Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18795.

Обновленный

      В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" ПРИКАЗЫВАЮ:

      1. Утвердить:

      1) Методику проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

      2) Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

      2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ "Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

      3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения "Институт законодательства и правовой информации Республики Казахстан" Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.

      4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.

      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития, оборонной и аэрокосмической
промышленности
Республики Казахстан
А. Жумагалиев

 

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
"___" ____________2019 года

  Приложение 1
к приказу Министра
цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ

Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

Глава 1. Общие положения

      1. Настоящая Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации".

      2. В настоящей Методике используются следующие основные понятия и сокращения:

      1) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

      2) государственная техническая служба – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

      3) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;

      4) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

      5) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

      6) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

      7) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности.

      3. Проведение испытания включает:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры;

      5) обследование процессов обеспечения информационной безопасности.

Глава 2. Анализ исходных кодов

      4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения (далее – ПО).

      5. Анализ исходных кодов проводится для ПО, перечисленного в таблице подпункта 11) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).

      6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.

      7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

      8. Анализ исходных кодов включает:

      1) выявление недостатков ПО;

      2) фиксацию результатов анализа исходного кода.

      9. Выявление недостатков ПО осуществляется в следующем порядке:

      1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры (далее – ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

      2) запускается программное средство, предназначенное для выявления недостатков ПО;

      3) проводится анализ программных отчетов на наличие ложных срабатываний;

      4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

      10. Объем работ по анализу исходного кода определяется размером исходного кода.

      11. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ поставщика, в протоколе анализа исходных кодов (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к Правилам.

      Протокол анализа исходных кодов с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.

      12. По окончанию анализа исходных кодов, при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив поставщика.

      13. Поставщик обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.

Глава 3. Испытание функций информационной безопасности

      14. Оценка функций объектов информатизации на соответствие требованиям информационной безопасности (далее – испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.

      15. Испытание функций информационной безопасности включает:

      1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);

      2) фиксацию результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

      16. Перечень функций информационной безопасности приведен в приложении 1 к Методике.

      17. Испытание функций информационной безопасности проводятся в разрезе серверов и виртуальных ресурсов, перечисленных в таблицах подпункта 1) и подпункта 4) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      18. Результаты испытаний функций информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе испытаний функций информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол испытаний функций информационной безопасности с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.

Глава 4. Нагрузочное испытание

      19. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.

      20. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.

      21. Параметры нагрузочного испытания предоставляются заявителем таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      При проведении нагрузочного испытания выявляется параметры фактической нагрузочной способности объекта испытаний.

      22. Нагрузочное испытание осуществляется в следующем порядке:

      1) проводится подготовка к испытанию;

      2) проводится испытание;

      3) фиксируются результаты испытания.

      23. Подготовка к испытанию включает:

      1) определение сценария испытания;

      2) определение временных и количественных характеристик испытания;

      3) согласование времени проведения испытания c заказчиком.

      24. Проведение испытания включает:

      1) настройка конфигурации и сценария испытания в специализированное программное средство;

      2) запуск специализированного программного средства;

      3) регистрация нагрузки на объект испытаний;

      4) формирование и выдача отчета нагрузочного испытания с указанием рекомендаций по увеличению или снижению реальной пропускной способности объекта испытаний.

      25. Работы по проведению нагрузочного тестирования проводятся для одного объекта испытаний по количеству вариантов точек подключений пользователей и вариантов точек подключения интеграционного взаимодействия объекта испытаний, указанных в таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      26. Результаты нагрузочного испытания фиксируются ответственным исполнителем данного вида работ поставщика в протоколе нагрузочного испытания (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол нагрузочного испытания с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.

Глава 5. Обследование сетевой инфраструктуры

      27. Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры.

      28. Обследование сетевой инфраструктуры включает:

      1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;

      2) обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств (при необходимости);

      3) сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков;

      4) фиксацию полученных результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

      29. Перечень функций защиты сетевой инфраструктуры приведен в приложении 2 к настоящей Методике.

      30. Работы по обследованию сетевой инфраструктуры, проводятся для каждого сегмента сети (подсети) объекта испытаний, указанного в таблице подпункта 7) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

      31. Результаты обследования сетевой инфраструктуры фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования сетевой инфраструктуры (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол обследования сетевой инфраструктуры с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.

Глава 6. Обследование процессов обеспечения информационной безопасности

      32. Обследование процессов обеспечения информационной безопасности осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности.

      33. Обследование процессов обеспечения информационной безопасности включает:

      1) оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;

      2) фиксацию результатов оценки испытания с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости);

      3) сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей;

      4) анализ выявленных уязвимостей на наличие ложного срабатывания и формирование рекомендаций по их устранению (при необходимости).

      34. Перечень процессов обеспечения информационной безопасности и их содержание приведено в приложении 3 к Методике.

      35. Работы по обследованию процессов обеспечения информационной безопасности проводятся для объекта испытания.

      36. Результаты обследования процессов обеспечения информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования процессов обеспечения информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

      Протокол обследования процессов обеспечения информационной безопасности с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.

      Результаты анализа выявленных уязвимостей не включаются в Протокол обследования процессов обеспечения информационной безопасности и передаются Заявителю в форме рекомендаций.

  Приложение 1
к Методике проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры, на
соответствие требованиям информационной безопасности

Перечень функций информационной безопасности

№ п/п

Наименование функций

Содержание функций

1

2

3

Аудит безопасности

1

Автоматическая реакция аудита безопасности

Осуществление генерации записи в регистрационном журнале, локальная или удаленная сигнализация администратору об обнаружении нарушения безопасности.

2

Генерация данных аудита безопасности

Наличие протоколирования, по крайней мере, запуска и завершения регистрационных функций, а также всех событий базового уровня аудита, т.е. в каждой регистрационной записи присутствие даты и времени события, типа события, идентификатора субъекта и результата (успех или неудача) события.

3

Анализ аудита безопасности

Осуществление (с целью выявления вероятных нарушений), по крайней мере, путем накопления и/или объединения неуспешных результатов использования механизмов аутентификации, а также неуспешных результатов выполнения криптографических операций.

4

Просмотр аудита безопасности

Обеспечение и предоставление администратору возможности просмотра (чтения) всей регистрационной информации. Прочим пользователям доступ к регистрационной информации должен быть закрыт, за исключением явно специфицированных случаев.

5

Выбор событий аудита безопасности

Наличие избирательности регистрации событий, основывающейся, по крайней мере, на следующих атрибутах:
идентификатор объекта;
идентификатор субъекта;
адрес узла сети;
тип события;
дата и время события.

6

Хранение данных аудита безопасности

Наличие регистрационной информации о надежности защиты от несанкционированной модификации.

Организация связи

7

Неотказуемость отправления

Предоставление пользователям/субъектам свидетельства идентичности отправителя некоторой информации, чтобы отправитель не смог отрицать факт передачи информации, поскольку свидетельство отправления (например, цифровая подпись) доказывает связь между отправителем и переданной информацией.

8

Неотказуемость получения

Обеспечение невозможности отрицания получателем информации факта ее получения.

Криптографическая поддержка

9

Управление криптографическими ключами

Наличие поддержки:
1) генерации криптографических ключей;
2) распределения криптографических ключей;
3) управления доступом к криптографическим ключам;
4) уничтожения криптографических ключей.

10

Криптографические операции

Наличие для всей информации, передаваемой по доверенному каналу, шифрования и контроля целостности в соответствии с требованиями технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.

Защита данных пользователя

11

Политика управления доступом

Осуществление разграничения доступа для пользователей, прямо или косвенно выполняющих операции с сервисом безопасности.

12

Функции управления доступом

Применение функций разграничения доступа основывается, по крайней мере, на следующих атрибутах безопасности:
идентификаторы субъектов доступа;
идентификаторы объектов доступа;
адреса субъектов доступа;
адреса объектов доступа;
права доступа субъектов.

13

Аутентификация данных

Поддержка гарантии правильности специфического набора данных, который впоследствии используется для верификации того, что содержание информации не было подделано или модифицировано мошенническим путем.

14

Экспорт данных за пределы действия функций безопасности ОИ (далее - ФБО)

Обеспечение при экспорте данных пользователя из OИ защиты и сохранности или игнорирования их атрибутов безопасности.

15

Политика управления информационными потоками

Обеспечение предотвращения раскрытия, модификации и/или недоступности данных пользователя при их передаче между физически разделенными частями сервиса безопасности.

16

Функции управления информационными потоками

Организация и обеспечение контроля доступа к хранилищам данным с целью исключения бесконтрольного распространения информации, содержащейся в них (управление информационными потоками для реализации надежной защиты от раскрытия или модификации в условиях недоверенного ПО).

17

Импорт данных из-за пределов действия ФБО

Наличие механизмов для передачи данных пользователя в OИ таким образом, чтобы эти данные имели требуемые атрибуты безопасности и защиту.

18

Передача в пределах ОИ

Наличие защиты данных пользователя при их передаче между различными частями OИ по внутреннему каналу.

19

Защита остаточной информации

Обеспечение полной защиты остаточной информации, то есть недоступности предыдущего состояния при освобождении ресурса.

20

Откат текущего состояния

Наличие возможности отмены последней операции или ряда операций, ограниченных некоторым пределом (например, периодом времени), и возврат к предшествующему известному состоянию. Откат предоставляет возможность отменить результаты операции или ряда операций, чтобы сохранить целостность данных пользователя.

21

Целостность хранимых данных

Обеспечение защиты данных пользователя во время их хранения в пределах ФБО.

22

Защита конфиденциальности данных пользователя при передаче между ФБО

Обеспечение конфиденциальности данных пользователя при их передаче по внешнему каналу между ОИ и другим доверенным продуктом ИТ. Конфиденциальность осуществляется путем предотвращения несанкционированного раскрытия данных при их передаче между двумя оконечными точками. Оконечными точками могут быть ФБО или пользователь.

23

Защита целостности данных пользователя при передаче между ФБО

обеспечивается целостность данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также возможность их восстановления при обнаруживаемых ошибках.

Идентификация и аутентификация

24

Отказы аутентификации

Наличие возможности при достижении определенного администратором числа неуспешных попыток аутентификации отказать субъекту в доступе, сгенерировать запись регистрационного журнала и сигнализировать администратору о вероятном нарушении безопасности.

25

Определение атрибутов пользователя

Для каждого пользователя необходимо поддерживать, по крайней мере, следующие атрибуты безопасности:
идентификатор;
аутентификационная информация (например, пароль);
права доступа (роль).

26

Спецификация секретов

Если аутентификационная информация обеспечивается криптографическими операциями, поддерживается также открытые и секретные ключи.

27

Аутентификация пользователя

Наличие механизмов аутентификации пользователя, предоставляемых ФБО.

28

Идентификация пользователя

Обеспечение:
1) успешности идентификации и аутентификации каждого пользователя до разрешения любого действия, выполняемого сервисом безопасности от имени этого пользователя;
2) возможностей по предотвращению применения аутентификационных данных, которые были подделаны или скопированы у другого пользователя;
3) аутентификации любого представленного идентификатора пользователя;
4) повторной аутентификации пользователя по истечении определенного администратором интервала времени;
5) предоставления пользователю функций безопасности только со скрытой обратной связью во время выполнения аутентификации.

29

Связывание пользователь-субъект

Следует ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя.

Управление безопасностью

30

Управление отдельными функциями ФБО

Наличие единоличного права администратора на определение режима функционирования, отключения, подключения, модификации режимов идентификаци и аутентификации, управления правами доступа, протоколирования и аудита.

31

Управление атрибутами безопасности

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, создания атрибутов безопасности, правил управления потоками информации. При этом необходимо обеспечить присваивание атрибутам безопасности только безопасных значений.

32

Управление данными ФБО

Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, очистки, определения типов регистрируемых событий, размеров регистрационных журналов, прав доступа субъектов, сроков действия учетных записей субъектов доступа, паролей, криптографических ключей.

33

Отмена атрибутов безопасности

Наличие осуществления отмены атрибутов безопасности в некоторый момент времени. Только у уполномоченных администраторов имеется возможность отмены атрибутов безопасности, ассоциированных с пользователями. Важные для безопасности полномочия отменяются немедленно.

34

Срок действия атрибута безопасности

Обеспечение возможности установления срока действия атрибутов безопасности.

35

Роли управления безопасностью

1) Обеспечение поддержки, по крайней мере, следующих ролей: уполномоченный пользователь, удаленный пользователь, администратор;
2) Обеспечение получения ролей удаленного пользователя и администратора только по запросу.

Защита ФБО

36

Безопасность при сбое

Сохранение сервисом безопасного состояния при аппаратных сбоях (вызванных, например, перебоями электропитания).

37

Доступность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать доступность, всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

38

Конфиденциальность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать конфиденциальность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

39

Целостность экспортируемых данных ФБО

Предоставление сервисом возможности верифицировать целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

40

Передача данных ФБО в пределах ОИ

Сервис предоставляет возможность верифицировать доступность, Предоставление сервисом возможности конфиденциальность и целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены.

41

Физическая защита ФБО

Осуществление физической защиты ФБО.

42

Надежное восстановление

Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно, сервис переходит в режим аварийной поддержки, позволяющей вернуться к безопасному состоянию. После аппаратных сбоев обеспечивается возврат к безопасному состоянию с использованием автоматических процедур.

43

Обнаружение повторного использования

Обеспечение обнаружения сервисом повторного использования аутентификационных данных, отказа в доступе, генеририрования записи регистрационного журнала и сигнализирования администратору о вероятном нарушении безопасности.

44

Посредничество при обращениях

Обеспечение вызова и успешного выполнения функций, осуществляющих политику безопасности сервиса, прежде, чем разрешается выполнение любой другой функции сервиса.

45

Разделение домена

Поддержка отдельного домена для собственного выполнения функций безопасности, который защищает их от вмешательства и искажения недоверенными субъектами.

46

Протокол синхронизации состояний

Обеспечение синхронизации состояний при выполнении идентичных функций на серверах.

47

Метки времени

Предоставление для использования функциями безопасности надежных меток времени.

48

Согласованность данных между ФБО

Обеспечение согласованной интерпретации регистрационной информации, а также параметров используемых криптографических операций.

49

Согласованность данных ФБО при дублировании в пределах ОИ

Обеспечение согласованности данных функций безопасности при дублировании их в различных частях объекта испытаний. Когда части, содержащие дублируемые данные, разъединены, согласованность обеспечивается после восстановления соединения перед обработкой любых запросов к заданным функциям безопасности.

50

Самотестирование ФБО

Для демонстрации правильности работы функций безопасности при запуске, периодически в процессе нормального функционирования и/или по запросу администратора выполнение пакета программ самотестирования. У администратора наличие возможности верифицировать целостность данных и выполняемого кода функций безопасности.

Использование ресурсов

51

Отказоустойчивость

Обеспечение доступности функциональных возможностей объекта испытаний даже в случае сбоев. Примеры таких сбоев: отключение питания, отказ аппаратуры, сбой ПО.

52

Приоритет обслуживания

Обеспечение управления использованием ресурсов пользователями и субъектами в пределах своей области действия так, что высокоприоритетные операции в пределах объекта испытаний всегда будут выполняться без препятствий или задержек со стороны операций с более низким приоритетом.

53

Распределение ресурсов

Обеспечение управления использованием ресурсов пользователями и субъектами таким образом, чтобы не допустить несанкционированные отказы в обслуживании из-за монополизации ресурсов другими пользователями или субъектами.


Доступ к ОИ

54

Ограничение области выбираемых атрибутов

Ограничение как атрибутов безопасности сеанса, которые может выбирать пользователь, так и атрибутов субъектов, с которыми пользователь может быть связан, на основе метода или места доступа, порта, с которого осуществляется доступ, и/или времени (например, времени суток, дня недели).

55

Ограничение на параллельные сеансы

Ограничение максимального числа параллельных сеансов, предоставляемых одному пользователю. У этой величины подразумеваемое значение устанавливается администратором.

56

Блокирование сеанса

Принудительное завершение сеанса работы по истечении установленного администратором значения длительности бездействия пользователя.

57

Предупреждения перед предоставлением доступа к ОИ

Обеспечение возможности еще до идентификации и аутентификации отображения для потенциальных пользователей предупреждающего сообщения относительно характера использования объекта испытаний.

58

История доступа к ОИ

Обеспечение возможности отображения для пользователя, при успешном открытии сеанса, истории неуспешных попыток получить доступ от имени этого пользователя. Эта история может содержать дату, время, средства доступа и порт последнего успешного доступа к объекту испытаний, а также число неуспешных попыток доступа к объекту испытаний после последнего успешного доступа идентифицированного пользователя.

59

Открытие сеанса с ОИ

Обеспечение сервисом способности отказать в открытии сеанса, основываясь на идентификаторе субъекта, пароле субъекта, правах доступа субъекта.

Функции защиты от вредоносного кода

60

Наличие средств антивирусной защиты

Применение для защиты от вредоносного кода средств мониторинга, обнаружения и блокирования или удаления вредоносного кода на серверах и при необходимости, на рабочих станциях объекта испытаний.

61

Лицензии для средств антивирусной защиты

Наличие у средств антивирусной защиты лицензии (приобретенной, ограниченной, свободно распространяемой) на сервера и рабочие станции.

62

Обновление баз сигнатур и программного обеспечения средств антивирусной защиты

Обеспечение регулярного обновления и поддержания в актуальном состоянии средств антивирусной защиты.

63

Управление доступом к средствам антивирусной защиты

Осуществление централизованного управления и конфигурирования средств антивирусной защиты.

64

Управление защитой от вредоносного кода на внешних электронных носителях информации средствами антивирусной защиты

Обеспечение управлением защитой от вредоносного кода на внешних электронных носителях информации проверки и блокировки файлов и при необходимости носителей информации.

Безопасность при обновлении ПО

65

Регулярное обновления ПО

Обеспечение регулярного обновления общесистемного и прикладного ПО серверов и рабочих станций.

66

Обновление ПО в сетевых средах без доступа к серверам обновления в Интернете

Обеспечение обновления ПО в сетевых средах без доступа к серверам обновления в Интернете от специализированного сервера обновлений.

Безопасность при внесении изменений в прикладное ПО

67

Среда разработки и тестирования прикладного ПО

Обеспечение наличия среды для разработки и тестирования прикладного ПО, изолированной от среды промышленной эксплуатации прикладного ПО.

68

Разграничение доступа в средам разработки и тестирования прикладного ПО

Обеспечение управления доступом к средам разработки и тестирования прикладного ПО для программистов и администраторов.

69

Система развертывания прикладного ПО

Наличие системы развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации.

70

Разграничение доступа к системе развертывания прикладного ПО

Обеспечение управления доступом к системе развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации.

  Приложение 2
  к Методике проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры на
соответствие требованиям информационной
безопасности

Перечень функций защиты сетевой инфраструктуры

№ п/п

Наименование функций

Содержание функций

1

2

3

1

Идентификация и аутентификация

Обеспечение безопасности сервисов, предоставляемых сетевой инфраструктурой и предохранения соответствующих данных путем ограничения доступа через соединения к уполномоченному персоналу (внутри или за пределами организации).

2

Отметки аудитов (формирование и наличие отчетов о событиях, связанных с безопасностью сетевых соединений)

Достаточную информацию по следам аудита сбойных ситуаций и действительных событий следует фиксировать, чтобы иметь возможность тщательного критического обзора подозреваемых и действительных происшествий.

3

Обнаружение вторжения

Обеспечение наличия средств, позволяющих прогнозировать вторжения (потенциальные вторжения в сетевую инфраструктуру), выявлять их в реальном масштабе времени и поднимать соответствующую тревогу.

4

Управление сетевой безопасностью

Наличие мер по управлению защитой сетевых ресурсов, обеспечивающих предохранение от несанкционированного доступа ко всем портам дистанционной диагностики (виртуальным или физическим). Наличие шлюзов безопасности для связи между сетями.

5

Межсетевые экраны

Для каждого межсетевого экрана необходимо наличие отдельного документа, определяющего политику (безопасность) доступа к сервисам, и реализацию его для каждого соединения, обеспечивающих гарантию прохождения через это соединение только разрешенного трафика.

6

Защита конфиденциальности целостности данных, передаваемых по сетям

В обстоятельствах, когда важно сохранить конфиденциальность и целостность данных, следует предусматривать криптографические меры защиты, чтобы шифровать информацию, проходящую через сетевые соединения.

7

Неотказуемость от совершенных действий по обмену информацией

В случае, когда требуется представить свидетельство передачи информации по сети, используются следующие защитные меры:
1) протоколы связи, которые дают подтверждение факта отправки документа;
2) протоколы приложения, которые требуют представления исходного адреса или идентификатора и проверки на присутствие данной информации;
3) межсетевые экраны, где проверяются форматы адресов отправителя и получателя на достоверность синтаксиса и согласованность с информацией в соответствующих директориях;
4) протоколы, которые подтверждают факты доставки информации в рамках межсетевых взаимодействий;
5) протоколы, которые включают механизмы, разрешающие устанавливать последовательность информации.

8

Обеспечение непрерывной работы и восстановления

Наличие защитных мер, обеспечивающих продолжение функции бизнеса в случае стихийного бедствия путем обеспечения способности к восстановлению каждой деловой операции в подходящий интервал времени после прерывания.

9

Доверенный канал

1) предоставление для связи с удаленным доверенным продуктом канала, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия;
2) обеспечение у обеих сторон возможности инициировать связь через доверенный канал.

10

Доверенный маршрут

1) предоставление для связи с удаленным пользователем маршрута, который логически отличим от других и обеспечивает надежную аутентификацию его сторон, а также защиту данных от модификации и раскрытия;
2) обеспечение у пользователя возможности инициировать связь через доверенный маршрут;
3) для начальной аутентификации удаленного пользователя и удаленного управления использование доверенного маршрута является обязательным.

  Приложение 3
к Методике проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры, на
соответствие требованиям информационной
безопасности

Перечень процессов обеспечения информационной безопасности и их содержание

№ п/п

Наименование процессов

Требование к содержанию процессов обеспечения ИБ

1

2

3

1

Управление активами, связанными с информационно-коммуникационными технологиями

1. Идентификация активов в соответствии с порядком идентификации активов, определенном в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
2. Классификация информации в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
3. Проверка класса, определенного для объекта испытаний на соответствие требованиям правил классификации объектов информатизации;
4. Маркировка активов в соответствии с принципами маркировки, определенными в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации
5. Закрепление ответственных лиц за идентифицированными активами;
6. Ведение и актуализация реестра активов в соответствии с принятой формой реестра;
7. Определение, документирование и реализация процедур обращения с активами (выдача, использование, хранение, внос/вынос и возврат) в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
8. Паспортизация средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
9. Безопасная организация работ при приеме/отгрузке активов, связанных с информационно-коммуникационными технологиями;
10. Безопасная утилизация (повторное использование) серверного и телекоммуникационного оборудования, систем хранения данных, рабочих станций, носителей информации.

2

Организация информационной безопасности

1. Наличие подразделения информационной безопасности или сотрудника, ответственного за информационную безопасность, обособленного от подразделения информационных технологий, подчиняющегося непосредственно высшему руководству;
2. Функционирование рабочих групп и проведение совещаний по вопросам координации работ и обеспечения информационной безопасности;
3. Разработка (актуализация), утверждение, одобрение руководством технической документации по информационной безопасности, доведение их содержимого до сотрудников и привлекаемых со стороны исполнителей;
4. Поддержание контактов с полномочными органами, профессиональными сообществами, профессиональными ассоциациями или форумами специалистов по информационной безопасности;
5. Определение и документирование процедур обеспечения информационной безопасности, в том числе, при привлечении сторонних организаций;
6. Разработка (пересмотр) соглашения о конфиденциальности или неразглашении, отражающие потребности в защите информации;
7. Определение и включение в соглашения со сторонними организациями требований по информационной безопасности и уровня обслуживания. Контроль за реализации положений соглашения.

3

Безопасность, связанная с персоналом

1. Предварительная проверка кандидатов при приеме на работу;
2. Определение, назначение и отражение в должностных инструкциях и (или) условиях трудового договора сотрудников и привлекаемых со стороны исполнителей ролей, обязанностей и ответственности, связанных с информационной безопасностью в период занятости, изменения или прекращения трудовых отношений и обязательств владельца объекта испытаний;
3. Определение и документирование процедур увольнения сотрудников, имеющих обязательства в области обеспечения информационной безопасности;
4. Определение и регламентирование действий, которые будут предприняты к нарушителям правил информационной безопасности;
5. Извещение сотрудников об изменениях в политиках, правилах и процедурах обеспечения информационной безопасности, затрагивающих исполнение их служебных обязанностей;
6. Осведомленность и исполнение сотрудниками и привлекаемыми со стороны исполнителями об обязанностях и ответственности, связанными с обеспечением информационной безопасности в период занятости, изменения или прекращения трудовых отношений;
7. Обучение и подготовка сотрудников в сфере информационной безопасности;
8. Ответственность руководства за обеспечение возможности выполнения сотрудниками и привлекаемыми со стороны исполнителями обязательств в отношении информационной безопасности.

4

Мониторинг событий ИБ и управление инцидентами ИБ

1. Регистрация действий пользователей, операторов, администратор и событий операционных систем, систем управления базой данных, антивирусного ПО, прикладного ПО, телекоммуникационного оборудования, систем обнаружения и предотвращения атак, системы управления контентом;
2. Ведение, хранение и защита журналов регистрации событий;
3. Осуществление анализа журналов регистрации событий;
4. Мониторинг зарегистрированных событий и оповещение о событиях высокой и критичной степени важности для информационной безопасности;
5. Оценка и принятие решения по событию информационной безопасности;
6. Разработка, документирование, доведение до сведения сотрудников и привлекаемых со стороны исполнителей, выполнение процедур реагирования на инциденты информационной безопасности;
7. Проведение анализа инцидентов информационной безопасности.

5

Управление непрерывностью ИБ

1. Планирование непрерывности информационной безопасности;
2. Идентификация событий, которые являются возможной причиной нарушения непрерывности процесса обеспечения информационной безопасности или бизнес процессов;
3. Разработка (актуализация), внедрение процессов и процедур поддержания необходимого уровня непрерывности информационной безопасности во внештатных (кризисных) ситуациях;
4. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур во внештатных (кризисных ситуациях);
5. Проверка (тестирование), анализ и оценка процессов и процедур обеспечения непрерывности информационной безопасности;
6. Резервирование средств обработки информации, объекта информатизации с учетом требований законодательства.

6

Управление сетевой безопасностью

1. Определение, документирование и доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур управления сетевым оборудованием;
2. Определение и включение в соглашения по обслуживанию сетей и передаче информации механизмов обеспечения безопасности, уровней доступности для всех сетевых услуг и сервисов;
3. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение политик и процедур использования сетей и сетевых услуг, передачи информации, подключения к Интернету, сетям телекоммуникаций и связи и использования беспроводного доступа к сетевым ресурсам;
4. Определение, документирование и выполнение процедур по применению средств защиты информации, передаваемой по сети и электронных сообщений;
5. Структуризация и сегментация сети;
6. Способы подключения и взаимодействия сетей, учитывающие требования законодательства.

7

Криптографические методы защиты

1. Регламентация управления криптографическими ключами, включающая вопросы изготовления, учета, хранения, передачи, использования, возврата (уничтожения), защиты криптографических ключей, учитывающая требования законодательства;
2. Применение криптографических средств при хранении и передаче информации, включая аутентификационные данные.

8

Управление рисками информационной безопасности

1. Выбор методики оценки рисков;
2. Идентификация угроз (рисков) для идентифицированных и классифицированных активов и формирование (актуализация) каталога угроз (рисков) информационной безопасности. Отражение в каталоге угроз (рисков), рисков связанных с процессами обеспечения информационной безопасности;
3. Оценка (переоценка) идентифицированных рисков;
4. Обработка рисков, формирование и утверждение (актуализация) плана обработки рисков;
5. Мониторинг и пересмотр рисков.

9

Управление доступом

1. Разработка (актуализация), документирование, ознакомление пользователей с правилами разграничения прав доступа к информации, функциям прикладных систем, услугам, системному ПО, сетям и сетевым сервисам;
2. Применяемые методы и процедуры идентификации, аутентификации и авторизации пользователей;
3. Реализация правил разграничения прав доступа, установленных в Правилах разграничения прав доступа к электронным информационным ресурсам;
4. Процедуры регистрации и отмены регистрации (блокировки) пользователей;
5. Управление учетными записями с привилегированными правами доступа;
6. Использование и управление криптографическими методами в процедурах аутентификации пользователей;
7. Управление изменениями правами доступа;
8. Управление паролями;
9. Использование привилегированных утилит;
10. Управление доступом к исходному коду объекта испытаний.

10

Физическая безопасность и защита от природных угроз

1. Размещение серверного, телекоммуникационного оборудования, систем хранения данных с учетом требования законодательства;
2. Физическая защита периметра безопасности помещений, в которых размещены активы, связанные с информационно-коммуникационными технологиями;
3. Организация основного и резервного серверных помещений, учитывающая требования законодательства;
4. Оснащение основного и резервных серверных помещений системами обеспечения, учитывающее требования законодательства;
5. Организация контролируемого доступа в серверные помещения;
6. Организация работ в серверном помещении;
7. Организация работ по техническому сопровождению и обслуживанию серверного и телекоммуникационного оборудования, систем хранения данных и систем обеспечения;
8. Способы защиты оборудования от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;
9. Обеспечение безопасности кабельной системы.

11

Эксплуатационные процедуры обеспечения ИБ

1. Разработка (актуализация), документирование, ознакомление пользователей с инструкциями, регламентирующими эксплуатационные процедуры обеспечения информационной безопасности;
2. Применение средств и систем обеспечения информационной безопасности;
3. Процедуры резервного копирования информации и тестирование результатов копирования. Безопасность мест хранения резервных копий;
4. Синхронизация времени журналов регистрации событий с единым источником времени;
5. Процедуры управления изменениями при установке новых версий прикладного и системного ПО в эксплуатируемых системах;
6. Контроль и управление уязвимостями ПО;
7. Ознакомление сотрудников и реализация положений Правил использования мобильных устройств и носителей информации;
8. Разработка (актуализация), ознакомление сотрудников, реализация положений инструкции по организации удаленной работы;
9. Мониторинг работоспособности объекта испытаний;
10. Разделение сред разработки, тестирования и эксплуатации;
11. Обеспечение конфиденциальности при передаче сообщений электронной почты и информации посредством Интернет;
12. Способа предоставления Интернета и взаимодействия с внешними электронными почтовыми системами в соответствии с требованиями законодательства;
13. Ограничения и порядок фильтрации при доступе к ресурсам Интернета.

12

Соответствие законодательным и договорным требованиям

1. Определение (актуализация), документирование законодательных, нормативных, иных обязательных, договорных требований для объекта испытаний;
2. Внедрение процедур, реализующих соответствие законодательным, нормативным и договорным требованиям, связанным с правами на интеллектуальную собственность;
3. Разработка и реализация политик защиты конфиденциальных и персональных данных, соответствующих нормам законодательства;
4. Соответствие применяемых криптографических методов и средств требованиям законодательства и соглашениям (договорам);
5. Проведение аудита информационной безопасности;
6. Проведение анализа объекта испытаний на предмет соответствия требованиям законодательства, стандартов и технической документации по информационной безопасности;
7. Защита записей от потери, повреждения, фальсификации, несанкционированного доступа и несанкционированного выпуска в соответствии с законодательными, нормативными, договорными требованиями.

13

Приобретение, разработка и обслуживание систем

1. Включение (актуализация) требований, связанных с информационной безопасностью и соответствующих действующему законодательству и стандартам в состав технической документации на объект испытаний;
2. Определение и применение безопасных процедур управления изменениями ПО (системного и прикладного) для эксплуатируемых систем;
3. Контроль процесса разработки ПО объекта испытаний, в том числе, осуществляемой сторонней организацией;
4. Контроль процесса технического сопровождения системы, осуществляемого сторонней организацией;
5. Тестирование функций безопасности системы.

  Приложение 2
к приказу Министра
цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ

Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

Глава 1. Общие положения

      1. Настоящие Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и определяют порядок проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      2. В настоящих Правилах используются следующие основные понятия и сокращения:

      1) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      2) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта испытаний;

      3) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      4) исходные коды – исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске;

      5) распределенный объект испытаний – объект испытаний, состоящий из множества, в том числе и неопределенного, множества узлов, построенных по одинаковой архитектуре, предназначенных для одинаковых целей, выполняющих одинаковые функции и использующие одинаковое прикладное программное обеспечение;

      6) интернет-ресурс – электронный информационный ресурс, отображаемый в текстовом, графическом, аудиовизуальном или ином виде, размещаемый на аппаратно-программном комплексе, имеющий уникальный сетевой адрес и (или) доменное имя и функционирующий в Интернете;

      7) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

      8) государственная техническая служба – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

      9) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

      10) сервисный программный продукт – программный продукт, предназначенный для реализации информационно-коммуникационной услуги;

      11) испытательная лаборатория – юридическое лицо или структурное подразделение юридического лица, действующее от его имени, осуществляющее испытания, аккредитованное в соответствии с законодательством о техническом регулировании;

      12) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

      13) информационно-коммуникационная платформа "электронного правительства" – технологическая платформа, предназначенная для реализации сервисной модели информатизации.

      3. Испытания на соответствие требованиям информационной безопасности проводятся в обязательном порядке или по инициативе собственника или владельца.

      4. К объектам испытаний, подлежащим обязательным испытаниям на соответствие требованиям информационной безопасности, относятся:

      1) сервисный программный продукт;

      2) информационно-коммуникационная платформа "электронного правительства";

      3) интернет-ресурс государственного органа;

      4) информационная система государственного органа;

      5) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;

      6) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.

      5. Информационной системе государственного органа и негосударственной информационной системе для использования сервисов Национального удостоверяющего центра Республики Казахстан по проверке подлинности электронной цифровой подписи прохождение испытаний на соответствие требованиям информационной безопасности не требуется.

      6. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.

      Сноска. Пункт 6 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. В состав испытаний объекта испытаний, за исключением сервисного программного продукта и информационно-коммуникационной платформы "электронного правительства" входят следующие виды работ:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание;

      4) обследование сетевой инфраструктуры;

      5) обследование процессов обеспечения ИБ.

      8. В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний устанавливается решением уполномоченного органа в сфере обеспечения информационной безопасности (далее – уполномоченный орган) по запросу заявителя.

      Уполномоченный орган вправе дать поручение поставщику о проверке обоснованности запроса заявителя об исключении анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний в период проведения испытаний по другим видам согласно пункту 7 настоящих Правил.

      9. В испытания сервисного программного продукта входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) нагрузочное испытание.

      10. В испытания информационно-коммуникационной платформы "электронного правительства" входит:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности;

      3) обследование сетевой инфраструктуры;

      4) обследование процессов обеспечения ИБ.

      11. Для однородных распределенных объектов испытаний, испытания проводятся для центрального(ых) узла(ов) и для некоторых (по согласованию с заявителем) отдельных узлов распределенного объекта испытаний в общей количестве составляющих не менее одной десятой части общего количества узлов распределенного объекта испытаний.

      Для центрального(ых) узла(ов) однородного распределенного объекта испытаний испытания проводятся в полном составе видов работ.

      Для узлов однородного распределенного объекта испытаний в состав испытаний входят:

      1) анализ исходных кодов;

      2) испытание функций информационной безопасности.

      12. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      13. Государственная техническая служба проводит испытания объектов информатизации "электронного правительства" на соответствие требованиям информационной безопасности.

      14. Испытания на соответствие требованиям информационной безопасности информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры (за исключением являющихся объектами информатизации "электронного правительства"), и других объектов информатизации, не относящихся к объектам информатизации "электронного правительства" проводятся аккредитованными испытательными лабораториями.

      15. В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое).

Глава 2. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в государственной технической службе

      16. Для проведения испытаний заявителем с сопроводительным письмом подается заявка на бумажном носителе в государственную техническую службу на проведение испытаний (далее – заявка) по форме, согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:

      1) копии документа, удостоверяющего личность (для физических лиц);

      2) заверенные подписью и печатью (при наличии) заявителя:

      копии учредительных документов (при наличии) юридического лица (для юридических лиц);

      копия справки или свидетельства о государственной регистрации юридического лица (для юридических лиц);

      копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

      банковские реквизиты;

      3) анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденный собственником или владельцем объекта испытаний на бумажном носителе;

      4) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации или задание на проектирование информационно-коммуникационной услуги (для сервисного программного продукта) на компакт-диске;

      5) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);

      6) копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде на компакт-диске (при необходимости);

      7) документ, уполномочивающий заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).

      17. В случае, если заявитель осуществляет закупки посредством веб-портала государственных закупок, заявка на проведение испытаний принимается не позднее 1 ноября текущего года.

      18. Государственная техническая служба в течение пяти рабочих дней со дня получения заявки осуществляет проверку полноты документов указанных в пункте 16 настоящих Правил.

      19. В случае несоответствия заявки и приложенных документов в соответствии с требованиями, указанными в пункте 16 настоящих Правил, заявка возвращается заявителю с указанием причин возврата.

      20. При наличии полного пакета документов указанных в пункте 16 настоящих Правил, государственная техническая служба в течение пяти рабочих дней направляет заявителю:

      1) проект технической спецификации к договору на проведение испытаний, если заявитель осуществляет закупки посредством веб-портала государственных закупок. Заявитель в течение трех рабочих дней со дня получения проекта технической спецификации размещает на веб-портале государственных закупок проект договора о государственных закупках способом из одного источника путем прямого заключения договора о государственных закупках;

      2) два экземпляра договора на проведение испытаний, если заявитель осуществляет закупки без применения веб-портала государственных закупок. Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в государственную техническую службу;

      21. Срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик объекта испытаний.

      В случае невозможности согласования сроков проведения испытания, заявка возвращается заявителю без удовлетворения с указанием возможности обратиться в уполномоченный орган для определения сроков испытаний.

      22. Для проведения испытаний заявитель обеспечивает для государственной технической службы:

      1) рабочее место, физический доступ к рабочему месту пользователя, серверному и сетевому оборудованию, сети телекоммуникаций объекта испытаний и к документации на объект испытания и сопутствующей документации, в том числе к договорам на сопровождение и техническую поддержку объекта испытаний и компонентов, входящих в состав объекта испытаний;

      2) демонстрацию функций объекта испытаний, согласно требованиям технической документации.

      23. В случае невозможности обеспечения заявителем требований пункта 22 настоящих Правил, испытания приостанавливаются на время, необходимое Заявителю для их обеспечения с учетом подписания дополнительного соглашения к договору на продление его срока исполнения.

      24. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      25. В случае, если при проведении испытаний выявилось расхождение между данными анкеты-вопросника о характеристиках объекта испытаний, поданной в соответствии с подпунктом 3) пункта 16 настоящих Правил и фактическим состоянием объекта испытаний, заявитель направляет в государственную техническую службу обновленную анкету-вопросник о характеристиках объекта испытаний, утвержденную подписью должностного лица и печатью собственника или владельца объекта испытаний. Обновленная анкета-вопросник о характеристиках объекта испытаний (при необходимости) будет основанием для заключения дополнительного соглашения на продление срока испытаний и изменение стоимости проведения испытаний.

      26. При необходимости, если при проведении испытаний выявится необходимость проведения повторного испытания по одному или по нескольким видам испытаний до окончания срока испытания, заявитель обращается с запросом в государственную техническую службу и заключается дополнительное соглашение о проведении повторного испытания по этим видам работ.

      27. Результаты каждого вида работ, входящих в испытания, и рекомендации по устранению выявленных несоответствий вносятся в отдельный протокол, оформляемый в двух экземплярах, один из которых выдается заявителю.

      28. Цены на проведение государственной технической службой каждого вида работ, входящих в испытания, устанавливаются согласно пункту 2 статьи 14 Закона.

      29. Для расчета стоимости проведения испытаний заявитель направляет в государственную техническую службу анкету-вопросник о характеристиках объекта испытаний, утвержденную собственником или владельцем объекта испытаний.

      30. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня получения протоколов испытаний по проведенным работам и направил в государственную техническую службу запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к настоящим Правилам, государственная техническая служба на безвозмездной основе в течение пятнадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      Сноска. Пункт 30 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      31. При проведении повторных испытаний после исправления несоответствий, связанных с внесением изменений в программное обеспечение объекта испытаний, анализ исходного кода проводится в обязательном порядке, даже если ранее он был выполнен без несоответствий. При этом заявитель к запросу на проведение повторных испытаний прикладывает исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к настоящим Правилам.

      32. В случае выявления несоответствий при проведении повторных испытаний государственная техническая служба оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 2 настоящих Правил.

      33. При утере, порче или повреждении протоколов испытаний собственник или владелец объекта испытаний направляет в государственную техническую службу уведомление с указанием причин.

      Государственная техническая служба в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов испытаний.

Глава 3. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в испытательных лабораториях

      34. Порядок заключения договоров на проведение испытаний в испытательных лабораториях определяется в соответствии с Гражданским кодексом Республики Казахстан.

      35. Для проведения испытаний заявителем направляется заявка на бумажном носителе поставщику на проведение испытаний (далее – заявка) согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:

      1) копии документа, удостоверяющего личность (для физических лиц);

      2) заверенные подписью и печатью (при наличии) заявителя:

      копии учредительных документов (при наличии) юридического лица (для юридических лиц);

      копия справки или свидетельства о государственной регистрации юридического лица (для юридических лиц);

      копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

      банковские реквизиты;

      3) анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденная собственником или владельцем объекта испытаний на бумажном носителе;

      4) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации на компакт-диске (при необходимости);

      5) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);

      6) копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде на компакт-диске (при необходимости);

      7) документ, уполномочивающий заявителя собственником или владельцем подать заявку на проведение испытаний (при необходимости).

      36. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.

      37. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня получения протоколов испытаний по проведенным работам и направил поставщику запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий, поставщик на безвозмездной основе в течение пятнадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

      Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

      38. В случае выявления несоответствий при проведении повторных испытаний поставщик оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 3 настоящих Правил.

      39. При утере, порче или повреждении протоколов испытаний собственник или владелец объекта испытаний направляет поставщику уведомление с указанием причин.

      Поставщик в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов испытаний.

Глава 4. Порядок выдачи акта по результатам испытаний на соответствие требованиям информационной безопасности

      40. Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к настоящим Правилам (далее – акт испытаний) выдается уполномоченным органом.

      Сноска. Пункт 40 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      41. Для получения акта испытаний заявитель направляет в уполномоченный орган заявление по форме согласно приложению 6 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам (далее – анкета-вопросник о характеристиках объекта испытаний), утвержденной владельцем (собственником) объекта испытаний на бумажном носителе либо через веб-портал "электронного правительства".

      Сноска. Пункт 41 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      42. Срок действия протокола по отдельному виду испытания для включения в акт испытаний не превышает одного года с даты выдачи протокола.

      43. На основании полного комплекта протоколов испытаний, определенных пунктами с 7 по 11 настоящих Правил уполномоченный орган в течении десяти рабочих дней принимает одно из следующих решений:

      1) о выдаче акта испытаний;

      2) об отказе в выдаче акта испытаний.

      В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.

      В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.

      Сноска. Пункт 43 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      44. В случае возникновения несогласия заявителя с результатами по протоколам испытаний, срок оказания государственной услуги составляет пятнадцать рабочих дней.

      Для устранения возникших разногласий, уполномоченный орган приглашает для обсуждения представителей заявителя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:

      1) о выдаче акта испытаний;

      2) об отказе выдаче акта испытаний.

      В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.

      В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.

      Сноска. Пункт 44 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      45. Срок действия акта испытаний с положительным результатом ограничивается сроком промышленной эксплуатации объекта испытаний, за исключением информационно-коммуникационной платформы "электронного правительства", или до момента начала модернизации объекта испытаний.

      Акт испытаний информационно-коммуникационной платформы "электронного правительства" выдается со сроком действия один год.

      46. В случае изменения условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет в уполномоченный орган уведомление с приложением описания всех произведенных изменений и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной подписью должностного лица и печатью собственника или владельца объекта испытаний.

      Уполномоченный орган в срок не более пяти рабочих дней принимает решение об отзыве или не отзыве акта испытаний.

      Сноска. Пункт 46 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      47. В случае выявления расхождения фактических характеристик объекта испытаний с характеристиками, указанными в анкете-вопросника о характеристиках объекта испытаний, являющейся неотъемлемой частью акта испытаний, уполномоченный орган вправе принять решение об отзыве акта испытаний.

      Сноска. В пункт 47 внесено изменение на казахском языке, текст на русском языке не изменяется приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      48. При утере, порче или повреждении акта испытаний собственник или владелец объекта испытаний направляет в уполномоченный орган уведомление с указанием причин.

      Уполномоченный орган в течение пяти рабочих дней со дня получения уведомления выдает дубликат акта испытаний.

      49. В случае отзыва акта испытаний, собственник или владелец обязан в трехмесячный срок принять меры для подачи заявки поставщикам о прохождении испытаний в порядке, установленном в главе 2 или 3 настоящих Правил.

      50. Уполномоченный орган отказывает в выдаче акта испытаний по следующим основаниям:

      1) установление расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного в уполномоченный орган с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний;

      2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан.

      Сноска. Правила дополнены пунктом 50 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

  Приложение 1
к Правилам проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры, на
соответствие требованиям информационной
безопасности
  Форма

            _______________________________________________________________
                              (наименование поставщика)
                        Заявка на проведение испытаний

      _______________________________________________________________
                        (наименование объекта испытаний)
      на соответствие требованиям информационной безопасности (далее – испытания)
      1. _____________________________________________________________
      (наименование организации-заявителя, Ф.И.О. (при наличии) заявителя)
____________________________________________________________________
      (почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит провести испытания ____________________________________________
      (наименование объекта испытаний, номер версии, дата разработки)
      в составе следующих видов работ:
      1) ______________________________________________________________
      2) ______________________________________________________________
      3) ______________________________________________________________
      4) ______________________________________________________________
      5) ___________________________________________________________________________
      (перечень видов работ согласно пункта 7 / 8 / 9 / 10 / 11 настоящих Правил
                        (указать нужный пункт))
      2. Сведения о владельце (собственнике) испытываемого объекта испытаний
______________________________________________________________________
                  (наименование или Ф.И.О. (при наличии)
____________________________________________________________________________________
            (область, город, район, почтовый адрес, телефон)
      3. Сведения о разработчике испытываемого объекта испытаний
____________________________________________________________________
      (информация о разработчике, наименование или Ф.И.О. (при наличии) авторов)
____________________________________________________________________
      (область, город, район, почтовый адрес, телефон)
      4. Данные лица, ответственного за связь с поставщиком:
      1) фамилия, имя, отчество: __________________________________________;
      2) должность: _____________________________________________________;
      3) телефон рабочий: _________, телефон сотовый: ______________________;
      4) адрес электронной почты: Е-mail: ______@_______.
Руководитель организации – заявителя/ Ф.И.О. (при наличии),
                        заявителя ______ (подпись, дата)
(место печати) при наличии

  Приложение 2
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

Анкета-вопросник о характеристиках объекта испытаний

      Сноска. Приложение 2 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Наименование объекта испытаний:
_________________________________________________________________
_________________________________________________________________
2. Краткая аннотация на объект испытаний
_________________________________________________________________
      (назначение и область применения)
3. Классификация объекта испытаний:
1) класс прикладного программного обеспечения _________________.
2) схема классификации по форме приложения 2 к Правилам классификации объектов
информатизации, утвержденным Приказом исполняющего обязанности Министра по
инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135
(зарегистрирован в Реестре государственной регистрации нормативных правовых актов
за № 13349).
4. Архитектура объекта испытаний:
1) функциональная схему объекта испытаний(при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;
связей между компонентами или модулями и направления информационных потоков;
точки подключения интеграционного взаимодействия с другими объектами
информатизации;
точки подключения пользователей;
мест и технологий хранения данных;
применяемого резервного оборудования;
разъяснения применяемых терминов и аббревиатур;
2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:
архитектуры и характеристик сети;
серверного сетевого и коммуникационного оборудования;
адресации и применяемых сетевых технологий;
используемых локальных, ведомственных (корпоративных) и глобальных сетей;
решения(й) по обеспечению отказоустойчивости и резервированию.
разъяснения применяемых терминов и аббревиатур;
5. Информация об объекте испытаний:
1) информация о серверном оборудовании (заполнить таблицу):


п/п

Наименование сервера или виртуального ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

1

2

3

4

5

6

7















      2) информация о сетевом оборудовании (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе, порт управления

1

2

3

4

5

6

7















      3) местонахождение серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      4) характеристики резервного серверного оборудования (заполнить таблицу):


п/п

Наименование сервера или виртуально го ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики
сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

Метод резервирования

1

2

3

4

5

6

7

8

















      5) характеристики резервного сетевого оборудования (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе порт управления

Метод резервирования

1

2

3

4

5

6

7

8

















      6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      7) структура корпоративной сети (заполнить таблицу) (при необходимости):

№ п/п

Наименование сегмента сети

IP-адрес сети/маска сети

1

2

3







      8) информация по рабочим станциям администраторов (заполнить таблицу):

№ п/п

Роль администратора

Количество учетных записей администраторов

Наличие доступа к Интернет

Наличие удаленного доступа к оборудованию

IP-адрес рабочей станции администратора

Фактическое местоположение – адрес рабочего места

1

2

3

4

5

6

7















      9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):


п/п

Роль пользователя

Перечень типовых действий пользователя

Адрес точки подключения и протокол подключения пользователей

Максимальное количество пользователей

Максимальное количество, обрабатываемых запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7








      10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые (заполнить таблицу):


п/п

Наименование интеграционной связи (объекта информатизации)

Собственник или владелец интегрируемого объекта

Действующая/планируемая

Наличие модуля интеграции

Адрес точки подключения и протокол подключения

Максимальное количество запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

















      11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование файла

Размер файла, Мбайт

Применяемый язык программирования (при необходимости)

Дата модификации файла

1

2

3

4

5

6

7















      12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование библиотеки/программной платформы/файла

Размер, Мбайт

Язык программирования

Версия библиотеки

1

2

3

4

5

6

7















      6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):


п/п

Наименование документа

Наличие

Количество страниц

Дата утверждения

Стандарт или нормативный документ, в соответствии с которым был разработан документ

1

2

3

4

5

6

1

Политика информационной безопасности;





2

Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;





3

Методика оценки рисков информационной безопасности;





4

Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;





5

Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;





6

Правила проведения внутреннего аудита информационной безопасности;





7

Правила использования средств криптографической защиты информации;





8

Правила разграничения прав доступа к электронным информационным ресурсам;





9

Правила использования Интернет и электронной почты;





10

Правила организации процедуры аутентификации;





11

Правила организации антивирусного контроля;





12

Правила использования мобильных устройств и носителей информации;





13

Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;





14

Регламент резервного копирования и восстановления информации;





15

Руководство администратора по сопровождению объекта информатизации;





16

Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.





      7. Сведения о ранее пройденных видах работ или испытаниях (номер протокола, дата):
_________________________________________________________________
8. Наличие лицензии на испытываемый объект (наличие авторских прав, наличие
соглашения с организацией-разработчиком на предоставление исходного кода)
_________________________________________________________________
_________________________________________________________________
9. Дополнительная информация: ____________________________________
_________________________________________________________________
_________________________________________________________________

  Приложение 3
к Правилам проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем,
отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры, на
соответствие требованиям информационной
безопасности

Перечень технической документации по информационной безопасности

      1. Политика информационной безопасности;

      2. Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;

      3. Методика оценки рисков информационной безопасности;

      4. Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

      5. Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

      6. Правила проведения внутреннего аудита информационной безопасности;

      7. Правила использования средств криптографической защиты информации;

      8. Правила разграничения прав доступа к электронным информационным ресурсам;

      9. Правила использования Интернет и электронной почты;

      10. Правила организации процедуры аутентификации;

      11. Правила организации антивирусного контроля;

      12. Правила использования мобильных устройств и носителей информации;

      13. Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;

      14. Регламент резервного копирования и восстановления информации;

      15. Руководство администратора по сопровождению объекта информатизации;

      16. Инструкция о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

  Приложение 4
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

                  Акт испытаний №___ "_____" ___________ 20__ г.

      Сноска. Приложение 4 в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с Заявкой от "___" ___________20__г. на основании
подпункта 11-1) статьи 7-1 Закона Республики Казахстан "Об информатизации"
Комитет по информационной безопасности Министерства цифрового развития,
инноваций и аэрокосмической промышленности Республики Казахстан выдал
настоящий Акт по результатам проведения испытаний на соответствие требованиям
информационной безопасности о том, что были проведено испытание
_________________________________________________________________
                  (наименование ОИ)
_________________________________________________________________
      (фактическое местоположение серверного и сетевого оборудования)
_________________________________________________________________
            (наименование заявителя объекта испытаний)
_________________________________________________________________
(наименование организации-заявителя/Ф.И.О. (при наличии) заявителя)
на основании следующих протоколов по видам испытаний:
1) Протокол анализа исходных кодов №___ от "___" _________ ___ г.,
наименование поставщика;
2) Протокол испытания функций информационной безопасности №___
от "___" _________ ___ г., наименование поставщика;
3) Протокол нагрузочного испытания №___
от "___" _________ ___ г., наименование поставщика;
4) Протокол обследования сетевой инфраструктуры №___
от "___" _________ ___ г., наименование поставщика;
5) Протокол обследование процессов обеспечения информационной безопасности
№___ от "___" _________ ___ г., наименование поставщика.

                                    Заключение

      На основании проведенных испытаний

      ________________________________________________________________________________
                                          (наименование объекта испытаний)соответствует требованиям информационной безопасности.

      Приложение: Копия анкеты-вопросника о характеристиках объекта испытаний Председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

      ___________ ________________
      (подпись) Ф.И.О. (при наличии)
      "___" ___________ 20 __ г

  Приложение 5
к Правилам проведения испытаний объектов
информатизации "электронного правительства"
и информационных систем, отнесенных к
критически важным объектам информационно-
коммуникационной инфраструктуры, на
соответствие требованиям информационной
безопасности
  Форма

            Акт приема-передачи исходных кодов объекта испытаний
      __________________________________________________________________
                  (наименование объекта испытаний (далее – ОИ))
      __________________________________________________________________
      (наименование организации-заявителя / Ф.И.О. (при наличии) заявителя)
      __________________________________________________________________
                              (наименование поставщика)
                              "_____" ___________ 20__ г.

      Версия передаваемого ПО ___________.
      Количество дисков ________.
      Исходные коды прикладного ПО:

№ п/п

Маркировка диска

Наименование каталога на диске

Наименование файла

Размер файла, Мбайт

Применяемый язык программирования (при необходимости)

Дата модификации файла

1

2

3

4

5

6

7















      Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы):

№ п/п

Маркировка диска

Наименование каталога на диске

Наименование библиотеки/ программной платформы /файла

Размер, Мбайт

Язык программирования

Версия библиотеки

1

2

3

4

5

6

7
















Передал:

Принял:

_____________________________ (должность) _____________________________ (подпись)(Ф.И.О. (при наличии)
"_____" ______________20____ г.

_____________________________
(должность)
_____________________________ (подпись)(Ф.И.О. (при наличии)
"____" _____________20____ г.

  Приложение 6
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма
  Кому _________________________
(наименование уполномоченного органа)

                                    ЗАЯВЛЕНИЕ
                              на получение акта испытаний

      Сноска. Правила дополнены приложением 6 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 05.12.2019 № 336/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      _________________________________________________________________
            (наименование, БИН/ИИН*, Ф.И.О. (при его наличии)
заявителя)_________________________________________________________________
            (почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит выдать акт по результатам испытаний ______________________________________
                                          (наименование объекта испытаний)
на соответствие требованиям информационной безопасности.
Прилагаемые документы:
1. анкета-вопросник о характеристиках объекта испытаний, утвержденный владельцем
(собственником) объекта испытаний;
2. протокол анализа исходных кодов (номер, дата, наименование поставщика);
3. протокол испытаний функций информационной безопасности (номер, дата, наименование
поставщика);
4. протокол нагрузочного испытания (номер, дата, наименование поставщика);
5. протокол обследования сетевой инфраструктуры (номер, дата, наименование поставщика);
6. протокол обследования процессов обеспечения информационной безопасности (номер,
дата, наименование поставщика).
Согласен на использование персональных данных ограниченного доступа, составляющих
охраняемую законом тайну, содержащихся в информационных системах.
__________________________
(подпись) М.П. (при наличии)
"___" __________ 20 ___ года
*бизнес-идентификационный номер/индивидуальный идентификационный номер