ҚР нормативтік құқықтық актілері мен стандарттарының талаптарына сәйкес келтіру және тексеру
ГТҚ сынақтарға дайындық
Ақпараттандыру объектілерін ақпараттық қауіпсіздік талаптарына сәйкестігіне сынау
Қандай жағдайларда GTS сынақтарына дайындық қажет?
* Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V "Ақпараттандыру туралы" Заңының 49 бабына сәйкес міндетті түрде сынауға жататын ақпараттандыру объектілері үшін.
ГТҚ сынақтарға дайындық мыналардан тұрады: АҚ жай-күйін талдау:
- * Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеу.
- * Ақпараттық қауіпсіздік функцияларын сынау.
- * Желілік инфрақұрылымды зерттеу.
- * Бастапқы кодтарды талдау.
- * Жүктеме сынағы.
Талаптарға сәйкес келмеу нәтижелерін алу, сәйкессіздіктерді жабу.
Өтінімді және өтуге қажетті құжаттарды дайындау және жіберу.
Ақпараттық қауіпсіздік аудитін жүргізудің артықшылықтары:
- * ГТҚ сынақтарға толық дайындық;
- * ұйым және ақпараттық жүйелер үшін АҚ стандарттарын сақтау;
- * АҚ жай-күйін бағалау мүмкіндігі;
- * кеңес беру (ұйымның АҚ және ақпараттық жүйелерді жақсарту үшін ұсынымдар алу);
- * сәйкессіздікті түзету;
ГТҚ сынақтарына дайындық:
1. Сынақ кезінде жұмыс түрін таңдау:
- * Жүктемелік сынаудың бастапқы кодтарын талдау
- * Желілік инфрақұрылымды зерттеу
- * Ақпараттық қауіпсіздікті қамтамасыз ету процестерін зерттеу
- * Ақпараттық қауіпсіздік функцияларын сынау
2. Сынақ объектісін зерттеу:
- * Техникалық тапсырма
- * Бағдарламалық және техникалық құралдар тізімі
- * Жалпы функционалдық және жергілікті схема
- * АҚ бойынша СҮ саясаты
3. Күйді анықтау:
- * ақпараттық қауіпсіздікті басқару процестерінің ережелері;
- * активтерді басқаруды ұйымдастыру;
- * персоналмен байланысты қауіпсіздікті қамтамасыз ету;
- * жабдықтарды физикалық қорғау және қоршаған орта қауіпсіздігі;
- * ақпаратты өңдеу құралдарының тиісті және қауіпсіз жұмыс істеуін қамтамасыз ету;
- * ақпараттық ресурстарға қол жеткізуді басқаруды ұйымдастыру;
- * аттестаттау объектілерін әзірлеу, енгізу және қызмет көрсету процестерін;
- * ақпараттық қауіпсіздік саласындағы инциденттерді басқаруды ұйымдастыру;
- * бизнестің үздіксіздігін басқару;
- * құқықтық талаптарға сәйкестік дәрежесі;
* ҚР СТ ГОСТ Р 50739-95-2006 сәйкес ақпаратқа рұқсатсыз қол жеткізуден қорғау жүйелері.
4. Бастапқы кодты талдау
Бастапқы кодты талдауға арналған бағдарламалық құралдарды қолдана отырып, "кемшіліктердің" болуына бағдарламалық қамтамасыз етуге статикалық және динамикалық талдау жүргізуді қамтиды
5. Жүктемелік сынау
Сынақ объектісінің қолжетімділігін, тұтастығын және құпиялылығын сақтауды бағалауды қамтиды, сынақ объектісінің нақты жүктеме қабілетінің параметрлерін анықтайды, Дербес деректер жалған деректермен ауыстырылған сынақ объектісін штаттық пайдалану ортасында Автоматты сценарийлер негізінде мамандандырылған бағдарламалық құралдарды пайдалана отырып жүргізіледі
6. АҚ бақылауды орнату (SIEM жүйесі)
Қауіпсіздік ақпаратын және ақпараттық қауіпсіздік оқиғаларын басқару жүйесін орнату.
7. Сәйкессіздіктерді жою:
- * техникалық құжаттама НҚА және стандарттар талаптарына;
- * желілік инфрақұрылымның бастапқы кодындағы АҚ функцияларының АҚ процестері
8. МТҚ өту үшін өтінімді жіберу
- * ақпараттық қауіпсіздік саясатын қоса алғанда, 16 құжат дайындау;
- * сынақ объектісінің сипаттамалары туралы сауалнама-сұраулықты толтыру;
- * меншік иесі немесе иеленуші бекіткен Техникалық тапсырма немесе техникалық ерекшелік;
- * сынақ объектісінің компоненттері мен модульдерінің бастапқы кодтары кітапханалармен және файлдармен; сынақ объектісінің ақпараттық қауіпсіздігі бойынша бекітілген техникалық құжаттаманың көшірмелері;
- * меншік иесі немесе иесі өтініш берушіге сынақтар өткізуге өтініш беруге уәкілеттік беретін құжат (қажет болған жағдайда);
- * МТҚ сынақтардан өтуге өтінімді жіберу.
