Об утверждении регламента государственной услуги "Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам"

Приказ Министра транспорта и коммуникаций Республики Казахстан от 13 декабря 2012 года № 880. Зарегистрирован в Министерстве юстиции Республики Казахстан 26 декабря 2012 года № 8240. Утратил силу приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 24 августа 2015 года № 877

Утратил силу

      Сноска. Утратил силу приказом и.о. Министра по инвестициям и развитию РК от 24.08.2015 № 877 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).

      В соответствии с пунктом 4  статьи 9-1 Закона Республики Казахстан от 27 ноября 2000 года «Об административных процедурах», а также в согласно подпункту 21) статьи 6 Закона Республики Казахстан от 11 января 2007 года «Об информатизации», ПРИКАЗЫВАЮ:
      1. Утвердить прилагаемый регламент государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам».
      2. Департаменту государственной политики в сфере информационных технологий (Елеусизова К.Б.) обеспечить:
      1) в установленном законодательством порядке государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
      2) после его государственной регистрации в Министерстве юстиции Республики Казахстан, официальное опубликование в средствах массовой информации, в том числе на интернет-ресурсе Министерства транспорта и коммуникаций Республики Казахстан и размещение его на ИПГО.
      3. Контроль за исполнением настоящего приказа возложить на вице-министра транспорта и коммуникаций Республики Казахстан Сарсенова С.С.
      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня первого официального опубликования.

      Министр                                    А. Жумагалиев

Утвержден          
приказом Министра     
транспорта и коммуникаций 
Республики Казахстан   
от 13 декабря 2012 года № 880

Регламент государственной услуги
«Аттестация государственных информационных систем и
негосударственных информационных систем, интегрируемых с
государственными информационными системами, на соответствие их
требованиям информационной безопасности и принятым на
территории Республики Казахстан стандартам»

1. Общие положения

      1. Настоящий регламент государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (далее – Регламент) разработан в соответствии с пунктом 4 статьи 9-1 Закона Республики Казахстан от 27 ноября 2000 года «Об административных процедурах, а также Стандартом государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам», утвержденного постановлением Правительства Республики Казахстан от 25 сентября 2012 года № 1241 (далее – Стандарт).
      2. В настоящем Регламенте используются следующие понятия:
      1) аттестат соответствия информационной системы требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее – аттестат) – документ, подтверждающий факт соответствия информационной системы требованиям информационной безопасности (далее – ИБ) и принятым на территории Республики Казахстан стандартам;
      2) получатель государственной услуги (далее – получатель) – физические и юридические лица, являющиеся собственниками или владельцами государственных информационных систем или негосударственных информационных систем, интегрируемых с государственными информационными системами;
      3) аттестация информационной системы на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам – комплекс организационно-технических мероприятий по определению фактического состояния защищенности информационной системы и ее соответствия требованиям ИБ и принятым на территории Республики Казахстан стандартам.
      4) информационная система (далее – ИС) – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации с применением аппаратно-программного комплекса;
      5) аттестационное обследование (далее – аттестационное обследование) – проверка общей структуры ИС конфигурации компонентов являющихся составляющими ИС; экспертиза организационных мер информационной безопасности эксплуатируемой ИС, а также инструментальное обследование компонентов ИС, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты;
      6) уполномоченная организация – Республиканское государственное предприятие «Центр технического сопровождения и анализа в области телекоммуникаций»;
      7) аттестационная комиссия (далее – Комиссия) – консультативно-совещательный орган при уполномоченном органе, который рассматривает результаты аттестационного обследования и вырабатывает соответствующие рекомендации;
      8) структурно-функциональная единица (далее – СФЕ) – это лица заинтересованных органов, информационные системы или их подсистемы, которые участвуют в процессе оказания государственной услуги.
      3. Государственная услуга «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (далее – государственная услуга) оказывается Министерством транспорта и коммуникаций Республики Казахстан (далее – уполномоченный орган) по адресу: 010000, город Астана, улица Орынбор, дом 8, административное здание «Дом министерств», 14 подъезд.
      4. Форма оказываемой государственной услуги: не автоматизированная.
      5. Результатом оказываемой государственной услуги является выдача аттестата на бумажном носителе, либо мотивированный ответ на бумажном носителе об отказе в предоставлении государственной услуги.

2. Требования к оказанию государственной услуги

      6. Государственная услуга оказывается уполномоченным органом ежедневно, за исключением выходных и праздничных дней, с 9.00 до 18.30 часов, с перерывом на обед с 13.00 до 14.30 часов.
      Государственная услуга оказывается в порядке очереди, без предварительной записи. Режим ускоренного обслуживания не предусмотрен.
      7. Информация о порядке оказания государственной услуги и документах для ее получения размещаются на Интернет-ресурсах: www.mtс.gov.kz и www.ctsat.kz или по телефону: 8 (7172) 74-03-54.
      8. Для получения государственной услуги получатель либо по доверенности его уполномоченный представитель предоставляет документы согласно пункту 11 Стандарта.
      9. Сроки оказания государственной услуги указаны в пункте 7 Стандарта.
      10. Основания для отказа в предоставлении государственной услуги указаны в пункте 16 Стандарта.
      1) получателем не представлен полный пакет необходимых документов согласно пункта 11 Стандарта;
      2) ИС получателя не соответствует требованиям стандартов в области ИБ, принятых на территории Республики Казахстан.
      11. Этапы оказания государственной услуги с момента обращения получателя до выдачи ему результата государственной услуги:
      1) 1-й этап – работниками Канцелярии уполномоченного органа в случае поступления заявки производится прием, вскрытие, сканирование и регистрация входящей корреспонденции в Единой системе электронного документооборота (далее – ЕСЭДО) с прилагаемой заявкой и документами согласно пункту 11 Стандарта (далее – заявка). В случае превышения объема допустимых вложений в ЕСЭДО сканируются первые листы каждого вложения и в РКК документа вносится соответствующая отметка. В случае поступления заявки на бумажном носителе под грифом «Для служебного пользования» (далее – ДСП) производится прием, вскрытие и регистрация в ЕСЭДО;
      2) 2-й этап – определение ответственного структурного подразделения уполномоченного органа по рассмотрению документа. Согласно поручению (резолюции) вице-министра, заявка направляется структурному подразделению уполномоченного органа для исполнения по ЕСЭДО или под роспись ответственного должностного лица структурного подразделения уполномоченного органа в журнале учета входящих ДСП документов;
      3) 3-й этап – должностное лицо структурного подразделения уполномоченного органа в течение двух календарных дней с момента получения заявки осуществляет проверку соответствия заявки требованиям пункта 11 Стандарта (соответствие и комплектность);
      4) 4-й этап – в случае соответствия требованиям к форме и комплектности, установленным пунктом 11 Стандарта, заявка в течение двух календарных дней направляется в уполномоченную организацию, в противном случае заявка возвращается получателю с указанием в сопроводительном письме причин возврата заявки;
      5) 5-й этап – работниками службы документационного обеспечения уполномоченной организации производится прием, вскрытие, сортировка и регистрация заявки в журнале регистрации входящей корреспонденции;
      6) 6-й этап – рассмотрение руководителем уполномоченной организации входящей корреспонденции и определение ответственного должностного лица по рассмотрению заявки. Согласно поручению (резолюции) руководителя, заявка направляется должностному лицу уполномоченной организации для исполнения под роспись в соответствующем журнале;
      7) 7-й этап – после получения заявки на проведение аттестации ИС должностное лицо уполномоченной организации направляет служебную записку в юридический отдел уполномоченной организации для получения согласия на заключение договора с получателем;
      8) 8-й этап – юридический отдел уполномоченной организации в течение одного календарного дня направляет получателю два экземпляра договора на оказание услуг по аттестационному обследованию, договора на исполнение совместных работ по обеспечению ИБ и при наличии в информационных системах средств криптографической защиты информации или при необходимости – договора на выполнение совместных секретных работ;
      9) 9-й этап – получатель после получения двух экземпляров вышеуказанных договоров в течение трех календарных дней подписывает и возвращает по одному экземпляру каждого договора в уполномоченную организацию;
      10) 10-й этап – на основании договора, заключенного получателем, уполномоченная организация проводит аттестационное обследование ИС. Срок аттестационного обследования не должен превышать двадцати одного календарного дня с момента заключения договора на проведение аттестационного обследования. В случае, если структура аттестуемой ИС включает ведомственные или региональные компоненты ИС, уполномоченная организация обращается в уполномоченный орган с ходатайством о продлении срока аттестационного обследования с изложением причин невозможности соблюдения установленного срока. Уполномоченным органом принимается решение о продлении срока аттестационного обследования сроком не более семнадцати календарных дней, о чем сообщается получателю в течение одного календарного дня. Аттестационное обследование проводится в соответствии с нормативными правовыми актами и стандартами в области ИБ, принятыми на территории Республики Казахстан, перечень которых определяется уполномоченной организацией с учетом примененных информационных технологий в аттестуемой ИС. Получатель обеспечивает доступ к помещению, оборудованию и информации по аттестуемой ИС для проведения аттестационного обследования уполномоченной организацией;
      11) 11-й этап – по результатам аттестационного обследования уполномоченной организацией составляется акт, который передается уполномоченному органу. Акт составляется в четырех экземплярах (по одному для Комиссии, уполномоченного органа по защите государственных секретов, органов национальной безопасности и заявителя) и включает в себя сведения о фактическом состоянии защищенности ИС;
      12) 12-й этап – уполномоченный орган в течение двух календарных дней с момента получения акта созывает Комиссию и передает акт на рассмотрение данной Комиссии;
      13) 13-й этап – на основании акта Комиссией вырабатываются соответствующие рекомендации, которые оформляются в виде протокола. При рассмотрении данных актов Комиссия учитывает уровень функциональной сложности ИС и ее назначение, характер обрабатываемой ИС информации, категорию доступа ИС, режим обработки данных в ИС, комплектность нормативно-технической документации по ИБ и соблюдение ее требований, оценку реальных угроз безопасности (потенциальные источники угроз и уязвимости);
      14) 14-й этап – на основании протокола Комиссии и с учетом акта уполномоченный орган в течение одного календарного дня принимает одно из следующих решений:
      о выдаче или об отказе в выдаче аттестата (решение об отказе в выдаче аттестата принимается на основании указанных в акте несоответствий требованиям стандартов в области ИБ, принятых на территории Республики Казахстан);
      об устранении получателем выявленных несоответствий (данное решение может быть принято не более одного раза к заявке на проведение аттестации ИС). Копия решения направляется заявителю;
      15) 15-й этап – в случае принятия Комиссией решения об устранении выявленных несоответствий, срок оказания государственной услуги приостанавливается до извещения уполномоченного органа об устранении выявленных несоответствии во время аттестационного обследования. Получатель в течение двадцати рабочих дней с момента получения копии решения устраняет выявленные несоответствия и извещает уполномоченный орган об их устранении, после чего уполномоченный орган в течение одного календарного дня извещает уполномоченную организацию о необходимости проведения дополнительного аттестационного обследования ИС. Срок дополнительного аттестационного обследования ИС не должен превышать восьми календарных дней со дня получения извещения из уполномоченного органа;
      16) 16-й этап – после проведения дополнительного аттестационного обследования осуществляются действия согласно этапам указанных в подпунктах 11) – 14) пункта 13 настоящего Регламента;
      17) 17-й этап – в случае принятия уполномоченным органом положительного решения по результатам аттестационного либо дополнительного аттестационного обследования, уполномоченным органом в установленный в подпункте 14) пункта 13 настоящего Регламента срок выдается аттестат;
      18) 18-й этап – в случае отказа в выдаче аттестата уполномоченным органом в установленный в подпункте 11) пункта 13 настоящего Регламента срок, заявителю направляется мотивированный ответ на бумажном носители с указанием причин отказа.

3. Описание порядка действий (взаимодействий) в процессе
оказания государственной услуги

      12. В процессе оказания государственной услуги задействованы следующие СФЕ:
      1) сотрудник канцелярий;
      1) должностное лицо уполномоченного органа;
      2) вице-министр Уполномоченного органа;
      4) уполномоченная организация;
      5) должностное лицо уполномоченной организации;
      5) Комиссия.
      13. Текстовое табличное описание последовательности и взаимодействие административных действий (процедур) каждой СФЕ с указанием срока выполнения каждого административного действия (процедуры) приведены в приложении 1 к настоящему Регламенту.
      14. Схема взаимодействия между логической последовательностью административных действий в процессе оказания государственной услуги и СФЕ приведена в приложении 2 к настоящему Регламенту.

Приложение 1                          
к регламенту государственной услуги «Аттестация государственных
информационных систем и негосударственных информационных систем,
интегрируемых с государственными информационными системами, на
соответствие их требованиям информационной безопасности и
принятым на территории Республики Казахстан стандартам»

Текстовое табличное описание последовательности и
взаимодействия административных действий (процедур) каждой СФЕ

Таблица 1. Описание действий СФЕ


Действия основного процесса (хода, потока работ)

1

№ действия
(хода, потока
работ)

1

2

3

2

Наименование
СФЕ

Сотрудник СДО
Уполномоченного
органа

Вице-министр
Уполномочен-
ного органа

Должностное лицо
Уполномоченного
органа

3

Наименование
действия
(процесса,
процедуры,
операции) и
их описание

прием,
вскрытие,
сортировка и
регистрация
заявки в ЕСЭДО
или журнале
регистрации
входящей ДСП
корреспонденции

определение
должностного
лица

Осуществление
проверки соответствия
заявки и прилагаемых
документов
требованиям к форме и
комплектности и
направления в РГП
«ЦТСАТ» в противном
случае возврат
получателю с
указанием причин;

4

Форма
завершения
(данные,
документ,
организацион-
но-распоря-
дительное
решение)

Регистрация в
ЕСЭДО или
журнале
регистрации
входящей ДСП
корреспонденции

Согласно
поручению

(резолюции)
Вице-
министра,
заявка
направляется
должностному
лицу для
исполнения в
ЕСЭДО или под
роспись в
журнале учета
входящих ДСП
документов

Отправка
сопроводительным
письмом заявки с
приложенными
документами в адрес
РГП «ЦТСАТ»

5

Сроки
исполнения

15 минут

1 календарный
день

1 календарный день


Действия основного процесса (хода, потока работ)

1

№ действия
(хода, потока
работ)

4

5

6

7

2

Наименование
СФЕ

Сотрудник
СДО РГП
«ЦТСАТ»

Руководитель
РГП «ЦТСАТ»

Должностное
лицо РГП
«ЦТСАТ»

Должностное
лицо РГП
«ЦТСАТ»

3

Наименование
действия
(процесса,
процедуры,
операции) и
их описание

прием,
вскрытие,
сортировка и
регистрация
заявки с
приложенными
документами

определение
должностного
лица

направляет
получателю
два
экземпляра
договора на
оказание
услуг

проводит
аттеста-
ционное
обследо-
вание ИС

4

Форма
завершения
(данные,
документ,
организацион-
но-распоряди-
тельное
решение)

Регистрация
в журнале
регистрации
входящей
корреспон-
денции

В
соответствии
с поручением
(резолюцией)
руководства
письмо с
прилагаемыми
регистраци-
онными
заявками
направляются
для
исполнения
под роспись
в журнале

Договор

Акт

5

Сроки
исполнения

15 мин

1
календарный
день

1
календарный
день

21
календарный
день


Действия основного процесса (хода, потока работ)

1

№ действия
(хода, потока
работ)

8

9

10

2

Наименование
СФЕ

Уполномочен-
ный орган

Комиссия

Уполномоченный орган

3

Наименование
действия
(процесса,
процедуры,
операции) и
их описание

созыв
Комиссию и
передача акта
на
рассмотрение
Комиссии;

соответствующие
рекомендации

в случае принятия
положительного
решения выдает
аттестат по форме
согласно
приложению 1 к
Стандарту и вносит
соответствующие
сведения в реестр
аттестатов. В случае
отказа в выдаче
аттестата
потребителю
направляется
соответствующее
уведомление с
указанием причин
отказа

4

Форма
завершения
(данные,
документ,
организацион-
но-распоря-
дительное
решение)

Протокол
Комиссии

Протокол
Комиссии

Выдача Аттестата,
внесение сведений в
реестр аттестатов
либо в уведомление
потребителю

5

Сроки
исполнения

2 календарный
день

1 календарный
день

1 календарный день

Приложение 2                          
к регламенту государственной услуги «Аттестация государственных
информационных систем и негосударственных информационных систем,
интегрируемых с государственными информационными системами, на
соответствие их требованиям информационной безопасности и
принятым на территории Республики Казахстан стандартам»

Схема взаимодействия между логической последовательностью
административных действий в процессе оказания государственной
услуги и СФЕ Процесс проведения аттестации информационных систем