кіру ережесі.
      10. Корпоративтік ақпараттық желіде пайдаланушыларды тіркеу ережесі.
      11. Жүйелік әкімшілердің жұмысы үшін жадынама.
      12. Есептеу техникасы құралдарын пайдаланушыға жадынама.
      13. Жұмыс станцияларында электрондық поштаны және Интернет қызметтерін пайдалану бойынша нұсқаулық.

Мемлекеттік ақпараттық жүйелерді
және мемлекеттік ақпараттық  
жүйелермен интеграцияланатын   
мемлекеттік емес ақпараттық жүйелерді
олардың ақпараттық қауіпсіздік  
талаптарына және Қазақстан    
Республикасының аумағында    
қабылданған стандарттарға сәйкестігіне
аттестаттау жүргізу ережесіне 
3-қосымша           

Ақпараттық жүйенің ақпараттық қауіпсіздік талаптарына және
Қазақстан Республикасының аумағында қабылданған
стандарттарға сәйкестігіне
№ _______АТТЕСТАТ

      Ескерту. 3-қосымша жаңа редакцияда - ҚР Үкіметінің 2011.11.03 № 1285 қаулысымен (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi); өзгеріс енгізілді - ҚР Үкіметінің 28.01.2013 № 49 қаулысымен (алғашқы ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі).

      __________________________________________________________
                    (АЖ толық атауы көрсетіледі)

      200____ж. « »_________ дейін жарамды

      1. Осы аттестатпен: __________________________________________
                                  (АЖ толық атауы)
      ақпараттық қауiпсiздiк талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестiгi куәландырылады.
      АЖ техникалық құралдары кешенiнiң құрамы (зауыттық нөмiрлерiн, моделiн, жасап шығарушыны көрсетумен), пайдаланылатын бағдарламалық құралдардың, сондай-ақ АЖ қорғау құралдарының (жасап шығарушыны көрсетумен) тiзбесi қоса берiлiп отыр.
      2. АЖ-да аттестаттық тексеру нәтижелерiн ескере отырып, _______________________________________________ақпаратты өңдеуге
        (қызметтiк, құпия және т.б.)
      рұқсат етiледi.
      3. АЖ-ны пайдалану кезiнде:
________________________________________________________________
(ақпаратты қорғау шаралары мен құралдары тиiмдiлiгiне әсер етуi мүмкін шектеулер көрсетiледi)
      тыйым салынады.
      4. Iске асырылған қорғау шаралары мен құралдарының тиiмдiлiгiн бақылау Өтініш берушінің тиісті бөлімшелеріне жүктеледi.
      5. Аттестаттық тексерудiң толық нәтижелерi аттестаттық тексеру актiсiнде (20___ ж. «___» ____________ № __ ) және Аттестаттық тексеру актісіне есепте келтiрiлген.
      6. Аттестат үш жылға берiлдi, осы уақыт iшiнде АЖ жұмыс iстеу шарттарының өзгермеуi қамтамасыз етiлуi тиiс.
      7. Өзгерiстер туралы мемлекеттік техникалық қызметті мiндеттi түрде хабардар ету талап етiлетiн сипаттамалардың тiзбесi:
      7.1 ____________________________________
      7.2 ____________________________________

      Төраға                                        (Т.А.Ә.)

         МО

20___ ж. «___» ___________

Мемлекеттiк ақпараттық жүйелердi және
мемлекеттiк ақпараттық жүйелермен  
интеграцияланатын мемлекеттiк емес 
ақпараттық жүйелердi олардың ақпараттық
қауiпсiздiк талаптарына және Қазақстан
Республикасының аумағында қабылданған
стандарттарға сәйкестiгiне аттестаттау
жүргiзу ережесiне          
4-қосымша             

Техникалық құралдар тізбесі

      Ескерту. Ереже 4-қосымшамен толықтырылды - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.




р/с

Өндіруші, моделі

Сериялық/ түгендеу нөмірі

АҚ бойынша сертификаттың нөмірі (бар болса)

Нақты
орналасқан
жері

Типі (техникалық құжаттамаға сәйкес)

Негізгі функционалдық мақсаты (АЖ-ға бағдарламалық құжаттамаға сәйкес)

Ақпаратты
қорғаудың
пайдаланылатын
әдістері

Әзірлеуші, атауы, нұсқасы (кіріктірілген бағдарламалық
қамтамасыз
етудің)

1

2

3

4

5

6

7

8

9










Мемлекеттiк ақпараттық жүйелердi және
мемлекеттiк ақпараттық жүйелермен 
интеграцияланатын мемлекеттiк емес
ақпараттық жүйелердi олардың ақпараттық
қауiпсiздiк талаптарына және Қазақстан
Республикасының аумағында қабылданған
стандарттарға сәйкестiгiне аттестаттау
жүргiзу ережесiне          
5-қосымша              

Бағдарламалық құралдар тізбесі

      Ескерту. Ереже 5-қосымшамен толықтырылды - ҚР Үкіметінің 2011.11.03 № 1285 (алғашқы ресми жарияланғанынан кейiн күнтiзбелiк он күн өткен соң қолданысқа енгiзiледi) Қаулысымен.


р/с

Әзірлеуші

Атауы

Нұсқасы

Орнатылған орны (техникалық құралдар тізбесінен)

Типі (техникалық құжаттамаға сәйкес)

Негізгі функционалдық мақсаты (бағдарламалық құжаттамаға сәйкес)

Ақпаратты қорғаудың пайдаланылатын әдістері

1

2

3

4

5

6

7

8