Дата обновления БД:
31.05.2024
Добавлено/обновлено документов:
104 / 236
Всего документов в БД:
134011
ПРИКАЗ МИНИСТРА ЦИФРОВОГО РАЗВИТИЯ, ОБОРОННОЙ И АЭРОКОСМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ РЕСПУБЛИКИ КАЗАХСТАН
от 3 июня 2019 года №111/НК
Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности
(В редакции Приказов Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 05.12.2019 г. №336/НК, 01.04.2020 г. №121/НК, 28.09.2020 г. №356/НК, 30.09.2022 г. №361/НК, 30.04.2024 г. №257/НК (см. сроки вступления в силу))
В соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:
(Преамбула документа изложена в новой редакции в соответствии с Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30.04.2024 г. №257/НК)
(см. предыдущую редакцию)
1. Утвердить:
1) Методику проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;
2) Правила проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.
(Пункт 1 изложен в новой редакции в соответствии с Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30.04.2024 г. №257/НК)
(см. предыдущую редакцию)
2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года №40/НК "Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).
3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения "Институт законодательства и правовой информации Республики Казахстан" Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.
4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.
5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Министр цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан
А.Жумагалиев
Согласован Комитетом национальной безопасности Республики Казахстан "___" ____________2019 года |
|
Приложение 1
к Приказу Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года №111/НК
(Методика проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности изложена в новой редакции в соответствии с Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30.04.2024 г. №257/НК)
(см. предыдущую редакцию)
Методика проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности
Глава 1. Общие положения
1. Настоящая Методика проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации".
2. В настоящей Методике используются следующие основные понятия и сокращения:
1) программная закладка – скрытно внесенный в программное обеспечение (далее – ПО) функциональный объект, осуществляющий несанкционированный доступ и (или) воздействие на объект информатизации;
2) бэкдор – вредоносное ПО для получения несанкционированного доступа к программному обеспечению путем обхода аутентификации, а также других стандартных методов и технологий безопасности;
3) недекларированные возможности (далее – НДВ) – функциональные возможности ПО, не отраженные или не соответствующие описанным в технической документации;
4) ручное тестирование на проникновение – легитимная оценка защищенности объектов информатизации с применением безопасных и контролируемых атак, выявлением уязвимостей и попытками их эксплуатации без реального ущерба деятельности заявителя;
5) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;
6) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;
7) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;
8) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;
9) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;
10) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;
11) объект испытаний – объект информатизации, в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;
12) сегмент сети (подсеть) объекта испытаний – логически выделенный сегмент сети объекта испытаний;
13) функциональный объект – элемент (процедура, функция, ветвь или иная компонента) ПО, выполняющий действия по реализации законченного фрагмента алгоритма программы;
14) маршрут выполнения функциональных объектов – определенная алгоритмом последовательность выполняемых функциональных объектов;
15) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;
16) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган на соответствие требованиям информационной безопасности.
3. Проведение испытания включает:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание;
4) обследование сетевой инфраструктуры;
5) обследование процессов обеспечения информационной безопасности.
Глава 2. Анализ исходных кодов
4. Анализ исходных кодов объектов испытаний проводится с целью выявления уязвимостей ПО.
Анализ исходных кодов объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится с целью выявления НДВ и уязвимостей ПО.
5. Анализ исходных кодов проводится для ПО, перечисленного в таблицах подпункта 11) и подпункта 12) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).
6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.
7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
Выявление недостатков ПО объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода и с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.
8. Выявление НДВ ПО объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода с детальным просмотром исходного кода и проведением поиска бэкдоров в библиотеках с открытым исходным кодом.
9. Анализ исходных кодов включает:
1) выявление уязвимостей ПО;
2) выявление НДВ для объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган;
3) фиксацию результатов анализа исходного кода.
10. Выявление уязвимостей ПО осуществляется в следующем порядке:
Полный текст доступен после регистрации и оплаты доступа.
Приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года №111/НК
"Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности"
О документе
Номер документа: | 111/НК |
Дата принятия: | 03.06.2019 |
Состояние документа: | Действует |
Начало действия документа: | 18.06.2019 |
Органы эмитенты: |
Государственные органы и организации |
Опубликование документа
Информационная система "Эталонный контрольный банк нормативных правовых актов в электронном виде" от 7 июня 2019 года.
Зарегистрирован в Реестре государственной регистрации нормативных правовых актов Республики Казахстан от 5 июня 2019 года №18795
Примечание к документу
В соответствии с пунктом 5 настоящий Приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования - с 18 июня 2019 года.
Редакции документа
Текущая редакция принята: 30.04.2024 документом Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан О внесении изменений в некоторые приказы № 257/НК от 30.04.2024
Вступила в силу с: 21.05.2024
Редакция от 30.09.2022, принята документом Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан О внесении изменений и дополнения в приказ Министра цифрового развития, оборонной и аэрокосмической
Вступила в силу с: 01.01.2023
Редакция от 28.09.2020, принята документом Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан О внесении изменений в приказ Министра цифрового развития, оборонной и аэрокосмической промышленност
Вступила в силу с: 16.10.2020
Редакция от 01.04.2020, принята документом Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан О внесении изменений и дополнения в приказ Министра цифрового развития, оборонной и аэрокосмической
Вступила в силу с: 21.04.2020
Редакция от 05.12.2019, принята документом Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан О внесении изменений и дополнений в приказ... № 336/НК от 05/12/2019
Вступила в силу с: 23.12.2019
(Название документа изложено в новой редакции в соответствии с Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30.04.2024 г. №257/НК)
(см. предыдущую редакцию)