ПРИКАЗ МИНИСТРА ЦИФРОВОГО РАЗВИТИЯ, ОБОРОННОЙ И АЭРОКОСМИЧЕСКОЙ ПРОМЫШЛЕННОСТИ РЕСПУБЛИКИ КАЗАХСТАН

от 3 июня 2019 года №111/НК

Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации" и подпунктом 1) статьи 10 Закона Республики Казахстан от 15 апреля 2013 года "О государственных услугах" ПРИКАЗЫВАЮ:

1. Утвердить:

1) Методику проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

2) Правила проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года №40/НК "Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы "электронного правительства", интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения "Институт законодательства и правовой информации Республики Казахстан" Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.

4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.

5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Приложение 1

к Приказу Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года №111/НК

Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности

Глава 1. Общие положения

1. Настоящая Методика проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее - Методика) разработана в соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года "Об информатизации".

2. В настоящей Методике используются следующие основные понятия и сокращения:

1) поставщик - государственная техническая служба или аккредитованная испытательная лаборатория;

2) государственная техническая служба - республиканское государственное предприятие на праве хозяйственного ведения, созданное по решению Правительства Республики Казахстан;

3) уязвимость - недостаток в программном обеспечении, обуславливающий возможность нарушения его работоспособности, либо выполнения каких-либо несанкционированных действий в обход разрешений, установленных в программном обеспечении;

4) заявитель - собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

5) доверенный канал - средство взаимодействия между функциями безопасности объектов испытаний (далее - ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

6) доверенный маршрут - средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

7) объект испытаний - объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

8) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации.

3. Проведение испытания включает:

1) анализ исходных кодов;

2) испытание функций информационной безопасности;

3) нагрузочное испытание;

4) обследование сетевой инфраструктуры;

5) обследование процессов обеспечения информационной безопасности.

Глава 2. Анализ исходных кодов

4. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения (далее - ПО).

5. Анализ исходных кодов проводится для ПО, перечисленного в таблице подпункта 11) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее - Правила).

6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.

7. Выявление недостатков ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

8. Анализ исходных кодов включает:

1) выявление недостатков ПО;

2) фиксацию результатов анализа исходного кода.

9. Выявление недостатков ПО осуществляется в следующем порядке:

1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры (далее - ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

2) запускается программное средство, предназначенное для выявления недостатков ПО;

3) проводится анализ программных отчетов на наличие ложных срабатываний;

4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

10. Объем работ по анализу исходного кода определяется размером исходного кода.

11. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ поставщика, в протоколе анализа исходных кодов (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам и акта приема-передачи исходных кодов объекта испытаний согласно приложению 5 к Правилам.

Протокол анализа исходных кодов с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.

12. По окончанию анализа исходных кодов, при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив поставщика.

13. Поставщик обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.

Глава 3. Испытание функций информационной безопасности

14. Оценка функций объектов информатизации на соответствие требованиям информационной безопасности (далее - испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.

15. Испытание функций информационной безопасности включает:

1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);

2) фиксацию результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

16. Перечень функций информационной безопасности приведен в приложении 1 к Методике.

17. Испытание функций информационной безопасности проводятся в разрезе серверов и виртуальных ресурсов, перечисленных в таблицах подпункта 1) и подпункта 4) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

18. Результаты испытаний функций информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе испытаний функций информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

Протокол испытаний функций информационной безопасности с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью поставщика.

Глава 4. Нагрузочное испытание

19. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.

20. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.

21. Параметры нагрузочного испытания предоставляются заявителем таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

При проведении нагрузочного испытания выявляется параметры фактической нагрузочной способности объекта испытаний.

22. Нагрузочное испытание осуществляется в следующем порядке:

1) проводится подготовка к испытанию;

2) проводится испытание;

3) фиксируются результаты испытания.