Премьер-Министру

«Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының 7-1-бабының 6) тармақшасына сәйкес БҰЙЫРАМЫН:

1. Қоса беріліп отырған Ақпараттық жүйенің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі бекітілсін.

2. «Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесін бекіту туралы» Қазақстан Республикасы Инвестициялар және даму министрінің міндетін атқарушысының 2016 жылғы 28 қаңтардағы № 108 бұйрығының (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 13236 болып тіркелген, «Әділет» Қазақстан Республикасы нормативтік құқықтық актілерінің ақпараттық-құқықтық жүйесінде 2016 жылғы 4 наурызда жарияланған) күші жойылды деп танылсын.

3. Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күнінен бастап күнтізбелік он күн ішінде оның көшірмелерін кағаз және электронды түрде қазақ және орыс тілдерінде баспа және электрондық түрде Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу және ресми жариялауға «Республикалық құқықтық ақпарат орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына жіберуді;

3) осы бұйрық мемлекеттік тіркелген күнінен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспа басылымдарына ресми жариялауға жіберуді;

4) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің ресми интернет-ресурсында орналастыруды;

5) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1), 2), 3) және 4) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер беруді қамтамасыз етсін.

4. Осы бұйрықтың орындалуын бақылауды жетекшілік ететін Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

5. Осы бұйрық алғаш ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасы

Қорғаныс және аэроғарыш өнеркәсібі министрінің

20____ жылғы «____» _______

№_______ бұйрығымен бекітілген

Ақпараттық жүйенің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі
1-тарау. Жалпы ережелер
1. Осы Ақпараттық жүйенің, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасының, мемлекеттік органның интернет-ресурсының ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауды жүргізу әдістемесі (бұдан әрі – Әдістеме) «Ақпараттандыру туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасы Заңының (бұдан әрі – Заң) 7-1-бабының 6) тармақшасына және Қазақстан Республикасы Үкіметінің 2016 жылғы 23 мамырдағы № 298 қаулысымен бекітілген Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестікке аттестаттаудан өткізу қағидаларына сәйкес әзірленді.

2. Осы Әдістеме ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын олардың ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарауға жүргізуге арналған.

3. Осы Әдістемеде мынадай негізгі ұғымдар мен қысқартулар пайдаланылады:

1) ақпараттық активтер – деректер базалары, жүйелік құжаттама, пайдаланушыға арналған басшылықтар, есеп материалдары, аттестаттау объектісін пайдалану немесе қолдау рәсімдері, ақпараттық бағдарламалық қамтылымның үздіксіз жұмыс істеуін қамтамасыз ету жөніндегі жоспарлар және басқа құжаттама;

2) ақпараттық жүйе (бұдан әрі – АЖ) – ақпараттық өзара іс-қимыл арқылы белгілі технологиялық іс-қимылдарды іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсетуші персоналдың және техникалық құжаттаманың ұйымдастырушылық- реттелген жиынтығы;

3) ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттау (бұдан әрі –аттестаттау) – аттестаттау объектілерінің қорғалу жай-күйін, сондай-ақ олардың ақпараттық қауіпсіздік талаптарына сәйкестігін анықтау бойынша ұйымдастырушылық-техникалық іс-шаралар;

4) ақпараттық қауіпсіздік бойынша техникалық құжаттама (бұдан әрі – АҚ бойынша ТҚ) – ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға (бұдан әрі – БТ) сәйкес әзірленген және аттестаттау объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі жалпы талаптарды, қағидаттармен қағидаларды регламенттейтін құжаттар жиынтығы;

5) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – АҚ) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;

6) аутентификация – пайдаланушы (қол жеткізу субъектісі) үшін ол ұсынған сәйкестендіргішті зерттеп-қарау және оның түпнұсқалығын растау;

7) аттестаттау объектілері – ақпараттық жүйе, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасы, интернет-ресурс;

8) аттестаттау объектісінің инфрақұрылымы компоненттерін аспаптық зерттеп-қарау – байланыс арналарын, тораптарын, серверлерді, жұмыс станцияларын, қолданбалы және жүйелік бағдарламалық қамтылымды, деректер базалары мен желі элементтерін бағдарламалық құрал немесе қашықтықтағы не локалдық диагностика арқылы олардағы осалдықтарды айқындауға қатысты сканерлеу жүргізу;

9) осалдық – бағдарламалық қамтылымда жұмыс қабілеттілігін бұзуға немесе белгіленген рұқсаттардан тыс қандай болсын заңсыз іс-әрекеттерді орындауға мүмкіндік беретін бағдарламалық қамтылымдағы кемшілік;

10) аттестаттық зерттеп-қарау – аттестаттау объектісінің техникалық құжаттамасын зерделеуге, талдауға, бағалауға бағытталған ұйымдастырушылық-техникалық іс-шаралар кешені, ақпараттық қауіпсіздік талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйін тексеру;

11) бағдарламалық қамтылым (бұдан әрі – БҚ) – бағдарламалардың, бағдарламалық кодтардың, сондай-ақ бағдарламалық өнімдердің оларды пайдалану үшін қажетті техникалық құжаттамасының жиынтығы;

12) қорғау құралдары кешені (бұдан әрі – ҚҚК) – есептеу техникасы құралдарын немесе ақпараттық жүйелерді ақпаратқа рұқсатсыз қол жеткізуден қорғауды қамтамасыз ету үшін құрылатын және қолдау көрсетілетін бағдарламалық және техникалық құралдар жиынтығы;

13) физикалық активтер – аттестаттау объектісінде пайдаланылатын серверлік жабдық, байланыс жабдығы, магниттік тасығыштар мен техникалық жабдық.

4. Ақпараттық жүйені, «электрондық үкіметтің» ақпараттық-коммуникациялық платформасын, мемлекеттік органның интернет-ресурсын ақпараттық қауіпсіздік талаптарына сәйкестігіне аттестаттық зерттеп-қарау мына тәртіппен жүргізіледі:

1) аттестаттау объектісінің құрылымын алдын ала зерделеу;

2) АҚ жөніндегі ТҚ зерделеу, талдау және бағалау;

3) аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 «Ақпараттық технологиялар. Қауіпсіздікті қамтамасыз етудің әдістері мен құралдары. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар» (бұдан әрі – ҚР СТ ИСО/МЭК 27001), ҚР СТ ИСО/МЭК 27002 «Қауіпсіздікті қамтамасыз ету әдістері. Ақпаратты қорғауды басқару жөніндегі қағидалар жинағы (бұдан әрі – ҚР СТ ИСО/МЭК 27002) және ҚР СТ МЕМСТ Р 50739 «Есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар» (бұдан әрі - ҚР СТ МЕМСТ Р 50739), АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйін зерттеп-қарау.

4) аттестаттық зерттеп-қарау актісін қалыптастыру.

2-тарау. Аттестаттау объектісінің құрылымын алдын ала зерделеу
5. Аттестаттау объектісінің құрылымын алдын ала зерделеу аттестаттау объектісінің жұмыс істеу ерекшеліктерін айқындау және аттестаттау объектісінде пайдаланылатын аппараттық-бағдарламалық құралдар, локалдық және корпоративтік желі, ақпаратты қорғау технологиялары мен рәсімдері туралы жалпы ақпарат алу мақсатында жүргізіледі.

6. Құрылымды алдын ала зерделеу процесі мынадай техникалық құжаттамамен танысуды қамтиды:

1) аттестаттау объектісін құруға арналған техникалық тапсырма;

2) аттестаттау объектісінің жалпы функционалдық және локалдық схемасы;

3) аттестаттау объектісінде пайдаланылатын бағдарламалық және техникалық құралдар тізімі;

4) көрсетілетін ақпараттық-коммуникациялық қызметтерді пайдалануға арналған шарт (аттестаттау объектісі ақпараттық-коммуникациялық қызметтерді пайдаланған жағдайда).

8. Ақпараттық қауіпсіздік талаптарына сәйкестікке зерделеу, талдау және бағалау жүргізілетін АҚ жөніндегі ТҚ:

1) ақпараттық қауіпсіздік саясаты (бұдан әрі – Саясат);

2) ақпаратты өңдеу құралдарымен байланысты активтерді сәйкестендіру, сыныптау және маркалау қағидалары (бұдан әрі – Сәйкестендіру қағидалары);

3) ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі (бұдан әрі –Тәуекелдерді бағалау әдістемесі);

4) ақпаратты өңдеу құралдарымен байланысты активтердің үздіксіз жұмыс істеуін қамтамасыз ету қағидалары (бұдан әрі – Жұмыстың үздіксіздігін қамтамасыз ету қағидалары);

5) есептеу техникасы құралдарын, телекоммуникациялық жабдықты және бағдарламалық қамтылымды түгендеу мен паспорттандыру қағидалары (бұдан әрі – Түгендеу қағидалары);

6) ішкі ақпараттық қауіпсіздік аудитін жүргізу қағидалары (бұдан әрі – Ішкі аудит қағидалары);

7) ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары (бұдан әрі – Криптографиялық құралдарды пайдалану қағидалары);

8) электрондық ресурстарға қол жеткізу құқықтарын бөлу қағидалары (бұдан әрі – Қол жеткізу құқықтарын шектеу қағидалары);

9) Интернетті және электрондық поштаны пайдалану қағидалары;

10) аутентификация рәсімін ұйымдастыру қағидалары;

11) вирусқа қарсы бақылауды ұйымдастыру қағидалары;

12) мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары (бұдан әрі – Мобильдік құрылғыларды пайдалану қағидалары);

13) ақпаратты өңдеу құралдарын физикалық қорғауды және ақпараттық ресурстардың қауіпсіз жұмыс істеу ортасын ұйымдастыру қағидалары (бұдан әрі – Физикалық қорғауды ұйымдастыру қағидалары);

14) әкімшінің аттестаттау объектісін сүймелдеу жөніндегі басшылығы (бұдан әрі – Әкімші басшылығы);

15) Ақпаратты резервтік көшіру және қалпына келтіру регламенті (бұдан әрі – Резервтік көшіру регламенті);

16) пайдаланушылардың АҚ оқыс оқиғаларына және штаттан тыс (дағдарысты) жағдайларда әрекет етуі бойынша іс-қимыл тәртібі туралы нұсқаулық (бұдан әрі – Штаттан тыс жағдайлар бойынша нұсқаулық).

9. Әрбір АҚ жөніндегі ТҚ таныстыру парағының (ерікті нысанда) бар болуына, оның толықтығы мен өзектілігіне тексеру қажет.

10. АҚ жөніндегі ТҚ зерделеу, талдау және бағалаудың нәтижелері аттестаттық зерттеп-қарау актісінде белгіленеді.

1) АҚ маңыздылығын ақпаратты бірлесіп пайдалану мүмкіндігін қамтамасыз ететін аспап ретінде ашу арқылы Саясаттың негізгі мақсаттары мен қағидаттары;

2) АҚ қамтамасыз ету бойынша мақсаттарға қол жеткізу жөніндегі басшылық іс-әрекеттерінің сипаттамасы;

3) мемлекеттік орган немесе ұйым үшін барынша маңызды қауіпсіздік саясаттарының, қағидаттардың, қағидалар мен талаптардың сипаттамасы;

4) Саясат бұзылған жағдайда қойылатын талаптар;

5) АҚ басқару шеңберіндегі жалпы анықтамалар және қызметкерлердің функциялары;

6) Саясатты мерзімді қайта қарауға қойылатын талаптар;

7) басшылықтың АҚ қамтамасыз ету мәселелерін қолдау бойынша функциялары.

12. Саясатты зерделеу, талдау және бағалау нәтижелері негізінде аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) осы Әдістеменің 11-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Саясат АҚ талаптарына сәйкес;

2) осы Әдістеменің 11-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда – Саясат АҚ талаптарына сәйкес емес.

2-параграф. Сәйкестендіру қағидаларын зерделеу, талдау және бағалау
13. Сәйкестендіру қағидаларын зерделеу, талдау және бағалау Сәйкестендіру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

1) активтерді (ақпараттық активтер, физикалық активтер және басқа) сәйкестендіруді және сыныптауды жүргізу тәртібі;

2) сәйкестендірілген активтерге жауапты тұлғаларды бекіту;

3) активтер тізілімін құру және жүргізу (актив тобын, актив класын, маңыздылығы мен активтің иесін көрсетіп);

4) активтердің белгіленген класына, құпиялығына, құндылығы мен маңыздылығына байланысты маркалау тәртібі;

5) активтер тізілімінің мәліметі толықтығына арналған талаптарды орындау.

14. Сәйкестендіру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) Сәйкестендіру қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 13-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

2) Сәйкестендіру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 13-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

3-параграф. Тәуекелдерді бағалау әдістемесін

зерделеу, талдау және бағалау
15. Тәуекелдерді бағалау әдістемесін зерделеу, талдау және бағалау Тәуекелдерді бағалау әдістемесі негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:

1) тәуекелдерді бағалау әдістемесін таңдау, тәуекелдерді сәйкестендіруді орындау;

2) ақпараттың құндылығы мен маңыздылығын анықтау бойынша әдістемелердің сипаттамасы;

3) АҚ тәуекелдерінің мониторингі, қайта қарау және өзгерту тәртібінің сипаттамасы;

4) аттестаттау объектісінің ақпараттық қауіпсіздік тәуекелдерін анықтау әдістерінің және реттілігінің сипаттамасы;

5) айқындалған тәуекелдерді бағалау әдісінің және реттілігінің сипаттамасы;

6) тәуекелдерді өңдеу әдісінің сипаттамасы;

7) ақпараттық қауіпсіздік қатерлерін және көздерін айқындау және талдау әдісінің сипаттамасы;

8) оқыс оқиға ықтималдығын айқындау әдісінің сипаттамасы;

9) тәуекелдерді түзетуді, сақтауды, болдырмауды және бөлуді ескере отырып, өңдеу тәртібінің сипаттамасы;

10) тәуекелдерді қайта қарау мен қайта бағалауға қойылатын талаптардың сипаттамасы;

11) тәуекелді жүзеге асыру жағдайында салдарларды анықтау және бағалау;

12) тәуекелдерді жүргізу және өңдеу үшін жауапты тұлғаларды белгілеу;

13) тәуекелдер картасын құру тәртібінің сипаттамасы;

14) тәуекелдерді бағалау мен талдау нәтижелері бойынша өңдеу жоспарын қалыптастыру тәртібінің сипаттамасы.

16. Тәуекелдерді бағалау әдістемесін зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) Тәуекелдерді бағалау әдістемесі АҚ талаптарына сәйкес – осы Әдістеменің 15-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

2) Тәуекелдерді бағалау әдістемесі – АҚ талаптарына сәйкес емес осы Әдістеменің 15-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

1) аттестаттау объектісінің жұмыс істеу процестерін бұзудың себебі болып табылатын оқиғаларды сәйкестендіру бойынша (жоспарлау тәуекелдерді бағалаумен сүйемелденуі тиіс);

2) активтер істен шыққан жағдайда активтер тізбесінде белгіленген жұмысының үздіксіздігін қамтамасыз ету процестерін анықтау;

3) Ақпаратты өңдеу құралдарымен байланысты активтер жұмысының үздіксіздігін және оларды өзектендіруді қамтамасыз ету жоспарын әзірлеуді көздейтін;

4) тестілеу және активтер жұмысының үздіксіздігі бойынша қолданыстағы процестерді дамыту жоспарларын жаңарту тәртібі туралы;

5) аттестаттау объектісінің жұмыс істеу процестері үшін жауапты тұлғаларды тағайындау бойынша;

6) Активтер жұмысының үздіксіздігін қамтамасыз ету жоспарын талдауды жүргізу бойынша;

7) аттестаттау объектісін қалпына келтіру жоспарын әзірлеу бойынша;

8) қатерлердің, қауіптердің және рұқсатсыз қол жеткізу мүмкіндіктерінің пайда болу тәуекелдерін төмендететін жабдықты орналастыру тәсілдері;

9) электрмен жабдықтау жүйесіндегі жұмыс істемей қалудан және коммуникация қызметтерінің жұмысынан орын алатын бұзушылықтардан жабдықты қорғау тәсілдері;

10) жұмыс істеудің үздіксіздігін, қолжетімділігі мен тұтастығын қамтамасыз ету үшін жабдыққа техникалық қызмет көрсетудің мерзімділігіне қойылатын талаптар.

18. Жұмыстың үздіксіздігін қамтамасыз ету қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) Жұмыстың үздіксіздігін қамтамасыз ету қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 17-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

2) Жұмыстың үздіксіздігін қамтамасыз ету қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 17-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

1) құндылығы мен маңыздылығын ескере отырып, есептеу техникасы құралдарын (бұдан әрі – ЕТҚ) сәйкестендіруге қойылатын талаптар;

2) ЕТҚ паспорттарын ресімдеу тәртібі;

3) ЕТҚ түгендеу мен паспорттандыруды жүргізу мерзімділігіне қойылатын талаптар;

4) ЕТҚ, телекоммуникациялық жабдықты және бағдарламалық қамтылымды кәдеге жаратуға және (немесе) шығысқа шығаруға, соның ішінде деректерді сақтау құрылғыларын кәдеге жарату мен жабдықты қайтадан пайдаланған кезде ақпаратты кепілдікті жоюға қойылатын талаптар;

5) ЕТҚ түгендеу мен паспорттандыру үшін жауапты тұлғаларды тағайындау бойынша талаптар;

6) лицензияланған БҚ пайдалануға, сатып алуға және есепке алуға қойылатын талаптар.

20. Түгендеу қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) Түгендеу қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 19-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;

2) Түгендеу қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 19-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

1) ішкі ақпараттық қауіпсіздік аудитінің негізгі мақсаттары;

2) аудиторларға қолжетімділік беру бойынша талаптар;

3) аспаптық аудитке қойылатын талаптар;

4) ішкі аудитті жүргізудің мерзімділігі бойынша талаптар;

5) ішкі аудитті кезеңмен жүргізудің кесте-жоспарының болуы мен жүргізілуіне қойылатын талаптар;

6) ішкі аудит жүргізу жөніндегі жұмыс тобын қалыптастыру тәртібі бойынша талаптар;

7) аттестаттау объектілері үшін аудит жүргізуді жоспарлау, тәртібі мен құрамы бойынша талаптар;

8) ішкі ақпараттық қауіпсіздік аудитінің нәтижелерін ресімдеу тәртібі мен нысаны.

22. Ішкі аудит қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) Ішкі аудит қағидалары АҚ талаптарына сәйкес –;осы Әдістеменің 21-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда.

2) Ішкі аудит қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 21-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.

23. 
    Криптографиялық құралдарды пайдалану қағидаларын зерделеу, талдау және бағалау Криптографиялық құралдарды пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
    

1. 
   ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты криптографиялық қорғау құралдарын пайдалану саясаты;
   
2. 
   кілттерді басқару жүйесіне қойылатын талаптар;
   
3. 
   кілттерді активациялау және дезактивациялау мерзімдеріне қойылатын талаптар;
   
4. 
   ашық кілттер сертификаты жөніндегі талаптар;
   
5. 
   құпия ақпаратты сақтау, өңдеу және телекоммуникациялар желілері бойынша жіберген кезде қауіпсіздік бойынша тапсырмаға сәйкес криптографиялық шифрлауға қойылатын талаптар.
   

1) осы Әдістеменің 23-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда – Криптографиялық құралдарды пайдалану қағидалары АҚ талаптарына сәйкес;

2) осы Әдістеменің 23-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда – Криптографиялық құралдарды пайдалану қағидалары АҚ талаптарына сәйкес емес.