5-параграф. Жабдықты және қоршаған орта қауіпсіздігін
физикалық қорғауды зерттеп-қарау және талдау
53. Жабдықты және қоршаған орта қауіпсіздігін физикалық қорғауды зерттеп-қарау мен талдау кезінде мынадай процестерді зерттеп-қарау қажет:
1) ҚР СТ ИСО/МЭК 27002 сәйкес периметр мен серверлік үй-жайды физикалық қорғауды қамтамасыз ету;
2) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес серверлік үй-жайларға кіруді бақылауды ұйымдастыру;
3) ҚР СТ ИСО/МЭК 27002 сәйкес сыртқы қатерлерден қорғауды ұйымдастыру;
4) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайларда жұмысты ұйымдастыру;
5) ҚР СТ ИСО/МЭК 27002 сәйкес қоғамдық қолжетімділік аймақтарында (мұндайлар болған жағдайда) материалдық құндылықтарды қабылдау және жіберу кезінде ақпараттық қауіпсіздікті қамтамасыз ету;
6) қорғау мен ақпараттық қауіпсіздікті қамтамасыз етуге арналған жабдықты ҚР СТ ИСО/МЭК 27002 мен БТ сәйкес орналастыру;
7) ҚР СТ ИСО/МЭК 27002 сәйкес электр энергиясын берудегі кідірулер мен қосымша қызметтерді қамтамасыз етуде орын алатын кірірулерге байланысты тоқтап қалулардан қорғауды қамтамасыз ету;
8) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес кәбілдік желінің ақпараттық қауіпсіздігін қамтамасыз ету;
9) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік жабдыққа техникалық қызмет көрсету кезінде ақпараттық қауіпсіздікті қамтамасыз ету;
10) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайдан тыс жерде пайдаланылатын серверлік жабдықтың ақпараттық қауіпсіздігін қамтамасыз ету;
11) ҚР СТ ИСО/МЭК 27002 сәйкес жабдықты қауіпсіз қайтадан пайдаға асыруды (шығысқа шығаруды) ұйымдастыру.
54. Жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес – осы Әдістеменің 53-тармағының барлық тармақшалары орындалған жағдайда;
2) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес емес – осы Әдістеменің 53-тармағының барлық тармақшалары орындалмаған жағдайда.
6-параграф. Ақпаратты өңдеу құралдарының тиісінше және
қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау
55. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарауды жүзеге асыру қажет:
1) ҚР СТ ИСО/МЭК 27002 сәйкес операциялық рәсімдерды құжатпен ресімдеу, аттестаттау объектісіндегі өзгерістерді бақылауды жүргізу, аттестаттау объектісінде міндеттемелерді бөлу және әзірлеу, тестілеу мен пайдалану құралдарын бөлу;
2) ҚР СТ ИСО/МЭК 27002 сәйкес бөгде ұйымдардан қызметтер алған және (немесе) бөгде ұйымдарға қызмет көрсеткен кезде ақпараттық қауіпсіздік талаптарын сақтау;
3) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектілерінің өнімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;
4) ҚР СТ ИСО/МЭК 27002 сәйкес зиянды кодтан қауіпсіз қорғауды қамтамасыз ету;
5) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектілерінде ақпаратты резервте сақтау рәсімдерін жүргізген кезде ақпараттық қауіпсіздік талаптарын сақтау;
6) ҚР СТ ИСО/МЭК 27002 сәйкес желіні басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;
7) БТ белгіленген локалдық және ведомстволық (корпоративтік) желіге қойылатын талаптарды орындау;
8) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес ақпарат тасымалдаушылармен (таспалар, дискілер, флеш-жинақтағыштар) жұмыс кезінде ақпараттық қауіпсіздікті сақтау;
9) ҚР СТ ИСО/МЭК 27002 сәйкес ақпарат алмасу кезінде ақпараттық қауіпсіздікті сақтау;
10) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес аттестаттау объектісінде ақпараттық қауіпсіздік мониторингін қамтамасыз ету;
11) БТ талаптарына сәйкес виртуалдау мен «бұлтты» есептеу технологияларын іске асыратын есептеу ресурстарының тиісінше және қауіпсіз жұмысын қамтамасыз ету.
56. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес – осы Әдістеменің 55-тармағының барлық тармақшалары орындалған жағдайда;
2) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес емес – осы Әдістеменің 55-тармағының барлық тармақшалары орындалмаған жағдайда.
7-параграф. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау
57. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:
1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратқа және аттестаттау объектісіне қолжетімділікті бақылау бойынша ақпараттық қауіпсіздікті қамтамасыз ету;
2) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес пайдаланушылардың аттестаттау объектісінде қолжетімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;
3) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес пайдаланушыларды қолжетімділікті басқару бойынша олардың функционалдық міндеттері туралы хабарландыру мен олардың орындалуы;
4) ҚР СТ ИСО/МЭК 27002 сәйкес желілік сервистерге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;
5) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес операциялық жүйеге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;
6) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес қолданбалы бағдарламалар мен ақпаратқа қолжетімділікті бақылауды қамтамасыз ету;
7) ҚР СТ ИСО/МЭК 27002 сәйкес тасымалдау құрылғыларымен жұмыс кезінде ақпараттық қауіпсіздік талаптарын сақтау және қашықтық режимінде жұмыс істеу;
8) БТ-да белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлу;
9) БТ-ға сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз ету.
58. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) осы Әдістеменің 57-тармағының барлық тармақшалары орындалған жағдайда – ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес;
2) осы Әдістеменің 57-тармағының барлық тармақшалары орындалмаған жағдайда – ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес емес.
8-параграф. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау
59. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау кезінде:
1) ҚР СТ ИСО/МЭК 27002 сәйкес өміршеңдік кезеңнің әр сатысында ақпараттық қауіпсіздікті қамтамасыз етуді;
2) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісіндегі деректерді өңдеген кезде ақпараттық қауіпсіздікті қамтамасыз етуді;
3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты криптографиялық қорғау құралдарын пайдаланудың дұрыстығын;
4) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісінің жүйелік файлдарының ақпараттық қауіпсіздігін қамтамасыз етуді;
5) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісін әзірлеу және енгізу процесінде ақпараттық қауіпсіздікті қамтамасыз етуді;
6) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісінің осалдықтарын жою, мониторингілеу бойынша жұмыстар жүргізуді;
7) БТ белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлуді;
8) БТ сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз етуді зерттеп-қарау қажет.
60. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес –осы Әдістеменің 59-тармағының барлық тармақшалары орындалған жағдайда;
2) Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес емес – осы Әдістеменің 59-тармағының барлық тармақшалары орындалмаған жағдайда.
9-параграф. Ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды зерттеп-қарау және талдау
61. Ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:
1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік саласындағы оқыс оқиғаларға жылдам, нәтижелі және жүйелі әрекет етуді қамтамасыз етуге мүмкіндік беретін ақпараттық қауіпсіздікті бұзу оқиғалары туралы хабарлау;
2) ҚР СТ ИСО/МЭК 27002 сәйкес басшылық жауаптылығын белгілеу;
3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік оқыс оқиғаларын тіркеу және мониторингілеу, ақпараттық қауіпсіздік саласындағы оқыс оқиғалар туралы хабарлаудың жеделдігі, ақпараттық қауіпсіздік оқыс оқиғалары туралы есептер құру рәсімдері;
4) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік оқыс оқиғасы сот талқылауына әкеп соғу жағдайында ақпараттық қауіпсіздік оқыс оқиғалары туралы ақпаратты жинау, сақтау және ұсыну;
5) БТ сәйкес ақпараттық қауіпсіздік жай-күйіне байланысты оқиғаларды тіркеу мен оқиғалар журналын талдау жолымен бұзуларды айқындау.
62. Ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) ақпараттық қауіпсіздік оқыс оқиғаларын басқару АҚ талаптарына сәйкес – осы Әдістеменің 61-тармағының барлық тармақшалары орындалған жағдайда;
2) ақпараттық қауіпсіздік оқыс оқиғаларын басқару АҚ талаптарына сәйкес емес – осы Әдістеменің 61-тармағының барлық тармақшалары орындалмаған жағдайда.
10-параграф. Бизнестің үздіксіздігін басқаруды
зерттеп-қарау және талдау
63. Бизнестің үздіксіздігін басқаруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:
1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік бойынша процестерді қамтитын бизнестің үздіксіздігін дамыту және қолдау;
2) ҚР СТ ИСО/МЭК 27002 сәйкес бизнес-процестерді үзудің себебі болып табылатын оқиғаларды сәйкестендіру;
3) ҚР СТ ИСО/МЭК 27002 сәйкес бизнестің үздіксіздігі жоспарларын іске асыру;
4) ҚР СТ ИСО/МЭК 27002 сәйкес бизнестің үздіксіздігін қамтамасыз ету жөніндегі жоспарларды тестілеуді, қолдау мен қайта қарауды жүргізу.
64. Бизнестің үздіксіздігін басқаруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) бизнестің үздіксіздігін басқару бойынша рәсімдер АҚ талаптарына сәйкес – осы Әдістеменің 63-тармағының барлық тармақшалары орындалған жағдайда;
2) бизнестің үздіксіздігін басқару бойынша рәсімдер АҚ талаптарына сәйкес емес – осы Әдістеменің 63-тармағының барлық тармақшалары орындалмаған жағдайда.
11-параграф. Құқықтық талаптарға сәйкестік деңгейін зерттеп-қарау және талдау
65. Құқықтық талаптарға сәйкестік деңгейін зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:
1) ҚР СТ ИСО/МЭК 27002 сәйкес ұйым жазбаларын жоғалудан, бұзудан және бұрмалаудан заңнамалық, басқа міндетті, келісімдік талаптар мен бизнес-талаптарға сай қорғау;
2) ҚР СТ ИСО/МЭК 27002 сәйкес дербес құпия ақпаратты тасымалдаған кезде ақпараттық қауіпсіздікті қамтамасыз ету;
3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты қорғау құралдарын мақсатсыз пайдалануды бақылау;
4) ҚР СТ ИСО/МЭК 27002 сәйкес техникалық осалдықтарды қолмен және (немесе) тиісті аспаптық және бағдарламалық құралдардың көмегімен басқару бойынша іс-шаралар өткізу;
5) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік аудитін жүргізген кезде басқару және келісу бойынша шараларды қолдану;
6) ҚР СТ ИСО/МЭК 27002 сәйкес аспаптық аудит құралдары қолжетімді болған кезде ақпараттық қауіпсіздікті қамтамасыз ету.
66. Құқықтық талаптарға сәйкестік деңгейін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес – осы Әдістеменің 65-тармағының барлық тармақшалары орындалған жағдайда;
2) құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес емес –осы Әдістеменің 65-тармағының барлық тармақшалары орындалмаған жағдайда.
12-параграф. ҚР СТ МЕМСТ Р 50739 сәйкес ақпаратқа рұқсатсыз қолжетімділіктен қорғау жүйесін зерттеп-қарау және талдау
67. ҚР СТ МЕМСТ Р 50739 сәйкес ақпаратқа рұқсатсыз қолжетімділіктен қорғау жүйесін зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:
1) ҚР СТ МЕМСТ Р 50739 сәйкес ақпаратты аттестаттау объектісінде өңдеген кезде оны РҚЖ қорғаулын қамтамасыз ету;
2) ҚР СТ МЕМСТ Р 50739 сәйкес қолжетімділік құқықтарын қорғалу көрсеткіштерімен бөлуді іске асыру;
3) ҚР СТ МЕМСТ Р 50739 сәйкес ЕТҚ ақпараттың қорғалуына қатысы бар оқиғаларды тіркеуді қолдауы тиістілігін көздейтін талаптарды орындау;
4) ҚР СТ МЕМСТ Р 50739 сәйкес ЕТҚ құрамында ЕТҚ қолжетімділікті бөлуге және есепке алуға қойылатын талаптардың орындалуын қамтамасыз ететіне кепілдік алуға мүмкіндік беретін техникалық және бағдарламалық механизмдердің болу қажеттігін көздейтін кепілдіктерге қойылатын талаптардың орындалуы;
5) ҚР СТ МЕМСТ Р 50739 сәйкес кешенді қорғау құралдарының толық және жан-жақты сипаттамасы.
68. Аттестаттау объектілерін рұқсатсыз қолжетімділіктен қорғау талаптарына сәйкестігіне зерделеу және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес – осы Әдістеменің 67-тармағының барлық тармақшалары орындалған жағдайда;
2) аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес емес – осы Әдістеменің 67-тармағының барлық тармақшалары орындалмаған жағдайда.
13-параграф. Аттестаттау объектісін аспаптық тексеру
69. Аттестаттау объектісі инфрақұрылымы компоненттерін аспаптық зерттеп-қарау өтініш беруші ұсынған аттестаттау объектісі компоненттеріне қол жеткізуге арналған есеп жазбалары негізінде мамандандырылған бағдарламалық аппаратық кешеннің (бұдан әрі – БАК) көмегімен аттестаттау объектісіндегі осалдықтарды айқындау мақсатында жүргізіледі.
70. Аттестаттау объектісін аспаптық зерттеп-қарау мыналарды қамтиды:
1) БАК күйге келтіру (локалдық және қашықтықтан тексерулер жүргізуге арналған есеп жазбасын жазу, аспаптық зерттеп-қарау режимін таңдау және т.б.);
2) БАК іске қосу;
3) айқындалған осалдықтардың сипаттамасы, саны мен деңгейі көрсетілген тізбесін қамтитын бағдарламалық есепті қалыптастыру және беру;
4) аспаптық зерттеп-қарау нәтижелерін сараптамалық бағалау мен аттестаттық зерттеп-қарау актісіне (қосымша аттестаттық) қоса берілетін есепті қалыптастыру.
71. Аспаптық зерттеп-қарау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:
1) осалдықтар жоқ болған жағдайда – сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес;
2) осалдықтар орын алған жағдайда – сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес емес.
5-тарау. Аттестаттық зерттеп-қарау актісін жасау
72. Аттестаттық зерттеп-қараудың нәтижелері барлық жұмыстар бойынша зерттеп-қарау парақтарының толық жинағы негізінде аттестаттық зерттеп-қарауға кіретін барлық жұмыс түрлері аяқталғаннан кейін жасалатын Аттестаттық зерттеп-қарау актісі түрінде ресімделеді.
73. Аттестаттық зерттеп-қарау актісі еркін нысанда жасалады және мыналарды қамтиды:
1) АҚ жөніндегі ТҚ зерделеу, талдау және бағалау нәтижелері;
2) БТ, ҚР СТ ИСО/МЭК 27001, ҚР СТ ИСО/МЭК 27002 және ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ стандарттары талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйі туралы есеп;
3) аттестаттау объектісін аспаптық зерттеп-қарау бойынша есеп;
4) аттестаттық зерттеп-қараудың барлық жұмыс түрлерінің нәтижелері бойынша қорытынды мен сәйкессіздіктер орын алған жағдайда оларды жою жөніндегі ұсынымдар.
74. Аттестаттық зерттеп-қарау актісі үш данада жасалады және бір данасы мемлекеттік техникалық қызметте қалады, ал қалған 2 даналары уәкілетті органға уәкілетті орган мен өтінім берушіге жіберіледі.
Достарыңызбен бөлісу: |