Toggle Dropdown
Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности
Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18795
Toggle Dropdown
Данная редакция действовала до внесения изменений от 21.05.2024 г.
Toggle Dropdown
В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» и подпунктом 1) статьи 10 Закона Республики Казахстан от 15 апреля 2013 года «О государственных услугах» ПРИКАЗЫВАЮ:
Toggle Dropdown
1. Утвердить:
Toggle Dropdown
1) Методику проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;
Toggle Dropdown
2) Правила проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 2 к настояшему приказу.
Toggle Dropdown
2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).
Toggle Dropdown
3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
Toggle Dropdown
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
Toggle Dropdown
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения «Институт законодательства и правовой информации Республики Казахстан» Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
Toggle Dropdown
3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
Toggle Dropdown
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.
Toggle Dropdown
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.
Toggle Dropdown
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Toggle Dropdown
Министр цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан А. Жумагалиев
Toggle Dropdown
«СОГЛАСОВАН»
Комитет национальной безопасности
Республики Казахстан
«___» ____________2019 года
Toggle Dropdown
Приложение 1
к приказу Министра
цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ
Toggle Dropdown
Методика проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности
Toggle Dropdown
Глава 1. Общие положения
Toggle Dropdown
1. Настоящая Методика проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации».
Toggle Dropdown
2. В настоящей Методике используются следующие основные понятия и сокращения:
Toggle Dropdown
1) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;
Toggle Dropdown
2) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;
Toggle Dropdown
3) уязвимость – недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;
Toggle Dropdown
4) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;
Toggle Dropdown
5) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;
Toggle Dropdown
6) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;
Toggle Dropdown
7) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;
Toggle Dropdown
8) сегмент сети (подсеть) объекта испытаний – логически выделенный сегмент сети объекта испытаний;
Toggle Dropdown
9) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;
Toggle Dropdown
10) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.
Toggle Dropdown
3. Проведение испытания включает:
Toggle Dropdown
1) анализ исходных кодов;
Toggle Dropdown
2) испытание функций информационной безопасности;
Toggle Dropdown
3) нагрузочное испытание;
Toggle Dropdown
4) обследование сетевой инфраструктуры;
Toggle Dropdown
5) обследование процессов обеспечения информационной безопасности.
Toggle Dropdown
Глава 2. Анализ исходных кодов
Toggle Dropdown
4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения (далее – ПО).
Toggle Dropdown
5. Анализ исходных кодов проводится для ПО, перечисленного в таблице подпункта 11) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).
Toggle Dropdown
6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.
Toggle Dropdown
7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
Toggle Dropdown
8. Анализ исходных кодов включает:
Toggle Dropdown
1) выявление недостатков ПО;
Toggle Dropdown
2) фиксацию результатов анализа исходного кода.
Toggle Dropdown
9. Выявление недостатков ПО осуществляется в следующем порядке:
Toggle Dropdown
1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры (далее – ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);
Toggle Dropdown
2) запускается программное средство, предназначенное для выявления недостатков ПО;
Toggle Dropdown
3) проводится анализ программных отчетов на наличие ложных срабатываний;
Toggle Dropdown
4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).
Мақала қалдыру
Пікір қалдыру
Сілтемені көшіру
