В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" и подпунктом 1) статьи 10 Закона Республики Казахстан от 15 апреля 2013 года "О государственных услугах" ПРИКАЗЫВАЮ:
Сноска. Преамбула - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 № 121/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).1. Утвердить:
1) Методику проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;
2) Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.
2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ "Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).
3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения "Институт законодательства и правовой информации Республики Казахстан" Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Министр цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан |
А. Жумагалиев |
"СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
"___" ____________2019 года
Приложение 1 к приказу Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ |
Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности
Глава 1. Общие положения
Примечание ИЗПИ!
Пункт 1 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
1. Настоящая Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации".
Примечание ИЗПИ!Пункт 2 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
2. В настоящей Методике используются следующие основные понятия и сокращения:
1) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;
2) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;
3) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;
4) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;
5) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;
6) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;
7) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;
8) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации.
Сноска. Пункт 2 с изменениями, внесенными приказами Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 № 121/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 28.09.2020 № 356/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).3. Проведение испытания включает:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание;
4) обследование сетевой инфраструктуры;
5) обследование процессов обеспечения информационной безопасности.
Глава 2. Анализ исходных кодов
4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения (далее – ПО).
5. Анализ исходных кодов проводится для ПО, перечисленного в таблице подпункта 11) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).
6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.
7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
8. Анализ исходных кодов включает:
1) выявление недостатков ПО;
2) фиксацию результатов анализа исходного кода.
9. Выявление недостатков ПО осуществляется в следующем порядке:
1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры (далее – ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);
2) запускается программное средство, предназначенное для выявления недостатков ПО;
3) проводится анализ программных отчетов на наличие ложных срабатываний;
4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).
10. Объем работ по анализу исходного кода определяется размером исходного кода.
Примечание ИЗПИ!Пункт 11 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
11. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ поставщика, в протоколе анализа исходных кодов (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к Правилам.
Протокол анализа исходных кодов с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.
12. По окончанию анализа исходных кодов, при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив поставщика.
13. Поставщик обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.
Глава 3. Испытание функций информационной безопасности
14. Оценка функций объектов информатизации на соответствие требованиям информационной безопасности (далее – испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.
15. Испытание функций информационной безопасности включает:
1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);
2) фиксацию результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).
16. Перечень функций информационной безопасности приведен в приложении 1 к Методике.
17. Испытание функций информационной безопасности проводятся в разрезе серверов и виртуальных ресурсов, перечисленных в таблицах подпункта 1) и подпункта 4) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.
Примечание ИЗПИ!Пункт 18 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
18. Результаты испытаний функций информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе испытаний функций информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.
Протокол испытаний функций информационной безопасности с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.
Глава 4. Нагрузочное испытание
19. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.
20. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.
21. Параметры нагрузочного испытания предоставляются заявителем таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.
При проведении нагрузочного испытания выявляется параметры фактической нагрузочной способности объекта испытаний.
22. Нагрузочное испытание осуществляется в следующем порядке:
1) проводится подготовка к испытанию;
2) проводится испытание;
3) фиксируются результаты испытания.
23. Подготовка к испытанию включает:
1) определение сценария испытания;
2) определение временных и количественных характеристик испытания;
3) согласование времени проведения испытания c заказчиком.
24. Проведение испытания включает:
1) настройка конфигурации и сценария испытания в специализированное программное средство;
2) запуск специализированного программного средства;
3) регистрация нагрузки на объект испытаний;
4) формирование и выдача отчета нагрузочного испытания с указанием рекомендаций по увеличению или снижению реальной пропускной способности объекта испытаний.
25. Работы по проведению нагрузочного тестирования проводятся для одного объекта испытаний по количеству вариантов точек подключений пользователей и вариантов точек подключения интеграционного взаимодействия объекта испытаний, указанных в таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.
Примечание ИЗПИ!Пункт 26 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
26. Результаты нагрузочного испытания фиксируются ответственным исполнителем данного вида работ поставщика в протоколе нагрузочного испытания (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.
Протокол нагрузочного испытания с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.
Глава 5. Обследование сетевой инфраструктуры
27. Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры.
28. Обследование сетевой инфраструктуры включает:
1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;
2) обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств (при необходимости);
3) сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков;
4) фиксацию полученных результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).
29. Перечень функций защиты сетевой инфраструктуры приведен в приложении 2 к настоящей Методике.
30. Работы по обследованию сетевой инфраструктуры, проводятся для каждого сегмента сети (подсети) объекта испытаний, указанного в таблице подпункта 7) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.
Примечание ИЗПИ!Пункт 31 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
31. Результаты обследования сетевой инфраструктуры фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования сетевой инфраструктуры (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.
Протокол обследования сетевой инфраструктуры с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.
Глава 6. Обследование процессов обеспечения информационной безопасности
32. Обследование процессов обеспечения информационной безопасности осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности.
33. Обследование процессов обеспечения информационной безопасности включает:
1) оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;
2) фиксацию результатов оценки испытания с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости);
3) сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей;
4) анализ выявленных уязвимостей на наличие ложного срабатывания и формирование рекомендаций по их устранению в зависимости от степени их критичности (при необходимости).
Сноска. Пункт 33 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 № 121/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).34. Перечень процессов обеспечения информационной безопасности и их содержание приведено в приложении 3 к Методике.
35. Работы по обследованию процессов обеспечения информационной безопасности проводятся для объекта испытания.
Примечание ИЗПИ!Пункт 36 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
36. Результаты обследования процессов обеспечения информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования процессов обеспечения информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.
Протокол обследования процессов обеспечения информационной безопасности с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.
Результаты анализа выявленных уязвимостей не включаются в Протокол обследования процессов обеспечения информационной безопасности и передаются Заявителю в форме рекомендаций.
Перечень функций информационной безопасности
Перечень функций защиты сетевой инфраструктуры
Перечень процессов обеспечения информационной безопасности и их содержание
Приложение 2 к приказу Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ |
Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности
Сноска. Правила - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 № 121/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Глава 1. Общие положения
Примечание ИЗПИ!
Пункт 1 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
1. Настоящие Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" (далее – Закон) и подпунктом 1) статьи 10 Закона Республики Казахстан от 15 апреля 2013 года "О государственных услугах" (далее – Закон "О государственных услугах") и определяют порядок проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.
Примечание ИЗПИ!Пункт 2 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
2. В настоящих Правилах используются следующие основные понятия и сокращения:
1) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
2) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта испытаний;
3) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;
4) исходные коды – исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске;
5) распределенный объект испытаний – объект испытаний, состоящий из множества, в том числе и неопределенного, множества узлов, построенных по одинаковой архитектуре, предназначенных для одинаковых целей, выполняющих одинаковые функции и использующие одинаковое прикладное программное обеспечение;
6) интернет-ресурс – информация (в текстовом, графическом, аудиовизуальном или ином виде), размещенная на аппаратно-программном комплексе, имеющем уникальный сетевой адрес и (или) доменное имя и функционирующем в Интернете;
7) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;
8) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;
9) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;
10) сервисный программный продукт – программный продукт, предназначенный для реализации информационно-коммуникационной услуги;
11) испытательная лаборатория – юридическое лицо или структурное подразделение юридического лица, действующее от его имени, осуществляющее испытания, аккредитованное в соответствии с законодательством о техническом регулировании;
12) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;
13) информационно-коммуникационная платформа "электронного правительства" – технологическая платформа, предназначенная для автоматизации деятельности государственного органа, в том числе автоматизации государственных функций и оказания вытекающих из них государственных услуг;
14) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации.
Сноска. Пункт 2 с изменением, внесенным приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 28.09.2020 № 356/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).3. Испытания на соответствие требованиям информационной безопасности проводятся в обязательном порядке или по инициативе собственника или владельца.
Примечание ИЗПИ!Пункт 4 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
4. К объектам испытаний, подлежащим обязательным испытаниям на соответствие требованиям информационной безопасности, относятся:
1) сервисный программный продукт;
2) информационно-коммуникационная платформа "электронного правительства";
3) интернет-ресурс государственного органа;
4) информационная система государственного органа;
5) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;
6) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.
5. Информационной системе государственного органа и негосударственной информационной системе для использования сервисов Национального удостоверяющего центра Республики Казахстан по проверке подлинности электронной цифровой подписи прохождение испытаний на соответствие требованиям информационной безопасности не требуется.
6. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.
Примечание ИЗПИ!Пункт 7 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
7. В состав испытаний объекта испытаний, за исключением сервисного программного продукта и информационно-коммуникационной платформы "электронного правительства" входят следующие виды работ:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание;
4) обследование сетевой инфраструктуры;
5) обследование процессов обеспечения ИБ.
8. В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний устанавливается решением Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – Комитет) по запросу заявителя.
Комитет направляет запрос поставщику о проверке обоснованности запроса заявителя об исключении анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний в период проведения испытаний по другим видам согласно пункту 7 настоящих Правил.
Примечание ИЗПИ!Пункт 9 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
9. В испытания сервисного программного продукта входит:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание.
10. В испытания информационно-коммуникационной платформы "электронного правительства" входит:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) обследование сетевой инфраструктуры;
4) обследование процессов обеспечения ИБ.
11. Для однородных распределенных объектов испытаний, испытания проводятся для центрального(ых) узла(ов) и для некоторых (по согласованию с заявителем) отдельных узлов распределенного объекта испытаний в общей количестве составляющих не менее одной десятой части общего количества узлов распределенного объекта испытаний.
Для центрального(ых) узла(ов) однородного распределенного объекта испытаний испытания проводятся в полном составе видов работ.
Для узлов однородного распределенного объекта испытаний в состав испытаний входят:
1) анализ исходных кодов;
2) испытание функций информационной безопасности.
12. Государственная техническая служба проводит испытания объектов информатизации "электронного правительства" на соответствие требованиям информационной безопасности.
13. Испытания на соответствие требованиям информационной безопасности информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры (за исключением являющихся объектами информатизации "электронного правительства"), и других объектов информатизации, не относящихся к объектам информатизации "электронного правительства" проводятся аккредитованными испытательными лабораториями.
14. В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое).
Глава 2. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в государственной технической службе
Примечание ИЗПИ!
Пункт 15 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
15. Для проведения испытаний заявителем с сопроводительным письмом подается заявка на проведение испытаний (далее – заявка) на бумажном носителе в государственную техническую по форме, согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:
1) копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);"
2) анкета-вопросник о характеристиках объекта испытаний о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденный собственником или владельцем объекта испытаний на бумажном носителе;
3) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации или задание на проектирование информационно-коммуникационной услуги (для сервисного программного продукта) на компакт-диске;
4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);
5) копии утвержденного перечня технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде на компакт-диске (при необходимости);
6) документ, уполномочивающий заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).
16. В случае, если заявитель осуществляет закупки посредством веб-портала государственных закупок, заявка на проведение испытаний принимается не позднее 1 ноября текущего года.
17. Государственная техническая служба в течение трех рабочих дней со дня получения заявки осуществляет проверку полноты документов указанных в пункте 15 настоящих Правил.
18. В случае несоответствия заявки и приложенных документов в соответствии с требованиями, указанными в пункте 15 настоящих Правил, заявка возвращается заявителю с указанием причин возврата.
Примечание ИЗПИ!Пункт 19 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
19. При наличии полного пакета документов указанных в пункте 15 настоящих Правил, государственная техническая служба в течение трех рабочих дней направляет заявителю:
1) проект технической спецификации к договору на проведение испытаний, если заявитель осуществляет закупки посредством веб-портала государственных закупок. Заявитель в течение трех рабочих дней со дня получения проекта технической спецификации размещает на веб-портале государственных закупок проект договора о государственных закупках способом из одного источника путем прямого заключения договора о государственных закупках;
2) два экземпляра договора на проведение испытаний, если заявитель осуществляет закупки без применения веб-портала государственных закупок. Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в государственную техническую службу;
20. В случае, если заявитель осуществляет закупку посредством веб-портала государственных закупок, и в срок до 15 ноября не направил в адрес государственной технической службы договор о государственных закупках посредством веб-портала государственных закупок, заявка аннулируется и возвращается заявителю.
21. Срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик объекта испытаний.
В случае невозможности согласования сроков проведения испытания, заявка возвращается заявителю без удовлетворения с указанием возможности обратиться в Комитет для определения сроков испытаний.
Примечание ИЗПИ!Пункт 22 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
22. Для проведения испытаний заявитель обеспечивает для государственной технической службы:
1) рабочее место, физический доступ к рабочему месту пользователя, серверному и сетевому оборудованию, сети телекоммуникаций объекта испытаний и к документации на объект испытания и сопутствующей документации, в том числе к договорам на сопровождение и техническую поддержку объекта испытаний и компонентов, входящих в состав объекта испытаний;
2) демонстрацию функций объекта испытаний, согласно требованиям технической документации.
23. В случае невозможности обеспечения заявителем требований пункта 22 настоящих Правил, испытания приостанавливаются на время, необходимое Заявителю для их обеспечения с учетом подписания дополнительного соглашения к договору на продление его срока исполнения.
24. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.
Примечание ИЗПИ!Пункт 25 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
25. В случае, если при проведении испытаний выявилось расхождение между данными анкеты-вопросника о характеристиках объекта испытаний, поданной в соответствии с подпунктом 3) пункта 15 настоящих Правил и фактическим состоянием объекта испытаний, заявитель направляет в государственную техническую службу обновленную анкету-вопросник о характеристиках объекта испытаний, утвержденную подписью должностного лица и печатью собственника или владельца объекта испытаний. Обновленная анкета-вопросник о характеристиках объекта испытаний (при необходимости) будет основанием для заключения дополнительного соглашения на продление срока испытаний и изменение стоимости проведения испытаний.
26. При необходимости, если при проведении испытаний выявится необходимость проведения повторного испытания по одному или по нескольким видам испытаний до окончания срока испытания, заявитель обращается с запросом в государственную техническую службу и заключается дополнительное соглашение о проведении повторного испытания по этим видам работ.
Примечание ИЗПИ!Пункт 27 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
27. Результаты каждого вида работ, входящих в испытания, и рекомендации по устранению выявленных несоответствий вносятся в отдельный протокол, оформляемый в двух экземплярах, один из которых выдается заявителю.
28. Цены на проведение государственной технической службой каждого вида работ, входящих в испытания, устанавливаются согласно пункту 2 статьи 14 Закона.
Примечание ИЗПИ!Пункт 29 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
29. Для расчета стоимости проведения испытаний заявитель направляет в государственную техническую службу анкету-вопросник о характеристиках объекта испытаний, утвержденную собственником или владельцем объекта испытаний.
Примечание ИЗПИ!Пункт 30 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023)
30. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня получения протоколов испытаний по проведенным работам и направил в государственную техническую службу запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к настоящим Правилам, государственная техническая служба на безвозмездной основе в течение пятнадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.
Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.
Примечание ИЗПИ!Пункт 31 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023)
31. При проведении повторных испытаний после исправления несоответствий, связанных с внесением изменений в программное обеспечение объекта испытаний, анализ исходного кода проводится в обязательном порядке, даже если ранее он был выполнен без несоответствий. При этом заявитель к запросу на проведение повторных испытаний прикладывает исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний на компакт-диске и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к настоящим Правилам.
32. В случае выявления несоответствий при проведении повторных испытаний государственная техническая служба оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 2 настоящих Правил.
Примечание ИЗПИ!Пункт 33 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023)
33. При утере, порче или повреждении протоколов испытаний, а так же в случае изменения данных в анкете-вопроснике о характеристиках объекта испытаний, при проведении испытаний по одному или нескольким видам работ для объектов испытаний ранее получивших протокола с отрицательным результатом, собственник или владелец объекта испытаний направляет в государственную техническую службу уведомление с указанием причин.
Государственная техническая служба в течение пяти рабочих дней со дня получения уведомления выдает дубликат ранее выданного(ых) протокола(ов) испытаний либо дубликат протокола(ов) испытаний с актуализированной анкетой-вопросником о характеристиках объекта испытаний.
Глава 3. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в испытательных лабораториях
34. Порядок заключения договоров на проведение испытаний в испытательных лабораториях определяется в соответствии с Гражданским кодексом Республики Казахстан.
35. Для проведения испытаний заявителем направляется заявка на бумажном носителе поставщику согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:
1) копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);
2) анкета-вопросник о характеристиках объекта испытаний о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденный собственником или владельцем объекта испытаний на бумажном носителе;
3) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации на компакт-диске (при необходимости);
4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);
5) копии утвержденного перечня технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде на компакт-диске (при необходимости);
6) документ, уполномочивающий заявителя собственником или владельцем подать заявку на проведение испытаний (при необходимости).
36. Испытания проводятся согласно Методике проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.
37. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня получения протоколов испытаний по проведенным работам и направил поставщику запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий, поставщик на безвозмездной основе в течение пятнадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.
Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.
38. В случае выявления несоответствий при проведении повторных испытаний поставщик оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 3 настоящих Правил.
39. При утере, порче или повреждении протоколов испытаний собственник или владелец объекта испытаний направляет поставщику уведомление с указанием причин.
Поставщик в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов испытаний.
Глава 4. Порядок выдачи акта по результатам испытаний на соответствие требованиям информационной безопасности
Примечание ИЗПИ!
Пункт 40 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
40. Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к настоящим Правилам (далее – акт испытаний) выдается Комитетом (далее - услогодатель).
"Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности" является государственной услугой (далее – государственная услуга).
Перечень основных требований к оказанию государственной услуги, включающий характеристики процесса, форму, содержание и результат оказания, а также иные сведения с учетом особенностей предоставления государственной услуги изложены в стандарте государственной услуги, согласно приложению 6 к настоящим Правилам.
Примечание ИЗПИ!Пункт 41 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
41. Перечень документов необходимых для оказания государственной услуги:
1) при обращении к услугодателю (либо его представителя по доверенности):
при испытаниях объекта испытаний, за исключением сервисного программного продукта и информационно-коммуникационной платформы "электронного правительства":
заявление на получение акта испытаний (далее – заявление) по форме согласно приложению 7 к Правилам;
протокол анализа исходных кодов;
протокол испытаний функций информационной безопасности;
протокол нагрузочного испытания;
протокол обследования сетевой инфраструктуры;
протокол обследования процессов обеспечения информационной безопасности;
анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
При испытаниях сервисного программного продукта:
заявление по форме согласно приложению 7 к Правилам;
протокол анализа исходных кодов;
протокол испытаний функций информационной безопасности;
протокол нагрузочного испытания;
анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
При испытаниях информационно-коммуникационной платформы "электронного правительства":
заявление по форме согласно приложению 7 к Правилам;
протокол анализа исходных кодов;
протокол испытаний функций информационной безопасности;
протокол обследования сетевой инфраструктуры;
протокол обследования процессов обеспечения информационной безопасности;
анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
При испытаниях узлов однородного распределенного объекта испытаний:
заявление по форме согласно приложению 7 к Правилам;
протокол анализа исходных кодов;
протокол испытаний функций информационной безопасности;
анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
2) на портал:
при испытаниях объекта испытаний, за исключением сервисного программного продукта и информационно-коммуникационной платформы "электронного правительства":
заявление по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов;
электронная копия протокола испытаний функций информационной безопасности;
электронная копия протокола нагрузочного испытания;
электронная копия протокола обследования сетевой инфраструктуры;
электронная копия протокола обследования процессов обеспечения информационной безопасности;
электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
При испытаниях сервисного программного продукта:
заявление по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов;
электронная копия протокола испытаний функций информационной безопасности;
электронная копия протокола нагрузочного испытания;
электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
При испытаниях информационно-коммуникационной платформы "электронного правительства":
заявление по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов;
электронная копия протокола испытаний функций информационной безопасности;
электронная копия протокола обследования сетевой инфраструктуры;
электронная копия протокола обследования процессов обеспечения информационной безопасности;
электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
При испытаниях узлов однородного распределенного объекта испытаний:
заявление по форме согласно приложению 7 к Правилам;
электронная копия протокола анализа исходных кодов;
электронная копия протокола испытаний функций информационной безопасности;
электронная копия анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний.
Примечание ИЗПИ!Пункт 42 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
42. Для получения акта испытаний заявитель (далее - услугополучатель) направляет услугодателю в бумажной форме либо через веб-портал "электронного правительства" (далее – портал) заявление по форме согласно приложению 7 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденной собственником или владельцем объекта испытаний.
При сдаче услугополучателем всех необходимых документов услугодателю подтверждением принятия заявления на бумажном носителе является отметка на его копии с указанием даты его получения, фамилии, имени, отчества (при наличии) сотрудника канцелярии услугодателя и времени приема пакета документов.
В случае обращения через портал – в "личном кабинете" услугополучателя отображается статус о принятии запроса для оказания государственной услуги с указанием даты получения результата государственной услуги.
Услугодатель в день поступления заявления осуществляет их прием и регистрацию (при обращении заявителя после окончания рабочего времени, в выходные или праздничные дни согласно трудовому законодательству Республики Казахстан, прием заявлений осуществляется следующим рабочим днем).
Услугодатель в течение двух рабочих дней с момента получения документов проверяет полноту представленных документов.
В случае установления факта неполноты представленных документов и (или) документов с истекшим сроком действия услугодатель в указанные сроки дает мотивированный отказ в дальнейшем рассмотрении заявления.
При этом срок действия протокола по отдельному виду испытания для включения в акт испытаний не превышает одного года с даты выдачи протокола.
Сведения о документах, удостоверяющих личность, свидетельство о государственной регистрации (перерегистрация) юридического лица, услугодатель получает из соответствующих государственных информационных систем через шлюз "электронного правительства".
Заявления, поступившие в бумажной форме, в день их регистрации вносятся услугодателем в информационную систему Государственная база данных Е-лицензирование.
Примечание ИЗПИ!Пункт 43 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
43. При положительных результатах протоколов испытаний заявление рассматривается в течение десяти рабочих дней со дня его регистрации. На основании полного комплекта протоколов испытаний, определенных пунктами с 7-11 настоящих Правил услугодатель в течение семи рабочих дней изучает протокола испытаний и устанавливает расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний.
По итогам изучения протоколов испытаний и установления расхождения в данных анкеты-вопросника о характеристиках объекта испытаний услугодатель в течение одного рабочего дня принимает одно из следующих решений:
1) о выдаче акта испытаний;
2) об отказе в выдаче акта испытаний.
В случае принятия положительного решения о выдаче акта испытаний:
при подаче заявления в бумажной форме, услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний в бумажной форме, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний;
при подаче заявления через портал, услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний в "личный кабинет" в форме электронного документа, подписанного электронной цифровой подписью (далее – ЭЦП) уполномоченного лица услугодателя.
В случае принятия решения об отказе в выдаче акта испытаний:
при подаче заявления в бумажной форме, услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в бумажной форме;
при подаче заявления через портал, услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в "личный кабинет" в форме электронного документа, подписанного электронной цифровой подписью (далее – ЭЦП) уполномоченного лица услугодателя";
Примечание ИЗПИ!Пункт 44 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
44. При отрицательных результатах одного или нескольких протоколов испытаний заявление рассматривается в течение пятнадцати рабочих дней со дня его регистрации.
На основании полного комплекта протоколов испытаний, определенных с пунктами 7-11 настоящих Правил услугодатель в течение восьми рабочих дней изучает протокола испытаний и устанавливает расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний.
Для устранения возникших разногласий, услугодатель в течение пяти рабочих дней приглашает для обсуждения представителей услугополучателя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:
1) о выдаче акта испытаний;
2) об отказе выдаче акта испытаний.
В случае принятия положительного решения о выдаче акта испытаний:
при подаче заявления в бумажной форме, услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний в бумажной форме, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний;
при подаче заявления через портал, услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний в "личный кабинет" в форме электронного документа, подписанного электронной цифровой подписью (далее – ЭЦП) уполномоченного лица услугодателя.
В случае принятия решения об отказе в выдаче акта испытаний:
при подаче заявления в бумажной форме, услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в бумажной форме;
при подаче заявления через портал, услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в "личный кабинет" в форме электронного документа, подписанного электронной цифровой подписью (далее – ЭЦП) уполномоченного лица услугодателя";
45. В случае сбоя информационной системы, содержащей необходимые сведения для оказания государственной услуги, услугодатель незамедлительно с момента обнаружения возникновения технических сбоев уведомляет оператора информационно-коммуникационной инфраструктуры "электронного правительства" посредством направления запроса в единую службу поддержки по электронной почте sd@nitec.kz с обязательным предоставлением информации по наименованию государственной услуги, номера и кода административного документа заявления или уникальный идентификационный номер заявления, номера и кода административного документа, или уникальный идентификационный номер разрешительного документа, индивидуальный идентификационный номер/бизнес идентификационный номер услугополучателя, с приложением пошаговых скриншотов с момента авторизации до момента возникновения ошибки с указанием точного времени ошибки.
Примечание ИЗПИ!Пункт 46 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
46. При утере, порче или повреждении акта (актов) испытаний, выданного (выданных) в бумажной форме собственник или владелец объекта испытаний направляет услугодателю заявление на получение дубликата акта испытаний с указанием причин.
В случае поступления заявления на выдачу дубликата услугодатель в день поступления заявления прикрепляя электронные копии ранее полученных документов оформляет его через портал и в течение пяти рабочих дней со дня получения заявления направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний в бумажной форме."
47. Срок действия акта испытаний ограничивается сроком промышленной эксплуатации объекта испытаний, за исключением информационно-коммуникационной платформы "электронного правительства", или до момента начала модернизации объекта испытаний.
Акт испытаний информационно-коммуникационной платформы "электронного правительства" выдается со сроком действия один год.
Примечание ИЗПИ!Пункт 48 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
48. В случае изменения условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет услугодателю уведомление с приложением описания всех произведенных изменений и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной собственником или владельцем объекта испытаний.
Услугодатель в срок не более пяти рабочих дней принимает решение об отзыве акта испытаний.
Примечание ИЗПИ!Пункт 49 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
49. В случае выявления расхождения фактических характеристик объекта испытаний с характеристиками, указанными в анкете-вопросника о характеристиках объекта испытаний, являющейся неотъемлемой частью акта испытаний, услугодатель принимает решение об отзыве акта испытаний.
Примечание ИЗПИ!Пункт 50 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
50. В случае отзыва акта испытаний, собственник или владелец обязан в трехмесячный срок принять меры для подачи заявки поставщикам о прохождении испытаний в порядке, установленном в главе 2 или 3 настоящих Правил.
51. Услугодатель отказывает в выдаче акта испытаний по следующим основаниям:
1) установление расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний;
2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан.
52. Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности осуществляется для центральных государственных органов местных исполнительных органов областей, городов республиканского значения, столицы, районов, городов областного значения, акимов районов в городе, городов районного значения, поселков, сел, сельских округов в порядке, предусмотренном настоящей главой.
Примечание ИЗПИ!Пункт 53 предусмотрен в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
53. Жалоба на решение, действий (бездействия) услугодателя по вопросам оказания государственных услуг может быть подана на имя руководителя услугодателя, в уполномоченный орган по оценке и контролю за качеством оказания государственных услуг, в соответствии с законодательством Республики Казахстан.
Жалоба услугополучателя, поступившая в адрес услугодателя, в соответствии с пунктом 2 статьи 25 Закона "О государственных услугах", подлежит рассмотрению в течение 5 (пяти) рабочих дней со дня ее регистрации.
Жалоба услугополучателя, поступившая в адрес уполномоченного органа по оценке и контролю за качеством оказания государственных услуг, подлежит рассмотрению в течение 15 (пятнадцати) рабочих дней со дня ее регистрации.
В случаях несогласия с результатами оказания государственной услуги услугополучатель обращается в суд в установленном законодательством Республики Казахстан порядке.
_______________________________________________________________
(наименование поставщика)
Заявка на проведение испытаний
____________________________________________________________________
(наименование объекта испытаний)
на соответствие требованиям информационной безопасности (далее – испытания)
1. ________________________________________________________________________
(наименование организации-заявителя, Ф.И.О. (при наличии),
бизнес-идентификационный номер, банковские реквизиты заявителя)
________________________________________________________________________________
(почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит провести испытания ______________________________________________________
(наименование объекта испытаний, номер версии, дата разработки)
в составе следующих видов работ:
1) __________________________________________________________________
2) __________________________________________________________________
3) __________________________________________________________________
4) __________________________________________________________________
5) __________________________________________________________________
(перечень видов работ согласно пункта 7 / 8 / 9 / 10 / 11 настоящих Правил
(указать нужный пункт))
2. Сведения о владельце (собственнике) испытываемого объекта испытаний
____________________________________________________________________
(наименование или Ф.И.О. (при наличии)
____________________________________________________________________
____________________________________________________________________
(область, город, район, почтовый адрес, телефон)
3. Сведения о разработчике испытываемого объекта испытаний
____________________________________________________________________
(информация о разработчике, наименование или Ф.И.О. (при наличии) авторов)
____________________________________________________________________
(область, город, район, почтовый адрес, телефон)
4. Данные лица, ответственного за связь с поставщиком:
1) фамилия, имя, отчество: _________________________________________________;
2) должность: ____________________________________________________________
3) телефон рабочий: ___________, телефон сотовый: ___________________________;
4) адрес электронной почты: Е-mail: ____________________________@_________.
Руководитель организации – заявителя/ Ф.И.О. (при наличии),
заявителя ______ (подпись, дата)
(место печати) при наличии
Анкета-вопросник о характеристиках объекта испытаний
1. Наименование объекта испытаний: _____________________________________
____________________________________________________________________
2. Краткая аннотация на объект испытаний ________________________________
____________________________________________________________________
(назначение и область применения)
3. Классификация объекта испытаний:
1) класс прикладного программного обеспечения ________________________.
2) схема классификации по форме приложения 2 к Правилам классификации объектов
информатизации, утвержденным Приказом исполняющего обязанности Министра по
инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135
(зарегистрирован в Реестре государственной регистрации нормативных правовых актов
за № 13349).
4. Архитектура объекта испытаний:
1) функциональная схема объекта испытаний (при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;
связей между компонентами или модулями и направления информационных потоков;
точки подключения интеграционного взаимодействия с другими объектами
информатизации;
точки подключения пользователей;
мест и технологий хранения данных;
применяемого резервного оборудования;
разъяснения применяемых терминов и аббревиатур;
2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:
архитектуры и характеристик сети;
серверного сетевого и коммуникационного оборудования;
адресации и применяемых сетевых технологий;
используемых локальных, ведомственных (корпоративных) и глобальных сетей;
решения(й) по обеспечению отказоустойчивости и резервированию.
разъяснения применяемых терминов и аббревиатур;
5. Информация об объекте испытаний:
1) информация о серверном оборудовании (заполнить таблицу):
№ |
Наименование сервера или виртуального ресурса |
Назначение | Кол-во | Характеристики сервера или используемых заявленных виртуальных ресурсов |
ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы | Применяемые IP-адреса |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
2) информация о сетевом оборудовании (заполнить таблицу):
№ |
Наименование сетевого оборудования |
Назначение | Кол-во | Применяемые сетевые технологии | Применяемые технологии защиты сети |
Используемые |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
3) местонахождение серверного и сетевого оборудования (заполнить таблицу):
№ | Владелец серверного помещения | Юридический адрес владельца серверного помещения | Фактическое местоположение – адрес серверного помещения |
Ответственные лица за организацию доступа |
Телефоны ответственных лиц |
1 | 2 | 3 | 4 | 5 | 6 |
4) характеристики резервного серверного оборудования (заполнить таблицу):
№ |
Наименование сервера или виртуально го ресурса |
Назначение | Кол-во |
Характеристики |
ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы | Применяемые IP-адреса | Метод резервирования |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
5) характеристики резервного сетевого оборудования (заполнить таблицу):
№ |
Наименование сетевого оборудования |
Назначение | Кол-во | Применяемые сетевые технологии | Применяемые технологии защиты сети |
Используемые | Метод резервирования |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):
№ | Владелец серверного помещения | Юридический адрес владельца серверного помещения | Фактическое местоположение – адрес серверного помещения |
Ответственные лица за организацию доступа |
Телефоны ответственных лиц |
1 | 2 | 3 | 4 | 5 | 6 |
7) структура сети объекта испытаний (заполнить таблицу) (при необходимости):
№ п/п | Наименование сегмента сети | IP-адрес сети/маска сети |
1 | 2 | 3 |
8) информация по рабочим станциям администраторов (заполнить таблицу):
№ п/п | Роль администратора | Количество учетных записей администраторов | Наличие доступа к Интернет | Наличие удаленного доступа к оборудованию | IP-адрес рабочей станции администратора | Фактическое местоположение – адрес рабочего места |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):
№ | Роль пользователя | Перечень типовых действий пользователя | Адрес и порт точки подключения пользователей к объекту испытаний | Протокол подключения пользователей к объекту испытаний | Количество пользователей согласно технической документации на создание или развитие объекта испытаний | Максимальное количество, обрабатываемых запросов (пакетов) в секунду | Максимальное время ожидания между запросами |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые (заполнить таблицу):
№ | Наименование интеграционной связи (объекта информатизации) | Собственник или владелец интегрируемого объекта | Действующая/планируемая | Наличие модуля интеграции | Адрес точки подключения | Протокол подключения | Максимальное количество запросов (пакетов) в секунду | Максимальное время ожидания между запросами |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):
№ | Маркировка диска | Наименование каталога на диске | Наименование файла | Размер файла, Мбайт | Применяемый язык программирования (при необходимости) | Версия языка программирования | Среда разработки | Версия среды разработки | Дата модификации файла |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):
№ | Маркировка диска | Наименование каталога на диске | Наименование библиотеки/программной платформы/файла | Размер, Мбайт | Язык программирования (при необходимости) | Версия библиотеки |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):
№ | Наименование документа | Наличие | Количество страниц | Дата утверждения | Стандарт или нормативный документ, в соответствии с которым был разработан документ |
1 | 2 | 3 | 4 | 5 | 6 |
1 | Политика информационной безопасности; | ||||
2 | Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации; | ||||
3 | Методика оценки рисков информационной безопасности; | ||||
4 | Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации; | ||||
5 | Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения; | ||||
6 | Правила проведения внутреннего аудита информационной безопасности; | ||||
7 | Правила использования средств криптографической защиты информации; | ||||
8 | Правила разграничения прав доступа к электронным информационным ресурсам; | ||||
9 | Правила использования Интернет и электронной почты; | ||||
10 | Правила организации процедуры аутентификации; | ||||
11 | Правила организации антивирусного контроля; | ||||
12 | Правила использования мобильных устройств и носителей информации; | ||||
13 | Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов; | ||||
14 | Регламент резервного копирования и восстановления информации; | ||||
15 | Руководство администратора по сопровождению объекта информатизации; | ||||
16 | Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях. |
7. Сведения о ранее пройденных видах работ или испытаниях (номер протокола, дата):
_________________________________________________________________
8. Наличие лицензии на испытываемый объект (наличие авторских прав, наличие соглашения с организацией-разработчиком на предоставление исходного кода)
_________________________________________________________________
_________________________________________________________________
9. Дополнительная информация: _____________________________________________
_________________________________________________________________
_________________________________________________________________
Перечень технической документации по информационной безопасности объекта испытаний
1. Политика информационной безопасности;
2. Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
3. Методика оценки рисков информационной безопасности;
4. Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
5. Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
6. Правила проведения внутреннего аудита информационной безопасности;
7. Правила использования средств криптографической защиты информации;
8. Правила разграничения прав доступа к электронным информационным ресурсам;
9. Правила использования Интернет и электронной почты;
10. Правила организации процедуры аутентификации;
11. Правила организации антивирусного контроля;
12. Правила использования мобильных устройств и носителей информации;
13. Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;
14. Регламент резервного копирования и восстановления информации;
15. Руководство администратора по сопровождению объекта информатизации;
16. Инструкция о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.
Акт по результатам испытаний
на соответствие требованиям информационной безопасности
№___ "_____" ___________ 20__ г.
В соответствии с Заявкой от "___" ___________20__г. на основании подпункта 11-1) статьи 7-1 Закона
Республики Казахстан "Об информатизации" Комитет по информационной безопасности Министерства
цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан выдал настоящий
Акт по результатам проведения испытаний на соответствие требованиям информационной безопасности
о том, что были проведено испытание _____________________________________________________________
(наименование ОИ)
________________________________________________________________________________________
(фактическое местоположение серверного и сетевого оборудования)
________________________________________________________________________________________
(наименование заявителя объекта испытаний)
________________________________________________________________________________________
(наименование организации-заявителя/Ф.И.О. (при наличии) заявителя)
на основании следующих протоколов по видам испытаний:
1) Протокол анализа исходных кодов № _____ от "___" ___________ ____ г., наименование поставщика;
2) Протокол испытания функций информационной безопасности № _____ от "___" ___________ ____ г.,
наименование поставщика;
3) Протокол нагрузочного испытания № _____ от "___" ___________ ____ г., наименование поставщика;
4) Протокол обследования сетевой инфраструктуры № _____ от "___" ___________ ____ г., наименование
поставщика;
5) Протокол обследование процессов обеспечения информационной безопасности № _____ от
"___" ___________ ____ г., наименование поставщика.
Заключение
На основании проведенных испытаний
____________________________________________________________________
(наименование объекта испытаний)
соответствует требованиям информационной безопасности.
Приложение: Копия анкеты-вопросника о характеристиках объекта испытаний
Председатель Комитета
по информационной безопасности
Министерства цифрового
развития, инноваций и
аэрокосмической промышленности
Республики Казахстан _________________ __________________________________
(подпись) Ф.И.О. (при наличии)
"___" ___________ 20 __ г
Примечание ИЗПИ!Приложение 5 предусмотрено исключить приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
Акт приема-передачи исходных кодов объекта испытаний
_________________________________________________________________
(наименование объекта испытаний (далее – ОИ))
_________________________________________________________________
(наименование организации-заявителя / Ф.И.О. (при наличии) заявителя)
_________________________________________________________________
(наименование поставщика) "_____" ___________ 20__ г.
Версия передаваемого ПО ___________. Количество дисков ___________. |
Исходные коды прикладного ПО:
№ п/п | Маркировка диска | Наименование каталога на диске | Наименование файла | Размер файла, Мбайт | Применяемый язык программирования (при необходимости) | Дата модификации файла |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы):
№ п/п | Маркировка диска | Наименование каталога на диске | Наименование библиотеки/ программной платформы /файла | Размер, Мбайт | Язык программирования | Версия библиотеки | |
1 | 2 | 3 | 4 | 5 | 6 | 7 | |
Передал: | Принял: | ||||||
_____________________________ |
_____________________________ |
Приложение 6 предусмотрено в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).
Приложение 6 к Правилам проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно- коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности |
Стандарт государственной услуги "Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности" | ||
1 | Наименование услугодателя | Комитет по информационной безопасности МЦРИАП (далее - услугодатель) |
2 | Способы предоставления государственной услуги (каналы доступа) |
Прием заявления и выдача результата оказания государственной услуги осуществляются через: |
3 | Срок оказания государственной услуги |
Срок оказания государственной услуги с момента сдачи пакета документов услугодателю и (или) через портал: |
4 | Форма оказания государственной услуги | Форма оказания государственной услуги: электронная (частично автоматизированная) и (или) бумажная. |
5 | Результат оказания государственной услуги |
Результат оказания государственной услуги – акт по результатам испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний по форме либо мотивированный ответ об отказе в оказании государственной услуги; |
6 | Размер оплаты, взимаевомой с услугополучателя при оказании государственной услуги, и способы ее взимания в случаях, предусмотренных законодательством Республики Казахстан | Государственная услуга оказывается на бесплатной основе физическим и юридическим лицам (далее – услугополучатель). |
7 | График работы |
1) услугодателя – с понедельника по пятницу с 9.00 до 18.30 часов, с перерывом на обед с 13.00 до 14.30 часов, кроме выходных и праздничных дней, согласно трудовому законодательству Республики Казахстан. |
8 | Перечень документов необходимых для оказания государственной услуги |
1) при обращении к услугодателю (либо его представителя по доверенности): |
9 | Основания для отказа в оказании государственной услуги, установленные законодательством Республики Казахстан |
1) установление недостоверности документов, представленных услугополучателем для получения государственной услуги, и (или) данных (сведений), содержащихся в них; |
10 | Иные требования с учетом особенностей оказания государственной услуги, в том числе оказываемой в электронной форме и через Государственную корпорацию |
Услугополучатель имеет возможность получения государственной услуги в электронной форме через портал при условии наличия ЭЦП. |
Заявление на получение акта испытаний
____________________________________________________________________
(наименование, БИН/ИИН*, Ф.И.О. (при его наличии) заявителя)
____________________________________________________________________
(почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит выдать акт по результатам испытаний
____________________________________________________________________
(наименование объекта испытаний)
на соответствие требованиям информационной безопасности.
Прилагаемые документы:
1. анкета-вопросник о характеристиках объекта испытаний, утвержденный владельцем (собственником) объекта испытаний;
2. протокол анализа исходных кодов (номер, дата, наименование поставщика);
3. протокол испытаний функций информационной безопасности (номер, дата, наименование поставщика);
4. протокол нагрузочного испытания (номер, дата, наименование поставщика);
5. протокол обследования сетевой инфраструктуры (номер, дата, наименование поставщика);
6. протокол обследования процессов обеспечения информационной безопасности (номер, дата, наименование поставщика).
Согласен на использование персональных данных ограниченного доступа, составляющих охраняемую законом тайну, содержащихся в информационных системах.
__________________________
(подпись) М.П. (при наличии)
"___" __________ 20 ___ года
*бизнес-идентификационный номер/индивидуальный идентификационный номер
Примечание ИЗПИ!Правила предусмотрено дополнить приложением 8 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.09.2022 № 361/НҚ (вводится в действие с 01.01.2023).