Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18795

В соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации» и подпунктом 52) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846, ПРИКАЗЫВАЮ:

Преамбула изложена в новой редакции Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 г. № 121/НҚ (см. редакцию от 05.12.2019 г.) (изменение вводится в действие с 21.04.2020 г.)
Преамбула изложена в новой редакции Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.04.2024 г. № 257/НҚ (см. редакцию от 30.09.2022 г.)(изменение вводится в действие с 21.05.2024 г.)
Преамбула изложена в новой редакции Приказа Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития РК от 27.11.2025 г. № 602/НҚ (см. редакцию от 27.09.2024 г.)(изменение вводится в действие с 14.12.2025 г.)

1. Утвердить:

Пункт 1 изложен в новой редакции Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 30.04.2024 г. № 257/НҚ (см. редакцию от 30.09.2022 г.)(изменение вводится в действие с 21.05.2024 г.)

1) Методику проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

2) Правила проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения «Институт законодательства и правовой информации Республики Казахстан» Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.

4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.

5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан А. Жумагалиев

«СОГЛАСОВАН»
Комитет национальной безопасности
Республики Казахстан
 «___» ____________2019 года

1. Настоящая Методика проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации» и подпунктом 52) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846.

Пункт 1 изложен в новой редакции Приказа Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития РК от 27.11.2025 г. № 602/НҚ (см. редакцию от 27.09.2024 г.)(изменение вводится в действие с 14.12.2025 г.)

2. В настоящей Методике используются следующие основные понятия и сокращения:

1) программная закладка – скрытно внесенный в программное обеспечение (далее – ПО) функциональный объект, осуществляющий несанкционированный доступ и (или) воздействие на объект информатизации;

2) бэкдор – вредоносное ПО для получения несанкционированного доступа к программному обеспечению путем обхода аутентификации, а также других стандартных методов и технологий безопасности;

3) недекларированные возможности (далее – НДВ) – функциональные возможности ПО, не отраженные или не соответствующие описанным в технической документации;

4) ручное тестирование на проникновение – легитимная оценка защищенности объектов информатизации с применением безопасных и контролируемых атак, выявлением уязвимостей и попытками их эксплуатации без реального ущерба деятельности заявителя;

5) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

6) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

7) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

8) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

9) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

10) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

11) объект испытаний – объект информатизации, в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

12) сегмент сети (подсеть) объекта испытаний – логически выделенный сегмент сети объекта испытаний;

13) функциональный объект – элемент (процедура, функция, ветвь или иная компонента) ПО, выполняющий действия по реализации законченного фрагмента алгоритма программы;

14) маршрут выполнения функциональных объектов – определенная алгоритмом последовательность выполняемых функциональных объектов;

15) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;

16) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган на соответствие требованиям информационной безопасности.

3. Проведение испытания включает:

1) анализ исходных кодов;

2) испытание функций информационной безопасности;

3) нагрузочное испытание;

4) обследование сетевой инфраструктуры;

5) обследование процессов обеспечения информационной безопасности.

4. Анализ исходных кодов объектов испытаний проводится с целью выявления уязвимостей ПО в соответствии с международными классификациями уязвимостей (Common Weakness Enumeration, Open Web Application Security Project Top 10, Open Web Application Security Project Mobile Top 10, Open Web Application Security Project Application Programming Interface Top 10), международными базами данных уязвимостей (Common Vulnerabilities and Exposures, National Institute of Standards and Technology ) и стандартом Республики Казахстан 15408-3 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты».

Пункт 4 изложен в новой редакции Приказа Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития РК от 27.11.2025 г. № 602/НҚ (см. редакцию от 27.09.2024 г.)(изменение вводится в действие с 14.12.2025 г.)

Анализ исходных кодов объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится с целью выявления НДВ и уязвимостей ПО в соответствии с международными классификациями (Common Weakness Enumeration, Open Web Application Security Project Top 10, Open Web Application Security Project Mobile Top 10, Open Web Application Security Project Application Programming Interface Top 10), международными базами данных уязвимостей (Common Vulnerabilities and Exposures, National Institute of Standards and Technology) и стандартом Республики Казахстан 15408-3 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты».

5. Анализ исходных кодов проводится для ПО, перечисленного в таблицах подпункта 11) и подпункта 12) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).

6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.

7. Выявление уязвимостей ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

Пункт 7 изложен в новой редакции Приказа Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития РК от 27.11.2025 г. № 602/НҚ (см. редакцию от 27.09.2024 г.)(изменение вводится в действие с 14.12.2025 г.)

Выявление уязвимостей ПО объектам испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода и с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.