Toggle Dropdown
Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности
Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18795
Данная редакция действовала до внесения изменений от 14.12.2025 г.
В соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации» ПРИКАЗЫВАЮ:
1) Методику проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;
2) Правила проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.
2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).
3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения «Институт законодательства и правовой информации Республики Казахстан» Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Министр цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан А. Жумагалиев
«СОГЛАСОВАН»
Комитет национальной безопасности
Республики Казахстан
«___» ____________2019 года
Приложение 1
к приказу Министра
цифрового развития,
оборонной и аэрокосмической
промышленности
Республики Казахстан
от 3 июня 2019 года № 111/НҚ
Методика проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности
1. Настоящая Методика проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации».
2. В настоящей Методике используются следующие основные понятия и сокращения:
1) программная закладка – скрытно внесенный в программное обеспечение (далее – ПО) функциональный объект, осуществляющий несанкционированный доступ и (или) воздействие на объект информатизации;
2) бэкдор – вредоносное ПО для получения несанкционированного доступа к программному обеспечению путем обхода аутентификации, а также других стандартных методов и технологий безопасности;
3) недекларированные возможности (далее – НДВ) – функциональные возможности ПО, не отраженные или не соответствующие описанным в технической документации;
4) ручное тестирование на проникновение – легитимная оценка защищенности объектов информатизации с применением безопасных и контролируемых атак, выявлением уязвимостей и попытками их эксплуатации без реального ущерба деятельности заявителя;
5) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;
6) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;
7) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;
8) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;
9) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;
10) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;
11) объект испытаний – объект информатизации, в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;
12) сегмент сети (подсеть) объекта испытаний – логически выделенный сегмент сети объекта испытаний;
13) функциональный объект – элемент (процедура, функция, ветвь или иная компонента) ПО, выполняющий действия по реализации законченного фрагмента алгоритма программы;
14) маршрут выполнения функциональных объектов – определенная алгоритмом последовательность выполняемых функциональных объектов;
15) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;
16) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган на соответствие требованиям информационной безопасности.
3. Проведение испытания включает:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание;
4) обследование сетевой инфраструктуры;
5) обследование процессов обеспечения информационной безопасности.
Глава 2. Анализ исходных кодов
4. Анализ исходных кодов объектов испытаний проводится с целью выявления уязвимостей ПО.
Анализ исходных кодов объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится с целью выявления НДВ и уязвимостей ПО.
5. Анализ исходных кодов проводится для ПО, перечисленного в таблицах подпункта 11) и подпункта 12) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).
6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.
7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
Выявление недостатков ПО объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода и с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
