Сервистік бағдарламалық өнімнің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 14 наурыздағы № 40/НҚ бұйрығы Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 30 наурызда № 16694 болып тіркелді

«Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1 бабының 5) тармақшасына сәйкес БҰЙЫРАМЫН:

1. Мыналар:

1) осы бұйрыққа 1-қосымшаға сәйкес Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;

2) осы бұйрыққа 2-қосымшаға сәйкес Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.

2. «Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы» Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 26 қаңтардағы № 63 бұйрығының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13207 болып тіркелген, «Әділет» ақпараттық-құқықтық жүйесінде 2016 жылғы 1 наурызда жарияланған) күші жойылды деп танылсын.

3. Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгiленген тәртiппен:

1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы бұйрық мемлекеттік тіркелген күнінен бастап күнтізбелік он күн ішінде оның көшірмелерін қазақ және орыс тілдерінде баспа және электрондық түрде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу және ресми жариялау үшін «Республикалық құқықтық ақпарат орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

3) осы бұйрық мемлекеттік тіркелген күнінен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспа басылымдарына ресми жариялау үшін жіберуді;

4) осы бұйрықты ресми жариялағаннан кейін Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің ресми интернет-ресурсында орналастыруды;

5) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2) 3) және 4) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

5. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрі Б. Атамқұлов

1. Осы Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйені олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өткізуді жүргізу әдістемесі (бұдан әрі – Әдістеме) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңы 7-1-бабының 5) тармақшасына сәйкес әзірленді.

2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

1) осалдық – бағдарламалық қамтылымда жұмыс қабілеттілігін бұзуға немесе белгіленген рұқсаттардан тыс қандай болсын заңсыз іс-әрекеттерді орындауға мүмкіндік беретін бағдарламалық қамтылымдағы кемшілік;

2) сараптамалық әдіс – сарапшының жеке пікірін немесе сарапшылар тобының ұжымдық пікірін пайдалану негізінде алынған іздестіру әдісі мен оны қолдану нәтижесі;

3) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі - ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнім арасындағы өзара іс-қимыл құралы;

4) сенімді бағыт – сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін пайдаланушы мен ОҚФ арасындағы өзара іс-қимыл құралы.

3. Сынақтар жүргізу мыналарды қамтиды:

1) бастапқы кодтарды талдау;

2) ақпараттық қауіпсіздік функцияларын сынау;

3) жүктемелік сынау;

4) желілік инфрақұрылымды тексеріп қарау.

4. Сынақ объектілерінің бастапқы кодтарын талдау бағдарламалық қамтылымның (бұдан әрі – БҚ) кемшіліктерін (бағдарламалық белгілер мен осалдықтарды) айқындау мақсатында жүргізіледі.

5. Бастапқы кодтарды талдау Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларына (бұдан әрі-Қағидалар) сәйкес сынақ объектілерінің бастапқы кодтарын қабылдау-беру актісінде тізімделген БҚ үшін жүргізіледі.

6. Сынақтар жүргізу кезінде сынақ мерзімі аяқталғанға дейін бастапқы кодтарды қайта талдау жүргізу қажеттілігі айқындалған жағдайда, өтініш беруші МТҚ-ға сұрау салумен жүгінеді және Қағидалардың 25-тармағына сәйкес бастапқы кодтарға қайтадан талдау жүргізу туралы қосымша келісім жасалады.

7. БҚ кемшіліктерін айқындау өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.

8. Бастапқы кодтарды талдау:

1) БҚ кемшіліктерін айқындауды;

2) бастапқы кодты талдау нәтижелерін белгілеуді қамтиды.

9. БҚ кемшіліктерін айқындау мынадай тәртіппен жүзеге асырылады:

1) бастапқы деректерді дайындау жүргізіледі (сервистік бағдарламалық өнімнің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсы мен ақпараттық жүйенің (бұдан әрі-АО) бастапқы кодтарын жүктеу, сканерлеу режимін (қарқынды және/немесе статикалық) таңдау, сканерлеу режимдерінің сипаттамаларын баптау);

2) БҚ кемшіліктерін айқындауға арналған бағдарламалық құрал іске қосылады;

3) жалған іске қосылулардың болуына бағдарламалық есептерді талдау жүргізіледі;

4) сипаттамасы, бағдары (файлға дейінгі жолы) мен тәуекел деңгейі (жоғары, орташа, төмен) көрсетілген БҚ айқындалған кемшіліктерінің тізбесін қамтитын есеп қалыптастырылады.

10. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады.

11. Бастапқы кодтарды талдау нәтижелері осы жұмыс түрлерінің жауапты орындаушысымен бастапқы кодтарды талдау хаттамасында тіркеледі (Еркін нысанда).

12. Бастапқы кодтарды талдау жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде сынақ объектісінің бастапқы кодтары таңбаланады және мөр басылған түрінде МТҚ мұрағатына жауапты сақтауға тапсырылады.

13. МТҚ сынақтар аяқталғаннан кейін олардың құпиялылығын кем дегенде үш жыл сақтай отырып, алынған бастапқы кодтарды сақтауды қамтамасыз етеді.

14. Сервистік бағдарламалық өнімнің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің функцияларын ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау (бұдан әрі-ақпараттық қауіпсіздік функцияларын сынау) олардың техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады.

15. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды:

1) қауіпсіздік функцияларының техникалық құжаттаманың, Қазақстан Республикасының нормативтік құқықтық актілері мен Қазақстан Республикасы аумағында қолданыстағы ақпараттандыру саласындағы стандарттардың талаптарына сәйкестігін бағалау;