ПРИКАЗЫВАЮ:
1. Внести в приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 18795, опубликован 7 июня 2019 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан) следующие изменения и дополнения:
в Правилах проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила), утвержденным указанным приказом:
пункт 6 изложить в следующей редакции:
"6. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.";
пункт 12 исключить;
пункт 30 дополнить частью второй следующего содержания:
"Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.";
пункт 40 изложить с следующей редакции:
"40. Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к настоящим Правилам (далее – акт испытаний) выдается уполномоченным органом.";
пункт 41 изложить в следующей редакции:
"41. Для получения акта испытаний заявитель направляет в уполномоченный орган заявление по форме согласно приложению 6 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам (далее – анкета-вопросник о характеристиках объекта испытаний), утвержденной владельцем (собственником) объекта испытаний на бумажном носителе либо через веб-портал "электронного правительства".";
пункт 43 изложить в следующей редакции:
"43. На основании полного комплекта протоколов испытаний, определенных пунктами с 7 по 11 настоящих Правил уполномоченный орган в течении десяти рабочих дней принимает одно из следующих решений:
1) о выдаче акта испытаний;
2) об отказе в выдаче акта испытаний.
В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.
В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.";
пункт 44 изложить в следующей редакции:
"44. В случае возникновения несогласия заявителя с результатами по протоколам испытаний, срок оказания государственной услуги составляет пятнадцать рабочих дней.
Для устранения возникших разногласий, уполномоченный орган приглашает для обсуждения представителей заявителя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:
1) о выдаче акта испытаний;
2) об отказе выдаче акта испытаний.
В случае принятия положительного решения о выдаче акта испытаний, уполномоченный орган направляет заявителю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний и вносит соответствующие сведения в реестр актов испытаний.
В случае принятия решения об отказе в выдаче акта испытаний, уполномоченный орган направляет заявителю мотивированный ответ об отказе в выдаче акта испытаний.";
пункт 46 изложить в следующей редакции:
"46. В случае изменения условий функционирования и функциональности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет в уполномоченный орган уведомление с приложением описания всех произведенных изменений и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной подписью должностного лица и печатью собственника или владельца объекта испытаний.
Уполномоченный орган в срок не более пяти рабочих дней принимает решение об отзыве или не отзыве акта испытаний.";
в пункт 47 вносятся изменения на государственном языке, текст на русском языке не меняется;
дополнить пунктом 50 следующего содержания:
"50. Уполномоченный орган отказывает в выдаче акта испытаний по следующим основаниям:
1) установление расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного в уполномоченный орган с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний;
2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан.";
приложение 2 к указанным Правилам, изложить в новой редакции согласно приложению 3 к настоящему приказу;
приложение 4 к указанным Правилам, изложить в новой редакции согласно приложению 1 к настоящему приказу;
указанные Правила дополнить приложением 6 согласно приложению 2 к настоящему приказу.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
|
Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
А. Жумагалиев |
"СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
"___" ____________2019 года
Акт испытаний №___ "_____" ___________ 20__ г.
В соответствии с Заявкой от "___" ___________20__г. на основании
подпункта 11-1) статьи 7-1 Закона Республики Казахстан "Об информатизации"
Комитет по информационной безопасности Министерства цифрового развития,
инноваций и аэрокосмической промышленности Республики Казахстан выдал
настоящий Акт по результатам проведения испытаний на соответствие требованиям
информационной безопасности о том, что были проведено испытание
_________________________________________________________________
(наименование ОИ)
_________________________________________________________________
(фактическое местоположение серверного и сетевого оборудования)
_________________________________________________________________
(наименование заявителя объекта испытаний)
_________________________________________________________________
(наименование организации-заявителя/Ф.И.О. (при наличии) заявителя)
на основании следующих протоколов по видам испытаний:
1) Протокол анализа исходных кодов №___ от "___" _________ ___ г.,
наименование поставщика;
2) Протокол испытания функций информационной безопасности №___
от "___" _________ ___ г., наименование поставщика;
3) Протокол нагрузочного испытания №___
от "___" _________ ___ г., наименование поставщика;
4) Протокол обследования сетевой инфраструктуры №___
от "___" _________ ___ г., наименование поставщика;
5) Протокол обследование процессов обеспечения информационной безопасности
№___ от "___" _________ ___ г., наименование поставщика.
Заключение
На основании проведенных испытаний
________________________________________________________________________________
(наименование объекта испытаний)соответствует требованиям информационной безопасности.
Приложение: Копия анкеты-вопросника о характеристиках объекта испытаний Председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан
___________ ________________
(подпись) Ф.И.О. (при наличии)
"___" ___________ 20 __ г
ЗАЯВЛЕНИЕ
на получение акта испытаний
_________________________________________________________________
(наименование, БИН/ИИН*, Ф.И.О. (при его наличии)
заявителя)_________________________________________________________________
(почтовый адрес, e-mail и телефон заявителя, область, город, район)
просит выдать акт по результатам испытаний ______________________________________
(наименование объекта испытаний)
на соответствие требованиям информационной безопасности.
Прилагаемые документы:
1. анкета-вопросник о характеристиках объекта испытаний, утвержденный владельцем
(собственником) объекта испытаний;
2. протокол анализа исходных кодов (номер, дата, наименование поставщика);
3. протокол испытаний функций информационной безопасности (номер, дата, наименование
поставщика);
4. протокол нагрузочного испытания (номер, дата, наименование поставщика);
5. протокол обследования сетевой инфраструктуры (номер, дата, наименование поставщика);
6. протокол обследования процессов обеспечения информационной безопасности (номер,
дата, наименование поставщика).
Согласен на использование персональных данных ограниченного доступа, составляющих
охраняемую законом тайну, содержащихся в информационных системах.
__________________________
(подпись) М.П. (при наличии)
"___" __________ 20 ___ года
*бизнес-идентификационный номер/индивидуальный идентификационный номер
Анкета-вопросник о характеристиках объекта испытаний
1. Наименование объекта испытаний:
_________________________________________________________________
_________________________________________________________________
2. Краткая аннотация на объект испытаний
_________________________________________________________________
(назначение и область применения)
3. Классификация объекта испытаний:
1) класс прикладного программного обеспечения _________________.
2) схема классификации по форме приложения 2 к Правилам классификации объектов
информатизации, утвержденным Приказом исполняющего обязанности Министра по
инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135
(зарегистрирован в Реестре государственной регистрации нормативных правовых актов
за № 13349).
4. Архитектура объекта испытаний:
1) функциональная схему объекта испытаний(при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;
связей между компонентами или модулями и направления информационных потоков;
точки подключения интеграционного взаимодействия с другими объектами
информатизации;
точки подключения пользователей;
мест и технологий хранения данных;
применяемого резервного оборудования;
разъяснения применяемых терминов и аббревиатур;
2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:
архитектуры и характеристик сети;
серверного сетевого и коммуникационного оборудования;
адресации и применяемых сетевых технологий;
используемых локальных, ведомственных (корпоративных) и глобальных сетей;
решения(й) по обеспечению отказоустойчивости и резервированию.
разъяснения применяемых терминов и аббревиатур;
5. Информация об объекте испытаний:
1) информация о серверном оборудовании (заполнить таблицу):
№ |
Наименование сервера или виртуального ресурса |
Назначение | Кол-во | Характеристики сервера или используемых заявленных виртуальных ресурсов |
ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы | Применяемые IP-адреса |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
2) информация о сетевом оборудовании (заполнить таблицу):
№ |
Наименование сетевого оборудования |
Назначение | Кол-во | Применяемые сетевые технологии | Применяемые технологии защиты сети |
Используемые |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
3) местонахождение серверного и сетевого оборудования (заполнить таблицу):
№ | Владелец серверного помещения | Юридический адрес владельца серверного помещения | Фактическое местоположение – адрес серверного помещения |
Ответственные лица за организацию доступа |
Телефоны ответственных лиц |
1 | 2 | 3 | 4 | 5 | 6 |
4) характеристики резервного серверного оборудования (заполнить таблицу):
№ |
Наименование сервера или виртуально го ресурса |
Назначение | Кол-во |
Характеристики |
ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы | Применяемые IP-адреса | Метод резервирования |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
5) характеристики резервного сетевого оборудования (заполнить таблицу):
№ |
Наименование сетевого оборудования |
Назначение | Кол-во | Применяемые сетевые технологии | Применяемые технологии защиты сети |
Используемые | Метод резервирования |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):
№ | Владелец серверного помещения | Юридический адрес владельца серверного помещения | Фактическое местоположение – адрес серверного помещения |
Ответственные лица за организацию доступа |
Телефоны ответственных лиц |
1 | 2 | 3 | 4 | 5 | 6 |
7) структура корпоративной сети (заполнить таблицу) (при необходимости):
№ п/п | Наименование сегмента сети | IP-адрес сети/маска сети |
1 | 2 | 3 |
8) информация по рабочим станциям администраторов (заполнить таблицу):
№ п/п | Роль администратора | Количество учетных записей администраторов | Наличие доступа к Интернет | Наличие удаленного доступа к оборудованию | IP-адрес рабочей станции администратора | Фактическое местоположение – адрес рабочего места |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):
№ | Роль пользователя | Перечень типовых действий пользователя | Адрес точки подключения и протокол подключения пользователей | Максимальное количество пользователей | Максимальное количество, обрабатываемых запросов (пакетов) в секунду | Максимальное время ожидания между запросами |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые (заполнить таблицу):
№ | Наименование интеграционной связи (объекта информатизации) | Собственник или владелец интегрируемого объекта | Действующая/планируемая | Наличие модуля интеграции | Адрес точки подключения и протокол подключения | Максимальное количество запросов (пакетов) в секунду | Максимальное время ожидания между запросами |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):
№ | Маркировка диска | Наименование каталога на диске | Наименование файла | Размер файла, Мбайт | Применяемый язык программирования (при необходимости) | Дата модификации файла |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):
№ | Маркировка диска | Наименование каталога на диске | Наименование библиотеки/программной платформы/файла | Размер, Мбайт | Язык программирования | Версия библиотеки |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):
№ | Наименование документа | Наличие | Количество страниц | Дата утверждения | Стандарт или нормативный документ, в соответствии с которым был разработан документ |
1 | 2 | 3 | 4 | 5 | 6 |
1 | Политика информационной безопасности; | ||||
2 | Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации; | ||||
3 | Методика оценки рисков информационной безопасности; | ||||
4 | Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации; | ||||
5 | Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения; | ||||
6 | Правила проведения внутреннего аудита информационной безопасности; | ||||
7 | Правила использования средств криптографической защиты информации; | ||||
8 | Правила разграничения прав доступа к электронным информационным ресурсам; | ||||
9 | Правила использования Интернет и электронной почты; | ||||
10 | Правила организации процедуры аутентификации; | ||||
11 | Правила организации антивирусного контроля; | ||||
12 | Правила использования мобильных устройств и носителей информации; | ||||
13 | Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов; | ||||
14 | Регламент резервного копирования и восстановления информации; | ||||
15 | Руководство администратора по сопровождению объекта информатизации; | ||||
16 | Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях. |
7. Сведения о ранее пройденных видах работ или испытаниях (номер протокола, дата):
_________________________________________________________________
8. Наличие лицензии на испытываемый объект (наличие авторских прав, наличие
соглашения с организацией-разработчиком на предоставление исходного кода)
_________________________________________________________________
_________________________________________________________________
9. Дополнительная информация: ____________________________________
_________________________________________________________________
_________________________________________________________________
