Испытания объектов информатизации на соответствие требованиям информационной безопасности

Испытания объектов информатизации «электронного правительства»  на соответствие требованиям информационной безопасности

Услуга «Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности» (далее – Испытания) оказывается РГП «Государственная техническая служба» КНБ РК (далее - РГП «ГТС») на основании подпункта 7) пункта 1 статьи 14 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года (далее - Закон), выполняемой как вид деятельности в сфере информатизации, отнесенный к государственной монополии.

1. Перечень объектов информатизации «электронного правительства», для которых Испытания являются обязательными и проводятся РГП «ГТС»
В соответствие с пунктом 2 статьи 49 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года Испытания являются обязательными и проводятся для следующих объектов информатизации:

1) сервисный программный продукт;
2) информационно-коммуникационная платформа «электронного правительства»;
3) интернет-ресурс государственного органа (далее – ГО);
4) информационная система ГО;
5) информационная система ГО, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;
6) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.

Примечание: Испытания на соответствие требованиям информационной безопасности негосударственной информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры (за исключением являющихся объектами информатизации "электронного правительства"), и других объектов информатизации, не относящихся к объектам информатизации «электронного правительства» проводятся аккредитованными испытательными лабораториями в соответствии с Законом и законодательством Республики Казахстан в области технического регулирования.

2. Применяемые нормативные правовые акты и стандарты:
1. Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V (http://adilet.zan.kz/rus/docs/Z1500000418);
2. Закон Республики Казахстан «О доступе к информации» от 16 ноября 2015 года № 401-V ЗРК (http://adilet.zan.kz/rus/docs/Z1500000401)
3. Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» (http://adilet.zan.kz/rus/docs/P1600000832);
4. Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 г. № 111/НҚ «Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности» (далее – Правила) (http://adilet.zan.kz/rus/docs/V1900018795).
Методика проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры  на соответствие требованиям информационной безопасности  устанавливает состав и содержание работ Испытаний.
Правила проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности  устанавливают порядок проведения Испытаний.
5. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135 «Об утверждении Правил классификации объектов информатизации и классификатор объектов информатизации» (http://adilet.zan.kz/rus/docs/V1600013349);
6. Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ «Об утверждении правил проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры» (http://adilet.zan.kz/rus/docs/V1800017019);
7. Приказ и.о. Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123 «Об утверждении Правил интеграции объектов информатизации «электронного правительства» (http://adilet.zan.kz/rus/docs/V1800016777);
8. СТ РК ИСО/МЭК 15408-2-2017 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
9. СТ РК ИСО/МЭК 13335-5-2008 «Методы и средства обеспечения безопасности. Управление защитой информационных и коммуникационных технологий. Часть 5. Руководство по управлению защитой сети»;
10. СТ РК ISO/IEC 27001-2015 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью»;
11. СТ РК ISO/IEC 27002-2015 «Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасности».

3. Состав работ при испытаниях (согласно пункту 2 Правил, за исключением сервисного программного продукта)
Испытания состоят из следующих работ (пункт 7 Правил):
1) Анализ исходных кодов - включает в себя проведение статического и динамического анализа программного обеспечения на наличие «недостатков» с применением программных средств, предназначенных для анализа исходного кода;
2) Испытание функций информационной безопасности - включает в себя проверку соответствия функций безопасности серверов и виртуальных ресурсов (состав и содержание функций представлены в приложение 1 к Методике) технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);
3) Нагрузочное испытание - включает в себя оценку соблюдения доступности, целостности и конфиденциальности объекта испытаний, выявляет параметры фактической нагрузочной способности объекта испытаний, проводится с использованием специализированных программных средств на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные;
4) Обследование сетевой инфраструктуры - включает в себя проверку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, сканирование на наличие уязвимостей программного обеспечения, обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств при необходимости, (состав и содержание функций представлены в приложение 2 к Методике);
5) Обследование процессов обеспечения информационной безопасности - включает в себя проверку соответствия процессов обеспечения информационной безопасности (состав и содержание функций представлены в приложение 3 к Методике) требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности, сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей и формирование рекомендаций по их устранению (при необходимости).
По результатам испытаний по каждому виду работ формируется протокол.

4. В Испытания сервисного программного продукта входит:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание (п.9 Правил).

5. Стоимость услуги
Цена на услугу «Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности», устанавливаются приказом Председателя Комитета национальной безопасности Республики Казахстан от 23 октября 2018 года № 86/қе «Об утверждении цен на услуги, реализуемые субъектом государственной монополии в сферах информатизации, обеспечения информационной безопасности» и составляют:

Анализ исходных кодов

За 1 Мб

2 934 тенге

Испытание функций информационной безопасности

За 1 объект испытаний (системы/подсистемы)

423 524 тенге

Нагрузочное испытание

За 1 вариант способа (протокола) подключения пользователей и способа (протокола) подключения интеграционного взаимодействия

328 371 тенге

Обследование сетевой инфраструктуры

За 1 сеть (подсеть) телекоммуникаций

748 164 тенге

Обследование процессов обеспечения информационной безопасности

За 1 объект испытаний (системы/подсистемы)

тариф временно отсутствует

 

Для получения ценового предложения (расчет стоимости) услуги проведения Испытаний заявитель направляет в адрес РГП «ГТС» официальный запрос с приложением утвержденной собственником или владельцем объекта испытаний анкеты-вопросника о характеристиках объекта испытаний согласно пункту 29 Правил.
В случае если при подаче заявки на проведение Испытаний заявителю потребуется получить ценовое предложение (расчет стоимости) услуги Испытаний, заявителю необходимо направить в адрес РГП «ГТС» официальный запрос об этом.

6. Порядок проведения Испытаний

Перечень  документов, прилагаемых к заявке, подаваемой по шагу 1

Для проведения испытаний Заявителем с сопроводительным письмом подается заявка на бумажном носителе в РГП «ГТС» на проведение испытаний по форме, согласно приложению 1 к Правилам, с предоставлением следующих документов (п.16 Правил):
1) копии документа, удостоверяющего личность (для физических лиц);
2) заверенные подписью и печатью (при наличии) заявителя:
• копии учредительных документов (при наличии) юридического лица (для юридических лиц);
• копия справки или свидетельства о государственной регистрации юридического лица (для юридических лиц);
• копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);
• банковские реквизиты;
3) анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденная собственником или владельцем объекта испытаний на бумажном носителе;
4) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации или задание на проектирование информационно-коммуникационной услуги (для сервисного программного продукта) на компакт-диске;
5) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости), при этом исходный код и документы, прилагаемые к заявке на проведение испытаний, принимаются на отдельных носителях информации;
6) копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно  приложению 3 к Правилам в электронном виде на компакт-диске (при необходимости);
7) документ, уполномочивающий заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).

7. Порядок получения акта по результатам испытаний на соответствие требованиям информационной безопасности
Акт по результатам испытаний на соответствие требованиям информационной безопасности (далее – акт испытаний) выдается уполномоченным органом – Комитетом информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – КИБ МЦРИАП РК).
Срок действия протокола по отдельному виду испытания для включения в акт испытаний не превышает 1 года с даты выдачи протокола.
Для получения акта испытаний заявитель направляет в уполномоченный орган заявление с полным комплектом положительных протоколов и приложением анкеты-вопросника о характеристиках объекта испытаний, утвержденной владельцем (собственником) объекта испытаний на бумажном носителе.
Уполномоченный орган в течении 10 рабочих дней принимает решение о выдаче акта испытаний. Срок действия акта испытаний с положительным результатом ограничивается сроком промышленной эксплуатации объекта испытаний, за исключением информационно-коммуникационной платформы «электронного правительства», или до момента начала модернизации объекта испытаний.

8. В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний по запросу заявителя устанавливается КИБ МЦРИАП РК.

9. В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое) (п.15 Правил).

Контакты для получения консультаций
По вопросам Испытаний обращаться к контактным лицам РГП «ГТС» по телефону +7 (7172) 552988, e-mail synaq@sts.kz.