Сервистік бағдарламалық өнімге, "электрондық үкіметтің" ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі мен қағидаларын бекіту туралы Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2016 жылғы 26 қаңтардағы № 63 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2016 жылы 24 ақпанда № 13207 болып тіркелді

«Ақпараттандыру туралы» 2015 жылғы 24 қарашдағы Қазақстан Республикасының Заңы 7-бабының 16) тармақшасына сәйкес БҰЙЫРАМЫН: 

1. Мыналар:

1) осы бұйрыққа 1-қосымшаға сәйкес Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу әдістемесі;

2) осы бұйрыққа 2-қосымшаға сәйкес Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйеге олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтар жүргізу қағидалары бекітілсін.

2. «Бағдарламалық өнімдерді, бағдарламалық кодтарды сынақтан өткізу, оларды және нормативтік құжаттаманы тіркеу, беру, сақтау, депозитке берудің толықтығын қамтамасыз ету және оларды тіркеу, депозитарийге беру мен сақтау туралы мәліметтерді ұсыну ережесін бекіту туралы» Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі Төрағасының 2009 жылғы 1 желтоқсандағы № 480 бұйрығының (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 5981 болып тіркелген және Қазақстан Республикасы орталық атқарушы және өзге де орталық мемлекеттік органдарының актілер жинағында 2010 жылғы 20 сәуірде жарияланған) күші жойылды деп танылсын.

3. Қазақстан Республикасы Инвестициялар және даму министрлігінің Байланыс, ақпараттандыру және ақпарат комитеті (Т.Б. Қазанғап):

1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;

2) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін оның көшірмелерін баспа және электрондық түрде күнтізбелік он күн ішінде мерзімді баспа басылымдарында және «Әділет» ақпараттық-құқықтық жүйесінде ресми жариялауға, сондай-ақ тіркелген бұйрықты алған күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін Республикалық құқықтық ақпарат орталығына жіберуді; 

3) осы бұйрықты Қазақстан Республикасы Инвестициялар және даму министрлігінің интернет-ресурсында және мемлекеттік органдардың интранет-порталында орналастыруды;

4) осы бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Инвестициялар және даму министрлігінің Заң департаментіне осы бұйрықтың 3-тармағының 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

4. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Инвестициялар және даму вице-министріне жүктелсін.

5. Осы бұйрық оның алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Инвестициялар және даму министрінің міндетін атқарушы Ж. Қасымбек

1. Осы Сервистік бағдарламалық өнімге, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасына, мемлекеттік органның интернет-ресурсына және ақпараттық жүйені олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақтан өткізуді жүргізу әдістемесі (бұдан әрі - Әдістеме) «Ақпараттандыру туралы» 2015 жылғы 25 қарашадағы Қазақстан Республикасы заңының 7-бабы 16) тармақшасына сәйкес әзірленді.

2. Осы Әдістемеде мынадай негізгі ұғымдар және қысқартулар пайдаланылады:

1) ақпараттық қауіпсіздік функцияларын сынау – сервистік бағдарламалық өнімді, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын және ақпараттық жүйені ақпараттық қауіпсіздік талаптарына сәйкестігіне бағалау;

2) жүктемелік сынау – жоспарлы, көтеріңкі және өте жоғары жүктемелер кезінде сынау объектілерінің қол жетімділігін, тұтастығын және құпиялықты сақтауды бағалау;

3) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорн;

4) осалдық – бағдарламалық қамтамасыз етуде жұмыс қабілеттілігін бұзуға немесе белгіленген рұқсаттардан тыс қандай болсын заңсыз іс-әрекеттерді орындауға мүмкіндік беретін бағдарламалық қамтамасыз етудегі кемшілік;

5) сараптамалық әдіс – сарапшының жеке пікірін немесе сарапшылар тобының ұжымдық пікірін пайдалану негізінде алынған іздестіру әдісі мен оны қолдану нәтижесі;

6) сенімді арна – сынақ объектілерінің қауіпсіздік функциялары (бұдан әрі – ОҚФ) мен сынақ объектілерінің қауіпсіздік саясатын қолдауда қажетті сенімді деңгейді қамтамасыз ететін ақпараттық технологиялардың алыс орналасқан сенімді өнім арасындағы өзара іс-қимыл;

7) сенімді бағдар – функцияларды өзара іс-қимыл қауіпсіздігін қамтамасыз ету арқылы орындауға арналған пайдаланушылардың сынақ объектілерінің қауіпсіздік саясатын қолдауда сенімдікті қамтамасыз ететін пайдаланушылар мен ОҚФ арасындағы өзара іс-қимыл құралы;

8) сервистік бағдарламалық өнімді, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын және ақпараттық жүйені қауіпсіздік талаптарына сәйкестігіне сынау (бұдан әрі – сынау) – ақпараттық қауіпсіздік талаптарына сынақ объектілерін бағалау жөніндегі техникалық іс-шаралар;

9) сынау объектілері (бұдан әрі – СО) - сервистік бағдарламалық өнім, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы, мемлекеттік органның интернет-ресурсы, ақпараттық жүйе.

3. Сынақтан өткізуді жүргізу мыналарды қамтиды:

1) бастапқы кодтарды талдау;

2) ақпараттық қауіпсіздік функцияларын сынау;

3) жүктемелік сынау;

4) телекоммуникация желілерін және серверлік жабдықты тексеріп қарау.

4. СО бастапқы кодтарын талдау бағдарламалық қамтамасыз етудің (бұдан әрі – БҚ) кемшіліктерін (бағдарламалық белгілер мен осалдықтарды) айқындау мақсатында жүргізіледі.

5. БҚ кемшіліктерін айқындау тапсырыс беруші ұсынған бастапқы кодтардың негізінде бағдарламалық құралдың талдауға арналған бастапқы кодын пайдалана отырып жүргізіледі. 

6. Бастапқы кодтарды талдау:

1) БҚ кемшіліктерін айқындауды;

2) бастапқы кодты талдау нәтижелерін белгілеуді қамтиды. 

7. БҚ кемшіліктерін айқындау мынадай тәртіппен жүзеге асырылады:

1) бастапқы деректерді дайындау жүргізіледі (СО бастапқы кодтарын жүктеу, сканерлеу режимін (қарқынды және/немесе статикалық) таңдау, сканерлеу режимдерінің сипаттамаларын күйге келтіру); 

2) БҚ кемшіліктерін айқындауға арналған бағдарламалық құрал іске қосылады;

3) жалған іске қосылулардың болуына бағдарламалық есептерді талдау жүргізіледі;

4) сипаттамасы, бағдары (файлға дейінгі жолы) мен тәуекел деңгейі (жоғары, орташа, төмен) көрсетілген БҚ айқындалған кемшіліктерінің тізбесін қамтитын есеп қалыптастырылады. 

8. Бастапқы кодты талдау бойынша жұмыстардың көлемі бастапқы кодтың өлшемімен айқындалады. 

9. Бастапқы кодтарды талдау нәтижелері Бастапқы кодтарды талдау хаттамасында белгіленеді. 

10. СО бастапқы кодтарын талдауды жүргізу аяқталғаннан кейін оның нәтижелері оң болған кезде СО бастапқы кодтары таңбаланады және мөр басылған түрінде мемлекеттік техникалық қызметтің мұрағатына жауапты сақтауға тапсырылады.

11. Ақпараттық қауіпсіздік функцияларын сынау олардың стандарттардың талаптарына сәйкестігін бағалау мақсатында жүзеге асырылады. 

12. Ақпараттық қауіпсіздік функцияларын сынау мыналарды қамтиды: