Қазақстанның сенімді бағдарламалық қамтамасыз ету тізілімі туралы

2020 жылғы 21 мамырда ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің № 206/НҚ бұйрығымен «Documentolog» электрондық құжат айналымы және бизнес-процестерді автоматтандыру ақпараттық жүйесі сенімді бағдарламалық қамтамасыз ету тізіліміне енгізілді.

Біз бұл Тізілімнің қалай жұмыс істейтінін және оның отандық IT өнімдеріне қалай көмектесе алатынын сұрадық. Documentolog компаниясының бас директоры Байжан Канафин түсіндіреді: 

1. Сенімді бағдарламалық қамтамасыз ету тізілімі дегеніміз не және ол қандай мақсатта құрылған?

Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V ЗРК «Ақпараттандыру туралы» Заңының 1-бабының 52-1) тармақшасына сәйкес сенімді бағдарламалық қамтамасыз ету және электрондық өнеркәсіп өнімдерінің тізілімі – елдің қорғанысын және мемлекеттің қауіпсіздігін қамтамасыз ету мақсатында құрылған ақпараттық қауіпсіздік талаптарына сәйкес келетін бағдарламалық қамтамасыз ету және электрондық өнеркәсіп өнімдерінің тізімі. 

2. Сенімді бағдарламалық қамтамасыз ету тізіліміне қалай кіруге болады? 

Бағдарламалық қамтамасыз етуді Тізілімге енгізу үшін әзірлеуші компанияда болуы керек: 

• Өнеркәсіптік сертификат (өтініш берушінің отандық тауарлар, жұмыстар және қызметтер өндірушілерінің тізіліміне енгізілгенін растайтын құжат). Ол «Атамекен» ҰКП-мен беріледі. 

• Ақпараттық қауіпсіздік талаптарына сәйкестік сертификаты, бағдарламалық қамтамасыз ету үшін сенімділік деңгейі 4-тен төмен емес, СТ РК ISO/IEC 15408-3 «Ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. IT қауіпсіздігін бағалау критерийлері. 3-бөлім. Қорғауды қамтамасыз ету талаптары» (бұдан әрі - СТ РК ISO/IEC 15408-3) немесе ақпараттық қауіпсіздік талаптарына сәйкестігін тексеру нәтижелері бойынша уәкілетті орган берген акт. 

3. Тізілімге енгізілген бағдарламалық қамтамасыз ету кімге арналған?

ЗРК 54-бабының 2-тармағында «электрондық үкімет» және ақпараттық-коммуникациялық инфрақұрылымның сыни маңызды объектілерінің (бұдан әрі - КВОИКИ) иелері немесе иелері инфрақұрылымның ақпараттық қауіпсіздігін қамтамасыз ететін шараларды қабылдауға міндетті екендігі көрсетілген. ЗРК «Ақпараттандыру туралы» 54-бабының 3-1-тармағында елдің қорғанысын және мемлекеттің қауіпсіздігін қамтамасыз ету талаптарын іске асыру мақсатында тауарларды сатып алу Тізілімнен жүзеге асырылатыны белгіленген.

4. КВОИКИ дегеніміз не және оларға кім жатады?

1-баптың 24) тармақшасы ақпараттық-коммуникациялық инфрақұрылымның сыни маңызды объектілері – ақпараттық-коммуникациялық инфрақұрылым объектілері, оның ішінде «электрондық үкімет» ақпараттық-коммуникациялық инфрақұрылымы, олардың жұмыс істеуінің бұзылуы немесе тоқтатылуы әлеуметтік және (немесе) техногендік сипаттағы төтенше жағдайға немесе елдің қорғанысы, қауіпсіздігі, халықаралық қатынастары, экономикасы, шаруашылықтың жекелеген салалары, Қазақстан Республикасының инфрақұрылымы немесе тиісті аумақта тұратын халықтың өмір сүруіне елеулі теріс салдарға әкелетін объектілер; (бұдан әрі – КВОИКИ). ЗРК «Ақпараттандыру туралы» 6 және 7-1-баптарына сәйкес, КВОИКИ тізімін бекіту Қазақстан Республикасының ақпараттандыру саласындағы Үкіметінің құзыретіне жатады, КВОИКИ тізімін әзірлеу ақпараттық қауіпсіздікті қамтамасыз ету саласындағы уәкілетті органның құзыретіне жатады.

Бір сөзбен айтқанда, мемлекет елдің барлық ақпараттық жүйелерінен ұлттық қауіпсіздік үшін құндылығы мен маңыздылығы бар «КВОИКИ» объектілерін бөліп шығарды және олардың қауіпсіздігіне ерекше назар аударылады. Бұл ретте КВОИКИ-ге компания иесінің барлық инфрақұрылымы емес, тек жекелеген объектілер жатуы мүмкін. Компаниялардың өздері КВОИКИ объектілерінің иелері болып табылады. КВОИКИ объектілерінің тізімін қамтитын құжат ДСП құжаттарына жатады және көпшілікке қолжетімді бола алмайды. Дегенмен, КВОИКИ объектілерінің иелері болып табылатын компаниялардың атаулары туралы ақпарат ашық қолжетімді.

Documentolog ресми түрде МЦРИАП Ақпараттық қауіпсіздік комитетіне сұрау жіберіп, КВОИКИ объектілерінің иелері болып табылатын компаниялардың тізімін алды: бұл Қазақстанның барлық ірі мемлекеттік және жеке өнеркәсіптік және қаржылық компаниялары дерлік. Мысалы, «Самұрық-Қазына» ҰӘҚ» АҚ, «Бәйтерек» ҰБХ» АҚ тобына кіретін компаниялар, барлық банктеріміз және басқа да ірі компаниялар. Тізімді КИБ-ден сұрауға болады.

5. КВОИКИ иелерінің жауапкершілігі

ЗРК «Ақпараттандыру туралы» 54-бабында КВОИКИ иелері немесе иелері қамтамасыз етуі тиіс шаралар анықталған. Сондай-ақ, олар үшін ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды (бұдан әрі – ЕТ) қолдану және сақтау міндеті белгіленген. Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген ЕТ 29-1-тармағында. Сондай-ақ, елдің қорғанысын және мемлекеттің қауіпсіздігін қамтамасыз ету талаптарын іске асыру мақсатында тауарларды сатып алу Қазақстан Республикасының мемлекеттік сатып алу туралы заңнамасына сәйкес сенімді бағдарламалық қамтамасыз ету және электрондық өнеркәсіп өнімдерінің тізілімінен жүзеге асырылатыны белгіленген.

КВОИКИ иесінің немесе иесінің заңнамада белгіленген талаптарды сақтамаған жағдайда жауапкершілігі:

Қазақстан Республикасының ақпараттандыру туралы заңнамасын бұзу, ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бұзу түрінде жасалған бұзушылық үшін ӘҚБтК 641-бабының 1-тармағының 2) тармақшасына сәйкес жеке тұлғаларға он, лауазымды тұлғаларға, шағын кәсіпкерлік субъектілеріне немесе коммерциялық емес ұйымдарға он бес, орта кәсіпкерлік субъектілеріне отыз, ірі кәсіпкерлік субъектілеріне жүз айлық есептік көрсеткіш мөлшерінде айыппұл салынады.

Егер әрекеттер қылмыстық сипаттағы белгілерді қамтыса және олар ақпараттық-коммуникациялық инфрақұрылымның сыни маңызды объектілеріне қатысты жасалса, онда ҚПК 187-бабының 1-тармағына сәйкес алдын ала тергеуді ұлттық қауіпсіздік органы жүргізуі мүмкін.

Қорытындылар.

КВОИКИ объектілерінің иелері болып табылатын компаниялардың тізімі өте үлкен болғандықтан, отандық бағдарламалық қамтамасыз етуді әзірлеуші компания үшін Тізілімге кіру процедураларынан өту мағынасы бар. 

КВОИКИ объектілерінің иелері болып табылатын компанияларда жұмыс істейтін лауазымды тұлғалар ЗРК «Ақпараттандыру туралы» талаптарын сақтауға міндетті. Олай болмаған жағдайда, бұзушылық үшін әкімшілік және қылмыстық жауапкершілік қарастырылған.