Об утверждении регламента государственной услуги "Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам"

Утративший силу

Приказ Министра транспорта и коммуникаций Республики Казахстан от 13 декабря 2012 года № 880. Зарегистрирован в Министерстве юстиции Республики Казахстан 26 декабря 2012 года № 8240. Утратил силу приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 24 августа 2015 года № 877

      Сноска. Утратил силу приказом и.о. Министра по инвестициям и развитию РК от 24.08.2015 № 877 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).

      В соответствии с пунктом 4  статьи 9-1 Закона Республики Казахстан от 27 ноября 2000 года «Об административных процедурах», а также в согласно подпункту 21) статьи 6 Закона Республики Казахстан от 11 января 2007 года «Об информатизации», ПРИКАЗЫВАЮ:
      1. Утвердить прилагаемый регламент государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам».
      2. Департаменту государственной политики в сфере информационных технологий (Елеусизова К.Б.) обеспечить:
      1) в установленном законодательством порядке государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
      2) после его государственной регистрации в Министерстве юстиции Республики Казахстан, официальное опубликование в средствах массовой информации, в том числе на интернет-ресурсе Министерства транспорта и коммуникаций Республики Казахстан и размещение его на ИПГО.
      3. Контроль за исполнением настоящего приказа возложить на вице-министра транспорта и коммуникаций Республики Казахстан Сарсенова С.С.
      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня первого официального опубликования.

      Министр                                    А. Жумагалиев

Утвержден          
приказом Министра     
транспорта и коммуникаций 
Республики Казахстан   
от 13 декабря 2012 года № 880

Регламент государственной услуги
«Аттестация государственных информационных систем и
негосударственных информационных систем, интегрируемых с
государственными информационными системами, на соответствие их
требованиям информационной безопасности и принятым на
территории Республики Казахстан стандартам»

1. Общие положения

      1. Настоящий регламент государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (далее – Регламент) разработан в соответствии с пунктом 4 статьи 9-1 Закона Республики Казахстан от 27 ноября 2000 года «Об административных процедурах, а также Стандартом государственной услуги «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам», утвержденного постановлением Правительства Республики Казахстан от 25 сентября 2012 года № 1241 (далее – Стандарт).
      2. В настоящем Регламенте используются следующие понятия:
      1) аттестат соответствия информационной системы требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее – аттестат) – документ, подтверждающий факт соответствия информационной системы требованиям информационной безопасности (далее – ИБ) и принятым на территории Республики Казахстан стандартам;
      2) получатель государственной услуги (далее – получатель) – физические и юридические лица, являющиеся собственниками или владельцами государственных информационных систем или негосударственных информационных систем, интегрируемых с государственными информационными системами;
      3) аттестация информационной системы на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам – комплекс организационно-технических мероприятий по определению фактического состояния защищенности информационной системы и ее соответствия требованиям ИБ и принятым на территории Республики Казахстан стандартам.
      4) информационная система (далее – ИС) – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации с применением аппаратно-программного комплекса;
      5) аттестационное обследование (далее – аттестационное обследование) – проверка общей структуры ИС конфигурации компонентов являющихся составляющими ИС; экспертиза организационных мер информационной безопасности эксплуатируемой ИС, а также инструментальное обследование компонентов ИС, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты;
      6) уполномоченная организация – Республиканское государственное предприятие «Центр технического сопровождения и анализа в области телекоммуникаций»;
      7) аттестационная комиссия (далее – Комиссия) – консультативно-совещательный орган при уполномоченном органе, который рассматривает результаты аттестационного обследования и вырабатывает соответствующие рекомендации;
      8) структурно-функциональная единица (далее – СФЕ) – это лица заинтересованных органов, информационные системы или их подсистемы, которые участвуют в процессе оказания государственной услуги.
      3. Государственная услуга «Аттестация государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам» (далее – государственная услуга) оказывается Министерством транспорта и коммуникаций Республики Казахстан (далее – уполномоченный орган) по адресу: 010000, город Астана, улица Орынбор, дом 8, административное здание «Дом министерств», 14 подъезд.
      4. Форма оказываемой государственной услуги: не автоматизированная.
      5. Результатом оказываемой государственной услуги является выдача аттестата на бумажном носителе, либо мотивированный ответ на бумажном носителе об отказе в предоставлении государственной услуги.

2. Требования к оказанию государственной услуги

      6. Государственная услуга оказывается уполномоченным органом ежедневно, за исключением выходных и праздничных дней, с 9.00 до 18.30 часов, с перерывом на обед с 13.00 до 14.30 часов.
      Государственная услуга оказывается в порядке очереди, без предварительной записи. Режим ускоренного обслуживания не предусмотрен.
      7. Информация о порядке оказания государственной услуги и документах для ее получения размещаются на Интернет-ресурсах: www.mtс.gov.kz и www.ctsat.kz или по телефону: 8 (7172) 74-03-54.
      8. Для получения государственной услуги получатель либо по доверенности его уполномоченный представитель предоставляет документы согласно пункту 11 Стандарта.
      9. Сроки оказания государственной услуги указаны в пункте 7 Стандарта.
      10. Основания для отказа в предоставлении государственной услуги указаны в пункте 16 Стандарта.
      1) получателем не представлен полный пакет необходимых документов согласно пункта 11 Стандарта;
      2) ИС получателя не соответствует требованиям стандартов в области ИБ, принятых на территории Республики Казахстан.
      11. Этапы оказания государственной услуги с момента обращения получателя до выдачи ему результата государственной услуги:
      1) 1-й этап – работниками Канцелярии уполномоченного органа в случае поступления заявки производится прием, вскрытие, сканирование и регистрация входящей корреспонденции в Единой системе электронного документооборота (далее – ЕСЭДО) с прилагаемой заявкой и документами согласно пункту 11 Стандарта (далее – заявка). В случае превышения объема допустимых вложений в ЕСЭДО сканируются первые листы каждого вложения и в РКК документа вносится соответствующая отметка. В случае поступления заявки на бумажном носителе под грифом «Для служебного пользования» (далее – ДСП) производится прием, вскрытие и регистрация в ЕСЭДО;
      2) 2-й этап – определение ответственного структурного подразделения уполномоченного органа по рассмотрению документа. Согласно поручению (резолюции) вице-министра, заявка направляется структурному подразделению уполномоченного органа для исполнения по ЕСЭДО или под роспись ответственного должностного лица структурного подразделения уполномоченного органа в журнале учета входящих ДСП документов;
      3) 3-й этап – должностное лицо структурного подразделения уполномоченного органа в течение двух календарных дней с момента получения заявки осуществляет проверку соответствия заявки требованиям пункта 11 Стандарта (соответствие и комплектность);
      4) 4-й этап – в случае соответствия требованиям к форме и комплектности, установленным пунктом 11 Стандарта, заявка в течение двух календарных дней направляется в уполномоченную организацию, в противном случае заявка возвращается получателю с указанием в сопроводительном письме причин возврата заявки;
      5) 5-й этап – работниками службы документационного обеспечения уполномоченной организации производится прием, вскрытие, сортировка и регистрация заявки в журнале регистрации входящей корреспонденции;
      6) 6-й этап – рассмотрение руководителем уполномоченной организации входящей корреспонденции и определение ответственного должностного лица по рассмотрению заявки. Согласно поручению (резолюции) руководителя, заявка направляется должностному лицу уполномоченной организации для исполнения под роспись в соответствующем журнале;
      7) 7-й этап – после получения заявки на проведение аттестации ИС должностное лицо уполномоченной организации направляет служебную записку в юридический отдел уполномоченной организации для получения согласия на заключение договора с получателем;
      8) 8-й этап – юридический отдел уполномоченной организации в течение одного календарного дня направляет получателю два экземпляра договора на оказание услуг по аттестационному обследованию, договора на исполнение совместных работ по обеспечению ИБ и при наличии в информационных системах средств криптографической защиты информации или при необходимости – договора на выполнение совместных секретных работ;
      9) 9-й этап – получатель после получения двух экземпляров вышеуказанных договоров в течение трех календарных дней подписывает и возвращает по одному экземпляру каждого договора в уполномоченную организацию;
      10) 10-й этап – на основании договора, заключенного получателем, уполномоченная организация проводит аттестационное обследование ИС. Срок аттестационного обследования не должен превышать двадцати одного календарного дня с момента заключения договора на проведение аттестационного обследования. В случае, если структура аттестуемой ИС включает ведомственные или региональные компоненты ИС, уполномоченная организация обращается в уполномоченный орган с ходатайством о продлении срока аттестационного обследования с изложением причин невозможности соблюдения установленного срока. Уполномоченным органом принимается решение о продлении срока аттестационного обследования сроком не более семнадцати календарных дней, о чем сообщается получателю в течение одного календарного дня. Аттестационное обследование проводится в соответствии с нормативными правовыми актами и стандартами в области ИБ, принятыми на территории Республики Казахстан, перечень которых определяется уполномоченной организацией с учетом примененных информационных технологий в аттестуемой ИС. Получатель обеспечивает доступ к помещению, оборудованию и информации по аттестуемой ИС для проведения аттестационного обследования уполномоченной организацией;
      11) 11-й этап – по результатам аттестационного обследования уполномоченной организацией составляется акт, который передается уполномоченному органу. Акт составляется в четырех экземплярах (по одному для Комиссии, уполномоченного органа по защите государственных секретов, органов национальной безопасности и заявителя) и включает в себя сведения о фактическом состоянии защищенности ИС;
      12) 12-й этап – уполномоченный орган в течение двух календарных дней с момента получения акта созывает Комиссию и передает акт на рассмотрение данной Комиссии;
      13) 13-й этап – на основании акта Комиссией вырабатываются соответствующие рекомендации, которые оформляются в виде протокола. При рассмотрении данных актов Комиссия учитывает уровень функциональной сложности ИС и ее назначение, характер обрабатываемой ИС информации, категорию доступа ИС, режим обработки данных в ИС, комплектность нормативно-технической документации по ИБ и соблюдение ее требований, оценку реальных угроз безопасности (потенциальные источники угроз и уязвимости);
      14) 14-й этап – на основании протокола Комиссии и с учетом акта уполномоченный орган в течение одного календарного дня принимает одно из следующих решений:
      о выдаче или об отказе в выдаче аттестата (решение об отказе в выдаче аттестата принимается на основании указанных в акте несоответствий требованиям стандартов в области ИБ, принятых на территории Республики Казахстан);
      об устранении получателем выявленных несоответствий (данное решение может быть принято не более одного раза к заявке на проведение аттестации ИС). Копия решения направляется заявителю;
      15) 15-й этап – в случае принятия Комиссией решения об устранении выявленных несоответствий, срок оказания государственной услуги приостанавливается до извещения уполномоченного органа об устранении выявленных несоответствии во время аттестационного обследования. Получатель в течение двадцати рабочих дней с момента получения копии решения устраняет выявленные несоответствия и извещает уполномоченный орган об их устранении, после чего уполномоченный орган в течение одного календарного дня извещает уполномоченную организацию о необходимости проведения дополнительного аттестационного обследования ИС. Срок дополнительного аттестационного обследования ИС не должен превышать восьми календарных дней со дня получения извещения из уполномоченного органа;
      16) 16-й этап – после проведения дополнительного аттестационного обследования осуществляются действия согласно этапам указанных в подпунктах 11) – 14) пункта 13 настоящего Регламента;
      17) 17-й этап – в случае принятия уполномоченным органом положительного решения по результатам аттестационного либо дополнительного аттестационного обследования, уполномоченным органом в установленный в подпункте 14) пункта 13 настоящего Регламента срок выдается аттестат;
      18) 18-й этап – в случае отказа в выдаче аттестата уполномоченным органом в установленный в подпункте 11) пункта 13 настоящего Регламента срок, заявителю направляется мотивированный ответ на бумажном носители с указанием причин отказа.

3. Описание порядка действий (взаимодействий) в процессе
оказания государственной услуги

      12. В процессе оказания государственной услуги задействованы следующие СФЕ:
      1) сотрудник канцелярий;
      1) должностное лицо уполномоченного органа;
      2) вице-министр Уполномоченного органа;
      4) уполномоченная организация;
      5) должностное лицо уполномоченной организации;
      5) Комиссия.
      13. Текстовое табличное описание последовательности и взаимодействие административных действий (процедур) каждой СФЕ с указанием срока выполнения каждого административного действия (процедуры) приведены в приложении 1 к настоящему Регламенту.
      14. Схема взаимодействия между логической последовательностью административных действий в процессе оказания государственной услуги и СФЕ приведена в приложении 2 к настоящему Регламенту.

Приложение 1                          
к регламенту государственной услуги «Аттестация государственных
информационных систем и негосударственных информационных систем,
интегрируемых с государственными информационными системами, на
соответствие их требованиям информационной безопасности и
принятым на территории Республики Казахстан стандартам»

Текстовое табличное описание последовательности и
взаимодействия административных действий (процедур) каждой СФЕ

Таблица 1. Описание действий СФЕ

	Действия основного процесса (хода, потока работ)
1	№ действия (хода, потока работ)	1	2	3
2	Наименование СФЕ	Сотрудник СДО Уполномоченного органа	Вице-министр Уполномочен- ного органа	Должностное лицо Уполномоченного органа
3	Наименование действия (процесса, процедуры, операции) и их описание	прием, вскрытие, сортировка и регистрация заявки в ЕСЭДО или журнале регистрации входящей ДСП корреспонденции	определение должностного лица	Осуществление проверки соответствия заявки и прилагаемых документов требованиям к форме и комплектности и направления в РГП «ЦТСАТ» в противном случае возврат получателю с указанием причин;
4	Форма завершения (данные, документ, организацион- но-распоря- дительное решение)	Регистрация в ЕСЭДО или журнале регистрации входящей ДСП корреспонденции	Согласно поручению (резолюции) Вице- министра, заявка направляется должностному лицу для исполнения в ЕСЭДО или под роспись в журнале учета входящих ДСП документов	Отправка сопроводительным письмом заявки с приложенными документами в адрес РГП «ЦТСАТ»
5	Сроки исполнения	15 минут	1 календарный день	1 календарный день

	Действия основного процесса (хода, потока работ)
1	№ действия (хода, потока работ)	4	5	6	7
2	Наименование СФЕ	Сотрудник СДО РГП «ЦТСАТ»	Руководитель РГП «ЦТСАТ»	Должностное лицо РГП «ЦТСАТ»	Должностное лицо РГП «ЦТСАТ»
3	Наименование действия (процесса, процедуры, операции) и их описание	прием, вскрытие, сортировка и регистрация заявки с приложенными документами	определение должностного лица	направляет получателю два экземпляра договора на оказание услуг	проводит аттеста- ционное обследо- вание ИС
4	Форма завершения (данные, документ, организацион- но-распоряди- тельное решение)	Регистрация в журнале регистрации входящей корреспон- денции	В соответствии с поручением (резолюцией) руководства письмо с прилагаемыми регистраци- онными заявками направляются для исполнения под роспись в журнале	Договор	Акт
5	Сроки исполнения	15 мин	1 календарный день	1 календарный день	21 календарный день

	Действия основного процесса (хода, потока работ)
1	№ действия (хода, потока работ)	8	9	10
2	Наименование СФЕ	Уполномочен- ный орган	Комиссия	Уполномоченный орган
3	Наименование действия (процесса, процедуры, операции) и их описание	созыв Комиссию и передача акта на рассмотрение Комиссии;	соответствующие рекомендации	в случае принятия положительного решения выдает аттестат по форме согласно приложению 1 к Стандарту и вносит соответствующие сведения в реестр аттестатов. В случае отказа в выдаче аттестата потребителю направляется соответствующее уведомление с указанием причин отказа
4	Форма завершения (данные, документ, организацион- но-распоря- дительное решение)	Протокол Комиссии	Протокол Комиссии	Выдача Аттестата, внесение сведений в реестр аттестатов либо в уведомление потребителю
5	Сроки исполнения	2 календарный день	1 календарный день	1 календарный день

Приложение 2                          
к регламенту государственной услуги «Аттестация государственных
информационных систем и негосударственных информационных систем,
интегрируемых с государственными информационными системами, на
соответствие их требованиям информационной безопасности и
принятым на территории Республики Казахстан стандартам»

Схема взаимодействия между логической последовательностью
административных действий в процессе оказания государственной
услуги и СФЕ Процесс проведения аттестации информационных систем