Об утверждении Правил проведения аттестации информационной системы, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа на соответствие требованиям информационной безопасности Постановление Правительства Республики Казахстан от 23 мая 2016 года № 298

В соответствии с подпунктом 5) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности.

2. Признать утратившими силу некоторые решения Правительства Республики Казахстан согласно приложению к настоящему постановлению. 

3. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Премьер-Министр Республики Казахстан К. Масимов

1. Настоящие Правила проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 6 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» и определяют порядок проведения аттестации информационных систем, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности. 

2. Настоящие Правила не распространяются на проведение аттестации информационных систем в защищенном исполнении, отнесенных к государственным секретам.

3. Основные определения, термины и понятия, используемые в Правилах:

1) уполномоченный орган в сфере информатизации (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере информатизации и «электронного правительства»;

2) государственная техническая служба – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

3) заявитель – собственник (владелец) объекта аттестации либо уполномоченное им лицо, подавший заявление на проведение аттестации объекта аттестации на соответствие требованиям информационной безопасности;

4) информационная безопасность в сфере информатизации

 (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем, информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

5) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

6) объекты аттестации – информационная система, информационно-коммуникационная платформа «электронного правительства», интернет-ресурс;

7) аппаратно-программный комплекс – совокупность программного обеспечения и технических средств, совместно применяемых для решения задач определенного типа;

8) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

9) информационно-коммуникационная платформа «электронного правительства» – технологическая платформа, предназначенная для реализации сервисной модели информатизации;

10) интернет-ресурс – электронный информационный ресурс, отображаемый в текстовом, графическом, аудиовизуальном или ином виде, размещаемый на аппаратно-программном комплексе, имеющий уникальный сетевой адрес и (или) доменное имя и функционирующий в интернете;

11) аттестационная комиссия – консультативно-совещательный орган при уполномоченном органе, который рассматривает результаты аттестационного обследования и дает соответствующие рекомендации;

12) аттестат соответствия информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа требованиям информационной безопасности (далее – аттестат) – документ, подтверждающий факт соответствия объекта аттестации требованиям информационной безопасности;

13) акт аттестационного обследования – документ, включающий в себя сведения о фактическом состоянии защищенности объекта аттестации;

14) аттестация на соответствие требованиям информационной безопасности (далее – аттестация) – организационно-технические мероприятия по определению состояния защищенности объектов, подлежащих аттестации, а также их соответствия требованиям информационной безопасности;

15) аттестационное обследование – комплекс организационно-технических мероприятий, направленных на изучение, анализ, оценку технической документации объекта аттестации, обследование состояния организации работ по выполнению требований информационной безопасности;

16) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ) и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта аттестации.

4. Ввод в промышленную эксплуатацию информационной системы государственного органа, информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры, негосударственной информационной системы, интегрированной с информационной системой государственного органа или предназначенной для формирования электронных информационных ресурсов государственного органа, интернет-ресурса государственного органа и информационно-коммуникационной платформы «электронного правительства» допускается только при наличии аттестата.

5. Объектами обязательной аттестации являются:

1) информационная система государственного органа;

2) негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для формирования государственных электронных информационных ресурсов;

3) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;

4) информационно-коммуникационная платформа «электронного правительства»;

5) интернет-ресурс государственного органа.

6. Негосударственные информационные системы и интернет-ресурсы могут быть аттестованы на соответствие требованиям информационной безопасности по инициативе собственника (владельца) либо уполномоченного им лица.

7. Аттестация состоит из следующих основных этапов:

1) прием заявления на проведение аттестации и проверка пакета документов на соответствие форме и комплектность;

2) аттестационное обследование;

3) рассмотрение результатов аттестационного обследования аттестационной комиссией;

4) принятие решения уполномоченным органом. 

8. Аттестация объектов аттестации на соответствие требованиям информационной безопасности проводится уполномоченным органом.

9. Аттестационное обследование объектов аттестации проводится государственной технической службой.

10. Рассмотрение акта аттестационного обследования и формирование рекомендаций по итогам аттестационного обследования осуществляются аттестационной комиссией, в состав которой входят представители:

Комитета национальной безопасности Республики Казахстан;

уполномоченного государственного органа по защите государственных секретов и обеспечения информационной безопасности;

уполномоченного органа.

Положение и состав аттестационной комиссии утверждаются уполномоченным органом.