В соответствии со статьей 5 Закона Республики Казахстан от 11 января 2007 года "Об информатизации" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Правила проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.
2. Признать утратившим силу постановление Правительства Республики Казахстан от 17 января 2008 года № 24 "Об утверждении Правил проведения аттестации государственных информационных систем на соответствие требованиям информационной безопасности" (САПП Республики Казахстан, 2008 г., № 1, ст. 13).
3. Настоящее постановление вводится в действие со дня первого официального опубликования.
Премьер-Министр
Республики Казахстан К. Масимов
Утверждены
постановлением Правительства
Республики Казахстан
от 30 декабря 2009 года № 2280
Правила
проведения аттестации государственных информационных
систем и негосударственных информационных систем, интегрируемых
с государственными информационными системами, на соответствие
их требованиям информационной безопасности и принятым на
территории Республики Казахстан стандартам
1. Общие положения и основные понятия
1. Настоящие Правила проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее - Правила) разработаны в соответствии с Законом Республики Казахстан от 11 января 2007 года "Об информатизации" и определяют порядок проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.
2. Основные понятия, используемые в Правилах:
1) аттестационная комиссия (далее - Комиссия) - консультативно-совещательный орган при уполномоченном органе, который рассматривает результаты аттестационного обследования и вырабатывает соответствующие рекомендации;
2) аттестат соответствия информационной системы требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее - аттестат) - документ, подтверждающий факт соответствия информационной системы (далее - ИС) требованиям информационной безопасности (далее - ИБ) и принятым на территории Республики Казахстан стандартам;
3) уполномоченный орган - уполномоченный орган в сфере информатизации;
4) уполномоченная организация - уполномоченная организация в области информатизации;
5) заявитель - физическое или юридическое лицо, подавшее заявку на проведение аттестации ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам.
3. Под аттестацией ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам понимается комплекс организационно-технических мероприятий по определению фактического состояния защищенности ИС и ее соответствия требованиям ИБ и принятым на территории Республики Казахстан стандартам.
4. Эксплуатация и внедрение государственных ИС, а также всех интегрируемых с ними негосударственных ИС допускается после их аттестации на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам.
5. Аттестация ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам осуществляется уполномоченным органом на основании аттестационного обследования ИС.
6. Аттестационное обследование ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам проводятся уполномоченной организацией.
7. Для рассмотрения акта аттестационного обследования (далее - акт) создается Комиссия, положение и состав которой утверждаются приказом уполномоченного органа.
8. В состав комиссии входят представители:
1) органов национальной безопасности Республики Казахстан;
2) уполномоченного государственного органа по защите государственных секретов и обеспечения информационной безопасности;
3) уполномоченного органа.
9. Сведения о выданных аттестатах вносятся уполномоченным органом в реестр аттестатов, содержащий информацию о владельце и разработчике ИС, наименовании ИС, реквизитах акта и аттестата.
2. Порядок проведения аттестации
10. Аттестация осуществляется в следующем порядке:
1) заявителем подается заявка в уполномоченный орган по форме согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:
копия документа, удостоверяющего личность (для физических лиц);
копии учредительных документов и свидетельства о государственной регистрации юридического лица (для юридических лиц);
сертификаты соответствия требованиям ИБ технических и программных средств, входящих в состав аттестуемой ИС, выданные органами по подтверждению соответствия в порядке, установленном законодательством Республики Казахстан;V050003923
нормативно-технические документы по ИБ аттестуемой ИС, а также интегрируемых ИС в части их интеграции в составе, утвержденном уполномоченным органом, согласно приложению 2 к настоящим Правилам;
перечень технических и программных средств с указанием серийных и инвентарных номеров, в том числе примененных при обеспечении ИБ;
утвержденная заявителем функциональная схема (план) взаимодействия компонентов ИС, а также интегрируемых компонентов ИС;
2) уполномоченный орган в течение трех рабочих дней с момента получения заявки осуществляет проверку соответствия заявки и прилагаемых к заявке документов требованиям к форме и комплектности, установленным настоящими Правилами;
3) в случае соответствия заявки и приложенных документов требованиям к форме и комплектности, установленным настоящими Правилами, заявка с приложенными документами в установленный в подпункте 2) пункта 10 настоящих Правил срок направляется уполномоченным органом в уполномоченную организацию, в противном случае заявка возвращается заявителю с указанием причин возврата;
4) на основании заявки и с учетом прилагаемых к ней документов уполномоченная организация проводит аттестационное обследование ИС. Аттестационное обследование проводится в соответствии с нормативными правовыми актами и стандартами в области информационной безопасности, принятыми на территории Республики Казахстан, перечень которых определяется уполномоченной организацией с учетом примененных информационных технологий в аттестуемой ИС. Стоимость работ по проведению аттестационного обследования определяется в соответствии с действующим законодательством Республики Казахстан;
5) срок аттестационного обследования не должен превышать одного месяца с момента поступления заявки с приложенными документами. В случае, если аттестационное обследование не может быть проведено в установленный срок, уполномоченная организация обращается в уполномоченный орган с ходатайством о продлении срока аттестационного обследования с изложением причин невозможности соблюдения установленного срока. Уполномоченным органом может быть принято решение о продлении срока аттестационного обследования сроком до двух месяцев;
6) по результатам аттестационного обследования уполномоченной организацией составляется акт, который передается уполномоченному органу. Акт составляется в четырех экземплярах (по одному для Комиссии, уполномоченного органа по защите государственных секретов, органов национальной безопасности и заявителя) и включает в себя сведения о фактическом состоянии защищенности ИС;
7) уполномоченный орган в течение 10 рабочих дней с момента получения акта созывает Комиссию и передает акт на рассмотрение Комиссии;
8) на основании акта Комиссией вырабатываются соответствующие рекомендации, которые оформляется в виде протокола. При рассмотрении данных акта Комиссия учитывает уровень функциональной сложности ИС и ее назначение, характер обрабатываемой ИС информации, конфиденциальность информации, категорию доступа ИС, режим обработки данных в ИС, комплектность нормативно-технической документации по информационной безопасности и соблюдение ее требований, оценку реальных угроз безопасности (потенциальные источники угроз и уязвимости);
9) на основании протокола Комиссии и с учетом акта уполномоченный орган в течение пяти рабочих дней принимает решение о выдаче или об отказе в выдаче аттестата;
10) в случае принятия положительного решения уполномоченный орган в установленный в подпункте 9) пункта 10 настоящих Правил срок выдает аттестат по форме согласно приложению 3 к настоящим Правилам и вносит соответствующие сведения в реестр аттестатов;
11) в случае отказа в выдаче аттестата уполномоченным органом в установленный в подпункте 9) пункта 10 настоящих Правил срок заявителю направляется соответствующее уведомление с указанием причин отказа.
11. Аттестат выдается заявителю сроком на 3 года, с учетом неизменности условий функциональности системы, аппаратно-программного комплекса и информационных технологий, обеспечивающих обработку защищаемой информации, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты).
12. В случае изменения условий и технологии обработки информации владельцы аттестованных ИС в течение пяти рабочих дней с момента таких изменений направляют в уполномоченный орган извещение с приложением описания произведенных изменений. В течение трех рабочих дней с момента получения извещения уполномоченный орган направляет в уполномоченную организацию извещение с приложением описания произведенных изменений.
13. Уполномоченная организация в течение десяти рабочих дней с момента получения извещения от уполномоченного органа проводит дополнительное обследование ИС. В случае выявления изменений, которые могут нарушить уровень защищенности ИС, уполномоченная организация направляет уведомление в уполномоченный орган о необходимости переаттестации ИС, при отсутствии таких изменений уполномоченная организация направляет уполномоченному органу соответствующее уведомление.
14. Уполномоченный орган в течение трех рабочих дней с момента получения уведомления от уполномоченной организации извещает владельцев ИС о необходимости (отсутствие необходимости) переаттестации ИС. Переаттестация ИС осуществляется в порядке, установленном настоящими Правилами для проведения аттестации.
15. При утере аттестата владелец аттестованной ИС в течение трех рабочих дней с момента утери направляет в уполномоченный орган уведомление о его утере с указанием причин. Уполномоченный орган в течение пяти рабочих дней с момента получения уведомления выдает дубликат аттестата.
Приложение 1
к Правилам проведения аттестации государственных
информационных систем и негосударственных
информационных систем, интегрируемых с
государственными информационными системами, на
соответствие их требованиям информационной
безопасности и принятым на территории
Республики Казахстан стандартам
Кому__________________________________
(наименование органа по аттестации)
ЗАЯВКА
на проведение аттестации государственной (негосударственной)
информационной системы
_____________________________________________________________________
_____________________________________________________________________
(наименование заявителя, Ф.И.О. заявителя)
просит провести аттестацию
_____________________________________________________________________
_____________________________________________________________________
(наименование информационной системы)
на соответствие требованиям по информационной безопасности и принятым
на территории Республики Казахстан стандартам.
1. Исходные данные по государственной (негосударственной)
информационной системе на ____ листах прилагаются.
2. Заявитель готов представить необходимые документы и создать
условия для проведения аттестации.
____________________________
(подпись, дата)
М.П.
Приложение 2
к Правилам проведения аттестации государственных
информационных систем и негосударственных
информационных систем, интегрируемых с
государственными информационными системами, на
соответствие их требованиям информационной
безопасности и принятым на территории
Республики Казахстан стандартам
ПЕРЕЧЕНЬ
нормативно-технических документов по информационной
безопасности
1. Политика информационной безопасности заявителя.
2. Правила паспортизации средств вычислительной техники и использования информационных ресурсов.
3. Инструкция о парольной защите.
4. Инструкция о порядке действий пользователей во внештатных (кризисных) ситуациях.
5. Инструкция пользователя по эксплуатации компьютерного оборудования и программного обеспечения.
6. Инструкция по организации антивирусной защиты.
7. Инструкция о резервном копировании информации.
8. Инструкция по закреплению функций и полномочий администратора сервера.
9. Правила доступа пользователей и администраторов в серверные помещения.
10. Правила регистрации пользователей в корпоративной информационной сети.
11. Памятка для работы системных администраторов.
12. Памятка пользователю средств вычислительной техники.
Приложение 3
к Правилам проведения аттестации государственных
информационных систем и негосударственных
информационных систем, интегрируемых с
государственными информационными системами, на
соответствие их требованиям информационной
безопасности и принятым на территории
Республики Казахстан стандартам
АТТЕСТАТ № ______
соответствия информационной системы требованиям информационной
безопасности и принятым на территории Республики Казахстан
стандартам
__________________________________________
(указывается полное наименование ИС)
Действителен до "___" ___________ 200_ г. № ___
1. Настоящим аттестатом удостоверяется, что:
___________________________________________________________________
(полное наименование ИС)
соответствует информационной безопасности и принятым на территории
Республики Казахстан стандартам.
Состав комплекса технических средств ИС (с указанием заводских
номеров, модели, изготовителя, номеров сертификатов), схема
размещения в помещениях, перечень используемых программных средств, а
также средств защиты ИС (с указанием изготовителя и номеров
сертификатов) прилагаются.
2. Аттестация ИС выполнена в соответствии с программой и
методиками аттестационных испытаний, утвержденными "__" ______ 200_г.
№ _____.
3. С учетом результатов аттестационных испытаний на ИС
разрешается обработка __________________________________ информации.
(служебная, конфиденциальная и т.п.)
4. При эксплуатации ИС запрещается:
____________________________________________________________________
(указываются ограничения, которые могут повлиять на эффективность мер
и средств защиты информации)
5. Контроль за эффективностью реализованных мер и средств
защиты возлагается на службу информационной безопасности.
6. Подробные результаты аттестационного обследования приведены
в акте аттестационного обследования (№ ____ "__________" 200_ г.) и
протоколах испытаний.
7. Аттестат выдан на три года, в течение которых должна быть
обеспечена неизменность условий функционирования ИС.
8. Перечень характеристик, об изменениях которых требуется
обязательно извещать уполномоченную организацию в области
информатизации:
8.1 ___________________________________
8.2 ___________________________________
Председатель (Ф.И.О.)
М.П.
"__" ________ 200_ г.