ПРИКАЗ МИНИСТРА ЦИФРОВОГО РАЗВИТИЯ, ИННОВАЦИЙ И АЭРОКОСМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ РЕСПУБЛИКИ КАЗАХСТАН

от 30 апреля 2024 года №257/НК

О внесении изменений в некоторые приказы

ПРИКАЗЫВАЮ:

1. Утвердить прилагаемый перечень некоторых приказов, в которые вносятся изменения (далее – перечень).

2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением подпункта 5) пункта 2 и частей второй, третьей и четвертой пункта 37 Правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности приложения 2 к перечню, которые вводятся в действие с 1 июля 2024 года.

Согласован Комитетом национальной безопасности Республики Казахстан

Утвержден Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 апреля 2024 года №№257/НК

Перечень некоторых приказов, в которые вносятся изменения

1. Внести в приказ исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года №129 "Об утверждении Правил создания, развития, эксплуатации, приобретения объектов информатизации "электронного правительства", а также информационно-коммуникационных услуг" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №13282) следующее изменение:

в Правилах создания, развития, эксплуатации, приобретения объектов информатизации "электронного правительства", а также информационно-коммуникационных услуг, утвержденных указанным приказом:

в пункте 9:

подпункт 3) изложить в следующей редакции:

"3) испытание объекта информатизации "электронного правительства" на соответствие требованиям информационной безопасности (далее – испытание) согласно статье 49 Закона.

Испытание осуществляется в сроки и порядке, определенные Методикой и правилами проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности, утвержденными приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года №111/НК (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №18795).".

2. Внести в приказ Министра информации и коммуникаций Республики Казахстан от 29 января 2018 года №29 "Об утверждении Правил формирования перечня объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16331) следующее изменение:

в Правилах формирования перечня объектов информационно-коммуникационной инфраструктуры "электронного правительства", закрепляемых за оператором информационно-коммуникационной инфраструктуры "электронного правительства", утвержденных указанным приказом:

подпункт 1) пункта 5 изложить в следующей редакции:

"1) при включении в Перечень информационной системы:

описание информационной системы;

копия технической документации;

документ о сдаче в промышленную эксплуатацию;

сведения о количестве зарегистрированных пользователей информационной системы;

количество государственных органов, использующих информационную систему и количество объектов, на которых внедрена информационная система (государственные органы, подведомственные организации, территориальные подразделения);

копии протоколов испытаний на соответствие требованиям информационной безопасности (протоколы испытаний, сроки которых истекли, в случае если информационная система находится на стадии развития).".

3. Внести в приказ Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года №111/НК "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №18795) следующие изменения:

заголовок приказа изложить в следующей редакции:

"Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности";

преамбулу приказа изложить в следующей редакции:

"В соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации" ПРИКАЗЫВАЮ:";

пункт 1 изложить в следующей редакции:

"1. Утвердить:

1) Методику проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

2) Правила проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.";

Методику проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденную указанным приказом, изложить в новой редакции согласно приложению 1 к настоящему перечню;

Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденные указанным приказом, изложить в новой редакции согласно приложению 2 к настоящему перечню.

4. Внести в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 25 июля 2019 года №174/НК "Об утверждении Правил учета сведений об объектах информатизации "электронного правительства" и размещения электронных копий технической документации объектов информатизации "электронного правительства" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №19104) следующее изменение:

в Правилах учета сведений об объектах информатизации "электронного правительства" и размещения электронных копий технической документации объектов информатизации "электронного правительства", утвержденных указанным приказом:

подпункт 2) приложения 1 изложить в следующей редакции:

"2) Сведения о проведении испытаний на соответствие требованиям информационной безопасности объектов информатизации (протоколы испытаний на соответствие требованиям информационной безопасности), утвержденные приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года №111/НК "Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов Республики Казахстан №18795);".

Приложение 1

к Перечню некоторых приказов, в которые вносятся изменения

Приложение 1

к Приказу Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года №111/НК

Методика проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности

Глава 1. Общие положения

1. Настоящая Методика проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан "Об информатизации".

2. В настоящей Методике используются следующие основные понятия и сокращения:

1) программная закладка – скрытно внесенный в программное обеспечение (далее – ПО) функциональный объект, осуществляющий несанкционированный доступ и (или) воздействие на объект информатизации;

2) бэкдор – вредоносное ПО для получения несанкционированного доступа к программному обеспечению путем обхода аутентификации, а также других стандартных методов и технологий безопасности;

3) недекларированные возможности (далее – НДВ) – функциональные возможности ПО, не отраженные или не соответствующие описанным в технической документации;

4) ручное тестирование на проникновение – легитимная оценка защищенности объектов информатизации с применением безопасных и контролируемых атак, выявлением уязвимостей и попытками их эксплуатации без реального ущерба деятельности заявителя;

5) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;