«Электрондық үкіметтің» ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрінің 2019 жылғы 3 маусымдағы № 111/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2019 жылғы 5 маусымда № 18795 болып тіркелді

«Ақпараттандыру туралы» Қазақстан Республикасы Заңының 7-1-бабының 5) тармақшасына және Қазақстан Республикасы Үкіметінің 2025 жылғы 9 қазандағы № 846 қаулысымен бекітілген Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігі туралы ереженің 15-тармағының 52) тармақшасына сәйкес БҰЙЫРАМЫН:

Кіріспе жаңа редакцияда жазылды ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 01.04.2020 жылғы № 121/НҚ Бұйрығына сәйкес (05.12.2019 ж. редакцияны қараңыз)(өзгерту 21.04.2020 жылдан бастап қолданысқа енгізіледі)
Кіріспе жаңа редакцияда жазылды ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.04.2024 жылғы № 257/НҚ Бұйрығына сәйкес (30.09.2022 ж. редакцияны қараңыз)(өзгерту 21.05.2024 жылдан бастап қолданысқа енгізіледі)
Кіріспе жаңа редакцияда жазылды ҚР Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрінің 27.11.2025 жылғы № 602/НҚ Қаулысына сәйкес (27.09.2024 ж. редакцияны қараңыз)(өзгерту 14.12.2025 жылдан бастап қолданысқа енгізіледі)

1. Мыналар:

1-тармақ жаңа редакцияда жазылды ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 30.04.2024 жылғы № 257/НҚ Бұйрығына сәйкес (30.09.2022 ж. редакцияны қараңыз)(өзгерту 21.05.2024 жылдан бастап қолданысқа енгізіледі)

1) осы бұйрыққа 1-қосымшаға сәйкес «Электрондық үкіметтің» ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;

2) осы бұйрыққа 2-қосымшаға сәйкес «Электрондық үкіметтің» ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.

2. «Сервистік бағдарламалық өнімнің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының мемлекеттік органның интернет-ресурсының және ақпараттық жүйенің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы» Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрінің 2018 жылғы 14 наурыздағы № 40/НҚ бұйрығының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16694 болып тіркелген, Қазақстан Республикасы Нормативтік құқықтық актілерінің эталондық бақылау банкінде 2018 жылғы 12 сәуірде жарияланған) күші жойылды деп танылсын.

3. Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгiленген тәртiппен:

1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы бұйрық мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оны Қазақстан Республикасы Нормативтік құқықтық актілерінің эталондық бақылау банкіне ресми жариялау және енгізу үшін Қазақстан Республикасы Әділет министрлігінің «Қазақстан Республикасының Заңнама және құқықтық ақпарат институты» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

3) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

4) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

5. Осы бұйрық алғаш ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрі А. Жұмағалиев

«КЕЛІСІЛДІ»
Қазақстан Республикасының
Ұлттық қауіпсіздік комитеті
2019 жылғы «___» ____________

1. Осы «Электрондық үкіметтің» ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі (бұдан әрі – Әдістеме) «Ақпараттандыру туралы» Қазақстан Республикасы Заңының 7-1-бабының 5) тармақшасына және Қазақстан Республикасы Үкіметінің 2025 жылғы 9 қазандағы № 846 қаулысымен бекітілген Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігі туралы ереженің 15-тармағының 52) тармақшасына сәйкес әзірленді.

1-тармақ жаңа редакцияда жазылды ҚР Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрінің 27.11.2025 жылғы № 602/НҚ Қаулысына сәйкес (27.09.2024 ж. редакцияны қараңыз)(өзгерту 14.12.2025 жылдан бастап қолданысқа енгізіледі)

2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

1) бағдарламалық бетбелгі – ақпараттандыру объектісіне рұқсатсыз қол жеткізуді және (немесе) оған әсер етуді жүзеге асыратын бағдарламалық қамтылымға (бұдан әрі – БҚ) жасырын енгізілген функционалдық объект;

2) бэкдор – аутентификацияны, сондай-ақ қауіпсіздіктің басқа стандартты әдістері мен технологияларын айналып өту арқылы бағдарламалық жасақтамаға рұқсатсыз қол жеткізуге арналған зиянды БҚ;

3) декларацияланбаған мүмкіндіктер (бұдан әрі – ДМ) – техникалық құжаттамада сипатталғандарға сәйкес келмейтін немесе көрсетілмеген БҚ-ның функционалдық мүмкіндіктері;

4) енуге қолмен тестілеу – қауіпсіз және бақыланатын шабуылдарды қолдана отырып, ақпараттандыру объектілерінің қорғалуын заңды бағалау, осалдықтарды анықтау және өтініш берушінің қызметіне нақты зиян келтірместен оларды пайдалану әрекеттері;

5) қызмет беруші – мемлекеттік техникалық қызмет немесе аккредиттелген сынақ зертханасы;

6) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

7) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

8) өтініш беруші – сынақ объектісінің меншік иесі немесе иеленушісі, сондай-ақ сынақ объектісінің меншік иесі немесе иеленушісі өкілеттік берген ақпараттандыру объектісінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізуге өтініш берген жеке немесе заңды тұлға;

9) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі – ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнімі арасындағы өзара іс-қимыл құралы;

10) сенімді бағыт – сынақ объектілерінің қауіпсіздік саясатын қолдауда сенімділікті қамтамасыз ететін пайдаланушы мен ОҚФ арасындағы өзара іс -қимыл құралы;

11) сынақ объектісі – оған қатысты ақпараттық қауіпсіздік талаптарына сәйкестікке сынақтан өткізу жөніндегі жұмыстар жүргізілетін ақпараттандыру объектісі;

12) сынақ объектісі желісінің (ішкі желісінің) сегменті – сынақ объектісі желісінің қисынды бөлінген сегменті;

13) функционалдық объект – бағдарлама алгоритмінің аяқталған фрагментін іске асыру жөніндегі іс-қимылдарды орындауды жүзеге асыратын БҚ элементі (рәсім, функция, тармақ немесе өзге компонент);

14) функционалды объектілерді орындау бағыты – алгоритммен анықталған функционалды объектілердің реттілігі;

15) штаттық пайдалану ортасы – ақпараттандыру объектісін тәжірибелік пайдалану (пилоттық жобаны) кезеңінде қолданылатын және өнеркәсіптік пайдалану кезеңінде қолдануға арналған серверлік жабдықтың, желілік инфрақұрылымның, жүйелік бағдарламалық қамтылымның нысаналы жиынтығы;

16) SYNAQ интернет-порталы – мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын ақпараттандыру объектілерінің ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау бойынша қызмет көрсету процесін автоматтандыруға арналған мемлекеттік техникалық қызметтің интернет-порталы.

3. Сынақтар жүргізу мыналарды қамтиды:

1) бастапқы кодтарды талдау;

2) ақпараттық қауіпсіздік функцияларын сынау;

3) жүктемелік сынау;

4) желілік инфрақұрылымды зерттеп-қарау;

5) ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеп-қарау.

4. Сынақ объектілерінің бастапқы кодтарын талдау БҚ осалдықтарын анықтау мақсатында халықаралық осалдықтар жіктеуіштеріне (Common Weakness Enumeration, Open Web Application Security Project Top 10, Open Web Application Security Project Mobile Top 10, Open Web Application Security Project Application Programming Interface Top 10), осалдықтардың халықаралық деректер базаларына (Common Vulnerabilities and Exposures, National Institute of Standards and Technology) және Қазақстан Республикасының 15408-3 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері және құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары. 3-бөлім. Қорғауды қамтамасыз етуге қойылатын талаптар» стандартына сәйкес жүргізіледі.

4-тармақ жаңа редакцияда жазылды ҚР Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрінің 27.11.2025 жылғы № 602/НҚ Қаулысына сәйкес (27.09.2024 ж. редакцияны қараңыз)(өзгерту 14.12.2025 жылдан бастап қолданысқа енгізіледі)

Мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілерінің бастапқы кодтарын талдау ДМ және БҚ осалдықтарын анықтау мақсатында халықаралық осалдықтар жіктеуіштеріне (Common Weakness Enumeration, Open Web Application Security Project Top 10, Open Web Application Security Project Mobile Top 10, Open Web Application Security Project Application Programming Interface Top 10), осалдықтардың халықаралық деректер базаларына (Common Vulnerabilities and Exposures, National Institute of Standards and Technology) және Қазақстан Республикасының 15408-3 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз ету әдістері және құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары. 3-бөлім. Қорғауды қамтамасыз етуге қойылатын талаптары» стандартына сәйкес жүргізіледі.

5. Бастапқы кодтарды талдау «Электрондық үкіметтің» ақпараттандыру объектілерінің және ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілеріне жатқызылған ақпараттық жүйелердің олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидаларына (бұдан әрі – Қағидалар) 2-қосымшаға сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықтың 5-тармағы 11) тармақшасының және 12) тармақшасының кестелерінде аталған БҚ үшін жүргізіледі.

6. Егер сынақтар жүргізу кезінде сынақ мерзімі аяқталғанға дейін бастапқы кодтарды қайта талдау жүргізу қажеттілігі айқындалса, өтініш беруші қызмет берушіге сұрау салумен жүгінеді және Қағидалардың 26-тармағына сәйкес бастапқы кодтарға қайтадан талдау жүргізу туралы қосымша келісім жасалады.

7. БҚ осалдықтарын айқындау өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.

7-тармақ жаңа редакцияда жазылды ҚР Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрінің 27.11.2025 жылғы № 602/НҚ Қаулысына сәйкес (27.09.2024 ж. редакцияны қараңыз)(өзгерту 14.12.2025 жылдан бастап қолданысқа енгізіледі)

Мемлекеттік орган меншік иесі (иеленуші) және (немесе) тапсырыс беруші болып табылатын сынақ объектілерінің БҚ осалдықтарын анықтау бастапқы кодты талдаудың қолмен әдісімен және өтініш беруші ұсынған бастапқы кодтардың негізінде бастапқы кодты талдауға арналған бағдарламалық құралды пайдалана отырып жүргізіледі.