1. Утвердить прилагаемый регламент государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам».
Внимание! Документ утратил силу с 31.10.2015
Об утверждении регламента государственной услуги "Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам" Приказ Министра транспорта и коммуникаций Республики Казахстан от 13 декабря 2012 года № 880.
Настоящий Приказ утратил силу с 31 октября 2015 года в соответствии с Приказом и.о. Министра по инвестициям и развитию РК от 24.08.2015 г. № 877
В соответствии с пунктом 4 статьи 9-1 Закона Республики Казахстан от 27 ноября 2000 года «Об административных процедурах», а также в согласно подпункту 21) статьи 6 Закона Республики Казахстан от 11 января 2007 года «Об информатизации», ПРИКАЗЫВАЮ:
2. Департаменту государственной политики в сфере информационных технологий (Елеусизова К.Б.) обеспечить:
1) в установленном законодательством порядке государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) после его государственной регистрации в Министерстве юстиции Республики Казахстан, официальное опубликование в средствах массовой информации, в том числе на интернет-ресурсе Министерства транспорта и коммуникаций Республики Казахстан и размещение его на ИПГО.
3. Контроль за исполнением настоящего приказа возложить на вице-министра транспорта и коммуникаций Республики Казахстан Сарсенова С.С.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня первого официального опубликования.
Министр А. Жумагалиев
Утвержден приказом Министра транспорта и коммуникаций Республики Казахстан от 13 декабря 2012 года № 880
Регламент государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам»
1. Общие положения
1. Настоящий регламент государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (далее – Регламент) разработан в соответствии с пунктом 4 статьи 9-1 Закона Республики Казахстан от 27 ноября 2000 года «Об административных процедурах, а также Стандартом государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам», утвержденного постановлением Правительства Республики Казахстан от 25 сентября 2012 года № 1241 (далее – Стандарт).
2. В настоящем Регламенте используются следующие понятия:
1) аттестат соответствия информационной системы требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее – аттестат) – документ, подтверждающий факт соответствия информационной системы требованиям информационной безопасности (далее – ИБ) и принятым на территории Республики Казахстан стандартам;
2) получатель государственной услуги (далее – получатель) – физические и юридические лица, являющиеся собственниками или владельцами государственных информационных систем или негосударственных информационных систем, интегрируемых с государственными информационными системами;
3) аттестация информационной системы на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам – комплекс организационно-технических мероприятий по определению фактического состояния защищенности информационной системы и ее соответствия требованиям ИБ и принятым на территории Республики Казахстан стандартам.
4) информационная система (далее – ИС) – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации с применением аппаратно-программного комплекса;
5) аттестационное обследование (далее – аттестационное обследование) – проверка общей структуры ИС конфигурации компонентов являющихся составляющими ИС; экспертиза организационных мер информационной безопасности эксплуатируемой ИС, а также инструментальное обследование компонентов ИС, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты;
6) уполномоченная организация – Республиканское государственное предприятие «Центр технического сопровождения и анализа в области телекоммуникаций»;
7) аттестационная комиссия (далее – Комиссия) – консультативно-совещательный орган при уполномоченном органе, который рассматривает результаты аттестационного обследования и вырабатывает соответствующие рекомендации;
8) структурно-функциональная единица (далее – СФЕ) – это лица заинтересованных органов, информационные системы или их подсистемы, которые участвуют в процессе оказания государственной услуги.
3. Государственная услуга «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (далее – государственная услуга) оказывается Министерством транспорта и коммуникаций Республики Казахстан (далее – уполномоченный орган) по адресу: 010000, город Астана, улица Орынбор, дом 8, административное здание «Дом министерств», 14 подъезд.
4. Форма оказываемой государственной услуги: не автоматизированная.
5. Результатом оказываемой государственной услуги является выдача аттестата на бумажном носителе, либо мотивированный ответ на бумажном носителе об отказе в предоставлении государственной услуги.
2. Требования к оказанию государственной услуги
6. Государственная услуга оказывается уполномоченным органом ежедневно, за исключением выходных и праздничных дней, с 9.00 до 18.30 часов, с перерывом на обед с 13.00 до 14.30 часов.
Государственная услуга оказывается в порядке очереди, без предварительной записи. Режим ускоренного обслуживания не предусмотрен.
7. Информация о порядке оказания государственной услуги и документах для ее получения размещаются на Интернет-ресурсах: www.mtс.gov.kz и www.ctsat.kz или по телефону: 8 (7172) 74-03-54.
8. Для получения государственной услуги получатель либо по доверенности его уполномоченный представитель предоставляет документы согласно пункту 11 Стандарта.
9. Сроки оказания государственной услуги указаны в пункте 7 Стандарта.
10. Основания для отказа в предоставлении государственной услуги указаны в пункте 16 Стандарта.
1) получателем не представлен полный пакет необходимых документов согласно пункта 11 Стандарта;
2) ИС получателя не соответствует требованиям стандартов в области ИБ, принятых на территории Республики Казахстан.
11. Этапы оказания государственной услуги с момента обращения получателя до выдачи ему результата государственной услуги:
1) 1-й этап – работниками Канцелярии уполномоченного органа в случае поступления заявки производится прием, вскрытие, сканирование и регистрация входящей корреспонденции в Единой системе электронного документооборота (далее – ЕСЭДО) с прилагаемой заявкой и документами согласно пункту 11 Стандарта (далее – заявка). В случае превышения объема допустимых вложений в ЕСЭДО сканируются первые листы каждого вложения и в РКК документа вносится соответствующая отметка. В случае поступления заявки на бумажном носителе под грифом «Для служебного пользования» (далее – ДСП) производится прием, вскрытие и регистрация в ЕСЭДО;
2) 2-й этап – определение ответственного структурного подразделения уполномоченного органа по рассмотрению документа. Согласно поручению (резолюции) вице-министра, заявка направляется структурному подразделению уполномоченного органа для исполнения по ЕСЭДО или под роспись ответственного должностного лица структурного подразделения уполномоченного органа в журнале учета входящих ДСП документов;
3) 3-й этап – должностное лицо структурного подразделения уполномоченного органа в течение двух календарных дней с момента получения заявки осуществляет проверку соответствия заявки требованиям пункта 11 Стандарта (соответствие и комплектность);
4) 4-й этап – в случае соответствия требованиям к форме и комплектности, установленным пунктом 11 Стандарта, заявка в течение двух календарных дней направляется в уполномоченную организацию, в противном случае заявка возвращается получателю с указанием в сопроводительном письме причин возврата заявки;
5) 5-й этап – работниками службы документационного обеспечения уполномоченной организации производится прием, вскрытие, сортировка и регистрация заявки в журнале регистрации входящей корреспонденции;
6) 6-й этап – рассмотрение руководителем уполномоченной организации входящей корреспонденции и определение ответственного должностного лица по рассмотрению заявки. Согласно поручению (резолюции) руководителя, заявка направляется должностному лицу уполномоченной организации для исполнения под роспись в соответствующем журнале;
7) 7-й этап – после получения заявки на проведение аттестации ИС должностное лицо уполномоченной организации направляет служебную записку в юридический отдел уполномоченной организации для получения согласия на заключение договора с получателем;
8) 8-й этап – юридический отдел уполномоченной организации в течение одного календарного дня направляет получателю два экземпляра договора на оказание услуг по аттестационному обследованию, договора на исполнение совместных работ по обеспечению ИБ и при наличии в информационных системах средств криптографической защиты информации или при необходимости – договора на выполнение совместных секретных работ;
9) 9-й этап – получатель после получения двух экземпляров вышеуказанных договоров в течение трех календарных дней подписывает и возвращает по одному экземпляру каждого договора в уполномоченную организацию;
10) 10-й этап – на основании договора, заключенного получателем, уполномоченная организация проводит аттестационное обследование ИС. Срок аттестационного обследования не должен превышать двадцати одного календарного дня с момента заключения договора на проведение аттестационного обследования. В случае, если структура аттестуемой ИС включает ведомственные или региональные компоненты ИС, уполномоченная организация обращается в уполномоченный орган с ходатайством о продлении срока аттестационного обследования с изложением причин невозможности соблюдения установленного срока. Уполномоченным органом принимается решение о продлении срока аттестационного обследования сроком не более семнадцати календарных дней, о чем сообщается получателю в течение одного календарного дня. Аттестационное обследование проводится в соответствии с нормативными правовыми актами и стандартами в области ИБ, принятыми на территории Республики Казахстан, перечень которых определяется уполномоченной организацией с учетом примененных информационных технологий в аттестуемой ИС. Получатель обеспечивает доступ к помещению, оборудованию и информации по аттестуемой ИС для проведения аттестационного обследования уполномоченной организацией;
11) 11-й этап – по результатам аттестационного обследования уполномоченной организацией составляется акт, который передается уполномоченному органу. Акт составляется в четырех экземплярах (по одному для Комиссии, уполномоченного органа по защите государственных секретов, органов национальной безопасности и заявителя) и включает в себя сведения о фактическом состоянии защищенности ИС;
12) 12-й этап – уполномоченный орган в течение двух календарных дней с момента получения акта созывает Комиссию и передает акт на рассмотрение данной Комиссии;
13) 13-й этап – на основании акта Комиссией вырабатываются соответствующие рекомендации, которые оформляются в виде протокола. При рассмотрении данных актов Комиссия учитывает уровень функциональной сложности ИС и ее назначение, характер обрабатываемой ИС информации, категорию доступа ИС, режим обработки данных в ИС, комплектность нормативно-технической документации по ИБ и соблюдение ее требований, оценку реальных угроз безопасности (потенциальные источники угроз и уязвимости);
14) 14-й этап – на основании протокола Комиссии и с учетом акта уполномоченный орган в течение одного календарного дня принимает одно из следующих решений:
о выдаче или об отказе в выдаче аттестата (решение об отказе в выдаче аттестата принимается на основании указанных в акте несоответствий требованиям стандартов в области ИБ, принятых на территории Республики Казахстан);
об устранении получателем выявленных несоответствий (данное решение может быть принято не более одного раза к заявке на проведение аттестации ИС). Копия решения направляется заявителю;
15) 15-й этап – в случае принятия Комиссией решения об устранении выявленных несоответствий, срок оказания государственной услуги приостанавливается до извещения уполномоченного органа об устранении выявленных несоответствии во время аттестационного обследования. Получатель в течение двадцати рабочих дней с момента получения копии решения устраняет выявленные несоответствия и извещает уполномоченный орган об их устранении, после чего уполномоченный орган в течение одного календарного дня извещает уполномоченную организацию о необходимости проведения дополнительного аттестационного обследования ИС. Срок дополнительного аттестационного обследования ИС не должен превышать восьми календарных дней со дня получения извещения из уполномоченного органа;
16) 16-й этап – после проведения дополнительного аттестационного обследования осуществляются действия согласно этапам указанных в подпунктах 11) – 14) пункта 13 настоящего Регламента;
17) 17-й этап – в случае принятия уполномоченным органом положительного решения по результатам аттестационного либо дополнительного аттестационного обследования, уполномоченным органом в установленный в подпункте 14) пункта 13 настоящего Регламента срок выдается аттестат;
18) 18-й этап – в случае отказа в выдаче аттестата уполномоченным органом в установленный в подпункте 11) пункта 13 настоящего Регламента срок, заявителю направляется мотивированный ответ на бумажном носители с указанием причин отказа.
3. Описание порядка действий (взаимодействий) в процессе оказания государственной услуги
12. В процессе оказания государственной услуги задействованы следующие СФЕ:
1) сотрудник канцелярий;
1) должностное лицо уполномоченного органа;
2) вице-министр Уполномоченного органа;
4) уполномоченная организация;
5) должностное лицо уполномоченной организации;
5) Комиссия.
13. Текстовое табличное описание последовательности и взаимодействие административных действий (процедур) каждой СФЕ с указанием срока выполнения каждого административного действия (процедуры) приведены в приложении 1 к настоящему Регламенту.
14. Схема взаимодействия между логической последовательностью административных действий в процессе оказания государственной услуги и СФЕ приведена в приложении 2 к настоящему Регламенту.
Приложение 1 к регламенту государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам»
Текстовое табличное описание последовательности и взаимодействия административных действий (процедур) каждой СФЕ
Таблица 1. Описание действий СФЕ
Действия основного процесса (хода, потока работ) | ||||
1 | № действия (хода, потока работ) | 1 | 2 | 3 |
2 | Наименование СФЕ | Сотрудник СДО Уполномоченного органа | Вице-министр Уполномочен- ного органа | Должностное лицо Уполномоченного органа |
3 | Наименование действия (процесса, процедуры, операции) и их описание | прием, вскрытие, сортировка и регистрация заявки в ЕСЭДО или журнале регистрации входящей ДСП корреспонденции | определение должностного лица | Осуществление проверки соответствия заявки и прилагаемых документов требованиям к форме и комплектности и направления в РГП «ЦТСАТ» в противном случае возврат получателю с указанием причин; |
4 | Форма завершения (данные, документ, организацион- но-распоря- дительное решение) | Регистрация в ЕСЭДО или журнале регистрации входящей ДСП корреспонденции | Согласно поручению (резолюции) Вице- министра, заявка направляется должностному лицу для исполнения в ЕСЭДО или под роспись в журнале учета входящих ДСП документов | Отправка сопроводительным письмом заявки с приложенными документами в адрес РГП «ЦТСАТ» |
5 | Сроки исполнения | 15 минут | 1 календарный день | 1 календарный день |
Действия основного процесса (хода, потока работ) | |||||
1 | № действия (хода, потока работ) | 4 | 5 | 6 | 7 |
2 | Наименование СФЕ | Сотрудник СДО РГП «ЦТСАТ» | Руководитель РГП «ЦТСАТ» | Должностное лицо РГП «ЦТСАТ» | Должностное лицо РГП «ЦТСАТ» |
3 | Наименование действия (процесса, процедуры, операции) и их описание | прием, вскрытие, сортировка и регистрация заявки с приложенными документами | определение должностного лица | направляет получателю два экземпляра договора на оказание услуг | проводит аттеста- ционное обследо- вание ИС |
4 | Форма завершения (данные, документ, организацион- но-распоряди- тельное решение) | Регистрация в журнале регистрации входящей корреспон- денции | В соответствии с поручением (резолюцией) руководства письмо с прилагаемыми регистраци- онными заявками направляются для исполнения под роспись в журнале | Договор | Акт |
5 | Сроки исполнения | 15 мин | 1 календарный день | 1 календарный день | 21 календарный день |
Действия основного процесса (хода, потока работ) | ||||
1 | № действия (хода, потока работ) | 8 | 9 | 10 |
2 | Наименование СФЕ | Уполномочен- ный орган | Комиссия | Уполномоченный орган |
3 | Наименование действия (процесса, процедуры, операции) и их описание | созыв Комиссию и передача акта на рассмотрение Комиссии; | соответствующие рекомендации | в случае принятия положительного решения выдает аттестат по форме согласно приложению 1 к Стандарту и вносит соответствующие сведения в реестр аттестатов. В случае отказа в выдаче аттестата потребителю направляется соответствующее уведомление с указанием причин отказа |
4 | Форма завершения (данные, документ, организацион- но-распоря- дительное решение) | Протокол Комиссии | Протокол Комиссии | Выдача Аттестата, внесение сведений в реестр аттестатов либо в уведомление потребителю |
5 | Сроки исполнения | 2 календарный день | 1 календарный день | 1 календарный день |
Приложение 2 к регламенту государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам»
Схема взаимодействия между логической последовательностью административных действий в процессе оказания государственной услуги и СФЕ Процесс проведения аттестации информационных систем
Полная версия