• Менің таңдаулыларым
Назар аударыңыз! Құжаттың 18.06.2019 күші жойылды

Отправить по почте

Toggle Dropdown
1 
Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности
Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ
Зарегистрирован в Министерстве юстиции Республики Казахстан 30 марта 2018 года № 16694
Настоящий Приказ утратил силу с 18 июня 2019 года в соответствии с Приказом Министра цифрового развития, оборонной и аэрокосмической промышленности РК от 03.06.2019 г. № 111/НҚ 
Toggle Dropdown
1 
В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» ПРИКАЗЫВАЮ:
Toggle Dropdown 
1. Утвердить:
Toggle Dropdown 
1) Методику проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;
Toggle Dropdown 
2) Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.
Toggle Dropdown 
2. Признать утратившим силу приказ исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 63 «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №13207, опубликован 1 марта 2016 года в информационно-правовой системе «Әділет»).
Toggle Dropdown 
3. Комитету по информационной безопасности Министерства оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
Toggle Dropdown
2 
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
Toggle Dropdown
1 
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения «Республиканский центр правовой информации» для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
Toggle Dropdown
1 
3) в течение десяти календарных дней после государственной регистрации настоящего приказа направление его копии на официальное опубликование в периодические печатные издания;
Toggle Dropdown
1 
4) размещение настоящего приказа на официальном интернет-ресурсе Министерства оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
Toggle Dropdown 
5) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) 3) и 4) настоящего пункта.
Toggle Dropdown 
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра оборонной и аэрокосмической промышленности Республики Казахстан.
Toggle Dropdown 
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Toggle Dropdown 
Министр оборонной и аэрокосмической промышленности Республики Казахстан Б. Атамкулов
Toggle Dropdown
1 
Приложение 1
к приказу Министра
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 14 марта 2018 года № 40/НҚ
Toggle Dropdown 
Методика проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности
Toggle Dropdown 
Глава 1. Общие положения
Toggle Dropdown 
1. Настоящая Методика проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации.
Toggle Dropdown 
2. В настоящей Методике используются следующие основные понятия и сокращения:
Toggle Dropdown 
1) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;
Toggle Dropdown 
2) экспертный метод – метод поиска и результат его применения, полученный на основании использования персонального мнения эксперта или коллективного мнения группы экспертов;
Toggle Dropdown 
3) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;
Toggle Dropdown 
4) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний.
Toggle Dropdown 
3. Проведение испытания включает:
Toggle Dropdown 
1) анализ исходных кодов;
Toggle Dropdown 
2) испытание функций информационной безопасности;
Toggle Dropdown 
3) нагрузочное испытание;
Toggle Dropdown 
4) обследование сетевой инфраструктуры.
Toggle Dropdown 
Глава 2. Анализ исходных кодов
Toggle Dropdown 
4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков (программных закладок и уязвимостей) программного обеспечения (далее – ПО).
Toggle Dropdown 
5. Анализ исходных кодов проводится для ПО, перечисленного в акте приема-передачи исходных кодов объектов испытаний, согласно Правилам проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее- Правила).
Toggle Dropdown 
6. Если при проведении испытания выявится необходимость проведения повторного анализ исходных кодов до окончания срока испытания, заявитель обращается с запросом в ГТС и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 25 Правил.
Toggle Dropdown 
7. Выявление недостатков ПО проводится с использованием предназначенного для анализа исходного кода программного средства на основании исходных кодов, предоставленных заказчиком.
Toggle Dropdown 
8. Анализ исходных кодов включает:
Toggle Dropdown 
1) выявление недостатков ПО;
Toggle Dropdown 
2) фиксацию результатов анализа исходного кода.
Toggle Dropdown 
9. Выявление недостатков ПО осуществляется в следующем порядке:
Toggle Dropdown 
1) проводится подготовка исходных данных (загрузка исходных кодов сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа, информационная система (далее-ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);
Toggle Dropdown 
2) запускается программное средство, предназначенное для выявления недостатков ПО;
Toggle Dropdown 
3) проводится анализ программных отчетов на наличие ложных срабатываний;
Toggle Dropdown 
4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).
Toggle Dropdown 
10. Объём работ по анализу исходного кода определяется размером исходного кода.
Toggle Dropdown 
11. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ, в Протоколе анализа исходных кодов (Произвольная форма).
Toggle Dropdown 
12. По окончанию проведенного анализа исходных кодов при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив ГТС.
Toggle Dropdown 
13. ГТС обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.
Toggle Dropdown 
Глава 3. Испытание функций информационной безопасности
Toggle Dropdown 
14. Оценка функций сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информатизации.
Toggle Dropdown 
15. Испытание функций информационной безопасности включает:
Toggle Dropdown 
1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информатизации;