8-параграф. Қол жеткізу құқықтарын бөлу
қағидаларын зерделеу, талдау және бағалау
25. Қол жеткізу құқықтарын бөлу қағидаларын зерделеу, талдау және бағалау Қол жеткізу құқықтарын бөлу қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) жаңа пайдаланушыны тіркеу сәтінен бастап пайдаланушыны тіркеуден алып тастағанға дейін пайдаланушыларды тіркеу кезеңінің сипаттамасы;
2) берілетін ресурстарға қол жеткізу құқықтар тізбесінің сипаттамасы;
3) қол жеткізу құқығын беру тәртібінің сипаттамасы;
4) барлық тіркелген пайдаланушылардың есебін жүргізу бойынша талаптар;
5) пайдаланушылардың қол жеткізу құқықтарын қайта қарауды жүргізу бойынша талаптар;
6) пайдаланушыларды алынған сәйкестендіргіштерді жариялауға немесе басқа біреуге беруге тыйым салумен таныстыру бойынша талаптар;
7) есеп жазбасын бұғаттау бойынша талаптардың сипаттамасы.
26. Қол жеткізу құқықтарын бөлу қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Қол жеткізу құқықтарын бөлу қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 25-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Қол жеткізу құқықтарын бөлу қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 25-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
9-параграф. Интернетті және электрондық поштаны пайдалану
қағидаларын зерделеу, талдау және бағалау
27. Интернетті және электрондық поштаны пайдалану қағидаларын зерделеу, талдау және бағалау Интернетті және электрондық поштаны пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) электрондық поштаны пайдалану тәртібі;
2) электрондық хабарламаны ресімдеуге қойылатын талаптар;
3) Интернетке қол жеткізуге рұқсат беру тәртібі мен әдістері;
4) Интернетке қолжетімділікті мониторингілеу және бақылау;
5) мемлекеттік органның ведомстволық электрондық поштасының сыртқы электрондық пошта жүйелерімен тек қана электрондық поштаның бірыңғай шлюзі арқылы электрондық өзара іс-қимылды жүзеге асыру туралы талаптар.
28. Интернетті және электрондық поштаны пайдалану қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Интернетті және электрондық поштаны пайдалану қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 27-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Интернетті және электрондық поштаны пайдалану қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 27-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
10-параграф. Аутентификация рәсімін ұйымдастыру
қағидаларын зерделеу, талдау және бағалау
29. Аутентификация рәсімін ұйымдастыру қағидаларын зерделеу, талдау және бағалау Аутентификация рәсімдерін ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) пайдаланушыларды оларға сеніп тапсырылған сәйкестендіргіштердің құпиялығын сақтау қажеттігі туралы хабарландыру бойынша талаптар;
2) пайдаланушыларды парольдерді, пин-кодтарды олардың қауіпсіз сақталуы қамтамасыз етілмесе, қағазға, дербес компьютерге немесе тасымалдау құрылғыларына жазуға рұқсат етілмейтіні туралы хабарландыру бойынша талаптар;
3) уақытша парольдерді берудің қауіпсіз тәсілі тәртібінің сипаттамасы;
4) уақытша парольдерге қойылатын талаптардың сипаттамалары;
5) сәйкестендіргішті жария ету мүмкіндігінің кез келген белгілері болған кезде сәйкестендіру деректерін өзгерту қажеттілігі туралы талаптар;
6) сапалы парольдерді таңдау бойынша талаптар;
7) уақыттың тең аралықтарында парольдік аутентификацияны өзгерту бойынша талаптардың сипаттамасы;
8) жүйеде алғашқы рет тіркеген кезде уақытша парольдерді ауыстыру бойынша талаптардың сипаттамасы;
9) парольдерді автоматты тіркеу процесіне енгізуге, мысалы, сақталатын макрокомандаларды немесе функционалдық клавишаларды пайдалана отырып, тыйым салу бойынша талаптардың сипаттамасы.
30. Аутентификация рәсімін ұйымдастыру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Аутентификация рәсімдерін ұйымдастыру қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 29-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Аутентификация рәсімдерін ұйымдастыру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 29-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
11-параграф. Вирусқа қарсы бақылауды ұйымдастыру
қағидаларын зерделеу, талдау және бағалау
31. Вирусқа қарсы бақылауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау Вирусқа қарсы бақылауды ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) лицензияланған вирусқа қарсы бағдарламалық қамтылымдарды пайдалану бойынша талаптар;
2) вирусқа қарсы бағдарламалық қамтылымдарды жаңарту мерзімділігі бойынша талаптар;
3) вирусқа қарсы бағдарламалық қамтылымдарды пайдаланған кезде ақпараттық қауіпсіздікті сақтау жөніндегі пайдаланушыларға арналған талаптар;
4) веб-парақтарды зиянды бағдарламалық қамтылымның болуына қатысты зерттеп-қарау талаптары;
5) күдікті немесе авторланбаған ақпарат тасымалдауыштардағы барлық файлдарды немесе жалпыға қолжетімді желілерден алынған файлдарды вирустардың болуына қатысты зерттеп-қарау бойынша талаптар;
6) электрондық поштаны және көшірілетін ақпаратты зиянды бағдарламалық қамтылымның болуына қатысты талдау бойынша талаптар;
7) зиянды бағдарламалық қамтылыммен күресу үшін ақпараттық қауіпсіздікті басқару бойынша іс-шараларды ұйымдастыру бойынша талаптар;
8) вирустық шабуыладардан кейін ақпаратты қалпына келтіру рәсімдерінің сипаттамалары.
32. Вирусқа қарсы бақылауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Вирусқа қарсы бақылауды ұйымдастыру қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 31-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Вирусқа қарсы бақылауды ұйымдастыру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 31-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
12-параграф. Мобильдік құрылғыларды пайдалану қағидаларын зерделеу, талдау және бағалау
33. Мобильдік құрылғыларды пайдалану қағидаларын зерделеу, талдау және бағалау Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) мобильдік құрылғыларды ұйымнан тыс жерде пайдаланған жағдайда, тәуекелдерді талдау бойынша талаптар;
2) мобильдік құрылғыларды және ақпарат тасымалдауыштарды физикалық қорғау бойынша талаптар;
3) мобильдік құрылғылардың және ақпарат тасымалдауыштардың тізбесін құру және оларды маркалау бойынша талаптар;
4) ақпарат тасымалдауыштарды беру журналын жүргізуге қойылатын талаптар;
5) ақпарат тасымалдауыштарды пайдалану тәртібі;
6) дербес деректердің алмалы тасымалдауыштарын есепке алу, сақтау мен қолдану және оларды пайдаға асыру тәртібі;
7) алмалы тасымалдауыштарды пайдалану кезінде қызметкерлерге қойылатын талаптар;
8) жұмыс орнына тыс орналасқан мобильдік құрылғыны ұйымдастыру үй-жайлары аумағынан тыс жұмыс істеудің түрлі тәуекелдерін ескере отырып, қорғау тәсілдері;
9) дербес деректердің алмалы тасымалдауыштарын пайдалану, сондай-ақ жоғалту және жою кезінде қызметкерлердің рұқсат етілмеген іс-қимыл жасау фактілері айқындалған кезіндегі іс-әрекет тәртібі.
34. Мобильдік құрылғыларды пайдалану қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары АҚ талаптарына сәйкес –осы Әдістеменің 33-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Мобильдік құрылғыларды және ақпарат тасымалдауыштарды пайдалану қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 33-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
13-параграф. Физикалық қорғауды ұйымдастыру қағидаларын
зерделеу, талдау және бағалау
35. Физикалық қорғауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау Физикалық қорғауды ұйымдастыру қағидалары негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайды физикалық қорғауға қойылатын талаптар;
2) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайларға кіруді бақылауды ұйымдастыруға қойылатын талаптар;
3) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайларда жұмыстарды орындау бойынша талаптар;
4) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік жабдықты қауіпсіз орналастыру бойынша талаптар;
5) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес қосымша қызметтерді ұйымдастыру бойынша талаптар;
6) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес кәбілдік желіні қауіпсіз пайдалану бойынша талаптар;
7) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес серверлік жабдыққа қауіпсіз техникалық қызмет көрсету бойынша талаптар;
8) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес жабдықты қауіпсіз кәдеге жаратуға немесе қайтадан пайдалануға қойылатын талаптар;
9) БТ және ҚР СТ ИСО/МЭК 27002 сәйкес жабдықты кіргізу/шығаруға қойылатын талаптар.
36. Физикалық қорғауды ұйымдастыру қағидаларын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Физикалық қорғауды ұйымдастыру қағидалары АҚ талаптарына сәйкес – осы Әдістеменің 35-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Физикалық қорғауды ұйымдастыру қағидалары АҚ талаптарына сәйкес емес – осы Әдістеменің 35-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
14-параграф. Әкімші басшылығын
зерделеу, талдау және бағалау
37. Әкімші басшылығын зерделеу, талдау және бағалау Әкімші басшылығы негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) әкімшінің негізгі үлгілік жұмыстар бойынша іс-әрекеттеріне қойылатын талаптар;
2) оқыс оқиғалар, штаттан тыс жағдайлар, апатты табиғат-климаттық және техногендік әсерлер орын алған кездегі әкімшінің іс-әрекеттеріне қойылатын талаптар;
3) серверлер мен жұмыс станцияларына БҚ орнату, жаңарту және жою тәртібі;
4) жүйелік БҚ өзгерген жағдайда БҚ өзгерулерін басқару және талдау рәсімдері.
38. Әкімші басшылығын зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Әкімшінің басшылығы АҚ талаптарына сәйкес – осы Әдістеменің 37-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Әкімшінің басшылығы АҚ талаптарына сәйкес емес – осы Әдістеменің 37-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
15-параграф. Резервтік көшіру регламентін
зерделеу, талдау және бағалау
39. Резервтік көшіру регламентін зерделеу, талдау және бағалау Резервтік көшіру регламенті негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) резервтік көшіруге жататын ақпараттың құрамы бойынша талаптардың сипаттамасы;
2) резервтік көшірудің көлемін анықтау;
3) резервтік жабдық пен резервтік көшірмелерді орналастыру және резервтік көшірмелерді сақтау орнын таңдау бойынша талаптардың сипаттамасы;
4) резервтік көшірмелерді және резервтік жабдықты тестілеу бойынша талаптардың сипаттамасы;
5) резервтік серверлік жабдықты орналастыру және оны физикалық қорғау бойынша талаптардың сипаттамасы;
6) ақпаратты көшіру мен ақпаратты қалпына келтіру рәсімдерінің сипаттамасы;
7) ақпаратты резервте сақтау және резервтік көшіру кестесін құру мерзімділігі туралы талаптар;
8) эталондық көшірмелер тізілімін, резервтік көшіруге жататын ақпараттық ресурстар тізілімін, резервтік көшіруді жазу журналын, резервтік көшірмелерді қалпына келтіруге қатысты зерттеп-қарау журналын, резервтік ақпаратты электрондық тасымалдауыштарды есепке алу журналын, резервтік ақпаратты электрондық тасымалдауыштарды алып кіру/алып шығу журналын жүргізу бойынша талаптар.
40. Резервтік көшіру регламентін зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Резервтік көшіру регламенті АҚ талаптарына сәйкес – осы Әдістеменің 39-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Резервтік көшіру регламенті АҚ талаптарына сәйкес емес – осы Әдістеменің 39-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
16-параграф. Штаттан тыс жағдайлар жөніндегі нұсқаулықты
зерделеу, талдау және бағалау
41. Штаттан тыс жағдайлар жөніндегі нұсқаулықты зерделеу, талдау және бағалау Штаттан тыс жағдайлар жөніндегі нұсқаулықтың негізгі ережелерінің толықтығын, өзектілігін және дұрыстығын айқындау мақсатында жүргізіледі және мынадай мәліметтердің болуын анықтау мен сапалы бағалау бойынша жұмыстар жүргізуді қамтиды:
1) ықтимал штаттан тыс және дағдарысты жағдайлардың тізбесін құру, АҚ бойынша оқыс оқиғаларды сәйкестендіру бойынша талаптар;
2) ақпараттық қауіпсіздік оқыс оқиғалары жағдайында хабарлау үшін жауапты тұлғаларды тағайындау туралы талап;
3) штаттан тыс жағдай орын алған кезде хабарлау тәртібі;
4) АҚ оқыс оқиғалары, штаттан тыс (дағдарысты) жағдайлар орын алған кезде әрекет ету шараларын қабылдау жөніндегі талаптар;
5) жұмыстар тоқатылған жағдайда оларды қалпына келтіру рәсімдерін әзірлеу бойынша талаптар;
6) штаттан тыс немесе дағдарысты жағдайлардың орын алуына жол бермеуге арналған сақтандыру іс-қимылдарының орындалуын бақылауды жүзеге асыру бойынша талаптар;
7) оқыс оқиғалардың және басқа штаттан тыс жағдайлардың орын алу оқиғаларын зерттеп-қарау бойынша талаптар.
42. Штаттан тыс жағдайлар жөніндегі нұсқаулықты зерделеу, талдау және бағалау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Штаттан тыс жағдайлар жөніндегі нұсқаулық АҚ талаптарына сәйкес– осы Әдістеменің 41-тармағында көрсетілген барлық мәліметтер болған және олар АҚ талаптарына сәйкес келген жағдайда;
2) Штаттан тыс жағдайлар жөніндегі нұсқаулық АҚ талаптарына сәйкес емес – осы Әдістеменің 41-тармағында көрсетілген мәліметтердің бірі болмаған немесе олар АҚ талаптарына сәйкес келмеген жағдайда.
4-тарау. Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002,
ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін тексеру
43. Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002, ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін зерттеп-қарау мыналарды зерттеп-қарау және талдау мақсатында жүргізіледі:
1) Саясат ережелерін;
2) ақпараттық қауіпсіздікті басқару бойынша процестерді;
3) активтерді басқаруды ұйымдастыруды;
4) персоналға байланысты қауіпсіздікті қамтамасыз етуді;
5) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды;
6) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді;
7) ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды;
8) аттестаттау объектілерін әзірлеу, енгізу мен қызмет көрсету процестерін;
9) ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды;
10) бизнестің үздіксіздігін басқаруды;
11) құқықтық талаптарға сәйкестік дәрежесін;
12) ҚР СТ МЕМСТ Р 50739 талаптарына сәйкес ақпаратты рұқсатсыз қол жеткізуден қорғау жүйесіне қойылатын талаптарды.
44. Аттестаттау объектісін аспаптық зерттеп-қарауды қоса алғанда, БТ, ҚР СТ ИСО/МЭК 27001 және ҚР СТ ИСО/МЭК 27002, ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ талаптарын орындау бойынша жұмыстар ұйымдастырудың жай-күйін зерттеп-қарау нәтижелері Аттестаттық зерттеп-қарау актісінде белгіленеді.
1-параграф. Саясат ережелерін зерттеп-қарау және талдау
45. Саясат ережелерін зерттеп-қарау және талдау кезінде:
1) Саясатты басшылықтың мақұлдауын, жариялануын және барлық қызметкерлер мен байланысты сыртқы ұйымдардың назарына жеткізілуін;
2) ұйым қызметкерлерінің Саясатты түсінуі мен қабылдауын;
3) Саясатты мерзімді түрде қайта қарауды;
4) құжаттарда қойылған талаптарының барабарлығын және орындалатындығын;
5) жоспарланған уақыт аралығында немесе елеулі өзгерістер орын алған жағдайда Саясатты талдаудың нәтижелерін;
6) Саясатты әзірлеуге, талдауға және бағалауға басшылық ету үшін жауапты тұлғаның болуын зерттеп-қарау қажет.
46. Саясат ережелерін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Саясат ережелерінің орындалуы АҚ талаптарына сәйкес – осы Әдістеменің 45-тармағы орындалған жағдайда;
2) Саясат ережелерінің орындалуы АҚ талаптарына сәйкес емес – осы Әдістеменің 45-тармағы орындалмаған жағдайда.
2-параграф. Ақпараттық қауіпсіздікті басқару бойынша процестерді зерттеп-қарау және талдау
47. Ақпараттық қауіпсіздікті басқару бойынша процестерді зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарауды жүзеге асыру қажет:
1) аттестаттау объектісінің ақпараттық қауіпсіздігін қамтамасыз ету үшін жауапты бөлімшенің және (немесе) ақпараттық қауіпсіздігін қамтамасыз ету үшін жаупты тұлғаның жұмыс істеу;
2) ұйымның жоғары басшылығының қатысуымен ақпараттық қауіпсіздік саясаттарын, тәуекелдері мен басқа мәселелерін талқылауға арналған ақпараттық қауіпсіздік мәселелері жөніндегі органның (ақпараттық қауіпсіздік жөніндегі техникалық кеңес, жұмыс тобы) жұмыс істеуі;
3) ұйымда басшылықтың қауіпсіздік режимін қолдау бойынша іс-қимылдарды үйлестіру жөніндегі тұрақты кеңестерін өткізу;
4) ақпараттық қауіпсіздік саласындағы рольдерді және жауапкершілікті ұйым қызметкерлері арасында бөлу;
5) мемлекеттік органның немесе ұйымның бөлімшелері ішінде және бөлімшелері арасында АҚ мәселелері жөніндегі қызметті үйлестіру;
6) ұйым тәуекелдері мен сыртқы ұйымдарға (бөгде ұйымдар тартылған жағдайда) қатысты бизнес-процестер тарапынан ақпаратты өңдеу құралдарын сәйкестендіруді енгізу;
7) бөгде ұйымдарға ұйымдарға (бөгде ұйымдар тартылған жағдайда) ұйымның ақпаратына немесе активтеріне қолжетімділік құқығын беру алдында қауіпсіздікке қойылатын талаптарды сақтау;
8) бөгде ұйыммен (бөгде ұйымдар тартылған жағдайда) жасалған ақпаратқа қолжетімділікті, өңдеуді, жіберуді немесе оны өңдеу құралдарын басқаруды қамтитын келісімде қауіпсіздік талаптарын сақтау.
48. Ақпараттық қауіпсіздікті басқару бойынша процестерді зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) ақпараттық қауіпсіздікті басқару АҚ талаптарына сәйкес – осы Әдістеменің 47-тармағының барлық тармақшалары орындалған жағдайда;
2) ақпараттық қауіпсіздікті басқару АҚ талаптарына сәйкес емес – осы Әдістеменің 47-тармағының барлық тармақшалары орындалмаған жағдайда.
3-параграф. Активтерді басқаруды ұйымдастыруды
зерттеп-қарау және талдау
49. Активтерді басқаруды ұйымдастыруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарауды жүзеге асыру қажет:
1) аттестаттау объектісімен байланысты барлық активтердің түгендеу тізімдемесін сәйкестендіруді, ресімдеу мен жұмыс жай-күйінде қолдауды талдау;
2) ұйымның немесе мемлекеттік органның ақпаратты және ақпаратты өңдеу құралдарымен байланысты активтерді иелену деңгейін анықтау;
3) активтерді лауазымды тұлғаларға бекіту және активтердің АҚ басқару жөніндегі іс-шараларды іске асыру үшін олардың жауапкершілік көлемін анықтау;
4) ақпаратты оның құндылығына, заңнамалық талаптар, сезгіштігі мен ұйым үшін маңыздылығы тұрғысынан сыныптауды талдау;
5) ұйымда қабылданған сыныптау және оларды орындау схемасына сәйкес ақпаратты маркалау және онымен жұмыс істеу.
50. Активтерді басқаруды ұйымдастыру процестерін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) активтерді басқаруды ұйымдастыру процесі АҚ талаптарына сәйкес –осы Әдістеменің 49-тармағының барлық тармақшалары орындалған жағдайда;
2) активтерді басқаруды ұйымдастыру процесі АҚ талаптарына сәйкес емес – осы Әдістеменің 49-тармағының барлық тармақшалары орындалмаған жағдайда.
4-параграф. Персоналға байланысты қауіпсіздікті қамтамасыз етуді зерттеп-қарау және талдау
51. Персоналға байланысты қауіпсіздікті қамтамасыз етуді зерттеп-қарау және талдау кезінде:
1) персоналдың қауіпсіздікті қамтамасыз ету бойынша функцияларын және ҚР СТ ИСО/МЭК 27002 сәйкес АҚ бойынша бекітілген функциялардың орындалуын;
2) жұмысқа қабылдаған кезде ҚР СТ ИСО/МЭК 27002 сәйкес қызметкерлер үшін белгіленетін ақпараттық қауіпсіздік бойынша талаптардың толықтығын;
3) ҚР СТ ИСО/МЭК 27002 мен ЕТ 24-тармағына сәйкес еңбек шартының ақпараттық қауіпсіздікке қатысты шарттарын;
4) ҚР СТ ИСО/МЭК 27002 сәйкес қызметкерлердің, мердігерлер мен үшінші тарап пайдаланушыларының ұйымның саясаттарымен және рәсімдерімен белгіленген қауіпсіздікті сақтау туралы басшылық талаптарының сақталуын;
5) ҚР СТ ИСО/МЭК 27002 сәйкес қызметкерлердің ақпараттық қауіпсіздік саласы бойынша хабардарлығын, оқыту мен қайта даярлауды;
6) ҚР СТ ИСО/МЭК 27002 сәйкес қауіпсіздік талаптарын бұзған қызметкерлер үшін нысандандырылған тәртіптік процестің болуы мен оның нақты пайдаланылуын;
7) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес жұмыспен қамту мерзімі аяқталған немесе жағдайлары өзгерген кезде қызметкерлердің ақпараттық қауіпсіздік бөлігіндегі (активтерді қайтару, қолжетімділік құқығын жою) жауапкершілігінің болуын зерттеп-қарау қажет.
52. Персоналға байланысты қауіпсіздікті қамтамасыз етуді зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) Персоналға байланысты қауіпсіздікті қамтамасыз ету АҚ талаптарына сәйкес – осы Әдістеменің 51-тармағының барлық тармақшалары орындалған жағдайда;
2) Персоналға байланысты қауіпсіздікті қамтамасыз ету АҚ талаптарына сәйкес емес – осы Әдістеменің 51-тармағының барлық тармақшалары орындалмаған жағдайда.
Достарыңызбен бөлісу: |