-параграф. Жабдықты және қоршаған орта қауіпсіздігін

1) ҚР СТ ИСО/МЭК 27002 сәйкес периметр мен серверлік үй-жайды физикалық қорғауды қамтамасыз ету;

2) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес серверлік үй-жайларға кіруді бақылауды ұйымдастыру;

3) ҚР СТ ИСО/МЭК 27002 сәйкес сыртқы қатерлерден қорғауды ұйымдастыру;

4) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайларда жұмысты ұйымдастыру;

5) ҚР СТ ИСО/МЭК 27002 сәйкес қоғамдық қолжетімділік аймақтарында (мұндайлар болған жағдайда) материалдық құндылықтарды қабылдау және жіберу кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

6) қорғау мен ақпараттық қауіпсіздікті қамтамасыз етуге арналған жабдықты ҚР СТ ИСО/МЭК 27002 мен БТ сәйкес орналастыру;

7) ҚР СТ ИСО/МЭК 27002 сәйкес электр энергиясын берудегі кідірулер мен қосымша қызметтерді қамтамасыз етуде орын алатын кірірулерге байланысты тоқтап қалулардан қорғауды қамтамасыз ету;

8) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес кәбілдік желінің ақпараттық қауіпсіздігін қамтамасыз ету;

9) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік жабдыққа техникалық қызмет көрсету кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

10) ҚР СТ ИСО/МЭК 27002 сәйкес серверлік үй-жайдан тыс жерде пайдаланылатын серверлік жабдықтың ақпараттық қауіпсіздігін қамтамасыз ету;

11) ҚР СТ ИСО/МЭК 27002 сәйкес жабдықты қауіпсіз қайтадан пайдаға асыруды (шығысқа шығаруды) ұйымдастыру.

54. Жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғауды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес – осы Әдістеменің 53-тармағының барлық тармақшалары орындалған жағдайда;

2) жабдықты және қоршаған ортаның қауіпсіздігін физикалық қорғау АҚ талаптарына сәйкес емес – осы Әдістеменің 53-тармағының барлық тармақшалары орындалмаған жағдайда.

6-параграф. Ақпаратты өңдеу құралдарының тиісінше және

қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау
55. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарауды жүзеге асыру қажет:

1) ҚР СТ ИСО/МЭК 27002 сәйкес операциялық рәсімдерды құжатпен ресімдеу, аттестаттау объектісіндегі өзгерістерді бақылауды жүргізу, аттестаттау объектісінде міндеттемелерді бөлу және әзірлеу, тестілеу мен пайдалану құралдарын бөлу;

2) ҚР СТ ИСО/МЭК 27002 сәйкес бөгде ұйымдардан қызметтер алған және (немесе) бөгде ұйымдарға қызмет көрсеткен кезде ақпараттық қауіпсіздік талаптарын сақтау;

3) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектілерінің өнімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

4) ҚР СТ ИСО/МЭК 27002 сәйкес зиянды кодтан қауіпсіз қорғауды қамтамасыз ету;

5) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектілерінде ақпаратты резервте сақтау рәсімдерін жүргізген кезде ақпараттық қауіпсіздік талаптарын сақтау;

6) ҚР СТ ИСО/МЭК 27002 сәйкес желіні басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

7) БТ белгіленген локалдық және ведомстволық (корпоративтік) желіге қойылатын талаптарды орындау;

8) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес ақпарат тасымалдаушылармен (таспалар, дискілер, флеш-жинақтағыштар) жұмыс кезінде ақпараттық қауіпсіздікті сақтау;

9) ҚР СТ ИСО/МЭК 27002 сәйкес ақпарат алмасу кезінде ақпараттық қауіпсіздікті сақтау;

10) ҚР СТ ИСО/МЭК 27002 және БТ сәйкес аттестаттау объектісінде ақпараттық қауіпсіздік мониторингін қамтамасыз ету;

11) БТ талаптарына сәйкес виртуалдау мен «бұлтты» есептеу технологияларын іске асыратын есептеу ресурстарының тиісінше және қауіпсіз жұмысын қамтамасыз ету.

56. Ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз етуді зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес – осы Әдістеменің 55-тармағының барлық тармақшалары орындалған жағдайда;

2) ақпаратты өңдеу құралдарының тиісінше және қауіпсіз жұмыс істеуін қамтамасыз ету АҚ талаптарына сәйкес емес – осы Әдістеменің 55-тармағының барлық тармақшалары орындалмаған жағдайда.

7-параграф. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау
57. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:

1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратқа және аттестаттау объектісіне қолжетімділікті бақылау бойынша ақпараттық қауіпсіздікті қамтамасыз ету;

2) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес пайдаланушылардың аттестаттау объектісінде қолжетімділігін басқару кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

3) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес пайдаланушыларды қолжетімділікті басқару бойынша олардың функционалдық міндеттері туралы хабарландыру мен олардың орындалуы;

4) ҚР СТ ИСО/МЭК 27002 сәйкес желілік сервистерге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

5) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес операциялық жүйеге қол жеткізуге рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз ету;

6) ҚР СТ ИСО/МЭК 27002 және БТ-ға сәйкес қолданбалы бағдарламалар мен ақпаратқа қолжетімділікті бақылауды қамтамасыз ету;

7) ҚР СТ ИСО/МЭК 27002 сәйкес тасымалдау құрылғыларымен жұмыс кезінде ақпараттық қауіпсіздік талаптарын сақтау және қашықтық режимінде жұмыс істеу;

8) БТ-да белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлу;

9) БТ-ға сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз ету.

58. Ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) осы Әдістеменің 57-тармағының барлық тармақшалары орындалған жағдайда – ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес;

2) осы Әдістеменің 57-тармағының барлық тармақшалары орындалмаған жағдайда – ақпараттық ресурстарға қолжетімділікті басқаруды ұйымдастыру АҚ талаптарына сәйкес емес.

8-параграф. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау
59. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау кезінде:

1) ҚР СТ ИСО/МЭК 27002 сәйкес өміршеңдік кезеңнің әр сатысында ақпараттық қауіпсіздікті қамтамасыз етуді;

2) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісіндегі деректерді өңдеген кезде ақпараттық қауіпсіздікті қамтамасыз етуді;

3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты криптографиялық қорғау құралдарын пайдаланудың дұрыстығын;

4) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісінің жүйелік файлдарының ақпараттық қауіпсіздігін қамтамасыз етуді;

5) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісін әзірлеу және енгізу процесінде ақпараттық қауіпсіздікті қамтамасыз етуді;

6) ҚР СТ ИСО/МЭК 27002 сәйкес аттестаттау объектісінің осалдықтарын жою, мониторингілеу бойынша жұмыстар жүргізуді;

7) БТ белгіленген талаптарды (ақпараттық жүйелерге арналған) орындай отырып, АЖ тәжірибелік және өнеркәсіптік пайдалану орталарын әзірлеу, тестілеу немесе стендтық сынақтан өткізу орталарынан бөлуді;

8) БТ сәйкес интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз етуді зерттеп-қарау қажет.

60. Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес –осы Әдістеменің 59-тармағының барлық тармақшалары орындалған жағдайда;

2) Аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестері АҚ талаптарына сәйкес емес – осы Әдістеменің 59-тармағының барлық тармақшалары орындалмаған жағдайда.

1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік саласындағы оқыс оқиғаларға жылдам, нәтижелі және жүйелі әрекет етуді қамтамасыз етуге мүмкіндік беретін ақпараттық қауіпсіздікті бұзу оқиғалары туралы хабарлау;

2) ҚР СТ ИСО/МЭК 27002 сәйкес басшылық жауаптылығын белгілеу;

3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік оқыс оқиғаларын тіркеу және мониторингілеу, ақпараттық қауіпсіздік саласындағы оқыс оқиғалар туралы хабарлаудың жеделдігі, ақпараттық қауіпсіздік оқыс оқиғалары туралы есептер құру рәсімдері;

4) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік оқыс оқиғасы сот талқылауына әкеп соғу жағдайында ақпараттық қауіпсіздік оқыс оқиғалары туралы ақпаратты жинау, сақтау және ұсыну;

5) БТ сәйкес ақпараттық қауіпсіздік жай-күйіне байланысты оқиғаларды тіркеу мен оқиғалар журналын талдау жолымен бұзуларды айқындау.

62. Ақпараттық қауіпсіздік саласындағы оқыс оқиғаларды басқаруды ұйымдастыруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) ақпараттық қауіпсіздік оқыс оқиғаларын басқару АҚ талаптарына сәйкес – осы Әдістеменің 61-тармағының барлық тармақшалары орындалған жағдайда;

2) ақпараттық қауіпсіздік оқыс оқиғаларын басқару АҚ талаптарына сәйкес емес – осы Әдістеменің 61-тармағының барлық тармақшалары орындалмаған жағдайда.

10-параграф. Бизнестің үздіксіздігін басқаруды

зерттеп-қарау және талдау
63. Бизнестің үздіксіздігін басқаруды зерттеп-қарау және талдау кезінде мынадай процестерді зерттеп-қарау қажет:

1) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік бойынша процестерді қамтитын бизнестің үздіксіздігін дамыту және қолдау;

2) ҚР СТ ИСО/МЭК 27002 сәйкес бизнес-процестерді үзудің себебі болып табылатын оқиғаларды сәйкестендіру;

3) ҚР СТ ИСО/МЭК 27002 сәйкес бизнестің үздіксіздігі жоспарларын іске асыру;

4) ҚР СТ ИСО/МЭК 27002 сәйкес бизнестің үздіксіздігін қамтамасыз ету жөніндегі жоспарларды тестілеуді, қолдау мен қайта қарауды жүргізу.

64. Бизнестің үздіксіздігін басқаруды зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) бизнестің үздіксіздігін басқару бойынша рәсімдер АҚ талаптарына сәйкес – осы Әдістеменің 63-тармағының барлық тармақшалары орындалған жағдайда;

2) бизнестің үздіксіздігін басқару бойынша рәсімдер АҚ талаптарына сәйкес емес – осы Әдістеменің 63-тармағының барлық тармақшалары орындалмаған жағдайда.

1) ҚР СТ ИСО/МЭК 27002 сәйкес ұйым жазбаларын жоғалудан, бұзудан және бұрмалаудан заңнамалық, басқа міндетті, келісімдік талаптар мен бизнес-талаптарға сай қорғау;

2) ҚР СТ ИСО/МЭК 27002 сәйкес дербес құпия ақпаратты тасымалдаған кезде ақпараттық қауіпсіздікті қамтамасыз ету;

3) ҚР СТ ИСО/МЭК 27002 сәйкес ақпаратты қорғау құралдарын мақсатсыз пайдалануды бақылау;

4) ҚР СТ ИСО/МЭК 27002 сәйкес техникалық осалдықтарды қолмен және (немесе) тиісті аспаптық және бағдарламалық құралдардың көмегімен басқару бойынша іс-шаралар өткізу;

5) ҚР СТ ИСО/МЭК 27002 сәйкес ақпараттық қауіпсіздік аудитін жүргізген кезде басқару және келісу бойынша шараларды қолдану;

6) ҚР СТ ИСО/МЭК 27002 сәйкес аспаптық аудит құралдары қолжетімді болған кезде ақпараттық қауіпсіздікті қамтамасыз ету.

66. Құқықтық талаптарға сәйкестік деңгейін зерттеп-қарау және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес – осы Әдістеменің 65-тармағының барлық тармақшалары орындалған жағдайда;

2) құқықтық талаптарға сәйкестік деңгейі АҚ талаптарына сәйкес емес –осы Әдістеменің 65-тармағының барлық тармақшалары орындалмаған жағдайда.

1) ҚР СТ МЕМСТ Р 50739 сәйкес ақпаратты аттестаттау объектісінде өңдеген кезде оны РҚЖ қорғаулын қамтамасыз ету;

2) ҚР СТ МЕМСТ Р 50739 сәйкес қолжетімділік құқықтарын қорғалу көрсеткіштерімен бөлуді іске асыру;

3) ҚР СТ МЕМСТ Р 50739 сәйкес ЕТҚ ақпараттың қорғалуына қатысы бар оқиғаларды тіркеуді қолдауы тиістілігін көздейтін талаптарды орындау;

4) ҚР СТ МЕМСТ Р 50739 сәйкес ЕТҚ құрамында ЕТҚ қолжетімділікті бөлуге және есепке алуға қойылатын талаптардың орындалуын қамтамасыз ететіне кепілдік алуға мүмкіндік беретін техникалық және бағдарламалық механизмдердің болу қажеттігін көздейтін кепілдіктерге қойылатын талаптардың орындалуы;

5) ҚР СТ МЕМСТ Р 50739 сәйкес кешенді қорғау құралдарының толық және жан-жақты сипаттамасы.

68. Аттестаттау объектілерін рұқсатсыз қолжетімділіктен қорғау талаптарына сәйкестігіне зерделеу және талдау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес – осы Әдістеменің 67-тармағының барлық тармақшалары орындалған жағдайда;

2) аттестаттау объектісін рұқсатсыз қолжетімділіктен қорғау жүйесі АҚ талаптарына сәйкес емес – осы Әдістеменің 67-тармағының барлық тармақшалары орындалмаған жағдайда.

13-параграф. Аттестаттау объектісін аспаптық тексеру
69. Аттестаттау объектісі инфрақұрылымы компоненттерін аспаптық зерттеп-қарау өтініш беруші ұсынған аттестаттау объектісі компоненттеріне қол жеткізуге арналған есеп жазбалары негізінде мамандандырылған бағдарламалық аппаратық кешеннің (бұдан әрі – БАК) көмегімен аттестаттау объектісіндегі осалдықтарды айқындау мақсатында жүргізіледі.

70. Аттестаттау объектісін аспаптық зерттеп-қарау мыналарды қамтиды:

1) БАК күйге келтіру (локалдық және қашықтықтан тексерулер жүргізуге арналған есеп жазбасын жазу, аспаптық зерттеп-қарау режимін таңдау және т.б.);

2) БАК іске қосу;

3) айқындалған осалдықтардың сипаттамасы, саны мен деңгейі көрсетілген тізбесін қамтитын бағдарламалық есепті қалыптастыру және беру;

4) аспаптық зерттеп-қарау нәтижелерін сараптамалық бағалау мен аттестаттық зерттеп-қарау актісіне (қосымша аттестаттық) қоса берілетін есепті қалыптастыру.

71. Аспаптық зерттеп-қарау нәтижелері негізінде Аттестаттық зерттеп-қарау актісіне мынадай шешімдердің бірі енгізіледі:

1) осалдықтар жоқ болған жағдайда – сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес;

2) осалдықтар орын алған жағдайда – сыртқы және ішкі басып енуден қорғау жүйесі АҚ талаптарына сәйкес емес.

5-тарау. Аттестаттық зерттеп-қарау актісін жасау
72. Аттестаттық зерттеп-қараудың нәтижелері барлық жұмыстар бойынша зерттеп-қарау парақтарының толық жинағы негізінде аттестаттық зерттеп-қарауға кіретін барлық жұмыс түрлері аяқталғаннан кейін жасалатын Аттестаттық зерттеп-қарау актісі түрінде ресімделеді.

73. Аттестаттық зерттеп-қарау актісі еркін нысанда жасалады және мыналарды қамтиды:

1) АҚ жөніндегі ТҚ зерделеу, талдау және бағалау нәтижелері;

2) БТ, ҚР СТ ИСО/МЭК 27001, ҚР СТ ИСО/МЭК 27002 және ҚР СТ МЕМСТ Р 50739, АҚ жөніндегі ТҚ стандарттары талаптарын орындау бойынша жұмыстарды ұйымдастыру жай-күйі туралы есеп;

3) аттестаттау объектісін аспаптық зерттеп-қарау бойынша есеп;

4) аттестаттық зерттеп-қараудың барлық жұмыс түрлерінің нәтижелері бойынша қорытынды мен сәйкессіздіктер орын алған жағдайда оларды жою жөніндегі ұсынымдар.