РҚао-ның ескертпесі! Осы қаулының қолданысқа енгізілу тәртібін


-параграф. Ақпараттық қауіпсіздікті ұйымдастыруға қойылатын талаптар



Pdf көрінісі
бет2/4
Дата06.04.2017
өлшемі126,29 Kb.
#11143
1   2   3   4

2-параграф. Ақпараттық қауіпсіздікті ұйымдастыруға қойылатын талаптар

      29. МО-да, ЖАО-да немесе ұйымда АҚ ұйымдастыру, қамтамасыз ету мен басқару кезінде ҚР 

СТ ИСО/ХЭК 27002-2009 "Ақпараттық технологиялар. Қамтамасыз ету құралдары. Ақпаратты 

қорғауды басқару жөніндегі ережелер жинағы" Қазақстан Республикасы стандартының ережелерін 

басшылыққа алу қажет. 

      30. АҚ қамтамасыз ету саласындағы жауапкершіліктің және функциялардың аражігін ажырату

мақсатында ақпараттандыру объектілерін құру, сүйемелдеу және дамыту мәселелерімен 

айналысатын басқа құрылымдық бөлімшелерден оқшау, МО-ның немесе ЖАО-ның құрылымдық бөлімшесі

болып табылатын АҚ бөлімшесі: 

      1) АҚ ТҚ талаптарының орындалуын бақылауды;

      2) АҚ құжатпен ресімделуін бақылауды;

      3) АҚ қамтамасыз ету бөлігінде активтердің басқарылуын бақылауды;

      4) БҚ заңды пайдаланылуын бақылауды;

      5) АКТ саласындағы тәуекелдердің басқарылуын бақылауды;

      6) АҚ оқиғаларының тіркелуін бақылауды;

      7) ішкі АҚ аудитін жүргізуді;

      8) сыртқы АҚ аудитінің ұйымдастырылуын бақылауды;

      9) АКТ пайдаланатын бизнес-процестер үздіксіздігінің қамтамасыз етілуін бақылауды;

      10) персоналды басқарған кезде АҚ талаптарының сақталуын бақылауды;

      11) "электрондық үкіметтің" ақпараттандыру объектісі АҚ-сының жай-күйін бақылауды 

жүзеге асырады.

      31. АҚ ТҚ өз қызметінде МО, ЖАО немесе ұйым басшылыққа алатын құжатталған қағидалардың

, рәсімдердің, практикалық тәсілдердің немесе басшылық қағидаттарының төрт деңгейлі жүйесі 

түрінде құрылады.

      АҚ ТҚ МО-ның, ЖАО-ның немесе ұйымның бірінші басшысының құқықтық актісімен бекітіледі 

және МО, ЖАО барлық қызметшілерінің немесе ұйым жұмыскерлерінің назарына жеткізіледі. 

      АҚ ТҚ ондағы ақпаратты талдау және өзектілендіру мақсатында кемінде екі жылда бір рет 

қайта қаралады. 

      32. МО-ның, ЖАО-ның немесе ұйымның АҚ саясаты бірінші деңгейдегі құжат болып табылады 

және МО немесе ұйым күнделікті қызметінде басшылыққа алатын АҚ-ны қамтамасыз ету саласындағы

мақсаттарды, міндеттерді, басшылық қағидаттары мен практикалық тәсілдерді айқындайды. 

      33. Екінші деңгейдегі құжаттар тізбесіне МО-ның, ЖАО-ның немесе ұйымның АҚ саясатының 

талаптарын нақтылайтын құжаттар кіреді, соның ішінде:

      1) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі;

      2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, жіктеу және 

таңбалау қағидалары;



      3) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын қамтамасыз ету

жөніндегі қағидалар;

      4) есептеу техникасы құралдарын, телекоммуникация жабдығын және бағдарламалық 

қамтылымды түгендеу мен паспорттау қағидалары;

      5) ішкі АҚ аудитін жүргізу қағидалары;

      6) ақпаратты криптографиялық қорғау құралдарын пайдалану тәртібі;

      7) электрондық ақпараттық ресурстарға қол жеткізу құқығының аражігін ажырату 

қағидалары;

      8) Интернет желісі мен электрондық поштаны пайдалану қағидалары;

      9) аутентификациялау рәсімін ұйымдастыру қағидалары;

      10) вирусқа қарсы бақылауды ұйымдастыру қағидалары;

      11) мобильдік қондырғыларды және ақпаратты тасығыштарды пайдалану қағидалары;

      12) ақпаратты өңдеу құралдарын нақты қорғауды және ақпараттық ресурстардың қауіпсіз 

қызмет ету ортасын ұйымдастыру қағидалары.

      34. Үшінші деңгейдегі құжаттар АҚ-ны қамтамасыз ету процестері мен рәсімдерінің 

сипаттамаларын қамтиды, соның ішінде:

      1) АҚ қатерлері (тәуекелдері) каталогы;

      2) АҚ қатерлерін (тәуекелдерін) өңдеу жоспары;

      3) ақпаратты резервтік көшіру және қалпына келтіру регламенті;

      4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмысын және жұмыс 

қабілеттілігін қалпына келтіруді қамтамасыз ету бойынша іс-шаралар жоспары;

      5) әкімшінің ақпараттандыру объектісін сүйемелдеу жөніндегі басшылығы;

      6) пайдаланушылардың АҚ инциденттеріне ден қою және штаттан тыс (дағдарысты) 

жағдайларда әрекет ету бойынша іс-қимыл тәртібі туралы нұсқаулық.

      35. Төртінші деңгейдегі құжаттар тізбесі орындалған рәсімдерді және жұмыстарды тіркеу 

мен растау үшін пайдаланылатын жұмыс нысандарын, журналдарды, өтінімдерді, хаттамаларды және

электрондық құжаттарды қоса алғанда, басқа да құжаттарды қамтиды, соның ішінде:

      1) АҚ инциденттерін тіркеу журналы;

      2) штаттан тыс оқиғаларды тіркеу журналы;

      3) серверлік үй-жайларға кіру журналы;

      4) желілік ресурстардың осалдықтарын бағалауды жүргізу туралы есеп;

      5) БҚ осалдықтарын тіркеу және жою журналы;

      6) кәбілдік қосылуларды есепке алу журналы;

      7) резервтік көшірмелерді есепке алу журналы;

      8) резервтік көшірмелерді тестілеуді есепке алу журналы;

      9) жабдық конфигурациясын өзгертуді есепке алу журналы;

      10) АЖ ЕБҚ мен ҚБҚ тестілеу және өзгерістерді есепке алу журналы;

      11) серверлік үй-жайларға арналған дизель-генераторлық қондырғыларды және үздіксіз 

қуаттау көздерін тестілеу журналы;

      12) серверлік үй-жайлардың микроклиматын, бейнебақылауды, өрт сөндіруді қамтамасыз ету

жүйелерін тестілеу журналы.

      Үшінші және төртінші деңгейдегі құжаттардың мазмұны бойынша қойылатын талаптар МО-ға 

және ЖАО-ға 2017 жылғы 1 қаңтардан бастап көзделеді.

      36. Активтерді қорғауды қамтамасыз ету үшін:

      1) активтерді түгендеу;

      2) активтерді МО-да, ЖАО-да қабылданған сыныптау жүйесіне сәйкес сыныптау және 

таңбалау;

      3) активтерді лауазымды тұлғаларға бекіту мен активтердің АҚ-сын басқару жөніндегі 

іс-шараларды іске асыру үшін олардың жауапкершілік көлемін белгілеу;

      4) АҚ ТҚ-да:

      активтерді қолдану мен қайтару;

      активтерді сәйкестендіру, сыныптау мен таңбалау тәртібін реттеу жүргізіледі. 

      37. МО-да немесе ЖАО-да АКТ саласындағы тәуекелдерді басқару мақсатында:

      1) ҚР СТ 31010-2010 "Тәуекел менеджменті. Тәуекелді бағалау әдістері" Қазақстан 

Республикасы стандартының ұсынымдарына сәйкес тәуекелдерді бағалау әдісін таңдау және 

тәуекелдерді талдау рәсімдерін әзірлеу; 

      2) сәйкестендірілген және сыныпталған активтердің тізбесіне қатысты тәуекелдерді 

сәйкестендіру жүзеге асырылады, ол мыналарды қамтиды:



      АҚ қатерлерін және олардың көздерін айқындау;

      қатерлердің іске асырылуына әкеп соғуы мүмкін осалдықтарды айқындау;

      ақпараттың таралу арналарын анықтау;

      бұзушы моделін қалыптастыру;

      3) сәйкестендірілген тәуекелдерді қабылдау өлшемшарттарын таңдау;

      4) мыналарды:

      ҚР СТ 13335-2008 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен 

құралдары. Ақпараттық және коммуникациялық технологияларды қорғауды басқару" Қазақстан 

Республикасы стандартының талаптарына сәйкес сәйкестендірілген тәуекелдердің тәуекелдерін 

бағалауды (қайта бағалауды);

      ықтимал нұқсанды айқындауды қамтитын АҚ қатерлері (тәуекелдері) каталогын қалыптастыру

;

      5) АҚ қатерлерін (тәуекелдерін) бейтараптандыру немесе төмендету жөніндегі 



іс-шараларды қамтитын оларды өңдеу жоспарын әзірлеу және бекіту жүзеге асырылады. 

      38. МО-да, ЖАО-да немесе ұйымда АҚ-ның бұзылу оқиғаларын бақылау мақсатында:

      1) АҚ-ны бұзуға байланысты оқиғалар мониторингі мен мониторинг нәтижелерін талдау 

жүргізіледі;

      2) АҚ-ның жай-күйіне байланысты оқиғалар тіркеліп, оқиғалар журналдарын, соның ішінде:

      операциялық жүйелердің оқиғалар журналдарын;

      дерекқорларды басқару жүйелерінің оқиғалар журналдарын;

      вирусқа қарсы қорғау оқиғаларының журналдарын;

      қолданбалы БҚ оқиғалар журналдарын;

      телекоммуникациялық жабдықтың оқиғалар журналдарын;

      шабуылдарды анықтау және алдын алу жүйелерінің оқиғалар журналдарын; 

      контентті басқару жүйесі оқиғаларының журналын талдау арқылы бұзушылықтар анықталады;

      3) оқиғаларды тіркеу журналдарындағы уақытты уақыт көзінің инфрақұрылымымен үйлесімді 

ету қамтамасыз етіледі;

      4) оқиғаларды тіркеу журналдары АҚ ТҚ-да көрсетілген, бірақ үш жылдан кем емес мерзім 

бойы сақталады және кем дегенде үш ай жедел қолжетімді болады;

      5) уәкілетті орган бекітетін "электрондық үкіметтің" ақпараттандыру объектілерінің 

ақпараттық қауіпсіздігін, қорғалуы мен қауіпсіз жұмыс істеуін қамтамасыз ету мониторингін 

жүргізу қағидаларында айқындалған форматтар мен жазба түрлеріне сәйкес құрылатын БҚ 

оқиғаларын тіркеу журналдары жүргізіледі;

      6) оқиғаларды тіркеу журналдарын араласудан және авторланбаған қолжетімділіктен қорғау

қамтамасыз етіледі. Жүйе әкімшілеріне журналдарды өзгертуге, жоюға және ажыратуға өкілеттік 

беруге жол берілмейді. Құпия АЖ үшін журналдардың резервтік қоймасын құру және оны жүргізу 

талап етіледі;

      7) АҚ инциденттері туралы хабардар етудің және АҚ-ның инциденттеріне әрекет етудің 

формальді рәсімін енгізу қамтамасыз етіледі.

      39. МО-ның, ЖАО-ның немесе ұйымның өте маңызды процестерін ішкі және сыртқы 

қатерлерден қорғау мақсатында:

      1) ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс

қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары әзірленеді, 

тестілеуден өтеді және іске асырылады;

      2) пайдаланушылардың АҚ инциденттеріне және штаттан тыс (дағдарысты) жағдайларда 

әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық МО, ЖАО қызметшілерінің немесе ұйым 

жұмыскерлерінің назарына жеткізіледі.

      Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және жұмыс 

қабілеттілігін қалпына келтіруді қамтамасыз ету жөніндегі іс-шаралар жоспары үнемі 

өзектілендіруге жатады. 

      40. МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің АҚ-ны қамтамасыз ету бойынша 

функционалдық міндеттері мен АҚ ТҚ талаптарын орындау бойынша міндеттемелері лауазымдық 

нұсқаулықтарға және (немесе) еңбек шартының талаптарына енгізіледі.

      Еңбек шарты аяқталғаннан кейін күшінде болатын АҚ-ны қамтамасыз ету саласындағы 

міндеттемелер МО, ЖАО қызметшілерінің немесе ұйым жұмыскерлерінің еңбек шартында белгіленеді

      41. ЭАР, АЖ, АКИ ақпараттық қауіпсіздігін қамтамасыз етуге бөгде ұйымдарды тартқан 



жағдайда олардың иесі немесе иеленушісі аталған объектілермен жұмыс істеу, оларға қол 

жеткізу немесе пайдалану шарттары, сондай-ақ оларды бұзғаны үшін жауапкершілігі белгіленетін

келісімдер жасайды.

      42. АҚ-ны қамтамасыз ету саласында міндеттемелері бар МО, ЖАО қызметшілерін немесе 

ұйым жұмыскерлерін жұмыстан босатқан кездегі рәсімдердің мазмұны АҚ ТҚ-да белгіленеді. 

      43. Жұмыстан босатылған немесе еңбек шарты талаптарына өзгерістер енгізілген кезде МО,

ЖАО қызметшісінің немесе ұйым жұмыскерінің ақпаратқа және ақпаратты өңдеу құралдарына қол 

жеткізу құқықтары:

      жеке және логикалық қолжетімділікті, қол жеткізу, қол қою сәйкестендіргіштерін және 

оны жұмыс істейтін МО, ЖАО қызметшісі немесе ұйым жұмыскері ретінде сәйкестендіретін 

құжаттаманы қамтиды;

      оның еңбек шарты тоқтатылғаннан кейін жойылады немесе еңбек шартының талаптарына 

өзгерістер енгізілген кезде өзгертіледі. 

      44. Кадр қызметі МО, ЖАО қызметшілерін немесе ұйым жұмыскерлерін ақпараттандыру және 

АҚ-ны қамтамасыз ету саласында оқытуды ұйымдастырады және есебін жүргізеді. 

      45. Заңның 

 11) тармақшасына сәйкес уәкілетті орган бекіткен ақпараттандыру 

7-бабының

объектілерінің сыныптауышына (бұдан әрі ? Сыныптауыш) сәйкес бірінші және екінші сыныптағы 

ақпараттандыру объектілерін, сондай-ақ құпия АЖ құруға және дамытуға бастама жасалған кезде 

ҚР МЕМ СТ Р ИСО/МЭК 15408-2004 "Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері

мен құралдары. Ақпараттық технологиялардың қауіпсіздігін бағалау өлшемшарттары" Қазақстан 

Республикасы стандартының талаптарына сәйкес құрамдас компоненттерге арналған қорғау 

профильдері мен қауіпсіздік жөніндегі тапсырма әзірленеді.

      46. Ақпараттандыру объектілерін пайдалану кезінде АҚ қамтамасыз ету мақсатында:

      1) сәйкестендіру тәсілдеріне;

      2) қолданылатын АКҚҚ-ға;

      3) қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету тәсілдеріне;

      4) АҚ-ны қамтамасыз ету, қорғауды және қауіпсіз жұмыс істеуі мониторингіне;

      5) АҚ қамтамасыз ету құралдары мен жүйелерін қолдануға;

      6) куәландырушы орталықтардың тіркеу куәліктеріне қойылатын талаптар белгіленеді.

      47. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ақпараттандыру объектілеріне қол

жеткізу кезінде сәйкестендіру мақсатында көп факторлы, соның ішінде ЭЦҚ пайдаланылатын 

аутентификация қолданылады.

      48. Құпия АЖ, құпия ЭАР және қолжетімділігі шектелген дербес деректерді қамтитын ЭАР 

қызметтік ақпаратын қорғау мақсатында ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау 

құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының стандартына сәйкес АКҚҚ-ға 

қойылатын талаптарға сәйкес келетін мынадай параметрлері бар:

      бірінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – үшінші 

қауіпсіздік деңгейінің;

      екінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – екінші 

қауіпсіздік деңгейінің;

      үшінші сыныптағы ақпараттандыру объектілері үшін сыныптауышқа сәйкес – бірінші 

қауіпсіздік деңгейінің АКҚҚ (бағдарламалық және аппараттық) қолданылады. 

      49. Қолжетімділікті және істен шығуының болмаушылығын қамтамасыз ету үшін ЭҮ 

ақпараттандыру объектілерінің иелері:

      1) сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілеріне 

арналған меншікті немесе жалға алынған резервті серверлік үй-жайдың болуын;

      2) аппараттық-бағдарламалық деректерді өңдеу құралдарын, деректерді сақтау жүйелерін, 

деректерді сақтау желілерінің компоненттері мен деректерді беру арналарын, соның ішінде 

сыныптауышқа сәйкес:

      бірінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда 

жүктемемен (жедел);

      екінші сыныптағы ЭҮ ақпараттандыру объектілерін – резервтік серверлік үй-жайда 

жүктемесіз (іске қосылмаған);

      үшінші сыныптағы ЭҮ ақпараттандыру объектілерін – негізгі серверлік үй-жайға жақын 

орналасқан қоймада сақтаумен резервтеуді қамтамасыз етеді. 

      50. Сыныптауышқа сәйкес бірінші және екінші сыныптағы ЭҮ ақпараттандыру объектілері 

оларды өндірістік пайдалануға енгізгеннен кейін бір жылдан кешіктірмей АҚ-ны қамтамасыз ету,

қорғауды және қауіпсіз жұмыс істеуі мониторингі жүйесіне қосылады. 

      51. МО, ЖАО:



      пайдаланушылар мен персоналдың іс-қимылы;

      ақпаратты өңдеу құралдарын қолдану мониторингін жүзеге асырады. 

      52. МО-да, ЖАО-да пайдаланушылар мен персонал іс-қимылы мониторингін жүзеге асыру 

шеңберінде:

      1) пайдаланушылардың аномальді белсенділігі мен қасақана іс-қимылдары айқындалған 

кезде, мұндай іс-әрекеттер:

      сыныптауышқа сәйкес бірінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі, 

бұғатталады және әкімшісі жедел хабардар етіледі; 

      сыныптауышқа сәйкес екінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі және

бұғатталады;

      сыныптауышқа сәйкес үшінші сыныптағы ЭҮ ақпараттандыру объектілері үшін тіркеледі;

      2) қызмет көрсетуші персоналдың іс-қимылдарын АҚ бөлімшесі тіркейді және бақылайды.

      53. АҚ оқиғалары мониторингін және оқиғалар журналын талдау нәтижелері бойынша 

құпиялылығы, қолжетімділігі мен тұтастығы үшін өте қатерлі болып сәйкестендірілген АҚ 

оқиғалары:

      1) АҚ инциденттері ретінде анықталады;

      2) АҚ қатерлері (тәуекелдері) каталогында есепке алынады;

      3) мемлекеттік техникалық қызметтің компьютерлік инциденттерге әрекет ету қызметінде 

тіркеледі. 

      54. Ақпараттандыру объектілерін тәжірибелік және өнеркәсіптік пайдалану кезеңінде:

      зиянды кодты анықтау мен алдын алу;

      АҚ инциденттері мен оқиғаларын басқару;

      басып кіруді анықтау және алдын алу;

      ақпараттық инфрақұрылым мониторингі және оны басқару құралдары мен жүйелері 

пайдаланылады. 

      55. Қазақстан Республикасы негізгі куәландырушы орталығының тіркеу куәліктері ҚР СТ 

ИСО/МЭК 14888-1-2006 "Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшалары бар 

цифрлық қолтаңбалар. 1-бөлім. Жалпы ережелер", ҚР СТ ИСО/МЭК 14888-3-2006 "Ақпаратты қорғау 

әдістері. Қосымшалары бар цифрлық қолтаңбалар. 3-бөлім. Сертификатқа негізделген механизмдер

", ГОСТ Р ИСО/МЭК 9594-8-98 "Ақпараттық технология. Ашық желілердің өзара байланысы. 

Анықтамалық. 8-бөлім. Аутентификация негіздері" стандарттарына сәйкес аутентификация 

мақсаттарында әлемдік БҚ өндірушілер бағдарламалық өнімдерінің сенімді тізімдерінде тануға 

жатады. 

      56. Қазақстан Республикасының негізгі куәландырушы орталығын қоспағанда, Қазақстан 

Республикасының куәландырушы орталықтары куәландырушы орталықтарды аккредиттеу қағидаларына 

сәйкес куәландырушы орталықты аккредиттеу жолымен әлемдік БҚ өндірушілер бағдарламалық 

өнімдерінің сенімді тізімдерінде танылады.

      Қазақстан Республикасының куәландырушы орталықтары шет елдердің аумағында Қазақстан 

Республикасы азаматтарының ЭЦҚ тексеруді қамтамасыз ету үшін өз тіркеу куәлігін Қазақстан 

Республикасының сенім білдірілген үшінші тарапында орналастырады. 

 

3-тарау. Ақпараттандыру объектілеріне қойылатын талаптар

1-параграф. Электрондық ақпараттық ресурстарға және Интернет ресурстарға қойылатын 

талаптар

      57. ЭАР иесі және (немесе) иеленушісі:

      1) қажет болған жағдайда МО-ның немесе ұйымның құқықтық актісімен бекітілген ҚР СТ ИСО

23081-2-2010 "Ақпарат және құжаттама. Жазбаларды басқаруға арналған метадеректер. 2-бөлім. 

Тұжырымдама және іске асыру мәселелері" Қазақстан Республикасының стандартына сәйкес ЭАР-ды 

сәйкестендіруді іске асырады, метадеректердің сипаттамасын (пайдалану, сипаттама, оқиғалар 

жоспары, оқиғалар, қатынастар хроникасы) қалыптастырады және ЭАР каталогында орналастырады;

      2) уәкілетті орган бекіткен ақпараттандыру объектілерін сыныптау қағидаларына және 

ақпараттандыру объектілерінің сыныптауышына сәйкес ЭАР сыныбын айқындайды және жобалық 

құжаттама мен ЭАР каталогында ЭАР сыныбын белгілейді;



      3) ЭАР каталогын өзекті күйде ұстайды;

      4) ЭАР-ды және оның метадеректерін сақтауды жүзеге асырады. Сақтау нысаны мен тәсілін 

өзі белгілейді.

      58. ИР құруға немесе дамытуға қойылатын талаптар ақпараттандыру саласындағы тауарларды

, жұмыстар мен көрсетілетін қызметтерді сатып алуға арналған техникалық ерекшелікте 

айқындалады.

      59. ИР иесі және (немесе) иеленушісі пайдаланушының кескін тілін таңдау мүмкіндігімен 

қазақ, орыс және қажет болған жағдайда басқа тілдерде көпшілікке қолжетімді ИР құруды 

қамтамасыз етеді.

      60. ИР құру немесе дамыту ҚР СТ 2190-2012 "Ақпараттық технологиялар. Мемлекеттік 

органдар мен ұйымдардың интернет-ресурстары. Талаптар", ҚР СТ 2191-2012 "Ақпараттық 

технологиялар. Интернет-ресурстың мүмкіндіктері шектеулі адамдар үшін қолжетімділігі", ҚР СТ

2192-2012 "Ақпараттық технологиялар. Интернет-ресурс, интернет-портал, интранет-портал. 

Жалпы сипаттамасы", ҚР СТ 2193-2012 "Ақпараттық технологиялар. Мобильдік веб-қосымшаларды 

әзірлеудің ұсынылатын тәжірибесі", ҚР СТ 2199-2012 "Ақпараттық технологиялар. Мемлекеттік 

органдарда веб-қосымшалардың қауіпсіздігіне қойылатын талаптар" Қазақстан Республикасы 

стандарттарының талаптарын ескере отырып жүзеге асырылады. 

      61. МО немесе ЖАО ИР-нда ЭАР дайындау, орналастыру, өзектілендіру уәкілетті орган 

бекіткен МО ИР ақпараттық толықтыру қағидалары мен олардың мазмұнына қойылатын талаптарға 

сәйкес жүзеге асырылады. 

      62. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық 

бөлімшелерінің, жергілікті атқарушы органның ИР gov.kz. және мем.қаз домендік аймақтарында 

тіркеледі және МО ИРБП-да орналастырылады. 

      МО ИРБП ЭҮ АКП-да орналастырылады.

      63. Орталық атқарушы органның, орталық атқарушы органның құрылымдық және аумақтық 

бөлімшелерінің, жергілікті атқарушы органның ИР басқаруды, ЭАР орналастыру мен 

өзектілендіруді оператор ИР иесінің және (немесе) иеленушінің өтінімі негізінде ЭҮ АКИ 

локальдық желісінің сыртқы шеңберінен жүзеге асырады. 

      64. АЖ-ды, БҚ-ны немесе СБӨ-ні есептен шығарған кезде ЭАР иесі және (немесе) 

иеленушісі ЭАР қалпына келтіру бойынша нұсқаулық дайындау арқылы есептен шығарылатын АЖ 

дерекқорын басқару жүйесінің кіріктірілген функционалы арқылы дерекқорының құрылымын және 

мазмұнын сақтауды қамтамасыз етеді.

      Дерекқордың құрылымын және мазмұнын сақтау тәсілін иесі өзі белгілейді.

      65. ЭАР пайдаланылмаған кезде МО немесе ЖАО "Ұлттық архив қоры және архивтер туралы" 

1998 жылғы 22 желтоқсандағы Қазақстан Республикасының 

 белгіленген тәртіппен оны 

Заңында

архивке тапсыруды қамтамасыз етеді.



      66. ИР-дің АҚ-сын қамтамасыз ету үшін:

      1) домендік атаудың төлнұсқалылығын және АКҚҚ пайдаланылатын байланыс сеансы 

мазмұнының криптографиялық шифрлануын тексеруге арналған тіркеу куәліктері;

      2) мыналарды:

      ЭАР-ды орналастыру, өзгерту және жою операцияларын санкциялауды;

      ЭАР-ды орналастыру, өзгерту және жою кезінде авторлықты тіркеуді;

      жүктелетін ЭАР-ды зиянды кодтың бар болуы тұрғысынан тексеруді; 

      орындалатын код пен скрипттер қауіпсіздігінің аудитін;

      орналастырылған ЭАР тұтастығын бақылауды; 

      ЭАР-ды өзгерту журналын жүргізуді;

      пайдаланушылар мен бағдарламалық роботтардың аномальді белсенділігін бақылауды 

орындайтын құрамын (контентті) басқару жүйесі қолданылады. 

 

2- параграф. Әзірленетін немесе сатып алынатын қолданбалы бағдарламалық қамтылымға 

қойылатын талаптар

      67. Қолданбалы БҚ-ны әзірлеуге немесе сатып алуға бастамашылық ету кезеңінде Заңның 7-

 11) тармақшасына сәйкес уәкілетті орган бекіткен ақпараттандыру объектілерін 

бабының


сыныптау қағидаларына және ақпараттандыру объектілерінің сыныптауышына сәйкес БҚ сыныбы 

айқындалады және жобалау құжаттамасында тіркеледі.



      68. АЖ-ның құрылатын немесе дамытылатын қолданбалы БҚ-сына қойылатын талаптар ҚР СТ 

34.015-2002 "Ақпараттық технология. Автоматтандырылған жүйелерге арналған стандарттар кешені

. Автоматтандырылған жүйені құрудың техникалық тапсырмасы" Қазақстан Республикасы 

стандартының талаптарына, осы БТ мен уәкілетті орган бекітетін мемлекеттік органдардың 

ақпараттық жүйелерін құруға немесе дамытуға арналған техникалық тапсырмаларды әзірлеу мен 

қарау қағидаларына сәйкес әзірленетін техникалық тапсырмада айқындалады. 

      69. Құрылатын немесе дамытылатын СБӨ-ге қойылатын талаптар осы БТ мен уәкілетті орган 

бекітетін ақпараттандырудың сервистік моделін іске асыру қағидаларына сәйкес әзірленетін СБӨ

жобалауға арналған тапсырмада айқындалады. 

      70. Сатып алынатын қолданбалы БҚ-ға қойылатын талаптар осы БТ-ның талаптарын ескере 

отырып, ақпараттандыру саласында тауарларды, жұмыстар мен көрсетілетін қызметтерді сатып 

алудың техникалық ерекшеліктерінде айқындалады. 

      71. Қолданбалы дайын БҚ сатып алу СБӨ басымдылығын ескере отырып, оның сипаттамалары 

коммерциялық БҚ сипаттамаларымен бірдей болған жағдайда жүзеге асырылады.

      72. БҚ әзірлеуге немесе сатып алуға қойылатын талаптарды қалыптастырған кезде ЭАР 

сыныбы және ЭАР каталогының мәліметтері ескеріледі.

      73. Әзірленетін немесе сатып алынатын дайын қолданбалы БҚ:

      1) пайдаланушы интерфейсін пайдаланушының тіл интерфейсін таңдау мүмкіндігімен, 

деректерді қазақ, орыс және қажет болған жағдайда басқа тілдерде енгізуді, өңдеу мен 

шығаруды қамтамасыз етеді;

      2) мынадай талаптарды ескереді:

      сенімділік;

      сүйемелденуі;

      пайдалану қолайлылығы;

      тиімділік;

      әмбебаптылық;

      функционалдық;

      кросс-платформалық;

      3) виртуалдау технологиясын көп функционалды қолдауды қамтамасыз етеді;

      4) кластерлеуді қолдайды;

      5) қазақ және орыс тілдерінде пайдалану жөніндегі техникалық құжаттамамен қамтамасыз 

етіледі.


      74. БҚ құру (дамыту) немесе сатып алу техникалық қолдаумен және сүйемелдеумен 

қамтамасыз етіледі. 

      БҚ жоспарлау, жүзеге асыру және техникалық қолдау мен сүйемелдеуді құжаттандыру 

әзірлеушінің, өнім берушінің ерекшеліктеріне немесе АҚ ТҚ талаптарына сәйкес жүргізіледі.

      75. Қолданбалы БҚ құру (дамыту) процесі:

      1) мыналарды:

      алгоритмдердің, бастапқы мәтіндер мен бағдарламалық құралдардың ақпараттық базасын 

құруды;


      бағдарламалық модульдерді сынақтан өткізуді және тестілеуді;

      ақпараттық, технологиялық және бағдарламалық үйлесімділікті қамтамасыз ететін АҚ 

алгоритмдерін, бағдарламалары мен құралдарын типтеуді;

      лицензияланған аспаптық әзірлеу құралдарын пайдалануды көздейді;

      2) қолданбалы БҚ қабылдаудың мыналарды көздейтін рәсімдерін қамтиды:

      әзірлеушінің қолданбалы БҚ құру үшін қажетті бағдарламалардың бастапқы мәтіндері мен 

басқа объектілерді иесіне және (немесе) иеленушіге беру; 

      қолданбалы БҚ-ның толығымен жұмысқа қабілетті нұсқасын жасай отырып, берілген бастапқы

мәтіндерді бақылауды орнату;

      БҚ-ның осы нұсқасы бойынша бақылау үлгісін орындау. 

      76. БҚ-ның авторланған өзгерістерін және оған қолжетімділік құқықтарын бақылау МО 

немесе ЖАО ақпараттық технологиялар бөлімшесі қызметкерлерінің қатысуымен жүзеге асырылады.

      77. Қолданбалы БҚ-ны әзірлеу:

      ақпараттандырудың сервистік моделін іске асыру қағидаларында көзделген ерекшеліктерді 

есепке алуды;

      БҚ-ны әзірлеу келісімдерінде АҚ мәселелерін регламенттеуді;

      қолданбалы БҚ-ны әзірлеу процесінде тәуекелдерді басқаруды талап етеді.

      78. АҚ-ны қамтамасыз ету мақсатында:



      1) БҚ-ны әзірлеу кезеңінде ҚР МЕМ СТ Р 50739-2006 "Есептеу техникасы құралдары. 

Ақпаратты рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар" Қазақстан Республикасы

стандартының ұсынымдары ескеріледі;

      2) әзірленетін немесе сатып алынатын қолданбалы БҚ-ға қойылатын талаптар:

      пайдаланушыларды, қажет болған кезде ЭЦҚ және тіркеу куәліктерін сәйкестендіру және 

аутентификациялау;

      қолжетімділікті басқару;

      тұтастықты бақылау;

      АҚ-ға ықпал ететін пайдаланушылардың іс-қимылдарын журналға жазу;

      онлайн транзакцияларды қорғау;

      сақтау, өңдеу кезінде құпия АЖ ақпаратын АКҚҚ-ны пайдалана отырып криптографиялық 

шифрлау;


      БҚ-ның өте қатерлі оқиғаларын журналға жазу құралдарын қолдануды көздейді; 

      3) пайдалану кезінде АҚ ТҚ-да мыналар айқындалады және қолданылады:

      серверлерде және жұмыс станцияларында БҚ-ны орнату, жаңарту және жою қағидалары;

      жүйелік БҚ өзгертілген жағдайда қолданбалы БҚ өзгерістері мен оны талдауды басқару 

рәсімдері;

      4) лицензияланатын БҚ тек қана лицензия болған жағдайда ғана қолданылады және сатып 

алынады.

      79. БҚ пайдалану заңдылығын бақылау бойынша іс-шаралар АҚ ТҚ-да айқындалады, жылына 

бір реттен жиі емес жүргізіледі және мыналарды:

      нақты пайдаланылатын БҚ айқындауды;

      БҚ пайдалануға құқықтарды айқындауды;

      нақты пайдаланылатын БҚ мен қолда бар лицензияларды салыстыруды қамтиды.

      80. Қолданбалы БҚ "Электрондық құжат және электрондық цифрлық қолтаңба туралы" 2003 

жылғы 7 қаңтардағы Қазақстан Республикасы Заңының 

 1-тармағының 10) тармақшасына 

5-бабы


сәйкес уәкілетті орган бекіткен электрондық цифрлық қолтаңбаның төлнұсқалылығын тексеру 

қағидаларына сәйкес электрондық құжатқа қол қойған тұлғаның ЭЦҚ ашық кілтінің және тіркеу 

куәлігінің тиесілігі мен жарамдылығын растауды тексеруді орындайды. 

 



Достарыңызбен бөлісу:
1   2   3   4




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет