Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 63. Зарегистрирован в Министерстве юстиции Республики Казахстан 24 февраля 2016 года № 13207

В соответствии с подпунктом 16) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» ПРИКАЗЫВАЮ:

1. Утвердить:

1) Методику проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

2) Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

2. Признать утратившим силу приказ Председателя Агентства Республики Казахстан по информатизации и связи от 1 декабря 2009 года № 480 «Об утверждении Правил испытаний, регистрации, передачи, хранения, обеспечения полноты депонирования и представления сведений о регистрации, передаче и хранении программных продуктов, программных кодов и нормативно-технической документации в депозитарий» (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 5981, опубликованный 20 апреля 2010 года в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан).

3. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Қазаңғап Т.Б.) обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) направление копии настоящего приказа в печатном и электронном виде на официальное опубликование в периодические печатные издания и информационно-правовую систему «Әділет» в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан, а также в Республиканский центр правовой информации в течение десяти календарных дней со дня получения зарегистрированного приказа для включения в эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение настоящего приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;

4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 3 настоящего приказа.

4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.

5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Исполняющий обязанности Министра по инвестициям и развитию Республики Казахстан Ж. Касымбек 

1. Настоящая Методика проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - Методика) разработана в соответствие с подпунктом 16) статьи 7 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации.

2. В настоящей Методике используются следующие основные понятия и сокращения:

1) испытание функций информационной безопасности - оценка функций сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы (далее - объекты испытаний) на соответствие требованиям информационной безопасности;

2) нагрузочное испытание - оценка соблюдения доступности, целостности и конфиденциальности объектов испытаний при плановых, повышенных и пиковых нагрузках;

3) государственная техническая служба - республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

4) уязвимость - недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;

5) экспертный метод - метод поиска и результат его применения, полученный на основании использования персонального мнения эксперта или коллективного мнения группы экспертов;

6) доверенный канал - средство взаимодействия между функциями безопасности объектов испытаний (далее - ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

7) доверенный маршрут - средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

8) испытание сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - испытание) - технические мероприятия по оценке объектов испытаний требованиям информационной безопасности;

9) объекты испытаний (далее - ОИ) - сервисный программный продукт, информационно-коммуникационная платформа «электронного правительства», интернет-ресурс государственного органа, информационная система.

3. Проведение испытания включает:

1) анализ исходных кодов;

2) испытание функций информационной безопасности;

3) нагрузочное испытание;

4) обследование сети телекоммуникаций и серверного оборудования.

4. Анализ исходных кодов ОИ проводится с целью выявления недостатков (программных закладок и уязвимостей) программного обеспечения (далее - ПО).

5. Выявление недостатков ПО проводится с использованием предназначенного для анализа исходного кода программного средства на основании исходных кодов, предоставленных заказчиком.

6. Анализ исходных кодов включает:

1) выявление недостатков ПО;

2) фиксацию результатов анализа исходного кода.

7. Выявление недостатков ПО осуществляется в следующем порядке:

1) проводится подготовка исходных данных (загрузка исходных кодов ОИ, выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

2) запускается программное средство, предназначенное для выявления недостатков ПО;

3) проводится анализ программных отчетов на наличие ложных срабатываний;

4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

8. Объем работ по анализу исходного кода определяется размером исходного кода.

9. Результаты анализа исходных кодов фиксируются в Протоколе анализа исходных кодов.

10. По окончанию проведенного анализа исходных кодов ОИ при условии его положительного результата, исходные коды ОИ маркируются и сдаются в опечатанном виде на ответственное хранение в архив государственной технической службы.

11. Испытание функций информационной безопасности осуществляется с целью оценки их соответствия требованиям стандартов согласованных с заявителем.

12. Испытание функций информационной безопасности включает: