"Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1-бабының 5) тармақшасына және "Мемлекеттік көрсетілетін қызметтер туралы" 2013 жылғы 15 сәуірдегі Қазақстан Республикасы Заңының 10-бабының 1) тармақшасына сәйкес БҰЙЫРАМЫН:
Ескерту. Кіріспе жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 № 121/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.1. Мыналар:
1) осы бұйрыққа 1-қосымшаға сәйкес "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;
2) осы бұйрыққа 2-қосымшаға сәйкес "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.
2. "Сервистік бағдарламалық өнімнің, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасының мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы" Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 14 наурыздағы № 40/НҚ бұйрығының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16694 болып тіркелген, Қазақстан Республикасы Нормативтік құқықтық актілерінің эталондық бақылау банкінде 2018 жылғы 12 сәуірде жарияланған) күші жойылды деп танылсын.
3. Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:
1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы бұйрық мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оны Қазақстан Республикасы Нормативтік құқықтық актілерінің эталондық бақылау банкіне ресми жариялау және енгізу үшін Қазақстан Республикасы Әділет министрлігінің "Қазақстан Республикасының Заңнама және құқықтық ақпарат институты" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;
3) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;
4) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.
4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.
5. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
|
Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрі |
А. Жұмағалиев |
"КЕЛІСІЛДІ"
Қазақстан Республикасының
Ұлттық қауіпсіздік комитеті
2019 жылғы "___" ____________
| Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы "__"_____ № ___ бұйрығына 1-қосымша |
"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі
1-тарау. Жалпы ережелер
1. Осы "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі (бұдан әрі – Әдістеме) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1-бабының 5) тармақшасына сәйкес әзірленді.
2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:
1) қызмет беруші – мемлекеттік техникалық қызмет немесе аккредиттелген сынақ зертханасы;
2) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;
3) осалдық – бағдарламалық қамтылымдағы жұмыс қабілеттілігін бұзуға немесе бағдарламалық қамтылымда белгіленген рұқсаттардан тыс қандай да бір заңсыз іс-әрекеттерді орындауға мүмкіндік беретін кемшілік;
4) өтініш беруші – сынақ объектісінің меншік иесі немесе иеленушісі, сондай-ақ сынақ объектісінің меншік иесі немесе иеленушісі өкілеттік берген "электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;
5) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі – ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнім арасындағы өзара іс-қимыл құралы;
6) сенімді бағыт – сынақ объектілерінің қауіпсіздік саясатын қолдауда сенімділікті қамтамасыз ететін пайдаланушы мен ОҚФ арасындағы өзара іс-қимыл құралы;
7) сынақ объектісі – оған қатысты ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтан өткізу жөніндегі жұмыстар жүргізілетін ақпараттандыру объектісі;
8) штаттық пайдалану ортасы – ақпараттандыру объектісін тәжірибелік пайдалану (пилоттық жоба) кезеңінде қолданылатын және өнеркәсіптік пайдалану кезеңінде қолдануға арналған серверлік жабдықтың, желілік инфрақұрылымның, жүйелік бағдарламалық қамтылымның нысаналы жиынтығы.
Ескерту. 2-тармаққа өзгеріс енгізілді – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 № 121/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 28.09.2020 № 356/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрықтарымен.3. Сынақтар жүргізу мыналарды қамтиды:
1) бастапқы кодтарды талдау;
2) ақпараттық қауіпсіздік функцияларын сынау;
3) жүктемелік сынау;
4) желілік инфрақұрылымды зерттеп-қарау;
5) ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау.
2-тарау. Бастапқы кодтарды талдау
4. Сынақ объектілерінің бастапқы кодтарын талдау бағдарламалық қамтылымның (бұдан әрі – БҚ) кемшіліктерін анықтау мақсатында жүргізіледі.
5. Бастапқы кодтарды талдау "Электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларына (бұдан әрі – Қағидалар) 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағы 11) тармақшасының кестесінде аталған БҚ үшін жүргізіледі.
6. Егер сынақтар жүргізу кезінде сынақ мерзімі аяқталғанға дейін бастапқы кодтарды қайта талдау жүргізу қажеттілігі айқындалса, өтініш беруші қызмет берушіге сұрау салумен жүгінеді және Қағидалардың 26-тармағына сәйкес бастапқы кодтарға қайтадан талдау жүргізу туралы қосымша келісім жасалады.
7. БҚ кемшіліктерін айқындау өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.
8. Бастапқы кодтарды талдау:
1) БҚ кемшіліктерін айқындауды;
2) бастапқы кодты талдау нәтижелерін белгілеуді қамтиды.
9. БҚ кемшіліктерін айқындау мынадай тәртіппен жүзеге асырылады:
1) бастапқы деректерді дайындау жүргізіледі ("электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің (бұдан әрі – АО) бастапқы кодтарын жүктеу, сканерлеу режимін (қарқынды және/немесе статикалық) таңдау, сканерлеу режимдерінің сипаттамаларын баптау);
2) БҚ кемшіліктерін айқындауға арналған бағдарламалық құрал іске қосылады;
3) жалған іске қосылулардың болуына бағдарламалық есептерді талдау жүргізіледі;
4) сипаттамасы, бағдары (файлға дейінгі жолы) мен тәуекел деңгейі (жоғары, орташа, төмен) көрсетілген БҚ айқындалған кемшіліктерінің тізбесін қамтитын есеп қалыптастырылады.
10. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады.
11. Бастапқы кодтарды талдау нәтижелерін қызмет берушінің осы жұмыс түрлерінің жауапты орындаушысы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық пен Қағидаларға 5-қосымшаға сәйкес сынақ объектісінің бастапқы кодтарын қабылдау-беру актісінің көшірмелері қоса берілген бастапқы кодтарды талдау хаттамасында тіркейді (еркін нысанда).
Бастапқы кодтарды талдау хаттамасы қосымшаларымен және есеппен парақтарды толассыз нөмірлей отырып, тігіледі және қызмет берушінің мөрі басылады.
12. Бастапқы кодтарды талдау жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде сынақ объектісінің бастапқы кодтары таңбаланады және мөр басылған түрінде қызмет берушінің мұрағатына жауапты сақтауға тапсырылады.
13. Қызмет беруші сынақтар аяқталғаннан кейін олардың құпиялылығын кем дегенде үш жыл сақтай отырып, алынған бастапқы кодтарды сақтауды қамтамасыз етеді.
3-тарау. Ақпараттық қауіпсіздік функцияларын сынау
14. Ақпараттандыру объектілерінің функцияларын ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау (бұдан әрі – ақпараттық қауіпсіздік функцияларын сынау) олардың техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.
15. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды:
1) қауіпсіздік функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін, соның ішінде бағдарламалық құралдарды пайдалана отырып (қажет болған кезде) бағалау;
2) сынақ нәтижелерін бақылау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелері мен айқындалған сәйкессіздіктерді түзету жөніндегі ұсынымдар (қажет болған кезде) көрсетілген есепте тіркеу.
16. Ақпараттық қауіпсіздік функцияларының тізбесі осы Әдістемеге 1-қосымшада берілген.
17. Ақпараттық қауіпсіздік функцияларын сынау Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 1) тармақшасы мен 4) тармақшасының аталған серверлер мен виртуалды ресурстар бөлінісінде жүргізіледі.
18. Ақпараттық қауіпсіздік функцияларын сынау нәтижелерін қызмет берушінің осы жұмыс түрлерінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі қоса берілген ақпараттық қауіпсіздік функцияларын сынау хаттамасында тіркейді (еркін нысанда).
Ақпараттық қауіпсіздік функцияларын сынау хаттамасы қосымшаларымен және есеппен парақтарды толассыз нөмірлей отырып, тігіледі және қызмет берушінің мөрі басылады.
4-тарау. Жүктемелік сынау
19. Жүктемелік сынау сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауды бағалау мақсатында жүргізіледі.
20. Жүктемелік сынау дербес деректер жалған деректермен алмастырылған сынақ объектісін штаттық пайдалану ортасында автоматтандырылған сценарийлер негізінде мамандандырылған бағдарламалық құралды пайдалана отырып жүргізіледі.
21. Өтініш беруші жүктемелік сынау параметрлерін Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 9) тармақшасы мен 10) тармақшасының кестелерінде ұсынады.
Жүктемелік сынау жүргізу кезінде сынақ объектісінің нақты жүктемелік қабілеттілігінің параметрлері айқындалады.
22. Жүктемелік сынау мынадай тәртіппен жүзеге асырылады:
1) сынауға дайындық жүргізіледі;
2) сынақ жүргізіледі;
3) сынақ нәтижелері тіркеледі.
23. Сынауға дайындық мыналарды қамтиды:
1) сынау сценарийін анықтау;
2) сынаудың уақытша және сандық сипаттамаларын анықтау;
3) сынау жүргізу уақытын тапсырыс берушімен келісу.
24. Сынау жүргізу:
1) мамандандырылған бағдарламалық құралға сынау сценарийі мен конфигурациясын баптауды;
2) мамандандырылған бағдарламалық құралды іске қосуды;
3) сынақ объектісіне жүктеуді тіркеуді;
4) сынақ объектісінің нақты өткізу қабілетін жоғарылату немесе төмендету жөнінде ұсынымдар көрсете отырып, жүктемелік сынаудың есебін қалыптастыруды және беруді қамтиды.
25. Жүктемелік тестілеу жүргізу жөніндегі жұмыстар Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағының 9) тармақшасы мен 10) тармақшасының кестелерінде көрсетілген бір сынақ объектісіне пайдаланушыларды қосу нүктелерінің нұсқалары мен сынақ объектісінің интеграциялық өзара іс-қимылын іске қосу нүктелерінің нұсқалар саны бойынша жүргізіледі.
26. Жүктемелік сынау нәтижелерін қызмет берушінің осы жұмыс түрлерінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі қоса берілген жүктемелік сынау хаттамасында тіркейді (еркін нысанда).
Жүктемелік сынау хаттамасы қосымшаларымен және есеппен парақтарды толассыз нөмірлей отырып, тігіледі және қызмет берушінің мөрі басылады.
5-тарау. Желілік инфрақұрылымды зерттеп-қарау
27. Желілік инфрақұрылымды зерттеп-қарау желілік инфрақұрылымның қауіпсіздігін бағалау мақсатында жүргізіледі.
28. Желілік инфрақұрылымды зерттеп-қарау мыналарды қамтиды:
1) желілік инфрақұрылымның қорғалу функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау;
2) өтініш берушінің желілік инфрақұрлымын, соның ішінде бағдарламалық құралдарды пайдалана отырып (қажет болған кезде) зерттеп-қарау;
3) бағдарламалық құралмен жалпы осалдықтар мен тәуекелдер базасынан бағдарламалық қамтылымның белгілі осалдықтары тұрғысынан сканерлеу;
4) алынған сынақ нәтижелерін бақылау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелері мен айқындалған сәйкессіздіктерді түзету жөніндегі ұсынымдар (қажет болған кезде) көрсетілген есепте тіркеу.
29. Желілік инфрақұрылымның қорғалу функцияларының тізбесі осы Әдістемеге 2-қосымшада берілген.
30. Желілік инфрақұрылымды зерттеп-қарау бойынша жұмыстар Қағидаларға 2-қосымшаның сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағы 7) тармақшасының кестесінде көрсетілген сынақ объектісінің әрбір сегментіне (кіші желісіне) жүргізіледі.
31. Желілік инфрақұрылымды зерттеп-қарау нәтижелерін қызмет берушінің осы жұмыс түрлерінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі қоса берілген желілік инфрақұрылымды зерттеп-қарау хаттамасында тіркейді (еркін нысанда).
Желілік инфрақұрылымды зерттеп-қарау хаттамасы қосымшаларымен және есеппен парақтарды толассыз нөмірлей отырып, тігіледі және қызмет берушінің мөрі басылады.
6-тарау. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау
32. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау олардың ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.
33. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау мыналарды қамтиды:
1) ақпараттық қауіпсіздікті қамтамасыз ету процестерінің ақпараттық қауіпсіздікті қамтамасыз ету саласындағы нормативтік құқықтық актілер мен стандарттардың талаптарына сәйкестігін бағалау;
2) бағалау нәтижелерін бақылау, сәйкестікті немесе сәйкессіздікті бағалау нәтижелері мен анықталған сәйкессіздіктерді түзету жөніндегі ұсынымдар (қажет болған кезде) көрсетілген есепте тіркеу;
3) бағдарламалық құралдармен серверлерді, виртуалды ресурстар мен желілік жабдықты белгілі осалдықтар тұрғысынан сканерлеу;
4) жалған іске қосылулардың болуынан анықталған осалдықтарды талдау және олардың аса маңыздылығы деңгейіне байланысты оларды жою жөнінде ұсынымдар (қажет болған жағдайда) қалыптастыру.
Ескерту. 33-тармаққа өзгеріс енгізілді – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 № 121/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.34. Ақпараттық қауіпсіздікті қамтамасыз ету процестерінің тізбесі және олардың мазмұны Әдістемеге 3-қосымшада берілген.
35. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау бойынша жұмыстар сынақ объектісіне жүргізіледі.
36. Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау нәтижелерін қызмет берушінің осы жұмыс түрлерінің жауапты орындаушысы сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі қоса берілген ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасында тіркейді (еркін нысанда).
Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы қосымшаларымен және есеппен парақтарды толассыз нөмірлей отырып, тігіледі және қызмет берушінің мөрі басылады.
Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасына айқындалған осалдықтарды талдау нәтижелері енгізілмейді және Өтініш берушіге ұсынымдар нысанында беріледі.
Ақпараттық қауіпсіздік функцияларының тізбесі
р/с № | Функциялардың атауы | Функциялардың мазмұны |
1 | 2 | 3 |
Қауіпсіздік аудиті | ||
1 | Қауіпсіздік аудитінің автоматты әрекет етуі | Тіркеу журналына жазба енгізуді, қауіпсіздікті бұзушылықты айқындау туралы әкімшіге локалдық немесе қашықтықтан сигнал беруді жүзеге асыру. |
2 | Қауіпсіздік аудитінің деректерін генерациялау | Хаттамалаудың, ең болмаса, тіркеу функцияларын іске қосу мен аяқтаудың, сондай-ақ аудиттің базалық деңгейіндегі барлық оқиғалардың болуы, яғни, әрбір тіркеу жазбасында оқиғаның мерзімі мен уақытының, оқиға түрінің, субъектіні сәйкестендіргіш пен оқиға нәтижесінің (сәттілігі немесе сәтсіздігі) болуы. |
3 | Қауіпсіздік аудитін талдау | Сәйкестендіру тетіктерін пайдаланудың ең болмаса, сәтсіз нәтижелерін, сондай-ақ криптографиялық операцияларды орындаудың сәтсіз нәтижелерін жинақтау және/немесе біріктіру арқылы (ықтимал кемшіліктерді айқындау мақсатында) жүзеге асыру. |
4 | Қауіпсіздік аудитін қарау | Барлық тіркеу ақпаратын қарау (оқу) мүмкіндігін қамтамасыз ету және әкімшіге беру. Өзге пайдаланушыларға тіркеу ақпаратына қолжетімділік айқын ерекше оқиғаларды қоспағанда, жабық болуы тиіс. |
5 | Қауіпсіздік аудитінің оқиғаларын таңдау |
Оқиғаларды тіркеудің, ең болмаса, мынадай атрибуттарға негізделетін іріктеудің болуы: |
6 | Қауіпсіздік аудитінің деректерін сақтау | Рұқсатсыз түрлендіруден сенімді қорғау туралы тіркеу ақпаратының болуы. |
Байланысты ұйымдастыру | ||
7 | Жіберуден бас тартпаушылық | Жіберуші куәлігі жіберуші мен жіберілген ақпарат арасындағы байланысты (мысалы, цифрлық қолтаңба) дәлелдейтін, ақпаратты жіберу фактісінен бас тартпауы үшін пайдаланушыларға/жіберушінің ұқсастығын куәландыру субъектілеріне кейбір ақпаратты беру. |
8 | Алудан бас тартпаушылық | Алушының ақпаратты алу фактісінен бас тарту мүмкінсіздігін қамтамасыз ету. |
Криптографиялық қолдау | ||
9 | Криптографиялық кілттерді басқару |
Мыналарды қолдаудың болуы: |
10 | Криптографиялық операциялар | Техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкес сенімді арна арқылы жіберілетін барлық ақпарат үшін тұтастығын шифрлаудың және бақылаудың болуы. |
Пайдаланушының деректерін қорғау | ||
11 | Қолжетімділікті басқару саясаты | Қауіпсіздік сервисімен тікелей немесе жанама операцияларды орындайтын пайдаланушылар үшін қолжетімділікті бөлуді жүзеге асыру. |
12 | Қолжетімділікті басқару функциялары |
Қолжетімділікті бөлу функцияларын пайдалану, ең болмаса, мынадай қауіпсіздік атрибуттарына негізделуі тиіс: |
13 | Деректерді теңестіру | Ақпараттың мазмұны айлакерлік жолымен ұқсастырылмағанын немесе түрлендірілмегенін кейін тексеру үшін пайдаланылатын өзіндік деректер жинағының дұрыстығы кепілдігін қолдау. |
14 | Деректерді СО қауіпсіздік функцияларының (бұдан әрі – ОҚФ) әрекетінен тыс экспорттау | Пайдаланушының деректерін СО экспорттау кезінде оларды қорғау мен сақталуын немесе қауіпсіздік атрибуттарын ескермеуді қамтамасыз ету. |
15 | Ақпараттық ағындарды басқару саясаты | Пайдаланушының деректерін қауіпсіздік сервисінің физикалық бөлінген бөліктері арасында жіберген кезде оларды ашуға, түрлендіруге және/немесе қолжетімді болуына жол бермеуді қамтамасыз ету. |
16 | Ақпараттық ағындарды басқару функциялары | Деректер қоймасында қамтылған ақпаратты бақылаусыз таратуға жол бермеу мақсатында оған қолжетімділікті ұйымдастыру және қамтамасыз ету (БҚ сенімсіз болған жағдайда жариялаудан немесе түрлендіруден сенімді қорғауды іске асыру үшін ақпараттық ағындарды басқару). |
17 | Деректерді ОҚФ әрекетінен тыс жерден импорттау | Пайдаланушының деректерін олардың талап етілетін қауіпсіздік және қорғау атрибуттары болатындай етіп СО жіберуге арналған тетіктердің болуы. |
18 | СО шегінде жіберу | Пайдаланушының деректерін ішкі арна бойынша СО түрлі бөліктері арасында жіберген кезде қорғаудың болуы. |
19 | Қалған ақпаратты қорғау | Қалған ақпаратты толық қорғауды қамтамасыз ету, яғни ресурс босаған кезде алдыңғы жай-күйінің қолжетімсіздігін қамтамасыз ету. |
20 | Ағымдағы жай-күйін кері қалпына келтіру | Кейбір шектелген (мысалы, уақыт аралығымен) соңғы операцияны немесе бірқатар операцияны жою және алдыңғы белгілі жай-күйге қайту мүмкіндігінің болуы. Кері қалпына қайтару пайдаланушы деректерінің тұтастығын сақтау үшін операцияның немесе бірнеше операция нәтижелерін жоюға мүмкіндік береді. |
21 | Сақталатын деректердің тұтастығы | Пайдаланушының деректерін ОҚФ шегінде сақтаған кезде олардың қорғалуын қамтамасыз ету. |
22 | ОҚФ арасында жіберген кезде пайдаланушы деректерінің құпиялылығын қорғау | Пайдаланушының деректерін ОҚФ арасында сыртқы арна немесе АТ басқа сенімді өнімі бойынша жіберген кезде олардың құпиялылығын қамтамасыз ету. Құпиялылық деректерді екі соңғы нүкте арасында жіберген кезде оларға рұқсатсыз қол жеткізуді болдырмау жолымен жүзеге асырылады. Соңғы нүктелер ОҚФ немесе пайдаланушы бола алады. |
23 | ОҚФ арасында жіберген кезде пайдаланушы деректерінің тұтастығын қорғау | Пайдаланушының деректерін ОҚФ және АТ басқа сенімді өнімі арасында жіберген кезде олардың тұтастығы, сондай-ақ айқындалған қателер кезінде оларды қалпына келтіру мүмкіндігі қамтамасыз етілуі тиіс. |
Сәйкестендіру және теңестіру | ||
24 | Теңестіруден бас тарту | Сәтсіз теңестіру талаптарының белгілі санына келгенде әкімшінің субъектіге қол жеткізуге рұқсат бермеу, тіркеу журналына жазба енгізуді генерациялау мен әкімшіге қауіпсіздіктің ықтимал бұзушылық туралы сигнал беру мүмкіндігінің болуы. |
25 | Пайдаланушының атрибуттарын айқындау |
Әрбір пайдаланушы үшін, ең болмаса, келесі қауіпсіздік атрибуттарын қолдау қажет: |
26 | Құпиялардың ерекшелігі | Егер теңестірілген ақпарат криптографиялық операциялармен қамтамасыз етілсе, сондай-ақ ашық және құпия кілттеріне қолдау көрсетілуі қажет. |
27 | Пайдаланушыны теңестіру | ОҚФ ұсынатын пайдаланушы теңестіру тетіктерінің болуы. |
28 | Пайдаланушыны сәйкестендіру |
1) Қауіпсіздік сервисі осы пайдаланушының атынан орындайтын кез келген іс-қимыл аяқталғанға дейін әрбір пайдаланушы сәтті сәйкестендірілуге және теңестіруді; |
29 | Пайдаланушы-субъект байланыстырушы | Пайдаланушының тиісті қауіпсіздік атрибуттарын осы пайдаланушы атынан әрекет ететін субъектілермен байланыстыру керек. |
Қауіпсіздікті басқару | ||
30 | ОҚФ жеке функцияларын басқару | Жұмыс істеу, ажырату, қосу, сәйкестендіру мен теңестіру режимдерін түрлендіру, қолжетімділік, хаттамалау және аудит құқығын басқару режимдерін анықтауға әкімшінің жеке құқығының болуы. |
31 | Қауіпсіздік атрибуттарын басқару | Қауіпсіздіктің түсіндірілетін мәндерін өзгертуге, сұрастыруға, атрибуттарын өзгертуге, жоюға, құруға әкімшінің жеке құқығының болуы. Бұл ретте, қауіпсіздік атрибуттарына тек қана қауіпсіздік мәндер беруді қамтамасыз ету қажет. |
32 | ОҚФ деректерін басқару | Тіркелетін оқиғалардың түсіндірілетін мәндерін өзгертуге, сұрастыруға, өзгертуге, жоюға, тазалауға, түрлерін анықтауға, тіркеу журналдарының өлшемін, субъектілердің қол жеткізу құқықтарын, қол жеткізу субъектілерінің есептік жазбаларының, парольдерінің, криптографиялық кілттерінің жарамдылық мерзімдерін өзгертуге әкімшінің жеке құқығының болуы. |
33 | Қауіпсіздік атрибуттарын жою | Уақыттың кейбір сәттерінде қауіпсіздік атрибуттарын бұзуды жүзеге асырудың болуы. Пайдаланушылармен байланыстырылған қауіпсіздік атрибуттарын бұзу мүмкіндігі тек қана уәкілетті әкімшілерде болуы тиіс. Қауіпсіздік үшін маңызды өкілеттіктер дереу жойылуы тиіс. |
34 | Қауіпсіздік атрибутының қолданыс мерзімі | Қауіпсіздік атрибуттарының қолданыс мерзімін белгілеу мүмкіндігін қамтамасыз ету. |
35 | Қауіпсіздікті басқару рөлдері |
1) Ең болмаса, мынадай рөлдерді қолдауды қамтамасыз ету: уәкілетті пайдаланушы, қашықтықтан пайдаланушы, әкімші; |
ОҚФ қорғау | ||
36 | Іркіліс кезіндегі қауіпсіздік | Сервиспен аппараттық кідірістер кезінде (мысалы, электр қуатының іркілісінен орын алған) қауіпсіз жай-күйді сақтау. |
37 | ОҚФ экспортталатын деректерінің қолжетімділігі | Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер айқындалса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беруге тиіс. |
38 | ОҚФ экспортталатын деректерінің құпиялылығы | Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің құпиялылығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беру. |
39 | ОҚФ экспортталатын деректерінің тұтастығы | Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік беру. |
40 | ОҚФ деректерін СО шегінде жіберу | Деректерді олардың және АТ қашықтықтағы сенімді өнімі арасында жіберген кезде сервис барлық деректердің қолжетімділігін, құпиялылығы мен тұтастығын тексеруге және ақпаратты қайтадан жіберуді орындауға, сондай-ақ түрлендірулер анықталса, тіркеу журналына жазба енгізуді генерациялауға мүмкіндік береді. |
41 | ОҚФ физикалық қорғау | ОҚФ физикалық қорғауды жүзеге асыру. |
42 | Сенімді қалыпқа келтіру | Кідірулер немесе қызмет көрсету тоқтатылғаннан кейін автоматты түрде қалпына келтіру мүмкін болмаса, сервис қауіпсіз жай-күйге қайтаруға мүмкіндік беретін авариялық қолдау режиміне ауысады. Аппараттық кідірістерден кейін автоматты рәсімдерді қолданумен қауіпсіз жай-күйге кері қайту қамтамасыз етіледі. |
43 | Екінші рет пайдалануды анықтау | Сервистің теңестірілген деректердің қайтадан пайдаланылуын айқындауын, қол жеткізуге жол бермеуге, тіркеу журналына жазба енгізуін және әкімшіге қауіпсіздіктің ықтимал бұзылуы туралы сигнал беруін қамтамасыз ету. |
44 | Өтініштер беру кезіндегі делдалдық | Сервистің қауіпсіздік саясатын жүзеге асыратын функциялар сервистің кез келген басқа функциясын орындауға рұқсат етілгенге дейін шақырылып, сәтті орындалуын қамтамасыз ету. |
45 | Доменді бөлу | Қауіпсіздік функциялары оларды сенімсіз субъектілердің араласуы мен бұрмалауынан қорғайтын меншікті орындауға арналған жеке доменді қолдап отыру. |
46 | Жай-күйлерді синхрондау хаттамасы | Серверлерде ұқсас функцияларды орындаған кезде жай-күйлерді синхрондауды қамтамасыз ету. |
47 | Уақыт белгілері | Қауіпсіздік функцияларының пайдалануына сенімді уақыт белгілерін ұсыну. |
48 | ОҚФ арасындағы деректердің келісілушілігі | Тіркелетін ақпаратты, сондай-ақ қолданылатын криптографиялық операциялар параметрлерін келісімді түсіндіруді қамтамасыз ету. |
49 | СО шегінде қайталау кезінде ОҚФ деректерінің келісілушілігі | СО түрлі бөліктерінде қайталаған кезде қауіпсіздік функциялары деректерінің үйлесмілігін қамтамасыз ету. Қайталанатын деректерді қамтитын бөліктер ажыратылғанда, үйлесімділік көрсетілген қауіпсіздік функцияларына кез келген сұрауларды өңдеу алдындағы қосылуды қалпына келтіргеннен кейін қамтамасыз етіледі. |
50 | ОҚФ өзін-өзі тестілеу |
Іске қосу кезінде қауіпсіздік функциялары жұмысының дұрыстығын көрсету үшін қылыпты жұмыс процесінде және/немесе әкімшінің сұрауы бойынша мерзімді түрде өзін-өзі тестілеу пакетін орындау. |
Ресурстарды қолдану | ||
51 | Істен шығуға қарсы тұрушылық | Кідірулер кезінде де сынақ объектісінің функционалдық мүмкіндіктерінің қолжетімділігін қамтамасыз ету. Осындай кідірістердің үлгілері: қуат көзін ажырату, аппаратураның жұмыс істемей қалуы, БҚ іркілісі. |
52 | Қызмет көрсетудің басымдылығы | Пайдаланушылардың немесе субъектілердің өздерінің әрекет ету аясында ресурстарды пайдалануын сынақ объектісі шегіндегі басымдылығы жоғары операциялар басымдылығы төмен операциялар жағынан кедергісіз және кідіріссіз орындалатын етіп басқаруды қамтамасыз ету. |
53 | Ресурстарды бөлу | Басқа пайдаланушылардың немесе субъектілердің ресурстарды монополиялауы себепті қызмет көрсетуден рұқсатсыз бас тартуға жол бермеу үшін пайдаланушылардың және субъектілердің ресурстарды пайдалануын басқаруды қамтамасыз ету. |
СО-ға қолжетімлілік | ||
54 | Таңдалатын атрибуттардың аясын шектеу | Қолжетімділік әдісі немесе орны және/немесе уақыты негізінде (мысалы, тәулік уақыты, апта күні) қол жеткізу жүзеге асырылып отырылған порттан пайдаланушы таңдай алатын қауіпсіздік атрибуттарымен қатар пайдаланушы байланыста болуы мүмкін субъектілердің атрибуттарын да шектеу. |
55 | Қатарлас сеанстарды шектеу | Бір пайдаланушыға ұсынылатын қатарлас сеанстардың барынша көп санын шектеу. Бұл шаманың ұйғарынды мәнін әкімші белгілейді. |
56 | Сеансты бұғаттау | Пайдаланушы әрекетсіздігі ұзақтығының әкімші белгілеген мәні аяқталғаннан кейін жұмыс сеансы мәжбүрлі аяқтау. |
57 | СО-ға қол жеткізуге рұқсат беру алдында алдын алу | Сәйкестендіруге және теңестіруге дейін әлеуетті пайдаланушылар үшін сынақ объектісінің пайдаланудың сипатына қатысты ескерту хабарламасын көрсету мүмкіндігін қамтамасыз ету. |
58 | СО-ға қолжетімділік тарихы | Сеансты сәтті ашқан кезде пайдаланушы үшін осы пайдаланушы атынан қолжетімділікті алудың сәтсіз әрекеттерінің тарихын алу мүмкіндігін қамтамасыз ету. Бұл тарих қол жеткізу мерзімін, уақытын, құралдарын және СО соңғы рет сәтті қолжетімділік портын, сондай-ақ сәйкестендірілген пайдаланушының соңғы сәтті қол жеткізуінен кейінгі СО сәтсіз қол жеткізу әрекеттерінің санын қамтуы мүмкін. |
59 | СО-мен сеансты ашу | Субъектіні сәйкестендіргішке, субъектінің пароліне, субъектінің қолжетімділік құқықтарына негізделе отырып, сервистің сеансты ашуға жол бермеуге қабілеттігін қамтамасыз ету. |
Зиянды кодтан қорғау функциялары | ||
60 | Вирустарға қарсы қорғау құралдарының болуы | Зиянды кодтан қорғану үшін серверлерден, қажеттілік туындаған жағдайда сынақ объектісінің жұмыс станцияларынан зиянды кодты анықтау және бұғаттау немесе жою, мониторинг құралдарын қолдану. |
61 | Вирустарға қарсы қорғау құралдарына арналған лицензия | Серверлерге және жұмыс станцияларына вирустарға қарсы қорғау құралдарының лицензиялары (сатып алынған, шектелген, еркін таратылатын) болуы тиіс. |
62 | Вирустарға қарсы қорғау сигнатуралары базасын және бағдарламалық қамтылымды жаңарту | Вирустарға қарсы қорғау құралдарының ұдайы жаңартылып, өзекті күйде болуын қамтамасыз ету. |
63 | Вирустарға қарсы қорғау құралдарына қолжетімділікті басқару | Вирустарға қарсы қорғау құралдарын орталықтандырылған басқару мен конфигурациялауды жүзеге асыру. |
64 | Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан вирустарға қарсы құралдарымен қорғауды басқару | Сыртқы электрондық тасығыштардағы ақпаратты зиянды кодтан қорғау файлдардың, қажет болса ақпарат тасығыштардың тексерісін және бұғатталуын қамтамасыз ету. |
БҚ жаңартылуы кезіндегі қауіпсіздік | ||
65 | БҚ ұдайы жаңартылуы | Серверлер мен жұмыс станцияларының жалпыжүйелік және қолданбалы БҚ ұдайы жаңартылуын қамтамасыз ету. |
66 | Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ жаңартылуы | Интернеттегі жаңарту серверлеріне рұқсатсыз желілік ортадағы БҚ мамандандырылған арнайы жаңарту серверінен жаңартылуын қамтамасыз ету. |
Қолданбалы БҚ-ға өзгеріс енгізу кезіндегі қауіпсіздік | ||
67 | Қолданбалы БҚ әзірлеу және тестілеу ортасы | Қолданбалы БҚ-ны өнеркәсіптік пайдалану ортасынан оқшауландырылған қолданбалы БҚ әзірлеу және тестілеу үшін ортаның болуын қамтамасыз ету. |
68 | Қолданбалы БҚ әзірлеу және тестілеу ортасына қол жеткізудің аражігін ажырату | Бағдарламашылар мен әкімшілер үшін қолданбалы БҚ әзірлеу және тестілеу орталарына қол жеткізуді басқаруын қамтамасыз ету. |
69 | Қолданбалы БҚ өрістету жүйесі | Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ өрістету (тарату) жүйесінің болуы. |
70 | Қолданбалы БҚ өрістету жүйесіне қол жеткізудің аражігін ажырату | Өнеркәсіптік пайдалану ортасындағы серверлер мен жұмыс станцияларындағы қолданбалы БҚ ажырату (тарату) жүйесіне қол жеткізуді басқаруды қамтамасыз ету. |
Желілік инфрақұрылымды қорғау функцияларының тізбесі
р/с № | Функциялардың атауы | Функциялардың мазмұны |
1 | 2 | 3 |
1 | Сәйкестендіру және теңестіру | Уәкілетті персоналға қосу арқылы қолжетімділікті шектеу жолымен (ұйым ішінде немесе одан тыс жерде) желілік инфрақұрылым ұсынатын сервистердің қауіпсіздігін және тиісті деректердің сақталуын қамтамасыз ету. |
2 | Аудиттерді белгілеу (желілік қосылулардың қауіпсіздігіне байланысты оқиғалар туралы есептер қалыптастыру және олардың бар болуы) | Күдікті және нақты оқиғаларды мұқият шолу мүмкіндігінің болуы үшін аудитті жүргізу барысындағы іркіліс жағдайлары мен нақты оқиғалары бойынша жеткілікті ақпаратты белгілеу керек. |
3 | Басып кіруді анықтау | Басып кіруді болжауға (телекоммуникация желілеріне ықтимал басып кіру), оларды нақты уақыт масштабында айқындауға және тиісті алаңдаушылықты туғызуға мүмкіндік беретін құралдардың бар болуын қамтамасыз ету. |
4 | Желілік қауіпсіздікті басқару | Дистанционды диагностиканың барлық порттарына (виртуалды және физикалық) заңсыз қол жетімділіктен сақтануды қамтамасыз ететін желілік ресурстарды қорғауды басқару бойынша шаралардың болуы. Желілер арасындағы байланыс үшін қауіпсіздік шлюздерінің болуы. |
5 | Желіаралық экрандар | Әрбір желіаралық экран үшін сервистерге қолжетіміділік саясатын (қауіпсіздік) белгілейтін жеке құжат әзірлеу және осы қосылу арқылы тек қане рұқсат етілген трафиктің өтуіне кепілдік беру үшін оны әрбір қосылуда жүзеге асыру қажет. |
6 | Желілер арқылы жіберілетін деректердің тұтастығын, құпиялығын сақтау | Деректер құпиялығын және тұтастығын сақтау маңызды болған жағдайларда желілік қосылым арқылы өтетін ақпаратты шифрлау үшін қорғаныстың криптографиялық шараларын көздеген жөн. |
7 | Ақпарат алмасу бойынша жасалған іс-қимылдардан бас тартпаушылық |
Ақпаратты желі бойынша жіберудің растауын ұсыну талап етілетін жағдайда, мынадай қорғау шараларын қолданылды: |
8 | Үздіксіз жұмыс және қалыпқа келуді қамтамасыз ету | Әрбір іскерлік операцияның үзілуден кейінгі керекті уақыт итервалында қалыпқа келу қабілетін қамтамасыз ету жолымен төтенше жағдайлар кезіндегі үзілген бизнес функцияларының жалғасуын қамтамасыз ететін қорғаныс шараларының болуы. |
9 | Сенімді арна |
1) Қашықтықтағы сенімді АТ-өнімімен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестірудің, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсыну; |
10 | Сенімді бағдар |
1) Қашықтықтағы пайдаланушымен байланыс үшін қауіпсіздік функциялары басқалардан логикалық ерекшеленетін және оның тараптарының сенімді теңестіретін, сондай-ақ деректерді түрлендіру мен ашудан қорғауды қамтамасыз ететін арна ұсыну; |
Ақпараттық қауіпсіздікті қамтамасыз ету процестерінің тізбесі мен олардың мазмұны
р/с № | Процестердің атауы | АҚ қамтамасыз ету процестерінің мазмұнына қойылатын талап |
1 | 2 | 3 |
1 | Ақпараттық-коммуникациялық технологиялармен байланысты активтерді басқару |
1. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидаларында айқындалған активтерді сәйкестендіру тәртібіне сәйкес активтерді сәйкестендіру; |
2 | Ақпараттық қауіпсіздікті ұйымдастыру |
1. Ақпараттық технологиялар бөлімшесінен жекеленген жоғары басшылыққа тікелей бағынысты ақпараттық қауіпсіздік бөлімшесінің немесе ақпараттық қауіпсіздікке жауапты қызметкердің болуы; |
3 | Персоналға байланысты қауіпсіздік |
1. Жұмысқа қабылдау кезінде үміткерлерді алдын ала тексеру; |
4 | АҚ оқиғаларының мониторингі және АҚ оқыс оқиғаларын басқару |
1. Пайдаланушылардың, операторлардың, әкімшілердің іс-қимылдарын және операциялық жүйелердің, дерекқорын басқару жүйелерінің, вирусқа қарсы БҚ, қолданбалы БҚ, телекоммуникациялық жабдықтың, шабуылдарды айқындау мен болдырмау жүйелерінің, контентті басқару жүйесінің оқиғаларын тіркеу; |
5 | АҚ үздіксіздігін басқару |
1. Ақпараттық қауіпсіздіктің үздіксіздігін жоспарлау; |
6 | Желілік қауіпсіздікті басқару |
1. Желілік қауіпсіздікті басқару рәсімдерін айқындау, құжаттау, қызметкерлердің және сырттан тартылатын орындаушылардың назарына жеткізу, орындау; |
7 | Криптографиялық қорғау әдістері |
1. Криптографиялық кілттерді жасау, есепке алу, сақтау, беру, пайдалану, қайтару (жою), қорғау мәселелерін қамтитын криптографиялық кілттерді басқарудың заңнама талаптары ескеріліп реттелуі; |
8 | Ақпараттық қауіпсіздік тәуекелдерін басқару |
1. Тәуекелдерді басқару әдістемесін таңдау; |
9 | Қолжетімділікті басқару |
1. Ақпаратқа, қолданбалы жүйелердің функцияларына, қызметтерге, жүйелік БҚ, желілер мен желілік сервистерге қол жеткізу құқықтарын бөлу қағидаларын әзірлеу (өзектілендіру), құжаттау, пайдаланушыларды таныстыру; |
10 | Физикалық қауіпсіздік және табиғи қатерлерден қорғау |
1. Заңнама талаптарын ескере отырып, серверлік, телекоммуникациялық жабдықты, деректерді сақтау жүйелерін орналастыру; |
11 | АҚ қамтамасыз етуді пайдалану рәсімдері |
1. Ақпараттық қауіпсіздікті қамтамасыз етуді пайдалану рәсімдерін регламенттейтін нұсқалуықтарды әзірлеу (өзектілендіру), құжаттау, пайдаланушыларды таныстыру; |
12 | Заңнама және шарттық талаптарға сәйкестік |
1. Сынақ объектісіне қойылатын заңнама, нормативтік, өзге міндетті, шарттық талаптарды айқындау (өзектілендіру), құжаттау; |
13 | Жүйелерді сатып алу, әзірлеу және оларға қызмет көрсету |
1. Сынақ объектісіне арналған техникалық құжаттаманың құрамына ақпараттық қауіпсіздікке байланысты және қолданыстағы заңнама мен стандарттарға сәйкес келетін талаптарды енгізу (өзектілендіру); |
| Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3маусымдағы № 111 бұйрығына 2-қосымша |
"Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары
Ескерту. Қағида жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 № 121/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
1-тарау. Жалпы ережелер
1. Осы "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 5) тармақшасына және "Мемлекеттік көрсетілетін қызметтер туралы" 2013 жылғы 15 сәуірдегі Қазақстан Республикасы Заңының 10-бабының 1) тармақшасына сәйкес әзірленді және "электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу тәртібін айқындайды.
2. Осы Қағидаларда мынадай негізгі ұғымдар және қысқартулар пайдаланылады:
1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалу жай-күйі;
2) ақпараттық қауіпсіздік жөніндегі техникалық құжаттама (бұдан әрі – АҚ жөніндегі ТҚ) – Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға сәйкес әзірленген және сынақ объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі жалпы талаптарды, қағидаттар мен қағидаларды регламенттейтін құжаттар жиынтығы;
3) ақпараттық жүйе – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсететін персонал мен техникалық құжаттаманың ұйымдастырушылық ретке келтірілген жиынтығы;
4) бастапқы кодтар – сынақ объектісінің компакт-дискіде сәтті компиляциялануы үшін файлдар мен кітапханаларды қоса алғанда сынақ объектісінің модульдері мен компоненттерінің бастапқы кодтары;
5) бөлінген сынақ объектісі – бірдей архитектура бойынша құрылған, бірдей мақсаттарға арналған, бірдей функциялар атқаратын және бірдей қолданбалы бағдарламалық қамтылымды пайдаланатын көптеген, соның ішінде белгісіз, тораптардан тұратын сынақ объектісі;
6) интернет-ресурс – бірегей желілік мекенжайы бар және (немесе) домендік атауы бар және Интернетте жұмыс істейтін аппараттық-бағдарламалық кешенде орналастырылған ақпарат (мәтіндік, графикалық, аудиовизуалды немесе өзге түрде).
7) қызмет беруші – мемлекеттік техникалық қызмет немесе аккредиттелген сынақ зертханасы;
8) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;
9) өтініш беруші – сынақ объектісінің меншік иесі немесе иеленушісі, сондай-ақ сынақ объектісінің меншік иесі немесе иеленушісі өкілеттік берген "электрондық үкіметтің" ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;
10) сервистік бағдарламалық өнім – ақпараттық-коммуникациялық қызметті іске асыруға арналған бағдарламалық өнім;
11) сынақ зертханасы – сынақтарды жүзеге асыратын, техникалық реттеу туралы заңнамаға сәйкес аккредиттелген заңды тұлға немесе заңды тұлғаның атынан әрекет ететін құрылымдық бөлімшесі;
12) сынақ объектісі – оған қатысты ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өткізу жөніндегі жұмыстар жүргізілетін ақпараттандыру объектісі;
13) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы – мемлекеттік органның қызметін автоматтандыруға, оның ішінде мемлекеттік функцияларды автоматтандыруға және олардан туындайтын мемлекеттік қызметтерді көрсетуге арналған технологиялық платформа;
14) штаттық пайдалану ортасы – ақпараттандыру объектісін тәжірибелік пайдалану (пилоттық жоба) кезеңінде қолданылатын және өнеркәсіптік пайдалану кезеңінде қолдануға арналған серверлік жабдықтың, желілік инфрақұрылымның, жүйелік бағдарламалық қамтылымның нысаналы жиынтығы.
Ескерту. 2-тармаққа өзгеріс енгізілді – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 28.09.2020 № 356/НҚ (алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.3. Ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар міндетті түрде немесе меншік иесінің немесе иеленушінің бастамасы бойынша жүргізіледі.
4. Ақпараттық қауіпсіздік талаптарына сәйкестікке міндетті сынақ жүргізілетін сынақ объектілеріне мыналар жатады:
1) сервистік бағдарламалық өнім;
2) "электрондық үкіметтің" ақпараттық-коммуникациялық платформасы;
3) мемлекеттік органның интернет-ресурсы;
4) мемлекеттік органның ақпараттық жүйесі;
5) ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйе;
6) мемлекеттік электрондық ақпараттық ресурстарды қалыптастыруға, мемлекеттік функцияларды жүзеге асыруға және мемлекеттік қызметтерді көрсетуге арналған мемлекеттік емес ақпараттық жүйе.
5. Қазақстан Республикасы ұлттық куәландырушы органының электрондық цифрлық қолтаңбаның түпнұсқалылығын тексеру бойынша сервистерін пайдалануға арналған мемлекеттік органның ақпараттық жүйесі мен мемлекеттік емес ақпараттық жүйесіне ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өту талап етілмейді.
6. Объектілерді АҚ талаптарына сәйкестікке сынақтар (бұдан әрі – сынақтар) өткізу объектілерінің техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттық қауіпсіздік саласындағы стандарттардың талаптарына сәйкестігін бағалау бойынша жұмыстарды қамтиды және сынақтар объектісін пайдаланудың штаттық ортасында жүргізіледі.
7. Сервистік бағдарламалық өнімді және "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектілерін сынақтан өткізудің құрамына мынадай жұмыс түрлері кіреді:
1) бастапқы кодтарды талдау;
2) ақпараттық қауіпсіздік функцияларын сынау;
3) жүктемелік сынау;
4) желілік инфрақұрылымды зерттеп-қарау;
5) АҚ қамтамасыз ету процестерін зерттеп-қарау.
8. Сынақ объектісінің бастапқы коды болмаған немесе сынақтардың басқа түр(лер)ін жүргізу мүмкін болмаған жағдайда, сынақ объектісінің бастапқы кодына талдау немесе сынақтардың басқа түр(лер)ін жүргізудің міндетті еместігі туралы шешім өтінім берушінің сұрау салуы Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті (бұдан әрі – Комитет) шешімімен белгіленеді.
Комитет орган осы Қағидаларға 7-тармаққа сәйкес сынақтардың басқа түрлерін жүргізу кезеңінде өтініш берушінің сынақ объектісінің бастапқы кодына талдау немесе сынақтардың басқа түр(лер)ін жүргізбеу туралы сұрау салуының негізділігін тексеру туралы қызмет берушіге тапсырма беруге құқылы.
9. Сервистік бағдарламалық өнімді сынауға:
1) бастапқы кодтарын талдау;
2) ақпараттық қауіпсіздік функцияларын сынау;
3) жүктемелік сынау кіреді.
10. "Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынақтан өткізуге:
1) бастапқы кодтарды талдау;
2) ақпараттық қауіпсіздік функцияларын сынау;
3) желілік инфрақұрылымын зерттеп-қарау;
4) АҚ қамтамасыз ету процестерін зерттеп-қарау кіреді.
11. Біртекті бөлінген сынақ объектілеріне сынақтар бөлінген сынақ объектісінің орталық торап(тар)ы мен бөлінген сынақ объектісі тораптарының жалпы санының оннан бір бөлігінен кем емес санын құрайтын кейбір (өтініш берушімен келісу бойынша) жеке тораптары үшін жүргізіледі.
Біртекті бөлінген сынақ объектісінің орталық торап(тар)ы үшін сынақтар жұмыс түрлерінің толық құрамымен жүргізіледі.
Біртекті бөлінген сынақ объектісінің тораптары үшін жүргізілетін сынақтардың құрамына:
1) бастапқы кодтарды талдау;
2) ақпараттық қауіпсіздік функцияларын сынау кіреді.
12. Мемлекеттік техникалық қызмет "электрондық үкіметтің" ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақ жүргізеді.
13. Ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне ("электрондық үкіметтің" ақпараттандыру объектілері болып табылатындарды қоспағанда) жатқызылған ақпараттық жүйенің және "электрондық үкіметтің" ақпараттандыру объектілеріне жатқызылмаған өзге ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтарды аккредиттелген сынақ зертханалары жүргізеді.
14. Сынақ объектісінің басқа ақпараттандыру объектісімен интеграциялануы (қолданыстағы немесе жоспарлы) жағдайында, сынақтар сынақ объектісінің құрамына интеграциялауды қамтамасыз ететін компоненттер енгізу (интеграциялау модулі, ішкі интеграциялау жүйесі, интеграциялық шина немесе басқа) арқылы жүргізіледі.
2-тарау. Ақпараттандыру объектілеріне ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтарды мемлекеттік техникалық қызметте жүргізу тәртібі
15. Сынақтар жүргізу үшін өтініш беруші мынадай құжаттарды ұсына отырып, мемлекеттік техникалық қызметке қағаз тасымалдауышта ілеспе хатпен осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді:
1) шарттарға қол қоюға өкілеттік берілген тұлғаның атына сенімхаттың немесе заңды тұлғаның басшысын тағайындау туралы құжаттың көшірмесі (заңды тұлғалар үшін);
2) сынақ объектісінің меншік иесі немесе иеленушісі бекіткен қағаз тасымалдауышта осы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық;
3) меншік иесі немесе иеленушісі бекіткен компакт-дискіде ақпараттандыру объектісіне арналған техникалық тапсырма немесе техникалық ерекшелігі не ақпараттық-коммуникациялық көрсетілетін қызметті (сервистік бағдарламалық өнім үшін) жобалауға арналған тапсырма;
4) сәтті компиляция үшін қажетті сынақ объектілері компоненттерінің және кітапханалары мен файлдары бар модульдерінің бастапқы кодтары компакт-дискіде (қажет болған кезде);
5) осы Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының тізбесінің бекітілген көшірмелері электрондық түрде компакт-дискіде (қажет болған кезде);
6) иеленуші (меншік иесі) сынақтар жүргізу туралы өтінім беруге өтініш берушіге өкілеттік беретін құжат (қажет болған кезде).
16. Өтініш беруші сатып алуды мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған жағдайда, сынықтар жүргізуге өтінім ағымдағы жылдың 1 қарашасынан кешіктірмей қабылданады.
17. Мемлекеттік техникалық қызмет өтінімді алған күнінен бастап үш жұмыс күні ішінде осы Қағидаларға 15-тармақта көрсетілген құжаттардың толықтығын тексеруді жүзеге асырады.
18. Осы Қағидаларға 15-тармақта көрсетілген талаптарға сәйкес өтінім және қоса берілген құжаттар сәйкес келмеген жағдайда, өтінім қайтару себептерін көрсете отырып, өтініш берушіге кері қайтарылады.
19. Осы Қағидаларға 15-тармақта көрсетілген пакеттер топтамасы толық болған кезде мемлекеттік техникалық қызмет үш жұмыс күні ішінде өтініш берушіге:
1) сатып алуды өтініш беруші мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған кезде, сынақтар жүргізуге арналған шартқа техникалық ерекшеліктің жобасын жібереді. Өтініш беруші техникалық ерекшеліктің жобасын алған күнінен бастап үш жұмыс күні ішінде мемлекеттік сатып алу веб-порталына мемлекеттік сатып алу туралы шартты тікелей жасау арқылы бір көзден алу тәсілімен мемлекеттік сатып алу туралы шарттың жобасын орналастырады;
2) сатып алуды өтініш беруші мемлекеттік сатып алу веб-порталын қолданусыз жүзеге асырған кезде, сынақтар жүргізуге арналған шарттың екі данасын жібереді. Өтініш беруші жоғарыда көрсетілген шарттың екі данасын алған күнінен бастап бес жұмыс күні ішінде оларға қол қояды және шарттың бір данасын мемлекеттік техникалық қызметке қайтарады.
20. Егер өтініш беруші сатып алуды мемлекеттік сатып алу веб-порталы арқылы жүзеге асырған болса және 15 қарашаға дейінгі мерзімде мемлекеттік сатып алу веб-порталында мемлекеттік сатып алу туралы шартты орналастырмаған жағдайда, өтінім жойылады және өтініш берушіге қайтарылады
21. Сынақтар мерзімі өтініш берушімен келісіледі және сынақтар жүргізу бойынша жұмыстардың көлемі мен сынақ объектісінің сыныптау сипаттамаларына байланысты болады.
Сынақтар мерзімін келісу мүмкін болмаған жағдайда, өтінім сынақтар мерзімін айқындау үшін Комитетке жүгіну мүмкіндігі көрсетіліп, қанағаттандырусыз өтініш берушіге кері қайтарылады.
22. Сынақтар жүргізу үшін өтініш беруші мемлекеттік техникалық қызметке мыналарды қамтамасыз етеді:
1) жұмыс орнын, пайдаланушының жұмыс орнына, серверлік және желілік жабдыққа, сынақ объектісінің телекоммуникациялық желісіне және сынақ объектісінің құжаттамасы мен ілеспе құжаттамасына, соның ішінде сынақ объектісі мен сынақ объектісінің құрамына кіретін компоненттерді сүйемелдеуге және техникалық қолдап отыруға арналған шарттарға қолжетімділік;
2) сынақ объектісінің функцияларын техникалық құжаттама талаптарына сәйкес көрсету.
23. Өтініш берушінің осы Қағидаларға 22-тармақта көрсетілген талаптарын қамтамасыз ету мүмкінсіздігі жағдайында, шартқа оны орындау мерзімін ұзарту туралы қосымша келісімге қол қоюды ескере отырып, сынақтар Өтініш берушіге оларды қамтамасыз ету үшін қажетті уақытқа тоқтатылады.
24. Сынақтар "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.
25. Сынақтар жүргізу кезінде осы Қағидаларға 15-тармақтың 3) тармақшасына сәйкес ұсынылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақ объектісінің нақты жай-күйі арасында айырмашылық айқындалған жағдайда, өтініш беруші мемлекеттік техникалық қызметке сынақ объектісі меншік иесінің немесе иеленушісінің лауазымды тұлғасының қолымен және мөрімен бекітілген сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты жібереді. Сынақ объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулық (қажет болған кезде) сынақ мерзімін ұзартуға және сынақтар жүргізу құнын өзгеруге қосымша келісім жасаудың негіздемесі болып табылады.
26. Қажет болған кезде, сынақтар кезінде сынақ мерзімі аяқталғанға дейін жұмыстардың бір немесе бірнеше түрі бойынша қайтадан сынақтар жүргізу қажеттілігі айқындалса, өтініш беруші сұрау салумен мемлекеттік техникалық қызметке жүгінеді және осы жұмыс түрлері бойынша қайтадан сынақ жүргізу туралы қосымша келісім жасалады.
27. Сынаққа кіретін әрбір жұмыс түрінің нәтижелері және анықталған сәйкессіздіктерді жою жөніндегі ұсынымдар екі данада ресімделетін жеке хаттамаға енгізіліп, біреуі өтініш берушіге беріледі.
28. Мемлекеттік техникалық қызметтің сынақтарға кіретін жұмыстардың әрбір түрін жүргізуінің бағалары Заңның 14-бабының 2-тармағына сәйкес белгіленеді.
29. Сынақтар жүргізу құнын есептеу үшін өтініш беруші мемлекеттік техникалық қызметке сынақ объектісінің меншік иесі немесе иеленушісі бекіткен сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықты жібереді.
30. Егер өтініш беруші сынақ кезінде анықталған сәйкессіздіктерді атқарылған жұмыстар бойынша сынақ хаттамаларын алған күнінен бастап жиырма жұмыс күні ішінде жойса және айқындалған сәйкессіздіктерді түзету нәтижелерімен салыстыру кестесін және осы Қағидаларға 5-қосымшаға сәйкес сынақ объектісінің бастапқы кодтарын қабылдау-тапсыру актісін қоса бере отырып, мемлекеттік техникалық қызметке қайтадан сынақтар жүргізуге сұрау салу жіберсе, мемлекеттік техникалық қызмет өтініш берушіден хабарламаны алған күннен бастап он бес жұмыс күні ішінде аталған жұмыс түрлері бойынша тиісті құжаттарды ресімдей отырып, ақысыз негізде қайтадан сынақтар жүргізеді.
Белгіленген мерзімді өткізіп алу сынақтарды осы Қағидаларда белгіленген жалпы тәртіпте жүргізу үшін негіздеме болып табылады.
31. Сынақ объектісінің бағдарламалық қамтылымына өзгерістер енгізуге байланысты сәйкессіздіктерді жойғаннан кейін қайтадан сынақ жүргізген кезде бастапқы кодты талдау бұрын сәйкессіздіктер айқындалмай орындалғанына қарамастан, міндетті тәртіппен жүргізіледі. Бұл ретте өтініш беруші қайтадан сынақтар жүргізу туралы сұрау салуға сынақ объектісінің компакт-дискіге сәтті компиляциясы үшін қажетті кітапханалары мен файлдары бар сынақ объектісі компоненттерінің және модульдерінің бастапқы кодтарын және осы Қағидаларға 5-қосымшаға сәйкес сынақ объектісінің бастапқы кодтарын қабылдау-тапсыру актісін қоса береді.
32. Қайтадан сынақтар жүргізген кезде сәйкессіздіктер анықталған жағдайда, мемлекеттік техникалық қызмет теріс қорытынды бар хаттаманы ресімдейді, одан кейін сынақтар осы Қағидаларға 2-тарауда белгіленген тәртіппен жүргізіледі.
33. Сынақ хаттамаларын жоғалтқан, бүлдірген немесе олар зақымдалған кезде, сондай-ақ сынақ обьектілері үшін бұдан бұрын теріс нәтижемен алынған хаттамалар бір немесе бірнеше жұмыс түрлері бойынша сауалнама-сұраулықтағы деректер өзгерген жағдайда сынақ обьектісінің меншік иесі немесе иеленушісі мемлекеттік техникалық қызметке себептерін көрсете отырып, хабарлама жібереді.
Мемлекеттік техникалық қызмет хабарламаны алған күннен бастап бес жұмыс күні ішінде бұрын берілген сынақ хаттамасының (лардың) телнұсқасын не өзектендірілген сауалнама-сұраулығы бар сынақ хаттамасының (лардың) телнұсқасын береді.
3-тарау. Ақпараттандыру объектілеріне ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтарды сынақ зертханаларында жүргізу тәртібі
34. Сынақтарды сынақ зертханаларында жүргізуге шарттар жасау тәртібі Қазақстан Республикасының Азаматтық кодексіне сәйкес айқындалады.
35. Сынақтар жүргізу үшін өтініш беруші мынадай құжаттарды ұсына отырып, мемлекеттік техникалық қызметке қағаз тасымалдауышта ілеспе хатпен осы Қағидаларға 1-қосымшаға сәйкес нысан бойынша сынақтар жүргізуге өтінім (бұдан әрі – өтінім) береді:
1) шарттарға қол қоюға уәкілеттік берілген тұлғаның атына сенімхаттың немесе заңды тұлғаның басшысын тағайындау туралы құжаттың көшірмесі (заңды тұлғалар үшін);
2) сынақ объектісінің меншік иесі немесе иеленушісі бекіткен қағаз тасымалдауышта осы Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық;
3) меншік иесі немесе иеленушісі бекіткен компакт-дискіде ақпараттандыру объектісіне арналған техникалық тапсырма немесе техникалық ерекшелігі (қажет болған кезде);
4) сәтті компиляция үшін қажетті сынақ объектілері компоненттерінің және кітапханалары мен файлдары бар модульдерінің бастапқы кодтары компакт-дискіде (қажет болған кезде);
5) осы Қағидаларға 3-қосымшаға сәйкес сынақ объектісінің ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының тізбесінің бекітілген көшірмелері электрондық түрде компакт-дискіде (қажет болған кезде);
6) иеленуші немесе меншік иесі сынақтар жүргізу туралы өтінім беруге өтініш берушіге өкілеттік беретін құжат (қажет болған кезде).
36. Сынақтар "Электрондық үкіметтің" ақпараттандыру объектілеріне және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелерге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесіне сәйкес жүргізіледі.
37. Егер өтініш беруші сынақ кезінде анықталған сәйкессіздіктерді атқарылған жұмыстар бойынша сынақ хаттамаларын алған күнінен бастап жиырма жұмыс күні ішінде жойса және айқындалған сәйкессіздіктерді түзету нәтижелерімен салыстыру кестесін қоса бере отырып, қызмет берушіге қайтадан сынақтар жүргізуге сұрау салу жіберсе, қызмет беруші өтініш берушіден хабарламаны алған күннен бастап он бес жұмыс күні ішінде аталған жұмыс түрлері бойынша тиісті құжаттарды ресімдей отырып, өтеусіз негізде қайтадан сынақтар жүргізеді.
Белгіленген мерзімді өткізіп алу осы Қағидаларда белгіленген жалпы тәртіпте сынақтар жүргізу үшін негіздеме болып табылады.
38. Қайтадан сынақтар жүргізген кезде сәйкессіздіктер анықталған жағдайда, қызмет беруші теріс қорытынды бар хаттаманы ресімдейді, одан кейін сынақтар осы Қағидалардың 3-тарауында белгіленген тәртіппен жүргізіледі.
39. Сынақтар хаттамалары жоғалған, бүлінген немесе зақымдалған кезде сынақ объектісінің меншік иесі немесе иеленушісі себептерін көрсете отырып, қызмет берушіге хабарлама жібереді.
Қызметті беруші хабарламаны алған күнінен бастап бес жұмыс күні ішінде сынақтар хаттамаларының телнұсқасын береді.
4-тарау. Ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша акт беру тәртібі
40. Осы Қағидаларға 4-қосымшаға сәйкес нысан бойынша ақпарттық қауіпсіздік талаптарына сәйкестікке сынақтардың нәтижелері бойынша актіні (бұдан әрі – сынақтар актісін) Комитет (бұдан әрі – көрсетілетін қызметті беруші) береді.
Ақпараттық қауіпсіздік талаптарының сәйкестігіне сынақ нәтижелері бойынша актіні беру" мемлекеттік көрсетілетін қызмет (бұдан әрі – мемлекеттік көрсетілетін қызмет) болып табылады.
Мемлекеттік қызмет көрсету ерекшеліктері ескеріле отырып, қызмет көрсету процесінің сипаттамаларын, нысанын, мазмұны мен нәтижесін, сондай-ақ өзге де мәліметтерді қамтитын мемлекеттік қызмет көрсетуге қойылатын негізгі талаптар тізбесі мемлекеттік қызмет көрсету стандартында осы Қағидаларға 6-қосымшаға сәйкес жазылған.
41. Мемлекеттік қызмет көрсету үшін қажетті құжаттар тізімі:
1) көрсетілетін қызметті берушіге жүгінген кезінде (немесе сенімхат бойынша оның өкілі):
сынақтар объектісін сынақтан өткізу кезінде Сервистік бағдарламалық өнімді және "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша Сынақтар актісін алу туралы өтініш (бұдан әрі – өтініш);
бастапқы кодтарды талдау хаттамасы;
ақпараттық қауіпсіздік функцияларын сынау хаттамасы;
жүктемелік сынау хаттамасы;
желілік инфрақұрылымды зерттеп-қарау хаттамасы;
АҚ қамтамасыз ету процестерін зерттеп-қарау хаттамасы;
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен, Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық.
Сервистік бағдарламалық өнімді сынау кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш;
бастапқы кодтарын талдау хаттамасы ақпараттық қауіпсіздік функцияларын сынау хаттамасы;
жүктемелік сынау хаттамасы;
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидалардың 2-қосымшасына сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық.
"Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынақтан өткізу кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш;
бастапқы кодтарды талдау хаттамасы;
ақпараттық қауіпсіздік функцияларын сынау хаттамасы;
желілік инфрақұрылымын зерттеп-қарау хаттамасы;
АҚ қамтамасыз ету процестерін зерттеп-қарау хаттамасы;
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидаларға 2-қосымшасға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық.
Біртекті бөлінген сынақ объектісінің тораптары үшін жүргізілетін сынақтар кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш;
бастапқы кодтарды талдау хаттамасы;
ақпараттық қауіпсіздік функцияларын сынау хаттамасы;
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық.
2) портал үшін:
сынақтар объектісін сынақтан өткізу кезінде Сервистік бағдарламалық өнімді және "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш;
бастапқы кодтарды талдау хаттамасының электрондық көшірмесі;
ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі;
жүктемелік сынау хаттамасының электрондық көшірмесі;
желілік инфрақұрылымды зерттеп-қарау хаттамасының электрондық көшірмесі;
ақпараттық қауіпсіздіктің қамтамасыз ету процестерін зерттеп-қарау хаттамасының электрондық көшірмесі;
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидалардың 2-қосымшасына сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық электрондық көшірмесі.
Сервистік бағдарламалық өнімді сынау кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш;
бастапқы кодтарын талдау хаттамасының электрондық көшірмесі;
ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі;
жүктемелік сынау хаттамасының электрондық көшірмесі;
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидалардың 2-қосымшасына сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың электрондық көшірмесі.
"Электрондық үкіметтің" ақпараттық-коммуникациялық платформасын сынақтан өткізу кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш;
бастапқы кодтарды талдау хаттамасының электрондық көшірмесі;
ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі;
желілік инфрақұрылымын зерттеп-қарау хаттамасының электрондық көшірмесі;
АҚ қамтамасыз ету процестерін зерттеп-қарау хаттамасының электрондық көшірмесі;
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық электрондық көшірмесі.
Біртекті бөлінген сынақ объектісінің тораптары үшін жүргізілетін сынақтар кезінде:
Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш;
бастапқы кодтарды талдау хаттамасының электрондық көшірмесі;
ақпараттық қауіпсіздік функцияларын сынау хаттамасының электрондық көшірмесі.
сынақ объектісінің меншік иесі немесе иеленушісі бекіткен Қағидаларға 2-қосымшаға сәйкес сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың электрондық көшірмесі.
42. Сынақтар актісін алу үшін өтініш беруші (бұдан әрі – көрсетілетін қызметті алушы) көрсетілетін қызметті берушіге қағаз нысанда не "электрондық үкіметтің" веб-порталы (бұдан әрі – портал) арқылы сынақтар объектісінің иеленушісі немесе меншік иесі бекіткен осы Қағидаларға 2-қосымшаға сәйкес сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықты (бұдан әрі – сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулық) қоса бере отырып, осы Қағидалардың 7-11-тармақтарында айқындалған хаттамалардың толық жинағымен осы Қағидаларға 7-қосымшаға сәйкес нысан бойынша өтініш жібереді.
көрсетілетін қызметті алушы көрсетілетін қызметті берушіге барлық қажетті құжаттарды тапсыру кезінде көшірменің алынған күні, көрсетілетін қызметті берушінің кеңсе қызметкерінің тегі, аты, әкесінің аты (бар болса) және құжаттар топтамасын қабылдау уақыты қағаз нысандағы өтініштің қабылданғаны туралы белгі болып табылады.
Портал арқылы жүгінген жағдайда – мемлекеттік қызмет көрсету нәтижесі алынған күні көрсетіліп, көрсетілетін қызметті алушының "жеке кабинетінде" мемлекеттік қызмет көрсету туралы сұрауының мәртебесі көрсетіліп тұрады.
Көрсетілетін қызметті беруші өтініш келіп түскен күні оларды қабылдауды және тіркеуді жүзеге асырады (өтініш беруші жұмыс уақыты аяқталғаннан кейін демалыс немесе мереке күндері жүгінген кезде, Қазақстан Республикасының еңбек заңнамасына сәйкес өтініштерді қабылдау келесі жұмыс күні жүзеге асырылады).
Көрсетілетін қызметті беруші құжаттарды алған сәттен бастап екі жұмыс күні ішінде ұсынылған құжаттардың толықтығын тексереді.
Ұсынылған құжаттардың толық болмау фактісі және (немесе) қолданылу мерзімі өткен құжаттардың болуы анықталған жағдайда, көрсетілетін қызметті беруші белгіленген мерзімде өтінішті одан әрі қараудан дәлелді бас тарту туралы жауап береді.
Бұл ретте сынақ актісіне енгізу үшін сынақтың жеке түрі бойынша хаттаманың қолдану мерзімі хаттама берілген күннен бастап бір жылдан аспайды.
Жеке басты куәландыратын құжаттар туралы мәліметтерді, заңды тұлғаны мемлекеттік тіркеу (қайта тіркеу) туралы куәлікті көрсетілетін қызметті беруші тиісті мемлекеттік ақпараттық жүйелерден "электрондық үкімет" шлюзі арқылы алады.
Қағаз нысанда келіп түскен өтініштерді оларды тіркеген күні көрсетілетін қызметті беруші Е-лицензиялау мемлекеттік деректер қорының ақпараттық жүйесіне енгізеді.
43. Сынақ хаттамаларының оң нәтижелері кезінде өтініш тіркелген күнінен бастап он жұмыс күні ішінде қаралады. Осы Қағидалардың 7-11-тармақтарында айқындалған сынақтар хаттамаларының толық жиынтығы негізінде көрсетілетін қызметті беруші жеті жұмыс күні ішінде сынақ хаттамаларын зерделейді және көрсетілетін қызметті берушіге ұсынылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулық деректерін, сынақ хаттамаларына қоса берілген сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректерімен салыстырып, айырмашылықтарын белгілейді.
Сынақ хаттамаларын зерделеу және сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректеріндегі айырмашылықты белгілеу қорытындылары бойынша көрсетілетін қызметті беруші бір жұмыс күні ішінде мынадай:
1) сынақтар актісін беру туралы;
2) сынақтар актісін беруден бас тарту туралы шешімдердің бірін қабылдайды.
Сынақтар актісін беру туралы оң шешім қабылданған жағдайда:
өтініш қағаз нысанында берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды және тиісті мәліметтерді сынақтар актілерінің тізіліміне енгізеді;
портал арқылы өтініш берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақ актісінің ажырамас бөлігі болып табылатын сынақ объектісінің сипаттамасы туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін көрсетілетін қызметті берушінің уәкілетті адамы электрондық цифрлық қолтаңбасымен (бұдан әрі – ЭЦҚ) қолы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.
Сынақтар актісін беруден бас тарту туралы шешім қабылданған жағдайда:
өтініш қағаз нысанында берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісін беруден бас тарту туралы дәлелді жауапты қағаз нысанында жолдайды;
өтініш портал арқылы берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісін беруден бас тарту туралы дәлелді жауапты көрсетілетін қызметті берушінің уәкілетті адамы электрондық цифрлық қолтаңбасымен (бұдан әрі – ЭЦҚ) қолы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді
44. Бір немесе бірнеше сынақ хаттамаларының теріс нәтижелері кезінде өтініш тіркелген күннен бастап он бес жұмыс күні ішінде қаралады.
Осы Қағидалардың 7-11-тармақтарында айқындалған сынақ хаттамаларының толық жиынтығы негізінде көрсетілетін қызметті беруші сегіз жұмыс күні ішінде сынақ хаттамаларын зерделейді және көрсетілетін қызметті берушіге ұсынылған сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректерін, сынақ хаттамаларына қоса берілген сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректерімен салыстырып, айырмашылықтарын белгілейді.
Туындаған келіспеушіліктерді жою үшін көрсетілетін қызметті беруші бес жұмыс күні ішінде көрсетілетін қызметті алушының және қызмет беруші (қызмет берушілердің) өкілдерін талқылауға шақырады және олардың қатысуымен мынадай:
1) сынақ актісін беру туралы;
2) сынақ актісін беруден бас тарту туралы шешімдердің бірін қабылдайды.
Сынақ актісін беру туралы оң шешім қабылданған жағдайда:
өтініш қағаз нысанында берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды және тиісті мәліметтерді сынақтар актілерінің тізіліміне енгізеді;
портал арқылы өтініш берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін көрсетілетін қызметті берушінің уәкілетті адамы электрондық цифрлық қолтаңбасымен (бұдан әрі – ЭЦҚ) қолы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.
Сынақтар актісін беруден бас тарту туралы шешім қабылданған жағдайда:
өтініш қағаз нысанында берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісін беруден бас тарту туралы дәлелді жауапты қағаз нысанында жолдайды;
портал арқылы өтініш берілген кезде, көрсетілетін қызметті беруші көрсетілетін қызметті алушыға сынақтар актісін беруден бас тарту туралы дәлелді жауапты көрсетілетін қызметті берушінің уәкілетті адамы электрондық цифрлық қолтаңбасымен (бұдан әрі – ЭЦҚ) қолы қойылған электрондық құжат нысанында "жеке кабинетке" жібереді.
45. Мемлекеттік қызмет көрсету үшін қажетті мәліметтерді қамтитын ақпараттық жүйенің ақаулығы жағдайда, көрсетілетін қызметті беруші техникалық ақаулардың туындауын анықтаған сәттен бастап sd@nitec.kz электрондық почтасы бойынша бірыңғай қолдау қызметіне сұрау салу жолдау арқылы авторизация сәтінен бастап қателік туындаған сәтке дейін қателік болған нақты уақытты көрсете отырып, қадамдық скриншоттарды қоса бере отырып, мемлекеттік көрсетілетін қызметтің атауы, әкімшілік құжаттың нөмірі және коды немесе өтініштің бірегей сәйкестендіру нөмірі, әкімшілік құжаттың нөмірі және коды немесе рұқсат беру құжатының бірегей сәйкестендіру нөмірі, көрсетілетін қызметті алушының жеке сәйкестендіру нөмірі/бизнес сәйкестендіру нөмірі бойынша міндетті түрде ақпарат ұсына отырып, "электрондық үкімет" ақпараттық-коммуникациялық инфрақұрылымның операторын хабардар етеді.
46. Қағаз нысанда берілген сынақтар актісі (актілері) жоғалған, бүлінген немесе зақымдалған кезде сынақ объектісінің меншік иесі немесе иеленушісі себептерін көрсете отырып, сынақ актісінің телнұсқасын алуға көрсетілетін қызметті берушіге жібереді.
Телнұсқаны беру үшін өтініш түскен жағдайда көрсетілетін қызметті беруші хабарламаны алған күннен бастап бұдан бұрын алынған құжаттардың электрондық көшірмесін қоса отырып, оны портал арқылы рәсімдейді және бес жұмыс күні ішінде алған күннен бастап көрсетілетін қызметті алушыға сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесін қоса бере отырып, сынақтар актісін жолдайды.
47. Сынақтар актісінің жарамдылық мерзімі "электрондық үкіметтің" ақпараттық-коммуникациялық платформасын қоспағанда, сынақ объектісін өнеркәсіптік пайдалану мерзімімен немесе сынақ объектісін жаңғыртуды бастау сәтіне дейін шектеледі.
"Электрондық үкіметтің" ақпараттық-коммуникациялық платформасының сынақтар актісі бір жылға жарамдылық мерзімімен беріледі.
48. Ақпараттандыру объектісінің жұмыс істеу жағдайлары мен функционалдығына өзгерістер енгізген кезде ақпараттандыру объектісінің меншік иесі немесе иеленушісі өзгерістерге әкелген жұмыстарды аяқтағаннан кейін көрсетілетін қызметті берушіге барлық жүргізілген өзгерістердің сипаттамасын және сынақтар объектісінің меншік иесінің немесе иеленушісімен бекітілген сынақтар объектісінің сипаттамалары туралы жаңартылған сауалнама-сұраулықты қоса беріп, хабарлама жібереді.
Көрсетілетін қызметті беруші бес жұмыс күнінен аспайтын мерзімде сынақтар актісін қайтарып алу туралы шешім қабылдайды
49. Сынақтар объектісінің нақты сипаттамалары мен сынақтар актісінің ажырамас бөлігі болып табылатын сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықта көрсетілген сипаттамалары арасында алшақтық анықталған жағдайда, көрсетілетін қызметті беруші сынақтар актісін қайтарып алу туралы шешім қабылдайды.
50. Сынақтар актісін қайтарып алу жағдайында, меншік иесі немесе иеленуші үш айлық мерзімде осы Қағидалардың 2 немесе 3-тарауында белгіленген тәртіппен сынақтан өткізу туралы қызмет берушілерге өтінім беру үшін шаралар қолдануға міндетті.
51. Көрсетілетін қызметті беруші мынадай негіздер:
1) Көрсетілетін қызметті берушіге ұсынылған сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері мен сынақтар хаттамаларына қоса берілген сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың деректері арасындағы айырмашылықты анықтау;
2) көрсетілетін қызметті алушының және (немесе) мемлекеттік қызмет көрсету үшін қажетті ұсынылған материалдардың, объектілердің, деректердің және мәліметтердің Қазақстан Республикасының нормативтік құқықтық актілерінде белгіленген талаптарға сәйкес келмеуі бойынша сынақтар актісін беруден бас тартады.
52. Ақпараттық қауіпсіздік талаптарына сәйкестікті сынау нәтижелері бойынша акт беру орталық мемлекеттік органдар, облыстардың, республикалық маңызы бар қалалардың, астананың, аудандардың, облыстық маңызы бар қалалардың жергілікті атқарушы органдарын, қаладағы аудандардың, аудандық маңызы бар қалалардың, кенттердің, ауылдардың, ауылдық округтердің әкімдері үшін осы тарауда көзделген тәртіпте іске асырылады.
53. Көрсетілетін қызметті берушінің құрылымдық бөлімшелері қызметкерлерінің шешіміне, әрекетіне (әрекетсіздігіне) шағым көрсетілетін қызметті беруші басшысының атына және (немесе) мемлекеттік қызметтер көрсету сапасын бағалау жөніндегі уәкілетті органға Қазақстан Республикасының заңнамасына сәйкес берілуі мүмкін.
Көрсетілетін қызметті берушінің мекенжайына келіп түскен көрсетілетін қызметті алушының шағымы "Мемлекеттік көрсетілетін қызметтер туралы" 2013 жылғы 15 сәуірдегі Қазақстан Республикасы Заңының 25-бабының 2 тармағына сәйкес ол тіркелген күннен бастап 5 (бес) жұмыс күні ішінде қаралуға жатады.
Мемлекеттік қызметтер көрсету сапасын бағалау және бақылау жөніндегі уәкілетті органның атына келіп түскен көрсетілетін қызметті алушының шағымы тіркелген күнінен бастап 15 (он бес) жұмыс күні ішінде қаралуға жатады.
Көрсетілетін қызметті беруші шешімінің нәтижелерімен келіспеген жағдайда көрсетілетін қызметті алушы нәтижелерге сот тәртібімен Қазақстан Республикасының заңнамасына сәйкес шағымдана алады.
____________________________________________________________________
(қызмет берушінің атауы) ____________________________________________________________________
(сынақтар жүргізу объектісінің атауы)
Ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтінім
1. __________________________________________________________________
(өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә. (болған кезде)
бизнес-идентификациялық номер, банктік деректемелері)
____________________________________________________________________
(өтініш берушінің пошта мекенжайы, e-maіl және телефоны, облыс, қала, аудан)
мынадай жұмыстар құрамымен:
1) __________________________________________________________________
2) __________________________________________________________________
3) __________________________________________________________________
4) __________________________________________________________________
5) __________________________________________________________________
(осы Қағидалардың 7/8/9/10/11 тармағына сәйкес жұмыс түрлерінің тізбесі
(қажетті тармақты көрсету))
____________________________________________________________________
(сынақтар жүргізу объектісінің атауы, нұсқасының нөмірі, әзірлеу күні)
сынақтар жүргізуді сұрайды.
2. Сыналатын сынақ объектісінің иеленушісі (меншік иесі) туралы мәліметтер
____________________________________________________________________
(атауы немесе Т.А.Ә. (болған кезде)
____________________________________________________________________
(облыс, қала, аудан, пошта мекенжайы, телефоны)
3. Сыналатын сынақ объектісінің әзірлеушісі туралы мәліметтер
____________________________________________________________________
(әзірлеуші туралы ақпарат, авторлар атауы немесе Т.А.Ә. (болған кезде)
____________________________________________________________________
(облыс, қала, аудан, пошта мекенжайы, телефоны)
4. Қызмет берушімен байланысуға жауапты тұлғаның деректері:
1) тегі, аты, әкесінің аты: ______________________________________________;
2) лауазымы: ________________________________________________________;
3) жұмыс телефоны: ____________, ұялы телефоны : ______________________;
4) электрондық пошта мекенжайы: Е-maіl: ______@__________.
Өтініш беруші ұйымның басшысы/өтініш берушінің Т.А.Ә. (болған кезде)
_____________ (қолы, күні)
(мөрдің орны) болған кезде
1. Сынақ объектісінің атауы:
____________________________________________________________________
____________________________________________________________________
2. Сынақ объектісіне қысқаша аңдатпа
____________________________________________________________________
(мақсаты мен пайдалану аясы)
3. Сынақ объектісінің сыныпталуы:
1) қолданбалы бағдарламалық қамтылымның сыныбы __________________.
2) Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушының 2016 жылғы 28 қаңтардағы № 135 бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тіркелімінде № 13349 болып тіркелген) бекітілген Ақпараттандыру объектілерін сыныптау қағидаларына 2-қосымшаның нысаны бойынша сыныптау схемасы.
4. Сынақ объектісінің архитектурасы:
1) сынақ объектісінің:
сынақ объектісінің компоненттері, модульдері және олардың ІP-мекенжайлары;
компоненттері немесе модульдері арасындағы байланыстары және ақпараттық ағындардың бағыттары;
басқа ақпараттандыру объектілерімен интеграциялық өзара іс-қимылды қосу нүктелері; пайдаланушылар қосылған нүктелер;
деректерді сақтау орындары мен технологиялары;
қолданылатын резервтік жабдық;
пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген функционалдық схемасы (қажет болған кезде);
2) сынақ объектісінің:
желінің архитектурасы мен сипаттамалары;
серверлік және коммуникациялық жабдық;
адрестеу мен қолданылатын желілік технологиялар;
пайдаланылатын локалдық, ведомстволық (корпоративтік) және жаһандық желілері;
жұмыс істемей қалу болмаушылығын қамтамасыз ету және резервтеу жөніндегі шешім(дер);
пайдаланылатын терминдер мен аббревиатуралардың түсіндірмелері көрсетілген деректерді беру желісінің схемасы (қажет болған кезде);
5. Сынақ объектісі туралы ақпарат:
1) серверлерлік жабдық туралы ақпарат (кестені толтыру):
р/с № | Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары | Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы) | Пайдаланылатын ІP-мекенжайлары |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
2) желілік жабдық туралы ақпарат (кестені толтыру):
р/с № | Желілік жабдықтың атауы (маркасы/моделі) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Пайдаланылатын желілік технологиялар | Пайдаланылатын желіні қорғау технологиялары | Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
3) серверлік және желілік жабдық орналасқан орны (кестені толтыру):
р/с № | Серверлік орынжайдың иеленушісі | Серверлік орынжайдың иеленушісінің заңды мекенжайы | Серверлік орынжайдың нақты орналасқан орны -мекенжайы | Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде) | Жауапты тұлғалардың телефондары (жұмыс, ұялы) |
1 | 2 | 3 | 4 | 5 | 6 |
4) резервтік серверлік жабдықтың сипаттамалары (кестені толтыру):
р/с № | Сервердің немесе виртуалды ресурстың атауы (сервердің домендік атауы, желілік атауы немесе логикалық атауы) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Сервердің немесе мәлімденген пайдаланылатын виртуалды ресурстардың сипаттамалары | Серверлерде орнатылған ОЖ, ДҚБЖ, БҚ, қосымшалар, кітапханалар мен қорғау құралдары немесе пайдаланатын виртуалды сервистер (нұсқалардың нөмірлері көрсетілген бағдарламалық ортаның құрамы) | Пайдаланылатын ІP-мекенжайлары | Резервтеу әдісі |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
5) резервтік желілік жабдықтың сипаттамалары (кестені толтыру):
р/с № | Желілік жабдықтың атауы (маркасы/моделі) | Мақсаты (орындайтын функционалдық міндеттері) | Саны | Пайдаланылатын желілік технологиялар | Пайдаланылатын желіні қорғау технологиялары | Пайдаланылатын ІP-мекенжайлары, соның ішінде басқару порты | Резервтеу әдісі |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
6) резервтік серверлерлік және желілік жабдық орналасқан орны (кестені толтыру):
р/с № | Серверлік орынжайдың иеленушісі | Серверлік орынжайдың иеленушісінің заңды мекенжайы | Серверлік орынжайдың нақты орналасқан орны -мекенжайы | Қолжетімділікті ұйымдастыруға жауапты тұлғалар (Т.А.Ә. (болған кезде) | Жауапты тұлғалардың телефондары (жұмыс, ұялы) |
1 | 2 | 3 | 4 | 5 | 6 |
7) сынақ объекті желісінің құрылымы (кестені толтыру) (қажет болған кезде):
р/с № | Желі сегментінің атауы | Желінің ІP-мекенжайы / желі маскасы |
1 | 2 | 3 |
8) әкімшілердің жұмыс станциялары бойынша ақпарат (кестені толтыру):
р/с № | Әкімшінің рөлі | Әкімшілердің есептік жазбаларының саны | Интернетке қолжетімділіктің болуы | Серверге қашықтықтан қолжетімділіктің болуы | Әкімші жұмыс станциясының ІP-мекенжайы | Нақты орналасқан орны - жұмыс орнының мекенжайы |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
9) мобильдік және интернет қосымшаларын пайдалануды қоса алғанда, қолданбалы бағдарламалық қамтылымды пайдаланушылар туралы ақпарат (кестені толтыру):
Р/с № | Пайдаланушының рөлі | Пайдаланушының типтік іс-қимылдарының тізбесі | Сынақ объектісіне пайдаланушыларды қосу нүктесінің мекенжайы және порты | Сынақ объектісіне пайдаланушыларды қосу нүктесінің хаттамасы | Сынақ объектісін құруға немесе дамытуға арналған техникалық құжатқа сәйкес пайдаланушылар саны | Секундына өңделетін сұраулардың (пакеттердің) барынша көп саны | Сұраулар арасында күтудің ең ұзақ уақыты |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
10) сынақ объектісінің интеграциялық өзара іс-қимылы, соның ішінде болжамды, туралы ақпарат (кестені толтыру):
р/с № | Интеграциялық байланыстың (ақпараттандыру объектісінің) атауы | Интеграциялау объектісінің меншік иесі немесе иеленушісі | Қолданыстағы/жоспарлы | Интеграциялау модулінің болуы | Қосу нүктесінің мекенжайы | Қосу нүктесінің хаттамасы | Секундына сұраулардың (пакеттердің) барынша көп саны | Сұраулар арасында күтудің ең ұзақ уақыты |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
11) қолданбалы БҚ бастапқы кодтары (кестені толтыру) (қажет болған кезде):
р/с № | Дискінің маркалауы | Дискідегі каталогтың атауы | Файлдың атауы | Файлдың көлемі, Мбайт | Пайдаланылатын бағдарламалау тілі | Бағдарламалау тілінің нұсқасы | Әзірлеу ортасы | Әзірлеу ортасының нұсқасы | Файлдың түрлендірілген күні |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
12) пайдаланылатын кітапханалар мен бағдарламалық платформаның(лардың) бастапқы кодтары және орындалатын файлдары (қажет болған кезде):
р/с № | Дискінің маркалауы | Дискідегі каталогтың атауы | Кітапхана/бағдарламалық платформа/файл атауы | Көлемі, Мбайт | Бағдарламалау тілі (қажет болған кезде) | Кітапхана нұсқасы |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
6. Сыналатын объектіні құжаттау (кестені толтыру) (қажет болған кезде):
р/с | Құжаттың атауы | Бар болуы | Парақтар саны | Бекітілген күні | Оған сайкес құжат әзірленген стандарт немесе нормативтік құжат |
1 | 2 | 3 | 4 | 5 | 6 |
1 | Ақпараттық қауіпсіздік саясаты; | ||||
2 | Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары; | ||||
3 | Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі; | ||||
4 | Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары; | ||||
5 | Есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары; | ||||
6 | Ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары; | ||||
7 | Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары; | ||||
8 | Электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары; | ||||
9 | Интернетті және электрондық поштаны пайдалану қағидалары; | ||||
10 | Аутентификация рәсімін ұйымдастыру қағидалары; | ||||
11 | Вирусқа қарсы бақылауды ұйымдастыру қағидалары; | ||||
12 | Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары; | ||||
13 | Ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары; | ||||
14 | Ақпаратты резервтік көшіру және қалпына келтіру регламенті; | ||||
15 | Әкімшінің ақпараттандыру объектісін сүймелдеу жөніндегі басшылығы; | ||||
16 | Пайдаланушылардың ақпараттық қауіпсіздіктің оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық. |
7. Бұрын өткен жұмыс түрлері немесе сынақтар туралы мәліметтер (хаттаманың нөмірі, күні):
____________________________________________________________________
8. Сыналатын объектіге лицензияның болуы (авторлық құқықтың болуы, бастапқы кодты ұсынуға әзірлеуші ұйыммен келісімнің болуы)
____________________________________________________________________
____________________________________________________________________
9. Қосымша ақпарат: __________________________________________________
Сынақ объектісінің ақпараттық қауіпсіздік жөніндегі техникалық құжаттамасының тізбесі
1. Ақпараттық қауіпсіздік саясаты;
2. Ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары;
3. Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;
4. Ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары;
5. Есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары;
6. Ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары;
7. Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары;
8. Электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары;
9. Интернетті және электрондық поштаны пайдалану қағидалары;
10. Аутентификация рәсімін ұйымдастыру қағидалары;
11. Вирусқа қарсы бақылауды ұйымдастыру қағидалары;
12. Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары;
13. Ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары;
14. Ақпаратты резервтік көшіру және қалпына келтіру регламенті;
15. Әкімшінің ақпараттандыру объектісін сүймелдеу жөніндегі басшылығы;
16. Пайдаланушылардың ақпараттық қауіпсіздіктің оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық.
Ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу нәтижелері бойынша 20 __ жылғы "____" ______________№ ____ сынақтар актісі
"Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 11-1) тармақшасы негізінде 20 __ жылғы "____" ______________ Өтінімге сәйкес Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар жүргізу нәтижелері бойынша
_____________________________________________________________________
(СО атауы)
_____________________________________________________________________
(серверлік және желілік жабдықтың нақты орналасқан орны)
_____________________________________________________________________
(сынақтар объектісі өтініш берушісінің атауы)
_____________________________________________________________________
(өтініш беруші ұйымның атауы, өтініш берушінің Т.А.Ә. (болған кезде)
сынақ түрлері бойынша келесі хаттамалар негізінде:
1) 20 __ жылғы "__" __________ № ____ бастапқы кодтарды талдау хаттамасы, қызмет берушінің атауы;
2) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздік функцияларын сынау хаттамасы, қызмет берушінің атауы;
3) 20 __ жылғы "__" __________ № ____ жүктемелік сынау хаттамасы, қызмет берушінің атауы;
4) 20 __ жылғы "__" __________ № ____ желілік инфрақұрылымды зерттеп-қарау хаттамасы, қызмет берушінің атауы;
5) 20 __ жылғы "__" __________ № ____ ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы, қызмет берушінің атауы
Қорытынды
Жүргізілген сынақтар негізінде _____________________________________
(сынақтар объектісінің атауы)
ақпараттық қауіпсіздік талаптарына сәйкес.
Қосымша: Сынақтар объектісінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі
Қазақстан Республикасы Цифрлық
даму, инновациялар және аэроғарыш
өнеркәсібі министрлігінің
Ақпараттық қауіпсіздік комитетінің төрағасы ___________ ___________________
(қолы) Т.А.Ә. (болған кезде)
20__ жылғы "____" ___________
Сынақ объектісінің бастапқы кодтарын қабылдау-беру актісі
___________________________________________________________________
(Сынақ объектісінің (бұдан әрі – СО) атауы)
___________________________________________________________________
(өтініш беруші ұйымның атауы / өтініш берушінің Т.А.Ә. (болған кезде)
20__ жылғы "____"___________
Берілетін БҚ нұсқасы ___________.
Дискілер саны ________.
Қолданбалы БҚ бастапқы кодтары___________.
р/с № | Дискінің маркалануы | Дискідегі каталогтың атауы | Файлдың атауы | Файлдың көлемі, Мбайт | Пайдаланылатын бағдарламалау тілі (қажет болған кезде) | Файл түрлендірілген күні |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
Пайдаланылатын кітапханалар мен бағдарламалық платформаның(лардың) бастапқы кодтары:
р/с № | Дискінің маркалануы | Дискідегі каталогтың атауы | Кітапхана/ бағдарламалық платформа/файл атауы | Көлемі, Мбайт | Бағдарламалау тілі | Кітапхана нұсқасы |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
Табыстады: | Қабылдады: |
_____________________________ |
_____________________________ |
"Ақпараттық қауіпсіздік талаптарына сәйкестікті сынау нәтижелері бойынша акт беру" мемлекеттік көрсетілетін қызмет стандарты | ||
1 | Көрсетілетін қызметті берушінің атауы | Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті (бұдан әрі – көрсетілетін қызметті беруші) |
2 | Мемлекеттік қызмет көрсету тәсілдері (каналдар қол жеткізу) |
Өтінішті қабылдау және мемлекеттік қызметті көрсету нәтижесін беру: |
3 | Мемлекеттік қызметті көрсету мерзімі |
Мемлекеттік қызметті көрсету мерзімі көрсетілетін қызметті берушіге және (немесе) портал арқылы құжаттар топтамасын тапсырған сәттен бастап: |
4 | Мемлекеттік қызмет көрсету нысаны | Мемлекеттік қызмет көрсету нысаны: электрондық (ішінара автоматтандырылған) және (немесе) қағаз түрінде. |
5 | Мемлекеттік қызметті көрсетудің нәтижесі | Мемлекеттік қызметті көрсетудің нәтижесі 3-қосымшаға сәйкес нысан бойынша сынақ объектілерінің сипаттамалары туралы сауалнама-сұраулықтың көшірмесі қоса берілген стандартқа 2-қосымшаға сәйкес нысан бойынша сынақтар актісі не осы мемлекеттік көрсетілетін қызмет стандартының 10-тармағында көзделген жағдайларға және негіздер бойынша мемлекеттік қызметті көрсетуден бас тарту туралы дәлелді жауап болып табылады. Мемлекеттік қызметті ұсыну нысаны электронды және (немесе) қағаз түрінде. |
6 | Мемлекеттік қызмет көрсету кезінде көрсетілетін қызметті алушыдан алынатын төлем мөлшері және Қазақстан Республикасының заңнамасында көзделген жағдайларда оны алу тәсілдері | Мемлекеттік қызмет жеке және заңды тұлғаларға (бұдан әрі – көрсетілетін қызметті алушы) тегін көрсетіледі. |
7 | Жұмыс кестесі: |
1) Көрсетілетін қызметті берушінің – Қазақстан Республикасының еңбек заңнамасына сәйкес демалыс және мереке күндерінен басқа, дүйсенбіден бастап жұманы қоса алғанда сағат 9.00-ден 18.30-ға дейін, сағат 13.00-ден 14.30-ға дейін түскі үзіліс. |
8 | Көрсетілетін қызметті алушы мемлекеттік көрсетілетін қызметті алу үшін: |
1) көрсетілетін қызметті берушіге өтініші кезінде (немесе сенімхат бойынша оның өкілі ): |
9 | Қазақстан Республикасының заңнамасында белгіленген мемлекеттік қызметті көрсетуден бас тарту негіздері |
1) Мемлекеттік көрсетілетін қызметті алу үшін көрсетілетін қызметті алушы ұсынған құжаттардың және (немесе) ондағы деректердің (мәліметтердің) дұрыс еместігі анықтау; |
10 | Мемлекеттік көрсетілетін қызмет ерекшеліктерін есепке ала отырып, оның ішінде электрондық түрде және Мемлекеттік корпорация арқылы көрсетілетін мемлекеттік көрсетілетін қызметтердің өзге де ерекшеліктері |
Көрсетілетін қызметті алушының ЭЦҚ-сы болған жағдайда, мемлекеттік көрсетілетін қызметті электрондық нысанда портал арқылы алуына мүмкіндігі бар. |
Сынақтар актісін алуға Өтініш
___________________________________________________________________
(өтініш берушінің атауы, БСН/ЖСН*, Т.А.Ә. (болған кезде)
___________________________________________________________________
(өтініш берушінің пошталық мекенжайы, e-mail және телефоны, облыс, қала, аудан)
___________________________________________________________________
___________________________________________________________________
(сынақтар объектісінің атауы)
ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтар нәтижелері бойынша акт беруді сұрайды.
Қоса беріліп отырған құжаттар:
1. сынақтар объектісінің иесі (меншік иесі) бекіткен сынақ объектінің сипаттамасы туралы сауалнама-сұраулық;
2. бастапқы кодтарды талдау хаттамасы (нөмір, күні, қызмет берушінің атауы);
3. ақпараттық қауіпсіздік функцияларын сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);
4. жүктемелік сынау хаттамасы (нөмір, күні, қызмет берушінің атауы);
5. желілік инфрақұрылымды зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);
6. ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау хаттамасы (нөмір, күні, қызмет берушінің атауы);
Ақпараттық жүйелердегі заңмен қорғалатын құпияны құрайтын қол жеткізу шектеулі дербес деректерді пайдалануға келісім беремін.
________________
(қолы) М.О. (болған кезде)
20___ жылғы "__" ______________
* бизнес сәйкестендіру нөмірі/жеке сәйкестендіру нөмірі