Главная / Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности

Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности

Испытания объектов информатизации «электронного правительства»  на соответствие требованиям информационной безопасности

Услуга «Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности» (далее – Испытания) оказывается АО «Государственная техническая служба» (далее — АО «ГТС») на основании подпункта 7) пункта 1 статьи 14 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года (далее — Закон), выполняемой как вид деятельности в сфере информатизации, отнесенный к государственной монополии.

Испытания включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.


1. Перечень объектов информатизации «электронного правительства», для которых Испытания являются обязательными и проводятся АО «ГТС»

В соответствие с пунктом 2 статьи 49 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года Испытания являются обязательными и проводятся для следующих объектов информатизации:

1) сервисный программный продукт;
2) информационно-коммуникационная платформа «электронного правительства»;
3) интернет-ресурс государственного органа (далее – ГО);
4) информационная система ГО; 
5) информационная система ГО, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;
6) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.

Примечание: Испытания на соответствие требованиям информационной безопасности негосударственной информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры (за исключением являющихся объектами информатизации «электронного правительства»), и других объектов информатизации, не относящихся к объектам информатизации «электронного правительства» проводятся аккредитованными испытательными лабораториями в соответствии с Законом и законодательством Республики Казахстан в области технического регулирования.


2. Применяемые нормативные правовые акты и стандарты:

1. Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V (http://adilet.zan.kz/rus/docs/Z1500000418);
2. Закон Республики Казахстан «О доступе к информации» от 16 ноября 2015 года № 401-V ЗРК (http://adilet.zan.kz/rus/docs/Z1500000401)
3. Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» (http://adilet.zan.kz/rus/docs/P1600000832);
4. Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 г. № 111/НҚ «Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности» (далее – Правила) (http://adilet.zan.kz/rus/docs/V1900018795).
Методика проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры  на соответствие требованиям информационной безопасности  устанавливает состав и содержание работ Испытаний.
Правила проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности  устанавливают порядок проведения Испытаний.

5. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135 «Об утверждении Правил классификации объектов информатизации и классификатор объектов информатизации» (http://adilet.zan.kz/rus/docs/V1600013349);

6. Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ «Об утверждении правил проведения мониторинга обеспечения информационной безопасности объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры» (http://adilet.zan.kz/rus/docs/V1800017019);
7. Приказ и.о. Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123 «Об утверждении Правил интеграции объектов информатизации «электронного правительства» (http://adilet.zan.kz/rus/docs/V1800016777);
8. СТ РК ИСО/МЭК 15408-2-2017 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
9. СТ РК ИСО/МЭК 13335-5-2008 «Методы и средства обеспечения безопасности. Управление защитой информационных и коммуникационных технологий. Часть 5. Руководство по управлению защитой сети»;
10. СТ РК ISO/IEC 27001-2015 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасностью»;
11. СТ РК ISO/IEC 27002-2015 «Методы и средства обеспечения безопасности. Свод правил по средствам управления информационной безопасности».


3. Состав работ при испытаниях (согласно пункту 2 Правил, за исключением сервисного программного продукта)

Испытания состоят из следующих работ (пункт 7 Правил):
1) Анализ исходных кодов — включает в себя проведение статического и динамического анализа программного обеспечения на наличие «недостатков» с применением программных средств, предназначенных для анализа исходного кода;

2) Испытание функций информационной безопасности — включает в себя проверку соответствия функций безопасности серверов и виртуальных ресурсов (состав и содержание функций представлены в приложение 1 к Методике) технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);

3) Нагрузочное испытание — включает в себя оценку соблюдения доступности, целостности и конфиденциальности объекта испытаний, выявляет параметры фактической нагрузочной способности объекта испытаний, проводится с использованием специализированных программных средств на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные;

4) Обследование сетевой инфраструктуры — включает в себя проверку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, сканирование на наличие уязвимостей программного обеспечения, обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств при необходимости, (состав и содержание функций представлены в приложение 2 к Методике); 

5) Обследование процессов обеспечения информационной безопасности — включает в себя проверку соответствия процессов обеспечения информационной безопасности (состав и содержание функций представлены в приложение 3 к Методике) требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности, сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей и формирование рекомендаций по их устранению (при необходимости).
По результатам испытаний по каждому виду работ формируется протокол.


4. В испытания сервисного программного продукта входит:

1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание (п.9 Правил).


5. В испытания информационно-коммуникационной платформы «электронного правительства входит:

1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) обследование сетевой инфраструктуры;
4) обследование процессов обеспечения информационной безопасности;


6. Стоимость услуги

Цена на услугу «Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности», устанавливаются приказом Председателя Комитета национальной безопасности Республики Казахстан от 23 октября 2018 года № 86/қе «Об утверждении цен на услуги, реализуемые субъектом государственной монополии в сферах информатизации, обеспечения информационной безопасности» и составляют:

Анализ исходных кодов За 1 Мб 9 654 тенге
Испытание функций информационной безопасности За 1 объект испытаний (системы/подсистемы) 840 255 тенге
Нагрузочное испытание За 1 вариант способа (протокола) подключения пользователей и способа (протокола) подключения интеграционного взаимодействия 528 371 тенге
Обследование сетевой инфраструктуры За 1 сеть (подсеть) телекоммуникаций 924 405 тенге
Обследование процессов обеспечения информационной безопасности За 1 объект испытаний (системы/подсистемы) 845 855  тенге 

Для получения ценового предложения (расчет стоимости) услуги проведения Испытаний заявитель направляет в адрес АО «ГТС» официальный запрос с приложением утвержденной собственником или владельцем объекта испытаний анкеты-вопросника о характеристиках объекта испытаний согласно пункту 29 Правил.
В случае если при подаче заявки на проведение Испытаний заявителю потребуется получить ценовое предложение (расчет стоимости) услуги Испытаний, заявителю необходимо направить в адрес АО «ГТС» официальный запрос об этом.


7. Порядок проведения Испытаний


Перечень  документов, прилагаемых к заявке, подаваемой по шагу 1

Для проведения испытаний заявителем с сопроводительным письмом подается заявка на проведение испытаний (далее – заявка) на бумажном носителе в АО «Государственная техническая служба» по форме, согласно приложению 1 к Правилам, с предоставлением следующих документов (п.15 Правил):

1) копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

2) анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденным собственником или владельцем объекта испытаний на бумажном носителе;

3) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации или задание на проектирование информационно-коммуникационной услуги (для сервисного программного продукта) на компакт-диске;

4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);

5) копии утвержденного перечня технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к Правилам в электронном виде на компакт-диске (при необходимости);

6) документ, уполномочивающий заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).


8. Порядок получения акта по результатам испытаний на соответствие требованиям информационной безопасности

Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к Правилам (далее – акт испытаний) выдается Комитетом по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – услогодатель, уполномоченный орган).

Для получения акта испытаний заявитель (далее – услугополучатель, заявитель) направляет услугодателю в бумажной форме либо через веб-портал «электронного правительства» (далее – портал) заявление по форме согласно приложению 7 к Правилам с полным комплектом протоколов, определенных пунктами 7-11 Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденной собственником или владельцем объекта испытаний.

При этом срок действия протокола по отдельному виду испытания для включения в акт испытаний не превышает одного года с даты выдачи протокола.

При положительных результатах протоколов испытаний заявление рассматривается в течение десяти рабочих дней со дня его регистрации. На основании полного комплекта протоколов испытаний, определенных пунктами с 7-11 Правил услугодатель в течение семи рабочих дней изучает протокола испытаний и устанавливает расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний.

 

1) о выдаче акта испытаний;

2) об отказе в выдаче акта испытаний.

В случае принятия положительного решения о выдаче акта испытаний:

 

 

В случае принятия решения об отказе в выдаче акта испытаний:

при подаче заявления в бумажной форме, услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в бумажной форме;

при подаче заявления через портал, услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в «личный кабинет» в форме электронного документа, подписанного электронной цифровой подписью (далее – ЭЦП) уполномоченного лица услугодателя».


9. В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний,
 решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний по запросу заявителя устанавливается КИБ МЦРИАП РК.


10. В случае интеграции
 (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое) (п.14 Правил).


Контакты для получения консультаций

По вопросам Испытаний обращаться к контактным лицам АО «ГТС» по телефону 1400, +7 (7172) 559999 (внутренние номера: 612, 613), e-mail synaq@sts.kz.

Часто задаваемые вопросы

Должна ли негосударственная информационная система проходить испытания на соответствие требованиям ИБ?

Негосударственная информационная система подлежит обязательным испытаниям на соответствие требованиям информационной безопасности в случаях, если она:
1) предназначена для формирования государственных электронных ресурсов, осуществления государственных функций и государственных услуг;
2) отнесена к критически важным объектам информационно-коммуникационной инфраструктуры.

Кто проводит испытания негосударственных информационных систем?

Испытания негосударственной информационной системы, предназначенной для формирования государственных электронных ресурсов, осуществления государственных функций и государственных услуг проводится в АО «ГТС».
Испытания иных негосударственных информационных систем, в том числе, информационных систем отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, но не являющихся при этом объектом информатизации «электронного правительства» проводятся в аккредитованных согласно закону Республики Казахстан «О техническом регулировании» испытательных лабораториях.

Как получить ценовое предложение на испытания?

Согласно п. 29 Правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности, утвержденных приказом министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 03.06.2019 года № 111/НҚ (далее-Правила испытаний) для расчета стоимости проведения испытаний заявитель направляет в АО «ГТС» анкету-вопросник о характеристиках объекта испытаний, утвержденную собственником или владельцем объекта испытаний.
Стоимость испытания рассчитывается с учетом тарифов, утвержденных Приказом Председателя Комитета национальной безопасности Республики Казахстан от 23 октября 2018 года № 86/қе и характеристик объекта испытаний, указанных в анкете-вопроснике.

Каков порядок передачи исходных кодов объекта испытаний?

Исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции направляются в АО «ГТС» на компакт-диске с актом приема-передачи исходных кодов по форме согласно приложению 5 к Правилам испытаний.

Какие документы необходимо предоставить для прохождения испытаний?

Для проведения испытаний заявителем с сопроводительным письмом подается заявка на проведение испытаний (далее – заявка) на бумажном носителе в АО «Государственная техническая служба»  по форме, согласно приложению 1 к Правилам, с предоставлением следующих документов (п.15 Правил):
1) копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);"
2) анкета-вопросник о характеристиках объекта испытаний о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденный собственником или владельцем объекта испытаний на бумажном носителе;
3) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации или задание на проектирование информационно-коммуникационной услуги (для сервисного программного продукта) на компакт-диске;
4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);
5) копии утвержденного перечня технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к Правилам в электронном виде на компакт-диске (при необходимости);
6) документ, уполномочивающий заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).

Какие объекты информатизации подлежат обязательным испытаниям?

Согласно пункту 4 Правил испытаний к объектам испытаний, подлежащим обязательным испытаниям на соответствие требованиям информационной безопасности, относятся:
1) сервисный программный продукт;
2) информационно-коммуникационная платформа «электронного правительства»;
3) интернет-ресурс государственного органа;
4) информационная система государственного органа;
5) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;
6) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.

Существуют ли ограничения на срок подачи заявки на проведение испытаний?

Ограничения на срок подачи заявок определены в пункте 16 Правил испытаний для заявителей, которые осуществляют закупки посредством веб-портала государственных закупок. В этом случае заявка на проведение испытаний принимается не позднее 1 ноября текущего года. При этом в случае, если заявитель осуществляет закупку посредством веб-портала государственных закупок, и в срок до 15 ноября не направил в адрес государственной технической службы договор о государственных закупках посредством веб-портала государственных закупок, заявка аннулируется и возвращается заявителю.

Каков порядок и сроки заключения договора на испытания?

Порядок и сроки заключения договора определены в пунктах 17-19 Правил испытаний.
АО «ГТС» в течение трёх рабочих дней со дня получения заявки должна осуществить проверку полноты документов, направленных с заявкой на испытания согласно перечня, определенного в пункте 15 Правил испытаний.
В случае несоответствия заявки и приложенных документов заявка возвращается заявителю с указанием причин возврата.
При наличии полного пакета документов АО «ГТС» в течение трёх рабочих дней направляет заявителю:
1) проект технической спецификации к договору на проведение испытаний, если заявитель осуществляет закупки посредством веб-портала государственных закупок. Заявитель в течение трех рабочих дней со дня получения проекта технической спецификации размещает на веб-портале государственных закупок проект договора о государственных закупках способом из одного источника путем прямого заключения договора о государственных закупках;
2) два экземпляра договора на проведение испытаний, если заявитель осуществляет закупки без применения веб-портала государственных закупок. Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в АО «ГТС».

Срок проведения испытаний?

Согласно пункта 21 Правил испытаний срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик объекта испытаний.
В случае невозможности согласования сроков проведения испытания, заявка возвращается заявителю без удовлетворения с указанием возможности обратиться в уполномоченный орган для определения сроков испытаний.

Какое время отводится на устранение несоответствий и каков срок проведения повторных испытаний?

Согласно пункту 37 Правил испытаний заявителю предоставляется двадцать рабочих дней со дня получения протоколов испытаний по проведенным работам на устранение выявленных замечаний. 
После их устранения, заявитель должен направить в АО «ГТС» запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий.
 АО «ГТС» на безвозмездной основе в течение пятнадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

Как и кем рассчитывается класс ИС?

Классификация объектов информатизации осуществляется в соответствии с Правилами классификации объектов информатизации, утвержденных приказом Министра по инвестициям и развитию Республики Казахстан от 28.01.2016 года №135 (далее – Правила классификации).
Согласно пункта 4 Правил классификации при классификации объектов информатизации государственных органов, им оказывает консультационную и практическую помощь сервисный интегратор «электронного правительства». 
Пункт 10 Правил классификации устанавливает, что классификацию негосударственных объектов информатизации осуществляют их собственники (владельцы).

Какие работы входят в состав испытаний ИС?

Согласно пункту 7 Правил испытаний в состав испытаний объекта испытаний, входят следующие виды работ:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание;
4) обследование сетевой инфраструктуры;
5) обследование процессов обеспечения информационной безопасности.

Каков срок действия акта испытаний?

Согласно пункту 47 Правил испытаний срок действия акта испытаний с положительным результатом ограничивается сроком промышленной эксплуатации объекта испытаний, за исключением информационно-коммуникационной платформы «электронного правительства», или до момента начала модернизации объекта испытаний.
Акт испытаний информационно-коммуникационной платформы «электронного правительства» выдается со сроком действия один год.

В каких случаях возникает необходимость прохождения повторных испытаний ИС?

В соответствии с пунктом 48 Правил в случае изменения условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет услугодателю (уполномоченный орган) уведомление с приложением описания всех произведенных изменений и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной собственником или владельцем объекта испытаний.

Кто принимает решение о необходимости проведения повторных испытаний?

КИБ МЦРИАП РК в срок не более пяти рабочих дней принимает решение об отзыве или не отзыве акта испытаний.

В каком документе определена стоимость испытаний?

Стоимость испытаний установлена приказом Председателя Комитета национальной безопасности Республики Казахстан от 23 октября 2018 года № 86/қе «Об утверждении цен на услуги, реализуемые субъектом государственной монополии в сферах информатизации, обеспечения информационной безопасности» и составляет:
1) Анализ исходных кодов  – 9 654 тенге за 1 Мб;
2) Испытание функций информационной безопасности – 840 255 тенге для одного объекта испытаний (фиксированная стоимость);
3) Нагрузочное испытание – 528 371 тенге на один вариант способа (протокола) подключения пользователей и один вариант способа (протокола) интеграционного взаимодействия; 
4) Обследование сетевой инфраструктуры – 924 405 тенге для одной подсети телекоммуникаций.
5) Обследование процессов обеспечения информационной безопасности – 845 855 тенге за 1 объект испытаний (системы/подсистемы)

Кто может подать заявку на испытания?

Согласно подпункта 9) пункта 2 Правил испытаний Заявителем на проведение испытаний может  выступать собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности. 
Форма документа на уполномочивание Приказом испытаний не регламентируется.

Кто выдает Акт испытаний?

Согласно пункту 40 Правил испытаний Акт по результатам выдает уполномоченный орган в сфере информационной безопасности - КИБ МЦРИАП РК.

Имеются ли ограничения на срок действия протоколов испытаний?

Срок действия протокола установлен в пункте 42 Правил испытаний и по отдельному виду испытания для включения в акт испытаний не превышает одного года с даты выдачи протокола.

Какие действия необходимо предпринять заявителю для получения акта испытаний?

Для получения акта испытаний заявитель (далее - услугополучатель) направляет услугодателю в бумажной форме либо через веб-портал "электронного правительства" заявление по форме согласно приложению 7 к Правилам с полным комплектом протоколов, определенных пунктами 7-11 Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам, утвержденной собственником или владельцем объекта испытаний.

Какие действия может предпринять заявитель в случае несогласия с результатами испытаний?

При отрицательных результатах одного или нескольких протоколов испытаний заявление рассматривается в течение пятнадцати рабочих дней со дня его регистрации.

Для устранения возникших разногласий, КИБ МЦРИАП РК приглашает для обсуждения представителей заявителя и поставщика (поставщиков) и в их присутствии принимает окончательное решение о выдаче или не выдаче акта испытаний.