Испытания объектов информатизации на соответствие требованиям информационной безопасности

Услуга «Испытания сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса и информационной системы государственного органа, информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры, негосударственной информационной системы, интегрируемой с информационной системой государственного органа или предназначенной для формирования государственных электронных информационных ресурсов, на соответствие требованиям информационной безопасности» (далее – Испытания по ИБ) оказывается на основании пункта 2 статьи 49 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года (далее - Закон).
Согласно подпункту 7) пункта 1 Статьи 14 Закона Испытания по ИБ осуществляются Государственной технической службой.
 
Применяемые нормативные правовые акты и стандарты 
 
1. Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V;
2. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 г. «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности».
Правила устанавливают порядок проведения Испытаний по ИБ.
Методика устанавливает состав и содержание работ Испытаний по ИБ.
3. СТ РК ИСО/МЭК 27001-2008 Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
4. СТ РК ИСО/МЭК 27002-2009 Методы обеспечения защиты. Свод правил по управлению защитой информации;
5. СТ РК ИСО/МЭК 15408-2-2002. «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
6. СТ РК ИСО/МЭК 13335-5-2008. «Методы и средства обеспечения безопасности. Управление защитой информационных и коммуникационных технологий. Часть 5. Руководство по управлению защитой сети».

Стоимость услуги
 
Стоимость услуги на Испытания по ИБ устанавливается уполномоченным органом по согласованию с антимонопольным органом и в настоящий момент определена Заключением Комитета по регулированию естественных монополий и защите конкуренции Министерства национальной экономики Республики Казахстан (письмо в адрес МИК от 17 августа 2016 года № 34-5-23/46, 1 – ДСП).


Состав работ

Испытания по ИБ состоят из следующих работ:
1) Анализ исходных кодов - включает в себя проведение статистического и динамического анализа программного обеспечения на наличие «недостатков» (ошибок программирования, уязвимостей, недокументированных возможностей, программных закладок) с применением программных средств и ручного анализа исходного кода;
2) Испытание функций информационной безопасности - включает в себя проверку соответствия функций безопасности (состав и содержание функций представлены в приложение 1 к Методике проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности) и настроек системного и прикладного ПО требованиям стандартов, а также  выявление технических рисков ИБ;
3) Нагрузочное испытание - включает в себя оценку соблюдения доступности, целостности и конфиденциальности испытываемого объекта под нагрузкой, соответствующей работе реальных пользователей, создаваемой с помощью программных средств;
4) Обследование сети телекоммуникаций и серверного оборудования - включает в себя проверку соответствия функций защиты сети телекоммуникаций и серверного оборудования  (состав и содержание функций представлены в приложение 2 к Методике проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности), архитектуры, схем локальных сетей и телекоммуникаций требованиям технической документации и стандартам, а также выявление (с применением программных средств) уязвимостей ПО телекоммуникационного и серверного оборудования;
5) Формирование протоколов (по итогам каждого вида работ);
6) Формирование акта испытаний (по итогам всех видов работ).

Перечень объектов испытаний по ИБ

В соответствие с пунктом 2 статьи 49 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года Испытания по ИБ являются обязательными и производятся для следующих объектов информатизации:
1) сервисный программный продукт;
2)информационно-коммуникационная платформа «электронного правительства»;
3) интернет-ресурс государственного органа (далее – ГО);
4) информационная система ГО;
5) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;
6) негосударственная информационная система, интегрируемая с информационной системой ГО;
7) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов.

Перечень  документов, прилагаемых к заявке
 (пункт 9 Правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности – (далее Правила ))

 Для проведения испытаний заявителем в ГТС подается заявка на проведение Испытаний по ИБ по форме, согласно приложению 1 к Правилам с предоставлением следующих документов:
1) копии документа, удостоверяющего личность (для физических лиц);
2) заверенные подписью и печатью заявителя копии учредительных документов и справки или свидетельства о государственной регистрации юридического лица (для юридических лиц);
3) анкета-вопросник о характеристиках объекта испытаний (далее – ОИ) по форме, согласно приложению 2 к Правилам;
4) техническая документация в соответствии с Перечнем технической документации согласно приложению 3 к Правилам;
5) исходные коды компонентов и модулей ОИ с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний, на компакт-диске.