Об утверждении Правил проведения аттестации информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности Постановление Правительства Республики Казахстан от 23 мая 2016 года № 298

В соответствии с подпунктом 5) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности.

2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению. 

3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Премьер-Министр Республики Казахстан К. Масимов

1. Настоящие Правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» и определяют порядок проведения аттестации информационных систем, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности. 

2. Настоящие Правила не распространяются на проведение аттестации информационных систем в защищенном исполнении, отнесенных к государственным секретам.

3. Основные определения, термины и понятия, используемые в Правилах:

1) уполномоченный орган в сфере обеспечения информационной безопасности (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере обеспечения информационной безопасности;

Подпункт 1 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

2) государственная техническая служба – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

3) заявитель – собственник (владелец) объекта аттестации либо уполномоченное им лицо, подавший заявление на проведение аттестации объекта аттестации на соответствие требованиям информационной безопасности;

4) информационная безопасность в сфере информатизации

 (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем, информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

5) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

6) объекты аттестации – информационная система, информационно-коммуникационная платформа «электронного правительства», интернет-ресурс;

7) аппаратно-программный комплекс – совокупность программного обеспечения и технических средств, совместно применяемых для решения задач определенного типа;

8) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

9) информационно-коммуникационная платформа «электронного правительства» – технологическая платформа, предназначенная для реализации сервисной модели информатизации;

10) интернет-ресурс – электронный информационный ресурс, отображаемый в текстовом, графическом, аудиовизуальном или ином виде, размещаемый на аппаратно-программном комплексе, имеющий уникальный сетевой адрес и (или) доменное имя и функционирующий в интернете;

11) подпункт исключен (см. сноску)

Подпункт 11 исключен в соответствии с Постановлением Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

12) аттестат соответствия информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа требованиям информационной безопасности (далее – аттестат) – документ, подтверждающий факт соответствия объекта аттестации требованиям информационной безопасности;

13) акт аттестационного обследования – документ, включающий в себя сведения о фактическом состоянии защищенности объекта аттестации;

14) аттестация на соответствие требованиям информационной безопасности (далее – аттестация) – организационно-технические мероприятия по определению состояния защищенности объектов, подлежащих аттестации, а также их соответствия требованиям информационной безопасности;

15) аттестационное обследование – комплекс организационно-технических мероприятий, направленных на изучение, анализ, оценку технической документации объекта аттестации, обследование состояния организации работ по выполнению требований информационной безопасности;

16) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта аттестации.

4. Ввод в промышленную эксплуатацию информационной системы государственного органа, информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры, негосударственной информационной системы, интегрированной с информационной системой государственного органа или предназначенной для формирования электронных информационных ресурсов государственного органа, интернет-ресурса государственного органа и информационно-коммуникационной платформы «электронного правительства» допускается только при наличии аттестата.

5. Объектами обязательной аттестации являются:

Пункт 5 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

1) информационная система государственного органа;

2) информационная система государственного юридического лица, негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для формирования государственных электронных информационных ресурсов.

Требования, установленные в настоящем подпункте, не распространяются на информационные системы финансовых организаций при их интеграции через внешний шлюз «электронного правительства», введенный в промышленную эксплуатацию;

3) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;

4) информационно-коммуникационная платформа «электронного правительства»;

5) интернет-ресурс государственного органа.

При использовании сервисов национального удостоверяющего центра Республики Казахстан по проверке подлинности электронной цифровой подписи прохождение аттестации на соответствие требованиям информационной безопасности для объектов аттестации, указанных в настоящем пункте, не требуется.

6. Негосударственные информационные системы и интернет-ресурсы могут быть аттестованы на соответствие требованиям информационной безопасности по инициативе собственника (владельца) либо уполномоченного им лица.

7. Аттестация состоит из следующих основных этапов:

1) прием заявления на проведение аттестации и проверка пакета документов на соответствие форме и комплектность;

2) аттестационное обследование;

3) рассмотрение результатов аттестационного обследования уполномоченным органом;

Подпункт 3 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

4) принятие решения уполномоченным органом. 

8. Аттестация объектов аттестации на соответствие требованиям информационной безопасности проводится уполномоченным органом.

9. Аттестационное обследование объектов аттестации проводится государственной технической службой.

10. Пункт исключен (см. сноску)

Пункт 10 исключен в соответствии с Постановлением Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

11. Собственник либо владелец объекта аттестации, подлежащего обязательной аттестации, или уполномоченное им лицо ежегодно не позднее 1 марта направляет уполномоченному органу перечень объектов, планируемых к аттестации в текущем году, по форме согласно приложению 1 к настоящим Правилам.

12. Заявление на проведение аттестации на соответствие требованиям информационной безопасности принимается уполномоченным органом не позднее 1 ноября текущего года.

13. Заявитель подает заявление на проведение аттестации на соответствие требованиям информационной безопасности в уполномоченный орган по форме согласно приложению 2 к настоящим Правилам с предоставлением следующих документов:

1) копии документа, удостоверяющего личность (для физических лиц);

2) копии технического задания, в случае отсутствия технического задания на интернет-ресурс направляется техническая спецификация; 

3) общей функциональной схемы объекта аттестации с указанием используемых уникальных сетевых адресов серверов и рабочей станции администратора, а также локальной схемы сети, утвержденных собственником (владельцем), пояснительной записки к общей функциональной схеме, заверенной подписью и печатью заявителя;

4) копии утвержденных собственником (владельцем) ТД по ИБ объекта аттестации, заверенных подписью и печатью заявителя, согласно  приложению 3 к настоящим Правилам;

5) перечня объектов информатизации, интегрированных с объектом аттестации, по форме согласно приложению 4 к настоящим Правилам, утвержденного собственником объекта аттестации и заверенного подписью и печатью заявителя (при наличии объектов информатизации, интегрированных с объектом аттестации);

6) копии утвержденных собственником (владельцем) перечней технических и программных средств, входящих в состав объекта аттестации, по форме согласно приложениям 5 и 6 к настоящим Правилам, заверенных подписью и печатью заявителя (в случае, если объект аттестации не использует информационно-коммуникационные услуги);

7) копии договора на использование информационно-коммуникационных услуг с приложением технической характеристики и договора об оказании информационно-коммуникационных услуг (в случае, если объект аттестации использует информационно-коммуникационные услуги).

14. После получения заявления уполномоченный орган в течение трех рабочих дней осуществляет проверку соответствия заявления и прилагаемых к заявлению документов требованиям к форме и комплектности, установленным настоящими Правилами.

15. В случае несоответствия заявления и (или) документов установленным требованиям, уполномоченный орган возвращает их заявителю с указанием причин возврата.

16. В случае соответствия заявления и приложенных документов требованиям к форме и комплектности, уполномоченный орган в течение срока, установленного пунктом 14 настоящих Правил, направляет заявление с приложенными документами в государственную техническую службу.

17. После получения заявления и приложенных документов государственная техническая служба не позднее трех рабочих дней направляет заявителю два экземпляра договора на оказание услуг по аттестационному обследованию. Заявитель в течение пяти рабочих дней с даты получения экземпляров договора подписывает и возвращает один экземпляр государственной технической службе. 

В случае, если по истечении указанного срока подписанный заявителем экземпляр договора не представлен государственной технической службе, заявление на проведение аттестации считается аннулированным.

18. Стоимость аттестационного обследования устанавливается органами национальной безопасности по согласованию с антимонопольным органом.

Пункт 18 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

19. Срок аттестационного обследования не должен превышать тридцати рабочих дней с даты вступления в силу договора на оказание услуг по аттестационному обследованию.

Пункт 19 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

В случае, если аттестуемая информационная система является территориально распределенной, срок аттестационного обследования составляет не более сорока рабочих дней.

20. Государственная техническая служба проводит аттестационное обследование объекта аттестации в соответствии с методикой проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса на соответствие требованиям информационной безопасности, утвержденной уполномоченным органом.

21. Заявитель обеспечивает государственной технической службе доступ в помещение, к оборудованию и документации объекта аттестации для проведения аттестационного обследования в соответствии с условиями договора на оказание услуг по аттестационному обследованию.

22. Аттестационное обследование включает:

1) предварительный анализ исходных данных объекта аттестации;

2) анализ и оценку соответствия ТД по ИБ объекта аттестации требованиям нормативных правовых актов и стандартов в сфере информационной безопасности и защиты информации, принятых на территории Республики Казахстан;

3) обследование объекта аттестации и оценку фактического выполнения требований, установленных ТД по ИБ, организационно-распорядительной, эксплуатационной документацией объекта аттестации и нормативными правовыми актами и стандартами в сфере информационной безопасности и защиты информации, принятых на территории Республики Казахстан;

4) инструментальное обследование компонентов объекта аттестации.

23. Государственная техническая служба не вправе разглашать сведения, составляющие коммерческую или иную охраняемую законом тайну, ставшие ей известными при проведении работ по аттестационному обследованию объекта аттестации.

24. По результатам аттестационного обследования государственная техническая служба составляет акт аттестационного обследования, который включает в себя сведения о фактическом состоянии защищенности объекта аттестации. 

25. Акт аттестационного обследования составляется в трех экземплярах, один из которых остаётся в государственной технической службе, а оставшиеся передаются в уполномоченный орган − для уполномоченного органа и заявителя.

Пункт 25 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

26. Пункт исключен (см. сноску)

Пункт 26 исключен в соответствии с Постановлением Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

27. На основании акта аттестационного обследования в течение трех рабочих дней уполномоченный орган принимает одно из следующих решений:

Абзац первый пункта 27 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

1) о выдаче аттестата;

2) об отказе в выдаче аттестата;

3) об устранении заявителем выявленных несоответствий.

Решение об устранении заявителем выявленных несоответствий принимается не более одного раза по заявлению на проведение аттестации.

28. В случае принятия положительного решения об аттестации, уполномоченный орган в течение трех рабочих дней с даты принятия решения направляет заявителю акт аттестационного обследования и аттестат по форме, согласно приложению 7 к настоящим Правилам, и вносит соответствующие сведения в реестр аттестатов.

Пункт 28 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

29. Реестр аттестатов ведется уполномоченным органом и содержит следующие сведения:

1) наименование объекта аттестации;

2) собственник (владелец) объекта аттестации;

3) разработчик объекта аттестации;

4) реквизиты акта аттестационного обследования (акта дополнительного аттестационного обследования);

5) реквизиты аттестата;

6) отзыв, возврат аттестата;

7) прекращение действия аттестата.

Реестр аттестатов ведется в бумажной форме.

30. В случае принятия решения об отказе в выдаче аттестата, уполномоченный орган в течение трех рабочих дней с даты принятия решения направляет заявителю акт аттестационного обследования.

Пункт 30 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

После устранения выявленных несоответствий заявитель вправе подать заявление на проведение аттестации данного объекта в порядке, установленном настоящими Правилами.

31. В случае принятия решения об устранении выявленных несоответствий, уполномоченный орган в течение трех рабочих дней с даты принятия решения направляет заявителю акт аттестационного обследования.

Часть первая пункта 31 изложена в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

В случае устранения заявителем выявленных несоответствий, в течение двадцати рабочих дней он уведомляет уполномоченный орган об их устранении и представляет документы для дополнительного аттестационного обследования. Дополнительное аттестационное обследование проводится бесплатно.

Дополнительный срок исчисляется с даты получения заявителем указанных документов. 

32. Отсутствие в течение двадцати рабочих дней уведомления об устранении замечаний является основанием для отказа заявителю.

33. Уполномоченный орган в течение трех рабочих дней с даты получения уведомления извещает государственную техническую службу о необходимости проведения дополнительного аттестационного обследования.

34. В течение пятнадцати рабочих дней с даты поступления от уполномоченного органа уведомления о проведении дополнительного аттестационного обследования государственная техническая служба проводит дополнительное аттестационное обследование объекта аттестации.

35. По результатам дополнительного аттестационного обследования государственная техническая служба составляет акт дополнительного аттестационного обследования, который включает в себя сведения об устранении замечаний, выявленных при проведении аттестационного обследования объекта аттестации.

Акт дополнительного аттестационного обследования составляется в трех экземплярах, один из которых остаётся в государственной технической службе, а оставшиеся передаются в уполномоченный орган для уполномоченного органа и заявителя.

Часть вторая пункта 35 изложена в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

36. Пункт исключен (см. сноску)

Пункт 36 исключен в соответствии с Постановлением Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

37. Уполномоченный орган в течение трех рабочих дней с даты получения актов дополнительного аттестационного обследования принимает одно из следующих решений:

Абзац первый пункта 37 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

1) о выдаче аттестата;

2) об отказе в выдаче аттестата.

38. В случае принятия положительного решения по результатам дополнительного аттестационного обследования, уполномоченный орган в течение трех рабочих дней направляет заявителю акт дополнительного аттестационного обследования и аттестат по форме, согласно приложению 7 к настоящим Правилам, и вносит соответствующие сведения в реестр аттестатов.

Пункт 38 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

39. В случае принятия решения об отказе в выдаче аттестата по результатам дополнительного аттестационного обследования, заявитель после устранения выявленных несоответствий вправе подать заявление на проведение аттестации данного объекта в порядке, установленном настоящими Правилами. 

40. Аттестат выдается на срок промышленной эксплуатации объекта аттестации, за исключением информационно-коммуникационной платформы «электронного правительства», при соблюдении (обеспечении) в течение указанного срока неизменности условий функционирования и функциональности объекта аттестации, аппаратно-программного комплекса и информационно-коммуникационных технологий, обеспечивающих обработку защищаемой информации и определяющих безопасность информации. 

Аттестат информационно-коммуникационной платформы «электронного правительства» выдается на один год.

41. По истечении срока действия аттестата объект аттестации подлежит аттестации в порядке, установленном настоящими Правилами.

42. Объекты аттестации, подлежащие обязательной аттестации, за исключением информационной-коммуникационной платформы «электронного правительства», в течение одного года с даты получения аттестата подключаются к информационной системе мониторинга обеспечения информационной безопасности государственной технической службы и уведомляют об этом уполномоченный орган.

43. В случае изменения условий функционирования и функциональности объекта аттестации, собственник или владелец объекта аттестации после завершения работ по его развитию направляет в уполномоченный орган уведомление о необходимости проведения его повторной аттестации в порядке, установленном настоящими Правилами, с приложением описания всех произведенных изменений.

Ответственность за выполнение установленных условий функционирования объекта аттестации, технологии обработки защищаемой информации и требований по информационной безопасности возлагается на собственника и (или) владельца объекта аттестации.

44. Уполномоченный орган со дня получения уведомления в течение трех рабочих дней принимает решение о проведении повторной аттестации объекта аттестации.

Пункт 44 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

45. Уполномоченный орган принимает решение об отзыве аттестата в следующих случаях:

1) невыполнения требований, указанных в пункте 41 настоящих Правил; 

2) наличия письменного заявления собственника или владельца объекта аттестации; 

3) несоответствия объекта аттестации требованиям информационной безопасности, выявленного при проверке, проведенной в соответствии с Предпринимательским кодексом Республики Казахстан; 

4) изменения условий функционирования и функциональности объекта аттестации, указанного в пункте 5 настоящих Правил;

Подпункт 4 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

5) прекращения эксплуатации объекта аттестации, указанного в пункте 5 настоящих Правил.

Подпункт 5 изложен в новой редакции Постановления Правительства РК от 09.04.2018 г. № 178 (см. редакцию от 23.05.2016 г.) (подлежит введению в действие по истечении 10 (десяти) календарных дней после дня его первого официального опубликования)
Опубликовано в ИС "Эталонный контрольный банк НПА РК в электронном виде" от 11.04.2018 г.

46. Копия решения об отзыве аттестата направляется собственнику (владельцу) объекта аттестации, который в течение трех рабочих дней с даты получения копии указанного решения возвращает аттестат уполномоченному органу и, в случае необходимости, направляет заявление на проведение аттестации объекта аттестации в порядке, установленном настоящими Правилами.

47. Внедрение нового сервисного программного продукта, изменение сервисного программного продукта не влечет отзыва аттестата информационно-коммуникационной платформы «электронного правительства».

48. В случаях утери, повреждения или порчи аттестата, собственник (владелец) объекта аттестации направляет в уполномоченный орган уведомление с указанием причин. Уполномоченный орган в течение пяти рабочих дней с даты получения уведомления выдает дубликат аттестата.

	

		

			
№ п/п
			
Собственник (владелец) объекта аттестации
			
Наименование объекта аттестации
			
Этап жизненного цикла объекта аттестации
			
Планируемая дата для прохождения аттестации
			
Реквизиты акта испытаний объекта аттестации
		
		

			
1
			
2
			
3
			
4
			
5
			
6
		
		

			
 
			
 
			
 
			
 
			
 
			
 
		
	

 Кому __________________________________

  (наименование органа по аттестации)

 
 ___________________________________________________________________ (наименование, БИН/ИИН*, Ф.И.О. (при его наличии) заявителя) просит провести аттестацию ________________________________________ (наименование объекта аттестации) на соответствие требованиям информационной безопасности. 1. Исходные данные по объекту аттестации, представленному к аттестации на соответствие требованиям информационной безопасности, на ____ листах прилагаются. 2. _________________________________________________________________ (наименование, Ф.И.О. (при его наличии) заявителя) обязуется представить необходимые документы и создать условия для проведения аттестации объекта аттестации на соответствие требованиям информационной безопасности. ____________________________ (подпись) М.П. «_____» _________________ 20___ года *бизнес-идентификационный номер/индивидуальный идентификационный номер __________________________________

1. Политика информационной безопасности. 

2. Методика оценки рисков информационной безопасности. 

3. Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации. 

4. Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации.

5. Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения. 

6. Правила проведения внутреннего аудита информационной безопасности.

7. Правила использования криптографических средств защиты информации в объекте аттестации (данный документ является обязательным для объектов аттестации, использующих криптографические средства защиты информации).

8. Правила разграничения прав доступа к электронным ресурсам объекта аттестации.

9. Правила использования сети интернет и электронной почты.

10. Правила организации процедуры аутентификации. 

11. Правила организации антивирусного контроля.

12. Правила использования мобильных устройств и носителей информации.

13. Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов объекта аттестации. 

14. Руководство администратора по сопровождению объекта аттестации.

15. Регламент резервного копирования и восстановления информации объекта аттестации.

16. Инструкция о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

	

		

			
№ п/п
			
Наименование объекта информатизации
			
Собственник (владелец)
			
Характер взаимодействия
		
		

			
1
			
2
			
3
			
4
		
		

			
 
			
 
			
 
			
 
		
	

	

		

			
№ п\п
			
Производитель, модель
			
Серийный/инвентарный номер
			
Номер сертификата по информационной безопасности (при наличии)
			
Физическое месторас-

			положение
			
Тип (согласно технической документации)
			
Основное функциональное назначение (согласно программной документации к объекту аттестации)
			
Используемые методы защиты информации
			
Разработчик, название, версия (встроенного программного обеспечения)
			
IP адреса
		
		

			
1
			
2
			
3
			
4
			
5
			
6
			
7
			
8
			
9
			
 
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
	

	

		

			
№ п\п
			
Разработчик
			
Название
			
Версия
			
Место установки (из перечня технических средств)
			
Тип (согласно программной документации)
			
Основное функциональное назначение (согласно программной документации)
			
Используемые методы защиты информации
		
		

			
1
			
2
			
3
			
4
			
5
			
6
			
7
			
8
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
	

   ___________________________________________________________________

                     (наименование объекта аттестации)

   ___________________________________________________________________

      Действителен до «__» _______ 20__ года № ____

Настоящим Аттестатом удостоверяется, что:

 _____________________________________________________________________

                   (наименование объекта аттестации)

соответствует требованиям информационной безопасности, стандартам в области информационной безопасности. Состав комплекса программных и технических средств информационной системы /информационно-коммуникационной платформы «электронного правительства»/ интернет-ресурса государственного органа прилагается согласно приложению к аттестату.

       С учетом результатов аттестационного обследования на объекте аттестации разрешается обработка ________________________ информации.

                           (служебная, общедоступная и т.п.)

При эксплуатации объекта аттестации запрещается:

 ____________________________________________________________________.

       (ограничения, которые могут повлиять на эффективность мер и

                       средств защиты информации)

Контроль за эффективностью реализованных мер и средств защиты возлагается на соответствующие подразделения заявителя.

       Подробные результаты аттестационного обследования приведены в акте аттестационного обследования (№ ____ от «___» 20___ года).

       Настоящий аттестат соответствия объекта аттестации требованиям информационной безопасности выдан на _____________________________,

                                        (срок действия аттестата)

в течение которых(ого) должна быть обеспечена неизменность условий функционирования и функциональности объекта аттестации.

Перечень характеристик, об изменениях которых в обязательном порядке следует извещать государственную техническую службу:

       1) _____________________________;

       2) _____________________________.

      Председатель _________________________________________________

                              (Ф.И.О. (при его наличии)

      МП «____» ____________ 20__ г.

                                               к аттестату № ________

                                               от ___________________

                                                               форма

                                                         Таблица № 1

	

		

			
№ п\п
			
Производитель, модель
			
Серийный/инвентарный номер
			
Номер сертификата по информационной безопасности (при наличии)
			
Физическое месторас-

			положение
			
Тип (согласно технической документации)
			
Основное функциональное назначение (согласно программной документации к объекту аттестации)
			
Используемые методы защиты информации
			
Разработчик, название, версия (встроенного программного обеспечения)
		
		

			
1
			
2
			
3
			
4
			
5
			
6
			
7
			
8
			
9
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
	

                                                         Таблица № 2

	

		

			
№ п\п
			
Разработчик
			
Название
			
Версия
			
Место установки (из перечня технических средств)
			
Тип (согласно программной документации)
			
Основное функциональное назначение (согласно программной документации)
			
Используемые методы защиты информации
		
		

			
1
			
2
			
3
			
4
			
5
			
6
			
7
			
8
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
		

			
 
			
 
			
 
			
 
			
 
			
 
			
 
			
 
		
	

1. Постановление Правительства Республики Казахстан от 30 декабря 2009 года № 2280 «Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (САПП Республики Казахстан, 2010 г., № 4, ст. 39).

2. Постановление Правительства Республики Казахстан от 3 ноября 2011 года № 1285 «О внесении изменений и дополнений в постановление Правительства Республики Казахстан от 30 декабря 2009 года № 2280 «Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам»(САПП Республики Казахстан, 2012 г., № 1, ст. 7).

3. Постановление Правительства Республики Казахстан от 25 сентября 2012 года № 1241 «Об утверждении стандартов государственных услуг в сфере информационных технологий и о внесении изменений в постановления Правительства Республики Казахстан от 20 июля 2010 года № 745 «Об утверждении реестра государственных услуг, оказываемых физическим и юридическим лицам» и от 30 декабря 2009 года № 2280 «Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (САПП Республики Казахстан, 2012 г., № 71, ст. 1047). 

4. Пункт 5 изменений, которые вносятся в некоторые решения Правительства Республики Казахстан, утвержденных постановлением Правительства Республики Казахстан от 28 января 2013 года № 49 «О некоторых вопросах государственной технической службы» (САПП Республики Казахстан, 2013 г., № 12, ст. 226).

5. Пункт 3 изменений, которые вносятся в некоторые решения Правительства Республики Казахстан, утвержденных постановлением Правительства Республики Казахстан от 21 мая 2013 года № 507 «О внесении изменений в некоторые решения Правительства Республики Казахстан» (САПП Республики Казахстан, 2013 г., № 34, ст. 505).