О внесении изменений и дополнений в приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности"

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 5 декабря 2019 года № 336/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 11 декабря 2019 года № 19719

Действующий

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 18795, опубликован 7 июня 2019 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан) следующие изменения и дополнения:

      в Правилах проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила), утвержденным указанным приказом:

      пункт 6 изложить в следующей редакции:

      "6. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.";

      пункт 12 исключить;

      пункт 30 дополнить частью второй следующего содержания:

      "Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.";

      пункт 40 изложить с следующей редакции:

      "40. Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к настоящим Правилам (далее – акт испытаний) выдается уполномоченным органом.";

      пункт 41 изложить в следующей редакции:

      "41. Для получения акта испытаний заявитель направляет в уполномоченный орган заявление по форме согласно приложению 6 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам (далее – анкета-вопросник о характеристиках объекта испытаний), утвержденной владельцем (собственником) объекта испытаний на бумажном носителе либо через веб-портал "электронного правительства".";

      пункт 43 изложить в следующей редакции:

      "43. На основании полного комплекта протоколов испытаний, определенных пунктами с 7 по 11 настоящих Правил уполномоченный орган в течении десяти рабочих дней принимает одно из следующих решений:

      1) о выдаче акта испытаний;

      2) об отказе в выдаче акта испытаний.

      В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.

      В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.";

      пункт 44 изложить в следующей редакции:

      "44. В случае возникновения несогласия заявителя с результатами по протоколам испытаний, срок оказания государственной услуги составляет пятнадцать рабочих дней.

      Для устранения возникших разногласий, уполномоченный орган приглашает для обсуждения представителей заявителя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:

      1) о выдаче акта испытаний;

      2) об отказе выдаче акта испытаний.

      В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.

      В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.";

      пункт 46 изложить в следующей редакции:

      "46. В случае изменения условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет в уполномоченный орган уведомление с приложением описания всех произведенных изменений и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной подписью должностного лица и печатью собственника или владельца объекта испытаний.

      Уполномоченный орган в срок не более пяти рабочих дней принимает решение об отзыве или не отзыве акта испытаний.";

      в пункт 47 вносятся изменения на государственном языке, текст на русском языке не меняется;

      дополнить пунктом 50 следующего содержания:

      "50. Уполномоченный орган отказывает в выдаче акта испытаний по следующим основаниям:

      1) установление расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного в уполномоченный орган с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний;

      2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан.";

      приложение 2 к указанным Правилам, изложить в новой редакции согласно приложению 3 к настоящему приказу;

      приложение 4 к указанным Правилам, изложить в новой редакции согласно приложению 1 к настоящему приказу;

      указанные Правила дополнить приложением 6 согласно приложению 2 к настоящему приказу.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
А. Жумагалиев

      "СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
"___" ____________2019 года

  Приложение 1
к приказу Министра
цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 5 декабря 2019 года
№ 336/НҚ
  Приложение 4
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-
коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

                  Акт испытаний №___ "_____" ___________ 20__ г.

      В соответствии с Заявкой от "___" ___________20__г. на основании
подпункта 11-1) статьи 7-1 Закона Республики Казахстан "Об информатизации"
Комитет по информационной безопасности Министерства цифрового развития,
инноваций и аэрокосмической промышленности Республики Казахстан выдал
настоящий Акт по результатам проведения испытаний на соответствие требованиям
информационной безопасности о том, что были проведено испытание
_________________________________________________________________
                  (наименование ОИ)
_________________________________________________________________
      (фактическое местоположение серверного и сетевого оборудования)
_________________________________________________________________
            (наименование заявителя объекта испытаний)
_________________________________________________________________
(наименование организации-заявителя/Ф.И.О. (при наличии) заявителя)
на основании следующих протоколов по видам испытаний:
1) Протокол анализа исходных кодов №___ от "___" _________ ___ г.,
наименование поставщика;
2) Протокол испытания функций информационной безопасности №___
от "___" _________ ___ г., наименование поставщика;
3) Протокол нагрузочного испытания №___
от "___" _________ ___ г., наименование поставщика;
4) Протокол обследования сетевой инфраструктуры №___
от "___" _________ ___ г., наименование поставщика;
5) Протокол обследование процессов обеспечения информационной безопасности
№___ от "___" _________ ___ г., наименование поставщика.

                                    Заключение

      На основании проведенных испытаний

      ________________________________________________________________________________
                                          (наименование объекта испытаний)соответствует требованиям информационной безопасности.

      Приложение: Копия анкеты-вопросника о характеристиках объекта испытаний Председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

      ___________ ________________
      (подпись) Ф.И.О. (при наличии)
      "___" ___________ 20 __ г

  Приложение 2
к приказу Министра
цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 5 декабря 2019 года
№ 336/НҚ
  Приложение 6
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма
  Кому _________________________
(наименование уполномоченного органа)

                                    ЗАЯВЛЕНИЕ
                              на получение акта испытаний

      _________________________________________________________________
            (наименование, БИН/ИИН*, Ф.И.О. (при его наличии)
заявителя)_________________________________________________________________
            (почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит выдать акт по результатам испытаний ______________________________________
                                          (наименование объекта испытаний)
на соответствие требованиям информационной безопасности.
Прилагаемые документы:
1. анкета-вопросник о характеристиках объекта испытаний, утвержденный владельцем
(собственником) объекта испытаний;
2. протокол анализа исходных кодов (номер, дата, наименование поставщика);
3. протокол испытаний функций информационной безопасности (номер, дата, наименование
поставщика);
4. протокол нагрузочного испытания (номер, дата, наименование поставщика);
5. протокол обследования сетевой инфраструктуры (номер, дата, наименование поставщика);
6. протокол обследования процессов обеспечения информационной безопасности (номер,
дата, наименование поставщика).
Согласен на использование персональных данных ограниченного доступа, составляющих
охраняемую законом тайну, содержащихся в информационных системах.
__________________________
(подпись) М.П. (при наличии)
"___" __________ 20 ___ года
*бизнес-идентификационный номер/индивидуальный идентификационный номер

  Приложение 3
к приказу Министра
цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 5 декабря 2019 года
№ 336/НҚ
  Приложение 2
к Правилам проведения
испытаний объектов
информатизации "электронного
правительства" и
информационных систем,
отнесенных к критически
важным объектам
информационно-коммуникационной
инфраструктуры, на
соответствие требованиям
информационной безопасности
  Форма

Анкета-вопросник о характеристиках объекта испытаний

      1. Наименование объекта испытаний:
_________________________________________________________________
_________________________________________________________________
2. Краткая аннотация на объект испытаний
_________________________________________________________________
      (назначение и область применения)
3. Классификация объекта испытаний:
1) класс прикладного программного обеспечения _________________.
2) схема классификации по форме приложения 2 к Правилам классификации объектов
информатизации, утвержденным Приказом исполняющего обязанности Министра по
инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135
(зарегистрирован в Реестре государственной регистрации нормативных правовых актов
за № 13349).
4. Архитектура объекта испытаний:
1) функциональная схему объекта испытаний(при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;
связей между компонентами или модулями и направления информационных потоков;
точки подключения интеграционного взаимодействия с другими объектами
информатизации;
точки подключения пользователей;
мест и технологий хранения данных;
применяемого резервного оборудования;
разъяснения применяемых терминов и аббревиатур;
2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:
архитектуры и характеристик сети;
серверного сетевого и коммуникационного оборудования;
адресации и применяемых сетевых технологий;
используемых локальных, ведомственных (корпоративных) и глобальных сетей;
решения(й) по обеспечению отказоустойчивости и резервированию.
разъяснения применяемых терминов и аббревиатур;
5. Информация об объекте испытаний:
1) информация о серверном оборудовании (заполнить таблицу):


п/п

Наименование сервера или виртуального ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

1

2

3

4

5

6

7















      2) информация о сетевом оборудовании (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе, порт управления

1

2

3

4

5

6

7















      3) местонахождение серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      4) характеристики резервного серверного оборудования (заполнить таблицу):


п/п

Наименование сервера или виртуально го ресурса
(доменное имя, сетевое имя или логическое имя сервера)

Назначение
(выполняемые функциональные задачи)

Кол-во

Характеристики
сервера или используемых заявленных виртуальных ресурсов

ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы
(состав программной среды с указание номеров версий)

Применяемые IP-адреса

Метод резервирования

1

2

3

4

5

6

7

8

















      5) характеристики резервного сетевого оборудования (заполнить таблицу):


п/п

Наименование сетевого оборудования
(марка/модель)

Назначение
(выполняемые функциональные задачи)

Кол-во

Применяемые сетевые технологии

Применяемые технологии защиты сети

Используемые
IP-адреса, в том числе порт управления

Метод резервирования

1

2

3

4

5

6

7

8

















      6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):


п/п

Владелец серверного помещения

Юридический адрес владельца серверного помещения

Фактическое местоположение – адрес серверного помещения

Ответственные лица за организацию доступа
(Ф.И.О. (при наличии)

Телефоны ответственных лиц
(рабочие, сотовые)

1

2

3

4

5

6













      7) структура корпоративной сети (заполнить таблицу) (при необходимости):

№ п/п

Наименование сегмента сети

IP-адрес сети/маска сети

1

2

3







      8) информация по рабочим станциям администраторов (заполнить таблицу):

№ п/п

Роль администратора

Количество учетных записей администраторов

Наличие доступа к Интернет

Наличие удаленного доступа к оборудованию

IP-адрес рабочей станции администратора

Фактическое местоположение – адрес рабочего места

1

2

3

4

5

6

7















      9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):


п/п

Роль пользователя

Перечень типовых действий пользователя

Адрес точки подключения и протокол подключения пользователей

Максимальное количество пользователей

Максимальное количество, обрабатываемых запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7








      10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые (заполнить таблицу):


п/п

Наименование интеграционной связи (объекта информатизации)

Собственник или владелец интегрируемого объекта

Действующая/планируемая

Наличие модуля интеграции

Адрес точки подключения и протокол подключения

Максимальное количество запросов (пакетов) в секунду

Максимальное время ожидания между запросами

1

2

3

4

5

6

7

8

















      11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование файла

Размер файла, Мбайт

Применяемый язык программирования (при необходимости)

Дата модификации файла

1

2

3

4

5

6

7















      12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):


п/п

Маркировка диска

Наименование каталога на диске

Наименование библиотеки/программной платформы/файла

Размер, Мбайт

Язык программирования

Версия библиотеки

1

2

3

4

5

6

7















      6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):


п/п

Наименование документа

Наличие

Количество страниц

Дата утверждения

Стандарт или нормативный документ, в соответствии с которым был разработан документ

1

2

3

4

5

6

1

Политика информационной безопасности;





2

Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;





3

Методика оценки рисков информационной безопасности;





4

Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;





5

Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;





6

Правила проведения внутреннего аудита информационной безопасности;





7

Правила использования средств криптографической защиты информации;





8

Правила разграничения прав доступа к электронным информационным ресурсам;





9

Правила использования Интернет и электронной почты;





10

Правила организации процедуры аутентификации;





11

Правила организации антивирусного контроля;





12

Правила использования мобильных устройств и носителей информации;





13

Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;





14

Регламент резервного копирования и восстановления информации;





15

Руководство администратора по сопровождению объекта информатизации;





16

Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.





      7. Сведения о ранее пройденных видах работ или испытаниях (номер протокола, дата):
_________________________________________________________________
8. Наличие лицензии на испытываемый объект (наличие авторских прав, наличие
соглашения с организацией-разработчиком на предоставление исходного кода)
_________________________________________________________________
_________________________________________________________________
9. Дополнительная информация: ____________________________________
_________________________________________________________________
_________________________________________________________________