В соответствии с подпунктом 17-2) статьи 7-1 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:
1. Утвердить Правила функционирования единого репозитория "электронного правительства" согласно приложению 1 к настоящему приказу.
2. Признать утратившим силу некоторые приказы Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан по перечню согласно приложению 2 к настоящему приказу.
3. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
5. Настоящий приказ вводится в действие по истечении десяти календарных дней со дня его первого официального опубликования.
|
Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
Б. Мусин |
"СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан
| Приложение 1 к приказу Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 февраля 2024 года № 110/НҚ |
Правила функционирования Единого репозитория "электронного правительства"
Глава 1. Общие положения
1. Настоящие Правила функционирования Единого репозитория "электронного правительства" (далее – Правила) разработаны в соответствии с подпунктом 17-2) статьи 7-1 Закона Республики Казахстан "Об информатизации" (далее – Закон) и определяют порядок функционирования Единого репозитория "электронного правительства".
2. В настоящих Правилах используются следующие понятия:
1) объекты информатизации – электронные информационные ресурсы, программное обеспечение, интернет-ресурс и информационно-коммуникационная инфраструктура;
2) промышленная эксплуатация объекта информатизации – этап жизненного цикла объекта информатизации, на протяжении которого осуществляется использование объекта информатизации в штатном режиме в соответствии с целями, задачами и требованиями, изложенными в технической документации и нормативно-технической документации;
3) опытная эксплуатация объекта информатизации – эксплуатация объекта информатизации в пилотной зоне, проводимая с целью выявления и устранения недостатков его функционирования и определения соответствия требованиям технической документации;
4) уполномоченный орган в сфере обеспечения информационной безопасности (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в сфере обеспечения информационной безопасности;
5) артефакты – исполняемые файлы, справочные файлы, файлы с данными, модели и другие файлы, используемые при работе программного обеспечения и входящие в состав программного обеспечения;
6) программная закладка – скрытно внесенный в программное обеспечение функциональный объект, обеспечивающий несанкционированный доступ и (или) воздействие на объект информатизации;
7) программное обеспечение (далее – ПО) – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации;
8) программная платформа – совокупность программного обеспечения и инструментов, предоставляемых разработчикам для создания и обеспечения функционирования программного обеспечения;
9) контрольная сумма – фиксированная строка символов, созданная на основе преобразования файлов;
10) исходный код – текст программы (набор инструкций и команд), созданный на любом языке программирования, предназначенный для компиляции в исполняемый код;
11) статический анализ исходного кода – процесс выявления уязвимости в исходном коде;
12) бэкдор – вредоносная программа, предназначенная для получения несанкционированного доступа к программному обеспечению путем обхода аутентификации, а также других стандартных методов и технологий безопасности;
13) недекларированные возможности (далее – НДВ) – функциональные возможности программного обеспечения, не отраженные или не соответствующие описанным функциональным возможностям в технической документации;
14) компиляция – перевод программы с языка высокого уровня в машинный язык;
15) библиотека – набор готовых решений в виде функций, классов и объектов, используемых для разработки программного обеспечения;
16) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;
17) исполняемый код – исходный код, скомпилированный в машинные команды;
18) динамический анализ исполняемого кода – процесс выявления уязвимости в запущенном исполняемом коде веб-приложений и мобильных приложений;
19) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;
20) заявитель – собственник или владелец объекта анализа, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;
21) объект анализа – объект информатизации, в отношении которого проводятся работы по анализу на соответствие требованиям информационной безопасности;
22) анализ зависимостей – процесс выявления уязвимости в сторонних компонентах, используемых в составе программного обеспечения;
23) среда тестирования – часть объекта информатизации, отделенная от среды эксплуатации объекта информатизации, предназначенная для развертывания исполняемого кода, проведения динамического анализа исполняемого кода и снятия контрольной суммы запущенного исполняемого кода;
24) функциональный объект – элемент (процедура, функция, ветвь или компонент) программного обеспечения, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы;
25) маршрут выполнения функциональных объектов – определенная алгоритмом последовательность выполняемых функциональных объектов;
26) объекты информатизации "электронного правительства" – государственные электронные информационные ресурсы, программное обеспечение государственных органов, интернет-ресурс государственного органа, объекты информационно-коммуникационной инфраструктуры "электронного правительства", в том числе объекты информатизации иных лиц, предназначенные для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг;
27) единый репозиторий "электронного правительства" (далее – ЕРЭП) – хранилище исходных кодов и скомпонованных из них исполняемых кодов объектов информатизации "электронного правительства";
28) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности.
Глава 2. Порядок функционирования единого репозитория "электронного правительства"
3. ЕРЭП функционирует в единой транспортной среде государственных органов и сети Интернет.
4. Государственная техническая служба обеспечивает функционирование ЕРЭП в соответствии с подпунктом 21) пункта 1 статьи 14 Закона.
5. Обеспечение функционирования ЕРЭП осуществляется на основании договорных отношений между Комитетом национальной безопасности Республики Казахстан и государственной технической службой.
6. ЕРЭП состоит из двух хранилищ: временного и постоянного.
7. Во временном хранилище осуществляется хранение всех версий разработанных исходных кодов объектов информатизации "электронного правительства", на весь период проведения испытаний объекта информатизации на соответствие требованиям информационной безопасности (далее – испытания), проводимые в соответствии с Методикой проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Методика) и Правилами проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила проведения испытаний), утвержденными приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 18795) c момента подачи заявки посредством интернет-портала SYNAQ.
8. В постоянном хранилище осуществляется хранение всех версий, разработанных исходных и исполняемых кодов объектов информатизации "электронного правительства", c момента завершения испытаний в ЕРЭП с положительным результатом.
9. Хранение исходных и исполняемых кодов объектов информатизации "электронного правительства" осуществляет государственная техническая служба.
10. Хранению подлежат следующие объекты:
1) исходный код;
2) библиотеки;
3) служебные файлы, необходимые для ручной или автоматической компиляции;
4) учетные записи и описание процесса компиляции (с указанием среды разработки и ее версии), особенностей настроек среды разработки, инструкции по автоматизированной компоновке, необходимых для компилирования ПО;
5) артефакты;
6) исполняемый код.
11. Для осуществления хранения исходных кодов и скомпонованных из них исполняемых кодов объектов информатизации "электронного правительства" в ЕРЭП проводится:
1) анализ исходных кодов, включающий статический анализ исходных кодов, анализ зависимостей, ручной метод анализа исходного кода и динамический анализ исполняемых кодов;
2) анализ неизменности исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства".
12. При проведении анализа исходного кода заявитель руководствуется настоящими Правилами, Методикой и Правилами проведения испытаний.
13. При выявлении в объекте анализа уязвимостей ПО и (или) НДВ заявитель устраняет их в порядке и сроки, определенные Правилами проведения испытаний.
14. Для проведения анализа исходного кода заявитель обеспечивает государственной технической службе:
1) передачу сведений, указанных в подпунктах 1), 2), 3), 4) и 5) пункта 10 настоящих Правил;
2) передачу сравнительной таблицы с результатами исправлений после устранения НДВ и (или) уязвимостей ПО, обнаруженных при выявлении НДВ и (или) уязвимостей ПО;
3) предоставление среды тестирования и доступ к среде тестирования на период проведения анализа исходного кода, при этом обеспечивается соответствие среды тестирования среде промышленной эксплуатации в части аппаратно-программного обеспечения и архитектуры;
4) предоставление рабочего места, физического доступа к рабочему месту администратора и серверному оборудованию для контроля процесса развертывания в опытной эксплуатации объекта анализа после положительного результата анализа исходного кода.
15. Анализ исходных кодов включает:
1) выявление уязвимостей ПО;
2) выявление НДВ для объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган;
3) фиксацию результатов анализа исходного кода.
16. Выявление уязвимостей ПО проводится ручным методом анализа исходного кода и с использованием программных средств, предназначенных для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
17. Выявление уязвимостей ПО осуществляется в следующем порядке:
1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры, выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);
2) проводится ручной метод анализа исходного кода и подготовка исходных данных (загрузка исходных кодов объектов испытаний собственником (владельцем) и (или) заказчиком которых является государственный орган), выбор режима сканирования (статический, анализ зависимостей и/или динамический), настройка характеристик режимов сканирования);
3) запускается ПО, предназначенное для выявления уязвимостей ПО;
4) проводится анализ программных отчетов на наличие ложных срабатываний;
5) формируется отчет, включающий в себя перечень выявленных уязвимостей ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).
18. По окончанию ручного метода анализа исходного кода, статического анализа исходного кода, анализа зависимостей и динамического анализа исполняемого кода, при положительных результатах ручного метода анализа исходного кода, статического анализа исходного кода, анализа зависимостей и динамического анализа исполняемого кода, формируются отчеты статического анализа исходного кода, анализа зависимостей и динамического анализа исполняемого кода о результатах анализа исходного кода по выявлению уязвимостей ПО.
19. Выявление НДВ осуществляется в следующем порядке:
1) анализ технической документации на объект анализа, в том числе технического задания на создание или развитие объекта информатизации, в части сведений о назначении объекта информатизации, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;
2) проведение анализа исходного кода ручным методом объекта анализа следующими способами:
изучение модульной и логической структуры ПО, а также отдельных модулей и сравнения этих структур с приведенными в технической документации,
изучение маршрута выполнения функциональных объектов и обрабатывающих данных;
фиксирование НДВ с помощью снимка экрана для последующего предоставления в отчете результатов выявления НДВ.
3) формирование отчета, включающего в себя перечень выявленных НДВ с приведением их описания, маршрута (пути к файлу) и снимка экрана;
4) проведение поиска бэкдоров в библиотеках с открытым исходным кодом, в том числе с помощью автоматизированного анализатора;
5) формирование отчета, включающего в себя описание уязвимостей с приведением идентификатора из международных баз данных уязвимостей.
20. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ государственной технической службы, в протоколе анализа исходных кодов в произвольной форме с приложением копии анкеты-вопросника о характеристиках объекта анализа в соответствии с приложением 2 к Правилам проведения испытаний.
Протокол анализа исходных кодов с приложениями и отчетами, выдаваемый государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ в рамках проведения испытаний.
21. По окончанию анализа исходного кода ответственным лицом данного вида работ государственной технической службы осуществляется снятие контрольной суммы исходного кода, исполняемого кода, скомпонованного из исходного кода и запущенного исполняемого кода с использованием ПО в целях последующего использования объекта анализа в среде эксплуатации и проведения анализа неизменности.
22. Заявителем осуществляется развертывание в опытной эксплуатации объекта анализа под контролем ответственного лица данного вида работ государственной технической службы с использованием исходных и исполняемых кодов, скомпонованных из исходных кодов объекта информатизации "электронного правительства", переданных ему государственной технической службой.
23. При создании и обеспечении функционирования объекта анализа с помощью программной платформы без доступа к исходному коду программной платформы, заявитель запрашивает исходный код программной платформы у производителя программной платформы и предоставляет его в государственную техническую службу для проведения анализа исходного кода.
24. Объем работ по анализу исходного кода определяется исходя из размеров исходного кода и библиотек.
25. Анализ неизменности исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", проводится в соответствии с Методикой и Правилами проведения испытаний.
26. Ввод в промышленную эксплуатацию объекта информатизации "электронного правительства" осуществляется его собственником или владельцем только с использованием исполняемых кодов, скомпонованных из исходных кодов объектов информатизации "электронного правительства", переданных ему государственной технической службой в соответствии с настоящими Правилами.
27. При внесении изменении в исходный код объекта информатизации "электронного правительства" собственник или владелец объекта информатизации "электронного правительства" уведомляет государственную техническую службу о внесенных изменениях в исходный код с подробным описанием внесенных изменении в течение 2 (два) рабочих дней со дня внесения изменении в исходный код объекта информатизации "электронного правительства".
28. При проведении технических работ на сервере обеспечения функционирования ПО объекта информатизации "электронного правительства" собственник или владелец объекта информатизации "электронного правительства" уведомляет государственную техническую службу в течение 2 (два) рабочих дней до дня проведения технических работ на сервере обеспечения функционирования ПО объекта информатизации "электронного правительства".
29. Государственная техническая служба по запросу собственника и (или) владельца объекта информатизации "электронного правительства" предоставляет собственнику и (или) владельцу объекта информатизации "электронного правительства" исходные коды и исполняемые коды, скомпонованные из исходных кодов объектов информатизации "электронного правительства" из ЕРЭП с уведомлением уполномоченного органа в течение 3 (три) рабочих дней со дня поступления запроса от собственника и (или) владельца объекта информатизации "электронного правительства".
30. При прекращении промышленной эксплуатации объекта информатизации "электронного правительства" собственник и (или) владелец объекта информатизации "электронного правительства" в течение 10 (десять) рабочих дней уведомляет о прекращении промышленной эксплуатации объекта информатизации "электронного правительства" (далее – уведомление) собственников и (или) владельцев объектов информатизации "электронного правительства", с которыми интегрирован объект информатизации "электронного правительства", а также оператора информационно-коммуникационной инфраструктуры "электронного правительства" и государственную техническую службу.
Государственная техническая служба в течение 3 (три) рабочих дней после получения уведомления осуществляет передачу исходных кодов списываемого объекта информатизации "электронного правительства" собственнику и (или) владельцу списываемого объекта информатизации "электронного правительства" посредством интернет-портала SYNAQ с уведомлением уполномоченного органа.
31. Собственник и (или) владелец списываемого объекта информатизации "электронного правительства" после принятия от государственной технической службы исходных кодов объекта информатизации "электронного правительства" обеспечивает передачу исходных кодов списываемого объекта информатизации "электронного правительства" в государственный архив в соответствии со статьей 13 Закона Республики Казахстан "О национальном архивном фонде и архивах".
32. Собственник и (или) владелец списываемого объекта информатизации "электронного правительства" после передачи в архив исходных кодов объекта информатизации "электронного правительства" уведомляет об этом в течение 3 (три) рабочих дней государственную техническую службу.
33. Государственная техническая служба в течение 10 (десять) рабочих дней после получения уведомления от заявителя о передаче в архив исходных кодов списываемого объекта информатизации "электронного правительства", осуществляет удаление всех версий исходных и исполняемых кодов списываемого объекта информатизации "электронного правительства" из ЕРЭП.
34. Государственная техническая служба по запросу уполномоченного органа предоставляет информацию о хранящихся в ЕРЭП исходных и исполняемых кодах объектов информатизации "электронного правительства".
| Приложение 2 к приказу Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 февраля 2024 года № 110/НҚ |
Перечень утративших силу некоторых приказов Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан
1. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 июня 2019 года № 146/НҚ "Об утверждении Правил учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации "электронного правительства" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 18949).
2. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 сентября 2022 года № 347/НҚ "О внесении изменений в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 июня 2019 года № 146/НҚ "Об утверждении Правил учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации "электронного правительства" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 29969).
3. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 3 мая 2023 года № 171/НҚ "О внесении изменения в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 июня 2019 года № 146/НҚ "Об утверждении Правил учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии), комплекса настроек лицензионного программного обеспечения объектов информатизации "электронного правительства" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 32449).
