• Менің таңдаулыларым
  • Word –да сақтау
  • Word - та сақтау (альбом бағдарлауы)
  • Word - та сақтау (мазмұнымен)
  • PDF – та сақтау
  • Отправить по почте
Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности
Құжат демонстрациялық түрде көрсетілген Бағасы: 80 тг/жылы
Назар аударыңыз! Қолданыста жоқ құжат редакциясы

Отправить по почте

Toggle Dropdown
  • Түсініктемелер жазу, айту
  • Белгі бауына қою
  • Оставить заметку
  • Информация new
  • Сілтемені көшіру
  • Редакции абзаца(beta) 
Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности
Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18795
Данная редакция действовала до внесения изменений  от 16.10.2020 г.
В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» и подпунктом 1) статьи 10 Закона Республики Казахстан от 15 апреля 2013 года «О государственных услугах» ПРИКАЗЫВАЮ:
Преамбула изложена в новой редакции Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 г. № 121/НҚ (см. редакцию от 05.12.2019 г.) (изменение вводится в действие с 21.04.2020 г.)
1. Утвердить:
1) Методику проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;
2) Правила проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 2 к настояшему приказу.
2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).
3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения «Институт законодательства и правовой информации Республики Казахстан» Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Министр цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан А. Жумагалиев
«СОГЛАСОВАН»
Комитет национальной безопасности
Республики Казахстан
 «___» ____________2019 года

Приложение 1
к приказу Министра
цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
 от 3 июня 2019 года № 111/НҚ

Методика проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности
Глава 1. Общие положения
1. Настоящая Методика проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации».
2. В настоящей Методике используются следующие основные понятия и сокращения:
1) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;
2) государственная техническая служба – республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;
3) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;
4) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;
5) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;
6) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;
7) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности.
8) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации.
Пункт 2 дополнен подпунктом 8 в соответствии с Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 01.04.2020 г. № 121/НҚ (изменение вводится в действие с 21.04.2020 г.)
3. Проведение испытания включает:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание;
4) обследование сетевой инфраструктуры;
5) обследование процессов обеспечения информационной безопасности.
Глава 2. Анализ исходных кодов
4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения (далее – ПО).
5. Анализ исходных кодов проводится для ПО, перечисленного в таблице подпункта 11) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).
6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.
7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
8. Анализ исходных кодов включает:
1) выявление недостатков ПО;
2) фиксацию результатов анализа исходного кода.
9. Выявление недостатков ПО осуществляется в следующем порядке:
1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры (далее – ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);
2) запускается программное средство, предназначенное для выявления недостатков ПО;
3) проводится анализ программных отчетов на наличие ложных срабатываний;
4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).
10. Объем работ по анализу исходного кода определяется размером исходного кода.
11. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ поставщика, в протоколе анализа исходных кодов (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к Правилам.