Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности

Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности

В соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации» и подпунктом 52) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846, ПРИКАЗЫВАЮ:

1. Утвердить:

1) Методику проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу;

2) Правила проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу.

2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 года № 40/НҚ «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 16694, опубликован 12 апреля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

3. Комитету по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней со дня государственной регистрации настоящего приказа направление его в Республиканское государственное предприятие на праве хозяйственного ведения «Институт законодательства и правовой информации Республики Казахстан» Министерства юстиции Республики Казахстан для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

4) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) настоящего пункта.

4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.

5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан

А. Жумагалиев

«СОГЛАСОВАН»

Комитет национальной безопасности

Республики Казахстан

«___» ____________2019 года

Приложение 1

к приказу Министра

цифрового развития,

оборонной и аэрокосмической

промышленности

Республики Казахстан

от 3 июня 2019 года № 111/НҚ

Методика проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности

Глава 1. Общие положения

1. Настоящая Методика проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Методика) разработана в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации» и подпунктом 52) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846.

2. В настоящей Методике используются следующие основные понятия и сокращения:

1) программная закладка – скрытно внесенный в программное обеспечение (далее – ПО) функциональный объект, осуществляющий несанкционированный доступ и (или) воздействие на объект информатизации;

2) бэкдор – вредоносное ПО для получения несанкционированного доступа к программному обеспечению путем обхода аутентификации, а также других стандартных методов и технологий безопасности;

3) недекларированные возможности (далее – НДВ) – функциональные возможности ПО, не отраженные или не соответствующие описанным в технической документации;

4) ручное тестирование на проникновение – легитимная оценка защищенности объектов информатизации с применением безопасных и контролируемых атак, выявлением уязвимостей и попытками их эксплуатации без реального ущерба деятельности заявителя;

5) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

6) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

7) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

8) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

9) доверенный канал – средство взаимодействия между функциями безопасности объектов испытаний (далее – ФБО) и удаленным доверенным продуктом информационных технологий, обеспечивающее необходимую степень уверенности в поддержании политики безопасности объектов испытаний;

10) доверенный маршрут – средство взаимодействия между пользователем и ФБО, обеспечивающее уверенность в поддержании политики безопасности объектов испытаний;

11) объект испытаний – объект информатизации, в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

12) сегмент сети (подсеть) объекта испытаний – логически выделенный сегмент сети объекта испытаний;

13) функциональный объект – элемент (процедура, функция, ветвь или иная компонента) ПО, выполняющий действия по реализации законченного фрагмента алгоритма программы;

14) маршрут выполнения функциональных объектов – определенная алгоритмом последовательность выполняемых функциональных объектов;

15) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;

16) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган на соответствие требованиям информационной безопасности.

3. Проведение испытания включает:

1) анализ исходных кодов;

2) испытание функций информационной безопасности;

3) нагрузочное испытание;

4) обследование сетевой инфраструктуры;

5) обследование процессов обеспечения информационной безопасности.

Глава 2. Анализ исходных кодов

4. Анализ исходных кодов объектов испытаний проводится с целью выявления уязвимостей ПО в соответствии с международными классификациями уязвимостей (Common Weakness Enumeration, Open Web Application Security Project Top 10, Open Web Application Security Project Mobile Top 10, Open Web Application Security Project Application Programming Interface Top 10), международными базами данных уязвимостей (Common Vulnerabilities and Exposures, National Institute of Standards and Technology ) и стандартом Республики Казахстан 15408-3 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты».

Анализ исходных кодов объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится с целью выявления НДВ и уязвимостей ПО в соответствии с международными классификациями (Common Weakness Enumeration, Open Web Application Security Project Top 10, Open Web Application Security Project Mobile Top 10, Open Web Application Security Project Application Programming Interface Top 10), международными базами данных уязвимостей (Common Vulnerabilities and Exposures, National Institute of Standards and Technology) и стандартом Республики Казахстан 15408-3 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты».

5. Анализ исходных кодов проводится для ПО, перечисленного в таблицах подпункта 11) и подпункта 12) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (далее – Правила).

6. Если при проведении испытания выявится необходимость проведения повторного анализа исходных кодов до окончания срока испытания, заявитель обращается с запросом к поставщику и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 26 Правил.

7. Выявление уязвимостей ПО проводится с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

Выявление уязвимостей ПО объектам испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода и с использованием программного средства, предназначенного для анализа исходного кода, на основании исходных кодов, предоставленных заявителем.

8. Выявление НДВ ПО объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган проводится ручным методом анализа исходного кода с детальным просмотром исходного кода и проведением поиска бэкдоров в библиотеках с открытым исходным кодом.

9. Анализ исходных кодов включает:

1) выявление уязвимостей ПО;

2) выявление НДВ для объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган;

3) фиксацию результатов анализа исходного кода.

10. Выявление уязвимостей ПО осуществляется в следующем порядке:

1) проводится подготовка исходных данных (загрузка исходных кодов объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры, выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования);

2) проводится ручной метод анализа исходного кода и подготовка исходных данных (загрузка исходных кодов объектов испытаний собственником (владельцем) и (или) заказчиком которых является государственный орган), выбор режима сканирования (статический, анализ зависимостей и/или динамический), настройка характеристик режимов сканирования);

3) запускается ПО, предназначенное для выявления уязвимостей ПО;

4) проводится анализ программных отчетов на наличие ложных срабатываний;

5) формируется отчет, включающий в себя перечень выявленных уязвимостей ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая).

11. Выявление НДВ осуществляется в следующем порядке:

1) анализ технической документации на объект испытания, в том числе технического задания на создание (развитие) объекта информатизации, в части сведений о его назначении, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;

2) проведение анализа исходного кода ручным методом объекта испытания:

изучение модульной и логической структуры ПО, а также отдельных модулей и сравнения этих структур с приведенными в технической документации;

изучение маршрута выполнения функциональных объектов и проверка обрабатывающих данных;

контроль полноты и отсутствия избыточности исходных кодов на уровне функциональных объектов;

фиксирование НДВ с помощью снимка экрана для последующего предоставления в отчете результатов выявления НДВ;

3) формирование отчета, включающего в себя перечень выявленных НДВ с приведением их описания, маршрута (пути к файлу) и снимка экрана;

4) проведение поиска бэкдоров в библиотеках с открытым исходным кодом, в том числе с помощью автоматизированного анализатора;

5) формирование отчета, включающего в себя описание уязвимостей с приведением идентификатора из международных баз данных уязвимостей.

12. Объем работ по анализу исходного кода определяется размером исходного кода.

13. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ поставщика, в протоколе анализа исходных кодов (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к Правилам.

Протокол анализа исходных кодов с приложениями и отчетом, выдаваемый:

1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

14. По окончанию анализа исходных кодов:

1) исходные коды объекта испытаний (за исключением объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган) маркируются и сдаются в опечатанном виде на ответственное хранение в архиве аккредитованной испытательной лаборатории;

2) исходные коды объекта испытаний (объекта информатизации, собственников (владельцем) и (или) заказчиком которых является государственный орган) получают уникальный идентификационный номер и хранятся в интернет-портале SYNAQ.

15. Поставщик обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.

Глава 3. Испытание функций информационной безопасности

16. Оценка функций объектов информатизации на соответствие требованиям информационной безопасности (далее – испытание функций информационной безопасности) осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.

17. Испытание функций информационной безопасности включает:

1) оценку соответствия функций безопасности требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);

2) ручное тестирование на проникновение объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган;

3) сканирование программным обеспечением на наличие обновлений и анализ конфигурации;

4) фиксацию результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

18. Перечень функций информационной безопасности приведен в приложении 1, перечень функций ручного тестирования приведен в приложении 2 к Методике.

19. Испытание функций информационной безопасности проводятся в разрезе серверов, виртуальных ресурсов и сред виртуализации, перечисленных в таблицах подпункта 1) и подпункта 4) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

20. Ручное тестирование на проникновение объектов испытаний, собственником (владельцем) и (или) заказчиком которых является государственный орган включает:

1) выявление уязвимостей в объекте испытаний;

2) формирование рекомендаций по устранению выявленных уязвимостей.

21. Результаты испытаний функций информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе испытаний функций информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

Протокол испытаний функций информационной безопасности с приложениями и отчетом, выдаваемый:

1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

Глава 4. Нагрузочное испытание

22. Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.

23. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.

24. Параметры нагрузочного испытания предоставляются заявителем таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

При проведении нагрузочного испытания выявляется параметры фактической нагрузочной способности объекта испытаний.

25. Нагрузочное испытание осуществляется в следующем порядке:

1) проводится подготовка к испытанию;

2) проводится испытание;

3) фиксируются результаты испытания.

26. Подготовка к испытанию включает:

1) определение сценария испытания;

2) определение временных и количественных характеристик испытания;

3) согласование времени проведения испытания c заказчиком.

27. Проведение испытания включает:

1) настройка конфигурации и сценария испытания в специализированное программное средство;

2) запуск специализированного программного средства;

3) регистрация нагрузки на объект испытаний;

4) формирование и выдача отчета нагрузочного испытания с указанием рекомендаций по увеличению или снижению реальной пропускной способности объекта испытаний.

28. Работы по проведению нагрузочного тестирования проводятся для одного объекта испытаний по количеству вариантов точек подключений пользователей и вариантов точек подключения интеграционного взаимодействия объекта испытаний, указанных в таблицах подпункта 9) и подпункта 10) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

29. Результаты нагрузочного испытания фиксируются ответственным исполнителем данного вида работ поставщика в протоколе нагрузочного испытания (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

Протокол нагрузочного испытания с приложениями и отчетом, выдаваемый:

1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

Глава 5. Обследование сетевой инфраструктуры

30. Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры.

31. Обследование сетевой инфраструктуры включает:

1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;

2) обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств (при необходимости);

3) сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков;

4) фиксацию полученных результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

32. Перечень функций защиты сетевой инфраструктуры приведен в приложении 3 к настоящей Методике.

33. Работы по обследованию сетевой инфраструктуры, проводятся для каждого сегмента сети (подсети) объекта испытаний, указанного в таблице подпункта 7) пункта 5 анкеты-вопросника о характеристиках объекта испытаний приложения 2 к Правилам.

34. Результаты обследования сетевой инфраструктуры фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования сетевой инфраструктуры (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

Протокол обследования сетевой инфраструктуры с приложениями и отчетом, выдаваемый:

1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

Глава 6. Обследование процессов обеспечения информационной безопасности

35. Обследование процессов обеспечения информационной безопасности осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности.

36. Обследование процессов обеспечения информационной безопасности включает:

1) оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;

2) фиксацию результатов оценки испытания с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости).

37. Перечень процессов обеспечения информационной безопасности и их содержание приведено в приложении 4 к Методике.

38. Работы по обследованию процессов обеспечения информационной безопасности проводятся для объекта испытания.

39. Результаты обследования процессов обеспечения информационной безопасности фиксируются ответственным исполнителем данного вида работ поставщика в протоколе обследования процессов обеспечения информационной безопасности (произвольная форма) с приложением копии анкеты-вопросника о характеристиках объекта испытаний.

Протокол обследования процессов обеспечения информационной безопасности с приложениями и отчетом, выдаваемый:

1) аккредитованной лабораторией, прошивается со сквозной нумерацией страниц и опечатывается печатью (при наличии);

2) государственной технической службой, размещается в электронном виде в личном кабинете заявителя на интернет-портале SYNAQ.

Результаты сканирования программным средством на соответствие стандартам в сфере обеспечения информационной безопасности не включаются в Протокол обследования процессов обеспечения информационной безопасности и носят рекомендательный характер.

Глава 7. Анализ неизменности исполняемых кодов, скомпонованных из исходных кодов объектов информатизации «электронного правительства»

40. Объектами анализа неизменности исполняемых кодов, скомпонованных из исходных кодов объектов информатизации «электронного правительства» (далее – анализ неизменности) являются вводимые в промышленную эксплуатацию объекты информатизации «электронного правительства», отнесенные к критически важным объектам информационно-коммуникационной инфраструктуры государственных органов.

41. Для проведения анализа неизменности необходимо осуществлять развертывание в среде промышленной эксплуатации объекта анализа неизменности под контролем работника государственной технической службы с использованием исходных и исполняемых кодов, скомпонованных из исходных кодов объекта информатизации «электронного правительства», переданных государственной технической службой.

42. Анализ неизменности включает:

1) установку программного обеспечения;

2) выявление изменений в запущенном исполняемом коде;

3) при внесении изменении в исходный код, анализ исходного кода в соответствии с настоящими Правилами.

43. Анализ неизменности осуществляется на постоянной основе посредством ПО, установленного государственной технической службой на месте размещения объекта анализа.

ПО для анализа неизменности осуществляет сбор результатов журнала регистрации событий объекта анализа. Журнал регистрации событий хранится в течение срока, указанного в технической документации по информационной безопасности, но не менее 3 (три) лет и находится в оперативном доступе не менее 2 (два) месяцев в соответствии с подпунктом 4) пункта 38 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832.

44. Для проведения анализа неизменности собственник или владелец объекта информатизации «электронного правительства» обеспечивает государственной технической службе:

1) доступ к серверному оборудованию объекта информатизации «электронного правительства» и организацию доступа по сети с системой мониторинга и управления инцидентами и событиями информационной безопасности государственной технической службы;

2) запись информации о происходящих событиях с программным обеспечением для анализа неизменности в журнал регистрации событий;

3) рабочее место, физический доступ к рабочему месту администратора, серверному оборудованию объекта информатизации «электронного правительства».

45. При выявлении изменений в запущенном исполняемом коде объекта информатизации «электронного правительства» государственная техническая служба уведомляет официальным письмом в течении 5 (пять) рабочих дней Комитет национальной безопасности Республики Казахстан (далее – КНБ), уполномоченный орган и собственника или владельца объекта информатизации «электронного правительства».

46. Государственная техническая служба ежеквартально, не позднее 25 (двадцать пятого) числа последнего месяца квартала, размещает на интернет-портале SYNAQ сводные результаты анализа неизменности в электронной форме для уполномоченного органа в сфере обеспечения информационной безопасности и КНБ.

47. При внесении изменений в исходный код объекта информатизации «электронного правительства» собственник или владелец объекта информатизации «электронного правительства» уведомляет официальным письмом государственную техническую службу о внесенных изменениях в исходный код с подробным описанием причины и внесенных изменениях в течение 2 (двух) рабочих дней после внесения изменений.

48. При внесении изменений в исходный код объекта информатизации «электронного правительства» заявитель обеспечивает передачу сведений, указанных в подпунктах 1), 2), 3), 4) и 5) пункта 10 Правил функционирования Единого репозитория «электронного правительства», утвержденных приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 февраля 2024 года № 110/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 34101) и техническое задание на создание или развитие объекта информатизации «электронного правительства» посредством интернет-портала SYNAQ государственной технической службе для проведения анализа исходного кода. При этом, срок проведения анализа исходного кода согласовывается с собственником или владельцем объекта информатизации «электронного правительства».

49. При планировании проведения технических работ на сервере обеспечения функционирования программного обеспечения объекта информатизации «электронного правительства» собственник или владелец объекта анализа уведомляет официальным письмом государственную техническую службу за 2 (два) рабочих дня до планируемой даты проведения технических работ.

50. Государственная техническая служба устанавливает ПО на объекте информатизации «электронного правительства», отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры государственных органов для анализа неизменности.

Приложение 1

к Методике проведения испытаний

объектов информатизации

«электронного правительства»

и критически важных объектов

информационно-коммуникационной

инфраструктуры на

соответствие требованиям

информационной безопасности

Перечень функций информационной безопасности

№ п/п

На­име­но­ва­ние функ­ций

Со­дер­жа­ние функ­ций

1

2

3

Аудит без­опас­но­сти

1

Ав­то­ма­ти­че­ская ре­ак­ция ауди­та без­опас­но­сти

Обес­пе­че­ние мо­ни­то­рин­га ин­фор­ма­ци­он­ной без­опас­но­сти сред­ства­ми сбо­ра и ана­ли­за со­бы­тий ин­фор­ма­ци­он­ной без­опас­но­сти.

Осу­ществ­ле­ние ге­не­ра­ции за­пи­си в ре­ги­стра­ци­он­ном жур­на­ле, ло­каль­ная или уда­лен­ная сиг­на­ли­за­ция ад­ми­ни­стра­то­ру об об­на­ру­же­нии на­ру­ше­ния без­опас­но­сти.

2

Ге­не­ра­ция дан­ных ауди­та без­опас­но­сти

На­ли­чие про­то­ко­ли­ро­ва­ния, по край­ней ме­ре, за­пус­ка и за­вер­ше­ния ре­ги­стра­ци­он­ных функ­ций, а та­к­же всех со­бы­тий ба­зо­во­го уров­ня ауди­та, т.е. в каж­дой ре­ги­стра­ци­он­ной за­пи­си при­сут­ствие да­ты и вре­ме­ни со­бы­тия, ти­па со­бы­тия, иден­ти­фи­ка­то­ра субъ­ек­та и ре­зуль­та­та (успех или неуда­ча) со­бы­тия.

3

Ана­лиз ауди­та без­опас­но­сти

Осу­ществ­ле­ние (с це­лью вы­яв­ле­ния ве­ро­ят­ных на­ру­ше­ний), по край­ней ме­ре, пу­тем на­коп­ле­ния и/или объ­еди­не­ния неуспеш­ных ре­зуль­та­тов ис­поль­зо­ва­ния ме­ха­низ­мов аутен­ти­фи­ка­ции, а та­к­же неуспеш­ных ре­зуль­та­тов вы­пол­не­ния крип­то­гра­фи­че­ских опе­ра­ций.

4

Про­смотр ауди­та без­опас­но­сти

Обес­пе­че­ние и предо­став­ле­ние ад­ми­ни­стра­то­ру воз­мож­но­сти про­смот­ра (чте­ния) всей ре­ги­стра­ци­он­ной ин­фор­ма­ции. Про­чим поль­зо­ва­те­лям до­ступ к ре­ги­стра­ци­он­ной ин­фор­ма­ции дол­жен быть за­крыт, за ис­клю­че­ни­ем яв­но спе­ци­фи­ци­ро­ван­ных слу­ча­ев.

5

Вы­бор со­бы­тий ауди­та без­опас­но­сти

На­ли­чие из­би­ра­тель­но­сти ре­ги­стра­ции со­бы­тий, ос­но­вы­ва­ю­щей­ся, по край­ней ме­ре, на сле­ду­ю­щих ат­ри­бу­тах:

иден­ти­фи­ка­тор объ­ек­та;

иден­ти­фи­ка­тор субъ­ек­та;

ад­рес уз­ла се­ти;

тип со­бы­тия;

да­та и вре­мя со­бы­тия.

6

Хра­не­ние дан­ных ауди­та без­опас­но­сти

На­ли­чие ре­ги­стра­ци­он­ной ин­фор­ма­ции о на­деж­но­сти за­щи­ты от несанк­ци­о­ни­ро­ван­ной мо­ди­фи­ка­ции.

Крип­то­гра­фи­че­ская под­держ­ка

7

Управ­ле­ние крип­то­гра­фи­че­ски­ми клю­ча­ми

На­ли­чие под­держ­ки:

1) ге­не­ра­ции крип­то­гра­фи­че­ских клю­чей;

2) рас­пре­де­ле­ния крип­то­гра­фи­че­ских клю­чей;

3) управ­ле­ния до­сту­пом к крип­то­гра­фи­че­ским клю­чам;

4) уни­что­же­ния крип­то­гра­фи­че­ских клю­чей.

8

Крип­то­гра­фи­че­ские опе­ра­ции

1. На­ли­чие для всей ин­фор­ма­ции, пе­ре­да­ва­е­мой по до­ве­рен­но­му ка­на­лу, шиф­ро­ва­ния и кон­тро­ля це­лост­но­сти в со­от­вет­ствии с тре­бо­ва­ни­я­ми тех­ни­че­ской до­ку­мен­та­ции, нор­ма­тив­ных пра­во­вых ак­тов Рес­пуб­ли­ки Ка­зах­стан и дей­ству­ю­щих на тер­ри­то­рии Рес­пуб­ли­ки Ка­зах­стан стан­дар­тов в сфе­ре ин­фор­ма­ци­он­ной без­опас­но­сти.

2. При­ме­не­ние средств крип­то­гра­фи­че­ской за­щи­ты ин­фор­ма­ции для объ­ек­тов ис­пы­та­ний (да­лее – ОИ), со­дер­жа­щих кон­фи­ден­ци­аль­ные дан­ные, пер­со­наль­ные дан­ные огра­ни­чен­но­го до­сту­па или слу­жеб­ную ин­фор­ма­цию огра­ни­чен­но­го рас­про­стра­не­ния.

За­щи­та дан­ных поль­зо­ва­те­ля

9

По­ли­ти­ка управ­ле­ния до­сту­пом

Осу­ществ­ле­ние раз­гра­ни­че­ния до­сту­па для поль­зо­ва­те­лей, пря­мо или кос­вен­но вы­пол­ня­ю­щих опе­ра­ции с сер­ви­сом без­опас­но­сти.

10

Функ­ции управ­ле­ния до­сту­пом

При­ме­не­ние функ­ций раз­гра­ни­че­ния до­сту­па ос­но­вы­ва­ет­ся, по край­ней ме­ре, на сле­ду­ю­щих ат­ри­бу­тах без­опас­но­сти:

иден­ти­фи­ка­то­ры субъ­ек­тов до­сту­па;

иден­ти­фи­ка­то­ры объ­ек­тов до­сту­па;

ад­ре­са субъ­ек­тов до­сту­па;

ад­ре­са объ­ек­тов до­сту­па;

пра­ва до­сту­па субъ­ек­тов.

11

Аутен­ти­фи­ка­ция дан­ных

Под­держ­ка га­ран­тии пра­виль­но­сти спе­ци­фи­че­ско­го на­бо­ра дан­ных, ко­то­рый впо­след­ствии ис­поль­зу­ет­ся для ве­ри­фи­ка­ции то­го, что со­дер­жа­ние ин­фор­ма­ции не бы­ло под­де­ла­но или мо­ди­фи­ци­ро­ва­но мо­шен­ни­че­ским пу­тем.

12

Экс­порт дан­ных за пре­де­лы дей­ствия функ­ций без­опас­но­сти ОИ (да­лее - ФБО)

Обес­пе­че­ние при экс­пор­те дан­ных поль­зо­ва­те­ля из OИ за­щи­ты и со­хран­но­сти или иг­но­ри­ро­ва­ния их ат­ри­бу­тов без­опас­но­сти.

13

По­ли­ти­ка управ­ле­ния ин­фор­ма­ци­он­ны­ми по­то­ка­ми

Обес­пе­че­ние предот­вра­ще­ния рас­кры­тия, мо­ди­фи­ка­ции и/или недо­ступ­но­сти дан­ных поль­зо­ва­те­ля при их пе­ре­да­че меж­ду фи­зи­че­ски раз­де­лен­ны­ми ча­стя­ми сер­ви­са без­опас­но­сти.

14

Функ­ции управ­ле­ния ин­фор­ма­ци­он­ны­ми по­то­ка­ми

Ор­га­ни­за­ция и обес­пе­че­ние кон­тро­ля до­сту­па к хра­ни­ли­щам дан­ным с це­лью ис­клю­че­ния бес­кон­троль­но­го рас­про­стра­не­ния ин­фор­ма­ции, со­дер­жа­щей­ся в них (управ­ле­ние ин­фор­ма­ци­он­ны­ми по­то­ка­ми для ре­а­ли­за­ции на­деж­ной за­щи­ты от рас­кры­тия или мо­ди­фи­ка­ции в усло­ви­ях недо­ве­рен­но­го про­грамм­но­го обес­пе­че­ния (да­лее - ПО).

15

Им­порт дан­ных из-за пре­де­лов дей­ствия ФБО

На­ли­чие ме­ха­низ­мов для пе­ре­да­чи дан­ных поль­зо­ва­те­ля в OИ та­ким об­ра­зом, что­бы эти дан­ные име­ли тре­бу­е­мые ат­ри­бу­ты без­опас­но­сти и за­щи­ту.

16

Пе­ре­да­ча в пре­де­лах ОИ

На­ли­чие за­щи­ты дан­ных поль­зо­ва­те­ля при их пе­ре­да­че меж­ду раз­лич­ны­ми ча­стя­ми OИ по внут­рен­не­му ка­на­лу.

17

За­щи­та оста­точ­ной ин­фор­ма­ции

Обес­пе­че­ние пол­ной за­щи­ты оста­точ­ной ин­фор­ма­ции, то есть недо­ступ­но­сти преды­ду­ще­го со­сто­я­ния при осво­бож­де­нии ре­сур­са.

18

От­кат те­ку­ще­го со­сто­я­ния

На­ли­чие воз­мож­но­сти от­ме­ны по­след­ней опе­ра­ции или ря­да опе­ра­ций, огра­ни­чен­ных неко­то­рым пре­де­лом (на­при­мер, пе­ри­о­дом вре­ме­ни), и воз­врат к пред­ше­ству­ю­ще­му из­вест­но­му со­сто­я­нию. От­кат предо­став­ля­ет воз­мож­ность от­ме­нить ре­зуль­та­ты опе­ра­ции или ря­да опе­ра­ций, что­бы со­хра­нить це­лост­ность дан­ных поль­зо­ва­те­ля.

19

Це­лост­ность хра­ни­мых дан­ных

Обес­пе­че­ние за­щи­ты дан­ных поль­зо­ва­те­ля во вре­мя их хра­не­ния в пре­де­лах ФБО.

20

За­щи­та кон­фи­ден­ци­аль­но­сти дан­ных поль­зо­ва­те­ля при пе­ре­да­че меж­ду ФБО

Обес­пе­че­ние кон­фи­ден­ци­аль­но­сти дан­ных поль­зо­ва­те­ля при их пе­ре­да­че по внеш­не­му ка­на­лу меж­ду ОИ и дру­гим до­ве­рен­ным про­дук­том IT. Кон­фи­ден­ци­аль­ность осу­ществ­ля­ет­ся пу­тем предот­вра­ще­ния несанк­ци­о­ни­ро­ван­но­го рас­кры­тия дан­ных при их пе­ре­да­че меж­ду дву­мя око­неч­ны­ми точ­ка­ми. Око­неч­ны­ми точ­ка­ми мо­гут быть ФБО или поль­зо­ва­тель.

21

За­щи­та це­лост­но­сти дан­ных поль­зо­ва­те­ля при пе­ре­да­че меж­ду ФБО

Обес­пе­чи­ва­ет­ся це­лост­ность дан­ных поль­зо­ва­те­ля при их пе­ре­да­че меж­ду ФБО и дру­гим до­ве­рен­ным про­дук­том ИТ, а та­к­же воз­мож­ность их вос­ста­нов­ле­ния при об­на­ру­жи­ва­е­мых ошиб­ках.

Иден­ти­фи­ка­ция и аутен­ти­фи­ка­ция

22

От­ка­зы аутен­ти­фи­ка­ции

На­ли­чие воз­мож­но­сти при до­сти­же­нии опре­де­лен­но­го ад­ми­ни­стра­то­ром чис­ла неуспеш­ных по­пы­ток аутен­ти­фи­ка­ции от­ка­зать субъ­ек­ту в до­сту­пе, сге­не­ри­ро­вать за­пись ре­ги­стра­ци­он­но­го жур­на­ла и сиг­на­ли­зи­ро­вать ад­ми­ни­стра­то­ру о ве­ро­ят­ном на­ру­ше­нии без­опас­но­сти.

23

Опре­де­ле­ние ат­ри­бу­тов поль­зо­ва­те­ля

Для каж­до­го поль­зо­ва­те­ля необ­хо­ди­мо под­дер­жи­вать, по край­ней ме­ре, сле­ду­ю­щие ат­ри­бу­ты без­опас­но­сти:

иден­ти­фи­ка­тор;

аутен­ти­фи­ка­ци­он­ная ин­фор­ма­ция (на­при­мер, па­роль);

пра­ва до­сту­па (роль).

24

Спе­ци­фи­ка­ция сек­ре­тов

Ес­ли аутен­ти­фи­ка­ци­он­ная ин­фор­ма­ция обес­пе­чи­ва­ет­ся крип­то­гра­фи­че­ски­ми опе­ра­ци­я­ми, под­дер­жи­ва­ет­ся та­к­же от­кры­тые и сек­рет­ные клю­чи.

25

Аутен­ти­фи­ка­ция поль­зо­ва­те­ля

На­ли­чие ме­ха­низ­мов аутен­ти­фи­ка­ции поль­зо­ва­те­ля, предо­став­ля­е­мых ФБО.

26

Иден­ти­фи­ка­ция поль­зо­ва­те­ля

Обес­пе­че­ние:

1) успеш­но­сти иден­ти­фи­ка­ции и аутен­ти­фи­ка­ции каж­до­го поль­зо­ва­те­ля до раз­ре­ше­ния лю­бо­го дей­ствия, вы­пол­ня­е­мо­го сер­ви­сом без­опас­но­сти от име­ни это­го поль­зо­ва­те­ля;

2) воз­мож­но­стей по предот­вра­ще­нию при­ме­не­ния аутен­ти­фи­ка­ци­он­ных дан­ных, ко­то­рые бы­ли под­де­ла­ны или ско­пи­ро­ва­ны у дру­го­го поль­зо­ва­те­ля;

3) аутен­ти­фи­ка­ции лю­бо­го пред­став­лен­но­го иден­ти­фи­ка­то­ра поль­зо­ва­те­ля;

4) по­втор­ной аутен­ти­фи­ка­ции поль­зо­ва­те­ля по ис­те­че­нии опре­де­лен­но­го ад­ми­ни­стра­то­ром ин­тер­ва­ла вре­ме­ни;

5) предо­став­ле­ния поль­зо­ва­те­лю функ­ций без­опас­но­сти толь­ко со скры­той об­рат­ной свя­зью во вре­мя вы­пол­не­ния аутен­ти­фи­ка­ции.

27

Свя­зы­ва­ние поль­зо­ва­тель-субъ­ект

Сле­ду­ет ас­со­ци­и­ро­вать со­от­вет­ству­ю­щие ат­ри­бу­ты без­опас­но­сти поль­зо­ва­те­ля с субъ­ек­та­ми, дей­ству­ю­щи­ми от име­ни это­го поль­зо­ва­те­ля.

Управ­ле­ние без­опас­но­стью

28

Управ­ле­ние от­дель­ны­ми функ­ци­я­ми ФБО

На­ли­чие еди­но­лич­но­го пра­ва ад­ми­ни­стра­то­ра на опре­де­ле­ние ре­жи­ма функ­ци­о­ни­ро­ва­ния, от­клю­че­ния, под­клю­че­ния, мо­ди­фи­ка­ции ре­жи­мов иден­ти­фи­ка­ци и аутен­ти­фи­ка­ции, управ­ле­ния пра­ва­ми до­сту­па, про­то­ко­ли­ро­ва­ния и ауди­та.

29

Управ­ле­ние ат­ри­бу­та­ми без­опас­но­сти

На­ли­чие еди­но­лич­но­го пра­ва ад­ми­ни­стра­то­ра на из­ме­не­ния под­ра­зу­ме­ва­е­мых зна­че­ний, опрос, из­ме­не­ния, уда­ле­ния, со­зда­ния ат­ри­бу­тов без­опас­но­сти, пра­вил управ­ле­ния по­то­ка­ми ин­фор­ма­ции. При этом необ­хо­ди­мо обес­пе­чить при­сва­и­ва­ние ат­ри­бу­там без­опас­но­сти толь­ко без­опас­ных зна­че­ний.

30

Управ­ле­ние дан­ны­ми ФБО

На­ли­чие еди­но­лич­но­го пра­ва ад­ми­ни­стра­то­ра на из­ме­не­ния под­ра­зу­ме­ва­е­мых зна­че­ний, опрос, из­ме­не­ния, уда­ле­ния, очист­ки, опре­де­ле­ния ти­пов ре­ги­стри­ру­е­мых со­бы­тий, раз­ме­ров ре­ги­стра­ци­он­ных жур­на­лов, прав до­сту­па субъ­ек­тов, сро­ков дей­ствия учет­ных за­пи­сей субъ­ек­тов до­сту­па, па­ро­лей, крип­то­гра­фи­че­ских клю­чей.

31

От­ме­на ат­ри­бу­тов без­опас­но­сти

На­ли­чие осу­ществ­ле­ния от­ме­ны ат­ри­бу­тов без­опас­но­сти в неко­то­рый мо­мент вре­ме­ни. Толь­ко у упол­но­мо­чен­ных ад­ми­ни­стра­то­ров име­ет­ся воз­мож­ность от­ме­ны ат­ри­бу­тов без­опас­но­сти, ас­со­ци­и­ро­ван­ных с поль­зо­ва­те­ля­ми. Важ­ные для без­опас­но­сти пол­но­мо­чия от­ме­ня­ют­ся немед­лен­но.

32

Срок дей­ствия ат­ри­бу­та без­опас­но­сти

Обес­пе­че­ние воз­мож­но­сти уста­нов­ле­ния сро­ка дей­ствия ат­ри­бу­тов без­опас­но­сти.

33

Ро­ли управ­ле­ния без­опас­но­стью

1) Обес­пе­че­ние под­держ­ки, по край­ней ме­ре, сле­ду­ю­щих ро­лей: упол­но­мо­чен­ный поль­зо­ва­тель, уда­лен­ный поль­зо­ва­тель, ад­ми­ни­стра­тор;

2) Обес­пе­че­ние по­лу­че­ния ро­лей уда­лен­но­го поль­зо­ва­те­ля и ад­ми­ни­стра­то­ра толь­ко по за­про­су.

За­щи­та ФБО

34

Без­опас­ность при сбое

Со­хра­не­ние сер­ви­сом без­опас­но­го со­сто­я­ния при ап­па­рат­ных сбо­ях (вы­зван­ных, на­при­мер, пе­ре­бо­я­ми элек­тро­пи­та­ния).

35

До­ступ­ность экс­пор­ти­ру­е­мых дан­ных ФБО

Предо­став­ле­ние сер­ви­сом воз­мож­но­сти ве­ри­фи­ци­ро­вать до­ступ­ность, всех дан­ных при их пе­ре­да­че меж­ду ним и уда­лен­ным до­ве­рен­ным про­дук­том ин­фор­ма­ци­он­ных тех­но­ло­гий и вы­пол­нять по­втор­ную пе­ре­да­чу ин­фор­ма­ции, а та­к­же ге­не­ри­ро­вать за­пись ре­ги­стра­ци­он­но­го жур­на­ла, ес­ли мо­ди­фи­ка­ции об­на­ру­же­ны.

36

Кон­фи­ден­ци­аль­ность экс­пор­ти­ру­е­мых дан­ных ФБО

Предо­став­ле­ние сер­ви­сом воз­мож­но­сти ве­ри­фи­ци­ро­вать кон­фи­ден­ци­аль­ность всех дан­ных при их пе­ре­да­че меж­ду ним и уда­лен­ным до­ве­рен­ным про­дук­том ин­фор­ма­ци­он­ных тех­но­ло­гий и вы­пол­нять по­втор­ную пе­ре­да­чу ин­фор­ма­ции, а та­к­же ге­не­ри­ро­вать за­пись ре­ги­стра­ци­он­но­го жур­на­ла, ес­ли мо­ди­фи­ка­ции об­на­ру­же­ны.

37

Це­лост­ность экс­пор­ти­ру­е­мых дан­ных ФБО

Предо­став­ле­ние сер­ви­сом воз­мож­но­сти ве­ри­фи­ци­ро­вать це­лост­ность всех дан­ных при их пе­ре­да­че меж­ду ним и уда­лен­ным до­ве­рен­ным про­дук­том ин­фор­ма­ци­он­ных тех­но­ло­гий и вы­пол­нять по­втор­ную пе­ре­да­чу ин­фор­ма­ции, а та­к­же ге­не­ри­ро­вать за­пись ре­ги­стра­ци­он­но­го жур­на­ла, ес­ли мо­ди­фи­ка­ции об­на­ру­же­ны.

38

Пе­ре­да­ча дан­ных ФБО в пре­де­лах ОИ

Сер­вис предо­став­ля­ет воз­мож­ность ве­ри­фи­ци­ро­вать до­ступ­ность, Предо­став­ле­ние сер­ви­сом воз­мож­но­сти кон­фи­ден­ци­аль­ность и це­лост­ность всех дан­ных при их пе­ре­да­че меж­ду ним и уда­лен­ным до­ве­рен­ным про­дук­том ин­фор­ма­ци­он­ных тех­но­ло­гий и вы­пол­нять по­втор­ную пе­ре­да­чу ин­фор­ма­ции, а та­к­же ге­не­ри­ро­вать за­пись ре­ги­стра­ци­он­но­го жур­на­ла, ес­ли мо­ди­фи­ка­ции об­на­ру­же­ны.

39

На­деж­ное вос­ста­нов­ле­ние

Ко­гда ав­то­ма­ти­че­ское вос­ста­нов­ле­ние по­сле сбоя или пре­ры­ва­ния об­слу­жи­ва­ния невоз­мож­но, сер­вис пе­ре­хо­дит в ре­жим ава­рий­ной под­держ­ки, поз­во­ля­ю­щей вер­нуть­ся к без­опас­но­му со­сто­я­нию. По­сле ап­па­рат­ных сбо­ев обес­пе­чи­ва­ет­ся воз­врат к без­опас­но­му со­сто­я­нию с ис­поль­зо­ва­ни­ем ав­то­ма­ти­че­ских про­це­дур.

40

Об­на­ру­же­ние по­втор­но­го ис­поль­зо­ва­ния

Обес­пе­че­ние об­на­ру­же­ния сер­ви­сом по­втор­но­го ис­поль­зо­ва­ния аутен­ти­фи­ка­ци­он­ных дан­ных, от­ка­за в до­сту­пе, ге­не­ри­ри­ро­ва­ния за­пи­си ре­ги­стра­ци­он­но­го жур­на­ла и сиг­на­ли­зи­ро­ва­ния ад­ми­ни­стра­то­ру о ве­ро­ят­ном на­ру­ше­нии без­опас­но­сти.

41

По­сред­ни­че­ство при об­ра­ще­ни­ях

Обес­пе­че­ние вы­зо­ва и успеш­но­го вы­пол­не­ния функ­ций, осу­ществ­ля­ю­щих по­ли­ти­ку без­опас­но­сти сер­ви­са, пре­жде, чем раз­ре­ша­ет­ся вы­пол­не­ние лю­бой дру­гой функ­ции сер­ви­са.

42

Раз­де­ле­ние до­ме­на

Под­держ­ка от­дель­но­го до­ме­на для соб­ствен­но­го вы­пол­не­ния функ­ций без­опас­но­сти, ко­то­рый за­щи­ща­ет их от вме­ша­тель­ства и ис­ка­же­ния недо­ве­рен­ны­ми субъ­ек­та­ми.

43

Про­то­кол син­хро­ни­за­ции со­сто­я­ний

Обес­пе­че­ние син­хро­ни­за­ции со­сто­я­ний при вы­пол­не­нии иден­тич­ных функ­ций на сер­ве­рах.

44

Мет­ки вре­ме­ни

Предо­став­ле­ние для ис­поль­зо­ва­ния функ­ци­я­ми без­опас­но­сти на­деж­ных ме­ток вре­ме­ни.

45

Со­гла­со­ван­ность дан­ных меж­ду ФБО

Обес­пе­че­ние со­гла­со­ван­ной ин­тер­пре­та­ции ре­ги­стра­ци­он­ной ин­фор­ма­ции, а та­к­же па­ра­мет­ров ис­поль­зу­е­мых крип­то­гра­фи­че­ских опе­ра­ций.

46

Со­гла­со­ван­ность дан­ных ФБО при дуб­ли­ро­ва­нии в пре­де­лах ОИ

Обес­пе­че­ние со­гла­со­ван­но­сти дан­ных функ­ций без­опас­но­сти при дуб­ли­ро­ва­нии их в раз­лич­ных ча­стях объ­ек­та ис­пы­та­ний. Ко­гда ча­сти, со­дер­жа­щие дуб­ли­ру­е­мые дан­ные, разъ­еди­не­ны, со­гла­со­ван­ность обес­пе­чи­ва­ет­ся по­сле вос­ста­нов­ле­ния со­еди­не­ния пе­ред об­ра­бот­кой лю­бых за­про­сов к за­дан­ным функ­ци­ям без­опас­но­сти.

47

Ис­поль­зо­ва­ние сце­на­ри­ев (скрип­тов)

От­сут­ствие в ОИ воз­мож­ных сце­на­ри­ев (скрип­тов) с пра­ва­ми на мо­ди­фи­ка­цию, при­ме­не­ние ко­то­рых мо­жет по­влечь воз­ник­но­ве­ние ин­ци­ден­тов ин­фор­ма­ци­он­ной без­опас­но­сти.

Ис­поль­зо­ва­ние ре­сур­сов

48

От­ка­зо­устой­чи­вость

Обес­пе­че­ние до­ступ­но­сти функ­ци­о­наль­ных воз­мож­но­стей объ­ек­та ис­пы­та­ний да­же в слу­чае сбо­ев. При­ме­ры та­ких сбо­ев: от­клю­че­ние пи­та­ния, от­каз ап­па­ра­ту­ры, сбой ПО.

49

Рас­пре­де­ле­ние ре­сур­сов

1. Обес­пе­че­ние управ­ле­ния ис­поль­зо­ва­ни­ем ре­сур­сов поль­зо­ва­те­ля­ми и субъ­ек­та­ми та­ким об­ра­зом, что­бы не до­пу­стить несанк­ци­о­ни­ро­ван­ные от­ка­зы в об­слу­жи­ва­нии из-за мо­но­по­ли­за­ции ре­сур­сов дру­ги­ми поль­зо­ва­те­ля­ми или субъ­ек­та­ми.

2. Ис­поль­зо­ва­ние в рам­ках объ­ек­та ин­фор­ма­ти­за­ции толь­ко обес­пе­чи­ва­ю­щих его функ­ци­о­ни­ро­ва­ние про­грамм­ных про­дук­тов.

До­ступ к ОИ

50

Огра­ни­че­ние об­ла­сти вы­би­ра­е­мых ат­ри­бу­тов

Огра­ни­че­ние как ат­ри­бу­тов без­опас­но­сти се­ан­са, ко­то­рые мо­жет вы­би­рать поль­зо­ва­тель, так и ат­ри­бу­тов субъ­ек­тов, с ко­то­ры­ми поль­зо­ва­тель мо­жет быть свя­зан, на ос­но­ве ме­то­да или ме­ста до­сту­па, пор­та, с ко­то­ро­го осу­ществ­ля­ет­ся до­ступ, и/или вре­ме­ни (на­при­мер, вре­ме­ни су­ток, дня неде­ли).

51

Огра­ни­че­ние на па­рал­лель­ные се­ан­сы

Огра­ни­че­ние мак­си­маль­но­го чис­ла па­рал­лель­ных се­ан­сов, предо­став­ля­е­мых од­но­му поль­зо­ва­те­лю. У этой ве­ли­чи­ны под­ра­зу­ме­ва­е­мое зна­че­ние уста­нав­ли­ва­ет­ся ад­ми­ни­стра­то­ром.

52

Бло­ки­ро­ва­ние се­ан­са

При­ну­ди­тель­ное за­вер­ше­ние се­ан­са ра­бо­ты по ис­те­че­нии уста­нов­лен­но­го ад­ми­ни­стра­то­ром зна­че­ния дли­тель­но­сти без­дей­ствия поль­зо­ва­те­ля.

53

Пре­ду­пре­жде­ния пе­ред предо­став­ле­ни­ем до­сту­па к ОИ

Обес­пе­че­ние воз­мож­но­сти еще до иден­ти­фи­ка­ции и аутен­ти­фи­ка­ции отоб­ра­же­ния для по­тен­ци­аль­ных поль­зо­ва­те­лей пре­ду­пре­жда­ю­ще­го со­об­ще­ния от­но­си­тель­но ха­рак­те­ра ис­поль­зо­ва­ния объ­ек­та ис­пы­та­ний.

54

Ис­то­рия до­сту­па к ОИ

Обес­пе­че­ние воз­мож­но­сти отоб­ра­же­ния для поль­зо­ва­те­ля, при успеш­ном от­кры­тии се­ан­са, ис­то­рии неуспеш­ных по­пы­ток по­лу­чить до­ступ от име­ни это­го поль­зо­ва­те­ля. Эта ис­то­рия мо­жет со­дер­жать да­ту, вре­мя, сред­ства до­сту­па и порт по­след­не­го успеш­но­го до­сту­па к объ­ек­ту ис­пы­та­ний, а та­к­же чис­ло неуспеш­ных по­пы­ток до­сту­па к объ­ек­ту ис­пы­та­ний по­сле по­след­не­го успеш­но­го до­сту­па иден­ти­фи­ци­ро­ван­но­го поль­зо­ва­те­ля.

55

От­кры­тие се­ан­са с ОИ

Обес­пе­че­ние сер­ви­сом спо­соб­но­сти от­ка­зать в от­кры­тии се­ан­са, ос­но­вы­ва­ясь на иден­ти­фи­ка­то­ре субъ­ек­та, па­ро­ле субъ­ек­та, пра­вах до­сту­па субъ­ек­та.

Функ­ции за­щи­ты от вре­до­нос­но­го ко­да

56

На­ли­чие средств ан­ти­ви­рус­ной за­щи­ты

При­ме­не­ние для за­щи­ты от вре­до­нос­но­го ко­да средств мо­ни­то­рин­га, об­на­ру­же­ния и бло­ки­ро­ва­ния или уда­ле­ния вре­до­нос­но­го ко­да на сер­ве­рах и при необ­хо­ди­мо­сти, на ра­бо­чих стан­ци­ях объ­ек­та ис­пы­та­ний.

57

Ли­цен­зии для средств ан­ти­ви­рус­ной за­щи­ты

На­ли­чие у средств ан­ти­ви­рус­ной за­щи­ты ли­цен­зии (при­об­ре­тен­ной, огра­ни­чен­ной, сво­бод­но рас­про­стра­ня­е­мой) на сер­ве­ра и ра­бо­чие стан­ции.

58

Об­нов­ле­ние баз сиг­на­тур и про­грамм­но­го обес­пе­че­ния средств ан­ти­ви­рус­ной за­щи­ты

Обес­пе­че­ние ре­гу­ляр­но­го об­нов­ле­ния и под­дер­жа­ния в ак­ту­аль­ном со­сто­я­нии средств ан­ти­ви­рус­ной за­щи­ты.

59

Управ­ле­ние до­сту­пом к сред­ствам ан­ти­ви­рус­ной за­щи­ты

Осу­ществ­ле­ние цен­тра­ли­зо­ван­но­го управ­ле­ния и кон­фи­гу­ри­ро­ва­ния средств ан­ти­ви­рус­ной за­щи­ты.

60

Управ­ле­ние за­щи­той от вре­до­нос­но­го ко­да на внеш­них элек­трон­ных но­си­те­лях ин­фор­ма­ции сред­ства­ми ан­ти­ви­рус­ной за­щи­ты

Обес­пе­че­ние управ­ле­ни­ем за­щи­той от вре­до­нос­но­го ко­да на внеш­них элек­трон­ных но­си­те­лях ин­фор­ма­ции про­вер­ки и бло­ки­ров­ки фай­лов и при необ­хо­ди­мо­сти но­си­те­лей ин­фор­ма­ции.

Без­опас­ность при об­нов­ле­нии ПО

61

Ре­гу­ляр­ное об­нов­ле­ния ПО

Обес­пе­че­ние ре­гу­ляр­но­го об­нов­ле­ния об­ще­си­стем­но­го и при­клад­но­го ПО сер­ве­ров и ра­бо­чих стан­ций.

62

Об­нов­ле­ние ПО в се­те­вых сре­дах без до­сту­па к сер­ве­рам об­нов­ле­ния в Ин­тер­не­те

Обес­пе­че­ние об­нов­ле­ния ПО в се­те­вых сре­дах без до­сту­па к сер­ве­рам об­нов­ле­ния в Ин­тер­не­те от спе­ци­а­ли­зи­ро­ван­но­го сер­ве­ра об­нов­ле­ний.

Без­опас­ность при вне­се­нии из­ме­не­ний в при­клад­ное ПО

63

Сре­да раз­ра­бот­ки и те­сти­ро­ва­ния при­клад­но­го ПО

Обес­пе­че­ние на­ли­чия сре­ды для раз­ра­бот­ки и те­сти­ро­ва­ния при­клад­но­го ПО, изо­ли­ро­ван­ной от сре­ды про­мыш­лен­ной экс­плу­а­та­ции при­клад­но­го ПО.

64

Раз­гра­ни­че­ние до­сту­па в сре­дам раз­ра­бот­ки и те­сти­ро­ва­ния при­клад­но­го ПО

Обес­пе­че­ние управ­ле­ния до­сту­пом к сре­дам раз­ра­бот­ки и те­сти­ро­ва­ния при­клад­но­го ПО для про­грам­ми­стов и ад­ми­ни­стра­то­ров.

65

Си­сте­ма раз­вер­ты­ва­ния при­клад­но­го ПО

На­ли­чие си­сте­мы раз­вер­ты­ва­ния (рас­про­стра­не­ния) при­клад­но­го ПО на сер­ве­рах и ра­бо­чих стан­ци­ях сре­ды про­мыш­лен­ной экс­плу­а­та­ции.

66

Раз­гра­ни­че­ние до­сту­па к си­сте­ме раз­вер­ты­ва­ния при­клад­но­го ПО

Обес­пе­че­ние управ­ле­ния до­сту­пом к си­сте­ме раз­вер­ты­ва­ния (рас­про­стра­не­ния) при­клад­но­го ПО на сер­ве­рах и ра­бо­чих стан­ци­ях сре­ды про­мыш­лен­ной экс­плу­а­та­ции.

«За­щи­та от уте­чек кон­фи­ден­ци­аль­ной ин­фор­ма­ции» на объ­ек­тах ин­фор­ма­ти­за­ции го­су­дар­ствен­ных ор­га­нов, мест­ных ис­пол­ни­тель­ных ор­га­нах и кри­ти­че­ски важ­ных объ­ек­тов ин­фор­ма­ци­он­но-ком­му­ни­ка­ци­он­ной ин­фра­струк­ту­ры

67

По­ли­ти­ка управ­ле­ния до­сту­пом

Управ­ле­ние си­сте­мой за­щи­ты от уте­чек кон­фи­ден­ци­аль­ной ин­фор­ма­ции

68

Об­нов­ле­ние ком­по­нен­тов си­сте­мы

Обес­пе­че­ние ре­гу­ляр­но­го об­нов­ле­ния и под­дер­жа­ния в ак­ту­аль­ном со­сто­я­нии си­сте­мы за­щи­ты от уте­чек ин­фор­ма­ции.

69

Ат­ри­бут без­опас­но­сти раз­де­ла

Обес­пе­че­ние при­ме­не­ния па­роль­ной по­ли­ти­ки, со­глас­но пра­ви­лам ор­га­ни­за­ции про­це­дур аутен­ти­фи­ка­ции.

70

Хра­не­ние дан­ных

Хра­не­ние жур­на­лов со­бы­тий си­сте­мы за­щи­ты от утеч­ки кон­фи­ден­ци­аль­ной ин­фор­ма­ции не ме­нее трех лет и в опе­ра­тив­ном до­сту­пе не ме­нее двух ме­ся­цев.

Приложение 2

к Методике проведения испытаний

объектов информатизации

«электронного правительства»

и критически важных объектов

информационно- коммуникационной

инфраструктуры на

соответствие требованиям

информационной безопасности

Перечень функций ручного тестирования

№

На­име­но­ва­ние функ­ций

Со­дер­жа­ние функ­ций

1

Ар­хи­тек­ту­ра, ди­зайн и мо­дель угроз (Architecture, Design and Threat Modeling)

Обес­пе­че­ние без­опас­но­сти ди­зай­на при­ло­же­ния и ар­хи­тек­ту­ры объ­ек­та ис­пы­та­ний и от­сут­ствия уяз­ви­мо­стей.

2

Аутен­ти­фи­ка­ция (Authentication)

Обес­пе­че­ние кор­рект­но­го функ­ци­о­ни­ро­ва­ния аутен­ти­фи­ка­ции поль­зо­ва­те­лей в объ­ек­те ис­пы­та­ний (ло­гин/па­роль, мно­го­фак­тор­ная ав­то­ри­за­ция, хэ­ши­ро­ва­ние и дру­гие крип­то­гра­фи­че­ские ме­то­ды).

3

Управ­ле­ние сес­си­ей (Session Management)

Обес­пе­че­ние ге­не­ра­ции уни­каль­ной сес­сии для каж­до­го поль­зо­ва­те­ля и тех­ни­че­ско­го за­пре­та (бло­ки­ров­ки) сов­мест­но­го ис­поль­зо­ва­ния сес­сии. Бло­ки­ров­ка сес­сии поль­зо­ва­те­ля по ис­те­че­нию вре­ме­ни без­дей­ствия (Timeout session).

4

Кон­троль до­сту­па (Access Control)

Обес­пе­че­ние раз­гра­ни­че­ния прав поль­зо­ва­те­лей и ис­клю­че­ние несанк­ци­о­ни­ро­ван­но­го до­сту­па к объ­ек­ту ис­пы­та­ний.

5

Про­вер­ка, филь­тра­ция и ко­ди­ро­ва­ние (Validation, Sanitation and Encoding)

Обес­пе­че­ние филь­тра­ции вход­ных поль­зо­ва­тель­ских дан­ных для предот­вра­ще­ния атак пу­тем внед­ре­ния, а та­к­же обес­пе­че­ние пра­виль­ной ко­ди­ров­ки вы­ход­ных дан­ных, при ко­то­ром га­ран­ти­ру­ет­ся за­щи­та их кон­тек­ста от зло­умыш­лен­ни­ков.

6

Хра­ни­мая крип­то­гра­фия (Stored Cryptography)

При­ме­не­ние на­деж­ных ал­го­рит­мов шиф­ро­ва­ния и обес­пе­че­ние без­опас­но­го управ­ле­ния и хра­не­ния крип­то­гра­фи­че­ских клю­чей.

7

Об­ра­бот­ка оши­бок и ло­ги­ро­ва­ние (Error Handling and Logging)

Обес­пе­че­ние жур­на­ли­ро­ва­ния дей­ствий поль­зо­ва­те­лей объ­ек­та ис­пы­та­ний и со­бы­тий ин­фор­ма­ци­он­ной без­опас­но­сти с уче­том их за­щи­ты в со­от­вет­ствии с тре­бо­ва­ни­я­ми без­опас­но­сти. Со­бран­ные жур­на­лы с кон­фи­ден­ци­аль­ны­ми дан­ны­ми не долж­ны хра­нить­ся дол­го ло­каль­но на сер­ве­рах объ­ек­та ис­пы­та­ний и долж­ны быть уда­ле­ны по ис­те­че­нии опре­де­лен­но­го про­ме­жут­ка вре­ме­ни.

8

За­щи­та дан­ных (Data Protection)

Обес­пе­че­ние кон­фи­ден­ци­аль­но­сти при пе­ре­да­че и хра­не­нии дан­ных в объ­ек­те ис­пы­та­ний с ис­поль­зо­ва­ни­ем средств крип­то­гра­фи­че­ской за­щи­ты ин­фор­ма­ции в со­от­вет­ствии с клас­си­фи­ка­то­ром.

9

Связь (Communication)

Обес­пе­че­ние без­опас­но­сти объ­ек­та ис­пы­та­ний при пе­ре­да­че дан­ных с ис­поль­зо­ва­ни­ем без­опас­ных про­то­ко­лов свя­зи и ал­го­рит­мов шиф­ро­ва­ния.

10

Вре­до­нос­ный код (Malicious Code)

При­ме­не­ние средств за­щи­ты для предот­вра­ще­ния вы­пол­не­ния вре­до­нос­но­го ко­да в объ­ек­те ис­пы­та­ний.

11

Биз­нес-ло­ги­ка (Business Logic)

Обес­пе­че­ние кор­рект­ной ра­бо­ты ло­ги­че­ско­го функ­ци­о­ни­ро­ва­ния объ­ек­та ис­пы­та­ния со­глас­но тех­ни­че­ско­му за­да­нию.

12

Фай­лы и ре­сур­сы (Files and Resources)

Обес­пе­че­ние хра­не­ния дан­ных, по­лу­чен­ных из сто­рон­них и нена­деж­ных ис­точ­ни­ков вне сер­ве­ров при­ло­же­ний.

13

Про­грамм­ный ин­тер­фейс при­ло­же­ния (API)

Обес­пе­че­ние со­от­вет­ствия API сле­ду­ю­щим тре­бо­ва­ни­ям:

- API долж­ны иметь кор­рект­ную ав­то­ри­за­цию, ос­нов­ные па­ра­мет­ры управ­ле­ния се­ан­сом и аутен­ти­фи­ка­цию для до­сту­па ко всем веб-сер­ви­сам;

- API долж­ны иметь над­ле­жа­щую про­вер­ку вво­ди­мых дан­ных на слу­чай, ес­ли их па­ра­мет­ры пе­ре­хо­дят с бо­лее низ­ко­го на бо­лее вы­со­кий уро­вень до­ве­рия;

- раз­лич­ные API, та­кие как об­лач­ные и бес­сер­вер­ные, долж­ны иметь все необ­хо­ди­мые эле­мен­ты управ­ле­ния без­опас­но­стью.

14

Кон­фи­гу­ра­ция (Configuration)

Обес­пе­че­ние ис­поль­зо­ва­ния без­опас­ных па­ра­мет­ров кон­фи­гу­ра­ции, сто­рон­них биб­лио­тек, а та­к­же филь­тра­ции небез­опас­ных ком­по­нен­тов и на­деж­ной за­щи­ты кон­фи­ден­ци­аль­ных дан­ных в фай­лах кон­фи­гу­ра­ций при экс­плу­а­та­ции объ­ек­та ис­пы­та­ний.

Приложение 3

к Методике проведения испытаний

объектов информатизации

«электронного правительства»

и критически важных объектов

информационно- коммуникационной

инфраструктуры на

соответствие требованиям

информационной безопасности

Перечень функций защиты сетевой инфраструктуры

№ п/п

На­име­но­ва­ние функ­ций

Со­дер­жа­ние функ­ций

1

2

3

1

Иден­ти­фи­ка­ция и аутен­ти­фи­ка­ция

1. Ис­поль­зо­ва­ние уни­каль­ных иден­ти­фи­ка­то­ров учет­ных за­пи­сей для уста­нов­ле­ния свя­зи поль­зо­ва­те­ля с осу­ществ­лен­ны­ми дей­стви­я­ми.

2. При­ви­ле­ги­ро­ван­ные пра­ва до­сту­па долж­ны быть пред­на­зна­че­ны учет­ным за­пи­сям на ос­но­ве по­треб­но­сти в их ис­поль­зо­ва­нии.

3. Ре­ги­стра­ция неудач­ных и успеш­ных по­пы­ток аутен­ти­фи­ка­ции.

4. Огра­ни­че­ние вре­ме­ни се­ан­са.

5. От­ка­зы аутен­ти­фи­ка­ции (на­ли­чие воз­мож­но­сти при до­сти­же­нии опре­де­лен­но­го чис­ла неуспеш­ных по­пы­ток аутен­ти­фи­ка­ции от­ка­зать субъ­ек­ту в до­сту­пе).

6. Ис­поль­зо­ва­ние и вы­бор на­деж­ных па­ро­лей.

7. Про­ве­де­ние ре­гу­ляр­ной сме­ны па­ро­ля, а та­к­же – по ме­ре необ­хо­ди­мо­сти.

2

От­мет­ки ауди­тов (фор­ми­ро­ва­ние и на­ли­чие от­че­тов о со­бы­ти­ях, свя­зан­ных с без­опас­но­стью се­те­вых со­еди­не­ний)

1. Ре­ги­стра­ция со­бы­тий, свя­зан­ных с со­сто­я­ни­ем ин­фор­ма­ци­он­ной без­опас­но­сти, при этом жур­на­лы со­бы­тий долж­ны вклю­чать:

иден­ти­фи­ка­то­ры поль­зо­ва­те­лей;

си­стем­ные дей­ствия;

да­ту, вре­мя и де­та­ли клю­че­вых со­бы­тий, на­при­мер, вход и вы­ход из си­сте­мы;

от­че­ты об успеш­ных и от­кло­нен­ных по­пыт­ках до­сту­па;

из­ме­не­ния си­стем­ной кон­фи­гу­ра­ции;

ис­поль­зо­ва­ние при­ви­ле­гий;

се­те­вые ад­ре­са и про­то­ко­лы.

2. Про­ве­де­ние мо­ни­то­рин­га со­бы­тий, свя­зан­ных с на­ру­ше­ни­ем ин­фор­ма­ци­он­ной без­опас­но­сти, и ана­лиз ре­зуль­та­тов мо­ни­то­рин­га.

3. Хра­не­ние жур­на­лов ре­ги­стра­ции со­бы­тий в те­че­ние сро­ка, ука­зан­но­го в тех­ни­че­ской до­ку­мен­та­ции по ин­фор­ма­ци­он­ной без­опас­но­сти, но не ме­нее трех лет и на­хож­де­ние их в опе­ра­тив­ном до­сту­пе не ме­нее двух ме­ся­цев.

4. Обес­пе­че­ние за­щи­ты жур­на­лов ре­ги­стра­ции со­бы­тий от вме­ша­тель­ства и неав­то­ри­зо­ван­но­го до­сту­па, при этом:

не до­пус­ка­ет­ся на­ли­чие у си­стем­ных ад­ми­ни­стра­то­ров пол­но­мо­чий на из­ме­не­ние, уда­ле­ние и от­клю­че­ние жур­на­лов.

для кон­фи­ден­ци­аль­ных ин­фор­ма­ци­он­ных си­стем тре­бу­ет­ся со­зда­ние и ве­де­ние ре­зерв­но­го хра­ни­ли­ща жур­на­лов.

5. На­ли­чие опо­ве­ще­ния о кри­тич­ных ви­дах со­бы­тий ин­фор­ма­ци­он­ной без­опас­но­сти.

6. Обес­пе­че­ние син­хро­ни­за­ции вре­ме­ни жур­на­лов ре­ги­стра­ции со­бы­тий с эта­ло­ном вре­ме­ни и ча­сто­ты, вос­про­из­во­дя­щим на­ци­о­наль­ную шка­лу все­мир­но­го ко­ор­ди­ни­ро­ван­но­го вре­ме­ни UTC (kz).

3

Об­на­ру­же­ние втор­же­ния

1. Обес­пе­че­ние на­ли­чия средств, поз­во­ля­ю­щих про­гно­зи­ро­вать втор­же­ния (по­тен­ци­аль­ные втор­же­ния в се­те­вую ин­фра­струк­ту­ру), вы­яв­лять их в ре­аль­ном мас­шта­бе вре­ме­ни и под­ни­мать со­от­вет­ству­ю­щую тре­во­гу.

2. Воз­мож­ность ав­то­ма­ти­зи­ро­ван­но­го об­нов­ле­ния ба­зы пра­вил.

4

Управ­ле­ние се­те­вой без­опас­но­стью

1. Неис­поль­зу­е­мые ин­тер­фей­сы ка­бель­ной си­сте­мы ло­каль­ной се­ти фи­зи­че­ски долж­ны от­клю­чать­ся от ак­тив­но­го обо­ру­до­ва­ния.

2. Ис­клю­че­ние под­клю­че­ния ло­каль­ной се­ти внут­рен­не­го кон­ту­ра го­су­дар­ствен­ных ор­га­нов и мест­ных ис­пол­ни­тель­ных ор­га­нов к Ин­тер­не­ту, а та­к­же ис­клю­че­ние со­пря­же­ния ло­каль­ной се­ти внут­рен­не­го кон­ту­ра и ло­каль­ной се­ти внеш­не­го кон­ту­ра го­су­дар­ствен­ных ор­га­нов и мест­ных ис­пол­ни­тель­ных ор­га­нов меж­ду со­бой.

3. Управ­ле­ние про­грамм­но-ап­па­рат­ным обес­пе­че­ни­ем ин­фор­ма­ци­он­ной си­сте­мы го­су­дар­ствен­ных ор­га­нов и мест­ных ис­пол­ни­тель­ных ор­га­нов долж­но осу­ществ­лять­ся из внут­рен­ней ло­каль­ной се­ти вла­дель­ца ин­фор­ма­ци­он­ной си­сте­мы.

4. При­ме­не­ние средств ло­ги­че­ско­го и/или фи­зи­че­ско­го сег­мен­ти­ро­ва­ния ло­каль­ной се­ти.

5. Обес­пе­че­ние син­хро­ни­за­ции по вре­ме­ни меж­ду ком­по­нен­та­ми объ­ек­та ин­фор­ма­ти­за­ции, а та­к­же меж­ду объ­ек­том ин­фор­ма­ти­за­ции и сре­дой его функ­ци­о­ни­ро­ва­ния.

5

Меж­се­те­вые экра­ны

1. Обес­пе­че­ние филь­тра­ции вхо­дя­щих и ис­хо­дя­щих па­ке­тов на каж­дом ин­тер­фей­се.

2. В на­строй­ках обо­ру­до­ва­ния неис­поль­зу­е­мые пор­ты долж­ны бло­ки­ро­вать­ся.

3. Пре­об­ра­зо­ва­ние се­те­вых ад­ре­сов.

6

За­щи­та кон­фи­ден­ци­аль­но­сти це­лост­но­сти дан­ных, пе­ре­да­ва­е­мых по се­тям

При ор­га­ни­за­ции вы­де­лен­но­го ка­на­ла свя­зи, объ­еди­ня­ю­ще­го ло­каль­ные се­ти, долж­ны при­ме­нять­ся про­грамм­но-тех­ни­че­ские сред­ства за­щи­ты ин­фор­ма­ции, в том чис­ле крип­то­гра­фи­че­ско­го шиф­ро­ва­ния, с ис­поль­зо­ва­ни­ем средств крип­то­гра­фи­че­ской за­щи­ты ин­фор­ма­ции.

7

Неот­ка­зу­е­мость от со­вер­шен­ных дей­ствий по об­ме­ну ин­фор­ма­ци­ей

При­ме­не­ние средств мо­ни­то­рин­га и ана­ли­за се­те­во­го тра­фи­ка.

8

Обес­пе­че­ние непре­рыв­ной ра­бо­ты и вос­ста­нов­ле­ния

Для обес­пе­че­ния до­ступ­но­сти и от­ка­зо­устой­чи­во­сти долж­но ис­поль­зо­вать­ся ре­зер­ви­ро­ва­ние ап­па­рат­но-про­грамм­ных средств об­ра­бот­ки дан­ных, си­стем хра­не­ния дан­ных, ком­по­нен­тов се­тей хра­не­ния дан­ных и ка­на­лов пе­ре­да­чи дан­ных.

9

До­ве­рен­ный ка­нал

Предо­став­ле­ние для свя­зи с уда­лен­ным до­ве­рен­ным про­дук­том ка­на­ла, ко­то­рый ло­ги­че­ски от­ли­чим от дру­гих и обес­пе­чи­ва­ет на­деж­ную аутен­ти­фи­ка­цию его сто­рон, а та­к­же за­щи­ту дан­ных от мо­ди­фи­ка­ции и рас­кры­тия. Обес­пе­че­ние у обе­их сто­рон воз­мож­но­сти ини­ци­и­ро­вать связь че­рез до­ве­рен­ный ка­нал.

10

До­ве­рен­ный марш­рут

Предо­став­ле­ние для свя­зи с уда­лен­ным поль­зо­ва­те­лем марш­ру­та, ко­то­рый ло­ги­че­ски от­ли­чим от дру­гих и обес­пе­чи­ва­ет на­деж­ную аутен­ти­фи­ка­цию его сто­рон, а та­к­же за­щи­ту дан­ных от мо­ди­фи­ка­ции и рас­кры­тия. Обес­пе­че­ние у поль­зо­ва­те­ля воз­мож­но­сти ини­ци­и­ро­вать связь че­рез до­ве­рен­ный марш­рут. Для на­чаль­ной аутен­ти­фи­ка­ции уда­лен­но­го поль­зо­ва­те­ля и уда­лен­но­го управ­ле­ния ис­поль­зо­ва­ние до­ве­рен­но­го марш­ру­та яв­ля­ет­ся обя­за­тель­ным.

Приложение 4

к Методике проведения испытаний

объектов информатизации

«электронного правительства»

и критически важных объектов

информационно-коммуникационной

инфраструктуры на

соответствие требованиям

информационной безопасности

Перечень процессов обеспечения информационной безопасности и их содержание

№ п/п

На­име­но­ва­ние про­цес­сов

Тре­бо­ва­ние к со­дер­жа­нию про­цес­сов обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти

1

2

3

1

Управ­ле­ние ак­ти­ва­ми, свя­зан­ны­ми с ин­фор­ма­ци­он­но-ком­му­ни­ка­ци­он­ны­ми тех­но­ло­ги­я­ми

1. Иден­ти­фи­ка­ция ак­ти­вов в со­от­вет­ствии с по­ряд­ком иден­ти­фи­ка­ции ак­ти­вов, опре­де­лен­ном в Пра­ви­лах иден­ти­фи­ка­ции, клас­си­фи­ка­ции и мар­ки­ров­ки ак­ти­вов, свя­зан­ных со сред­ства­ми об­ра­бот­ки ин­фор­ма­ции.

2. Клас­си­фи­ка­ция ин­фор­ма­ции в со­от­вет­ствии с си­сте­мой клас­си­фи­ка­ции, опре­де­лен­ной в Пра­ви­лах иден­ти­фи­ка­ции, клас­си­фи­ка­ции и мар­ки­ров­ки ак­ти­вов, свя­зан­ных со сред­ства­ми об­ра­бот­ки ин­фор­ма­ции.

3. Про­вер­ка клас­са, опре­де­лен­но­го для объ­ек­та ис­пы­та­ний на со­от­вет­ствие тре­бо­ва­ни­ям пра­вил клас­си­фи­ка­ции объ­ек­тов ин­фор­ма­ти­за­ции.

4. Мар­ки­ров­ка ак­ти­вов в со­от­вет­ствии с прин­ци­па­ми мар­ки­ров­ки, опре­де­лен­ны­ми в Пра­ви­лах иден­ти­фи­ка­ции, клас­си­фи­ка­ции и мар­ки­ров­ки ак­ти­вов, свя­зан­ных со сред­ства­ми об­ра­бот­ки ин­фор­ма­ции.

5. За­креп­ле­ние от­вет­ствен­ных лиц за иден­ти­фи­ци­ро­ван­ны­ми ак­ти­ва­ми.

6. Ве­де­ние и ак­ту­а­ли­за­ция ре­ест­ра ак­ти­вов в со­от­вет­ствии с при­ня­той фор­мой ре­ест­ра.

7. Опре­де­ле­ние, до­ку­мен­ти­ро­ва­ние и ре­а­ли­за­ция про­це­дур об­ра­ще­ния с ак­ти­ва­ми (вы­да­ча, ис­поль­зо­ва­ние, хра­не­ние, внос/вы­нос и воз­врат) в со­от­вет­ствии с си­сте­мой клас­си­фи­ка­ции, опре­де­лен­ной в Пра­ви­лах иден­ти­фи­ка­ции, клас­си­фи­ка­ции и мар­ки­ров­ки ак­ти­вов, свя­зан­ных со сред­ства­ми об­ра­бот­ки ин­фор­ма­ции.

8. Пас­пор­ти­за­ция средств вы­чис­ли­тель­ной тех­ни­ки, те­ле­ком­му­ни­ка­ци­он­но­го обо­ру­до­ва­ния и про­грамм­но­го обес­пе­че­ния.

9. Без­опас­ная ор­га­ни­за­ция ра­бот при при­е­ме/от­груз­ке ак­ти­вов, свя­зан­ных с ин­фор­ма­ци­он­но-ком­му­ни­ка­ци­он­ны­ми тех­но­ло­ги­я­ми.

10. Без­опас­ная ути­ли­за­ция (по­втор­ное ис­поль­зо­ва­ние) сер­вер­но­го и те­ле­ком­му­ни­ка­ци­он­но­го обо­ру­до­ва­ния, си­стем хра­не­ния дан­ных, ра­бо­чих стан­ций, но­си­те­лей ин­фор­ма­ции.

2

Ор­га­ни­за­ция ин­фор­ма­ци­он­ной без­опас­но­сти

1. На­ли­чие под­раз­де­ле­ния ин­фор­ма­ци­он­ной без­опас­но­сти или со­труд­ни­ка, от­вет­ствен­но­го за ин­фор­ма­ци­он­ную без­опас­ность, обособ­лен­но­го от под­раз­де­ле­ния ин­фор­ма­ци­он­ных тех­но­ло­гий, под­чи­ня­ю­ще­го­ся непо­сред­ствен­но выс­ше­му ру­ко­вод­ству.

2. Функ­ци­о­ни­ро­ва­ние ра­бо­чих групп и про­ве­де­ние со­ве­ща­ний по во­про­сам ко­ор­ди­на­ции ра­бот и обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти.

3. Раз­ра­бот­ка (ак­ту­а­ли­за­ция), утвер­жде­ние, одоб­ре­ние ру­ко­вод­ством тех­ни­че­ской до­ку­мен­та­ции по ин­фор­ма­ци­он­ной без­опас­но­сти, до­ве­де­ние их со­дер­жи­мо­го до со­труд­ни­ков и при­вле­ка­е­мых со сто­ро­ны ис­пол­ни­те­лей.

4. Под­дер­жа­ние кон­так­тов с пол­но­моч­ны­ми ор­га­на­ми, про­фес­си­о­наль­ны­ми со­об­ще­ства­ми, про­фес­си­о­наль­ны­ми ас­со­ци­а­ци­я­ми или фо­ру­ма­ми спе­ци­а­ли­стов по ин­фор­ма­ци­он­ной без­опас­но­сти.

5. Опре­де­ле­ние и до­ку­мен­ти­ро­ва­ние про­це­дур обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти, в том чис­ле, при при­вле­че­нии сто­рон­них ор­га­ни­за­ций.

6. Раз­ра­бот­ка (пе­ре­смотр) со­гла­ше­ния о кон­фи­ден­ци­аль­но­сти или нераз­гла­ше­нии, от­ра­жа­ю­щие по­треб­но­сти в за­щи­те ин­фор­ма­ции.

7. Опре­де­ле­ние и вклю­че­ние в со­гла­ше­ния со сто­рон­ни­ми ор­га­ни­за­ци­я­ми тре­бо­ва­ний по ин­фор­ма­ци­он­ной без­опас­но­сти и уров­ня об­слу­жи­ва­ния. Кон­троль за ре­а­ли­за­ции по­ло­же­ний со­гла­ше­ния.

3

Без­опас­ность, свя­зан­ная с пер­со­на­лом

1. Пред­ва­ри­тель­ная про­вер­ка кан­ди­да­тов при при­е­ме на ра­бо­ту.

2. Опре­де­ле­ние, на­зна­че­ние и от­ра­же­ние в долж­ност­ных ин­струк­ци­ях и (или) усло­ви­ях тру­до­во­го до­го­во­ра со­труд­ни­ков и при­вле­ка­е­мых со сто­ро­ны ис­пол­ни­те­лей ро­лей, обя­зан­но­стей и от­вет­ствен­но­сти, свя­зан­ных с ин­фор­ма­ци­он­ной без­опас­но­стью в пе­ри­од за­ня­то­сти, из­ме­не­ния или пре­кра­ще­ния тру­до­вых от­но­ше­ний и обя­за­тельств вла­дель­ца объ­ек­та ис­пы­та­ний.

3. Опре­де­ле­ние и до­ку­мен­ти­ро­ва­ние про­це­дур уволь­не­ния со­труд­ни­ков, име­ю­щих обя­за­тель­ства в об­ла­сти обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти.

4. Опре­де­ле­ние и ре­гла­мен­ти­ро­ва­ние дей­ствий, ко­то­рые бу­дут пред­при­ня­ты к на­ру­ши­те­лям пра­вил ин­фор­ма­ци­он­ной без­опас­но­сти.

5. Из­ве­ще­ние со­труд­ни­ков об из­ме­не­ни­ях в по­ли­ти­ках, пра­ви­лах и про­це­ду­рах обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти, за­тра­ги­ва­ю­щих ис­пол­не­ние их слу­жеб­ных обя­зан­но­стей.

6. Осве­дом­лен­ность и ис­пол­не­ние со­труд­ни­ка­ми и при­вле­ка­е­мы­ми со сто­ро­ны ис­пол­ни­те­ля­ми об обя­зан­но­стях и от­вет­ствен­но­сти, свя­зан­ны­ми с обес­пе­че­ни­ем ин­фор­ма­ци­он­ной без­опас­но­сти в пе­ри­од за­ня­то­сти, из­ме­не­ния или пре­кра­ще­ния тру­до­вых от­но­ше­ний.

7. Обу­че­ние и под­го­тов­ка со­труд­ни­ков в сфе­ре ин­фор­ма­ци­он­ной без­опас­но­сти.

8. От­вет­ствен­ность ру­ко­вод­ства за обес­пе­че­ние воз­мож­но­сти вы­пол­не­ния со­труд­ни­ка­ми и при­вле­ка­е­мы­ми со сто­ро­ны ис­пол­ни­те­ля­ми обя­за­тельств в от­но­ше­нии ин­фор­ма­ци­он­ной без­опас­но­сти.

4

Мо­ни­то­ринг со­бы­тий ИБ и управ­ле­ние ин­ци­ден­та­ми ИБ

1. Ре­ги­стра­ция дей­ствий поль­зо­ва­те­лей, опе­ра­то­ров, ад­ми­ни­стра­тор и со­бы­тий опе­ра­ци­он­ных си­стем, си­стем управ­ле­ния ба­зой дан­ных, ан­ти­ви­рус­но­го про­грамм­но­го обес­пе­че­ния (да­лее – ПО), при­клад­но­го ПО, те­ле­ком­му­ни­ка­ци­он­но­го обо­ру­до­ва­ния, си­стем об­на­ру­же­ния и предот­вра­ще­ния атак, си­сте­мы управ­ле­ния кон­тен­том.

2. Ве­де­ние, хра­не­ние и за­щи­та жур­на­лов ре­ги­стра­ции со­бы­тий.

3. Осу­ществ­ле­ние ана­ли­за жур­на­лов ре­ги­стра­ции со­бы­тий.

4. Мо­ни­то­ринг за­ре­ги­стри­ро­ван­ных со­бы­тий и опо­ве­ще­ние о со­бы­ти­ях вы­со­кой и кри­тич­ной сте­пе­ни важ­но­сти для ин­фор­ма­ци­он­ной без­опас­но­сти.

5. Оцен­ка и при­ня­тие ре­ше­ния по со­бы­тию ин­фор­ма­ци­он­ной без­опас­но­сти.

6. Раз­ра­бот­ка, до­ку­мен­ти­ро­ва­ние, до­ве­де­ние до све­де­ния со­труд­ни­ков и при­вле­ка­е­мых со сто­ро­ны ис­пол­ни­те­лей, вы­пол­не­ние про­це­дур ре­а­ги­ро­ва­ния на ин­ци­ден­ты ин­фор­ма­ци­он­ной без­опас­но­сти.

7. Про­ве­де­ние ана­ли­за ин­ци­ден­тов ин­фор­ма­ци­он­ной без­опас­но­сти.

5

Управ­ле­ние непре­рыв­но­стью ИБ

1. Пла­ни­ро­ва­ние непре­рыв­но­сти ин­фор­ма­ци­он­ной без­опас­но­сти.

2. Иден­ти­фи­ка­ция со­бы­тий, ко­то­рые яв­ля­ют­ся воз­мож­ной при­чи­ной на­ру­ше­ния непре­рыв­но­сти про­цес­са обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти или биз­нес про­цес­сов.

3. Раз­ра­бот­ка (ак­ту­а­ли­за­ция), внед­ре­ние про­цес­сов и про­це­дур под­дер­жа­ния необ­хо­ди­мо­го уров­ня непре­рыв­но­сти ин­фор­ма­ци­он­ной без­опас­но­сти во вне­штат­ных (кри­зис­ных) си­ту­а­ци­ях.

4. Опре­де­ле­ние, до­ку­мен­ти­ро­ва­ние, до­ве­де­ние до све­де­ний со­труд­ни­ков и при­вле­ка­е­мых со сто­ро­ны ис­пол­ни­те­лей, вы­пол­не­ние про­це­дур во вне­штат­ных (кри­зис­ных си­ту­а­ци­ях).

5. Про­вер­ка (те­сти­ро­ва­ние), ана­лиз и оцен­ка про­цес­сов и про­це­дур обес­пе­че­ния непре­рыв­но­сти ин­фор­ма­ци­он­ной без­опас­но­сти.

6. Ре­зер­ви­ро­ва­ние средств об­ра­бот­ки ин­фор­ма­ции, объ­ек­та ин­фор­ма­ти­за­ции с уче­том тре­бо­ва­ний за­ко­но­да­тель­ства.

6

Управ­ле­ние се­те­вой без­опас­но­стью

1. Опре­де­ле­ние, до­ку­мен­ти­ро­ва­ние и до­ве­де­ние до све­де­ний со­труд­ни­ков и при­вле­ка­е­мых со сто­ро­ны ис­пол­ни­те­лей, вы­пол­не­ние про­це­дур управ­ле­ния се­те­вым обо­ру­до­ва­ни­ем.

2. Опре­де­ле­ние и вклю­че­ние в со­гла­ше­ния по об­слу­жи­ва­нию се­тей и пе­ре­да­че ин­фор­ма­ции ме­ха­низ­мов обес­пе­че­ния без­опас­но­сти, уров­ней до­ступ­но­сти для всех се­те­вых услуг и сер­ви­сов.

3. Опре­де­ле­ние, до­ку­мен­ти­ро­ва­ние, до­ве­де­ние до све­де­ний со­труд­ни­ков и при­вле­ка­е­мых со сто­ро­ны ис­пол­ни­те­лей, вы­пол­не­ние по­ли­тик и про­це­дур ис­поль­зо­ва­ния се­тей и се­те­вых услуг, пе­ре­да­чи ин­фор­ма­ции, под­клю­че­ния к Ин­тер­не­ту, се­тям те­ле­ком­му­ни­ка­ций и свя­зи и ис­поль­зо­ва­ния бес­про­вод­но­го до­сту­па к се­те­вым ре­сур­сам.

4. Опре­де­ле­ние, до­ку­мен­ти­ро­ва­ние и вы­пол­не­ние про­це­дур по при­ме­не­нию средств за­щи­ты ин­фор­ма­ции, пе­ре­да­ва­е­мой по се­ти и элек­трон­ных со­об­ще­ний.

5. Спо­со­бы под­клю­че­ния и вза­и­мо­дей­ствия се­тей, учи­ты­ва­ю­щие тре­бо­ва­ния за­ко­но­да­тель­ства.

7

Крип­то­гра­фи­че­ские ме­то­ды за­щи­ты

1. Ре­гла­мен­та­ция управ­ле­ния крип­то­гра­фи­че­ски­ми клю­ча­ми, вклю­ча­ю­щая во­про­сы из­го­тов­ле­ния, уче­та, хра­не­ния, пе­ре­да­чи, ис­поль­зо­ва­ния, воз­вра­та (уни­что­же­ния), за­щи­ты крип­то­гра­фи­че­ских клю­чей, учи­ты­ва­ю­щая тре­бо­ва­ния за­ко­но­да­тель­ства.

2. При­ме­не­ние крип­то­гра­фи­че­ских средств при хра­не­нии и пе­ре­да­че ин­фор­ма­ции, вклю­чая аутен­ти­фи­ка­ци­он­ные дан­ные.

8

Управ­ле­ние рис­ка­ми ин­фор­ма­ци­он­ной без­опас­но­сти

1. Вы­бор ме­то­ди­ки оцен­ки рис­ков.

2. Иден­ти­фи­ка­ция угроз (рис­ков) для иден­ти­фи­ци­ро­ван­ных и клас­си­фи­ци­ро­ван­ных ак­ти­вов и фор­ми­ро­ва­ние (ак­ту­а­ли­за­ция) ка­та­ло­га угроз (рис­ков) ин­фор­ма­ци­он­ной без­опас­но­сти. От­ра­же­ние в ка­та­ло­ге угроз (рис­ков), рис­ков свя­зан­ных с про­цес­са­ми обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти.

3. Оцен­ка (пе­ре­оцен­ка) иден­ти­фи­ци­ро­ван­ных рис­ков.

4. Об­ра­бот­ка рис­ков, фор­ми­ро­ва­ние и утвер­жде­ние (ак­ту­а­ли­за­ция) пла­на об­ра­бот­ки рис­ков.

5. Мо­ни­то­ринг и пе­ре­смотр рис­ков.

9

Управ­ле­ние до­сту­пом

1. Раз­ра­бот­ка (ак­ту­а­ли­за­ция), до­ку­мен­ти­ро­ва­ние, озна­ком­ле­ние поль­зо­ва­те­лей с пра­ви­ла­ми раз­гра­ни­че­ния прав до­сту­па к ин­фор­ма­ции, функ­ци­ям при­клад­ных си­стем, услу­гам, си­стем­но­му ПО, се­тям и се­те­вым сер­ви­сам.

2. При­ме­ня­е­мые ме­то­ды и про­це­ду­ры иден­ти­фи­ка­ции, аутен­ти­фи­ка­ции и ав­то­ри­за­ции поль­зо­ва­те­лей.

3. Ре­а­ли­за­ция пра­вил раз­гра­ни­че­ния прав до­сту­па, уста­нов­лен­ных в Пра­ви­лах раз­гра­ни­че­ния прав до­сту­па к элек­трон­ным ин­фор­ма­ци­он­ным ре­сур­сам.

4. Про­це­ду­ры ре­ги­стра­ции и от­ме­ны ре­ги­стра­ции (бло­ки­ров­ки) поль­зо­ва­те­лей.

5. Управ­ле­ние учет­ны­ми за­пи­ся­ми с при­ви­ле­ги­ро­ван­ны­ми пра­ва­ми до­сту­па.

6. Ис­поль­зо­ва­ние и управ­ле­ние крип­то­гра­фи­че­ски­ми ме­то­да­ми в про­це­ду­рах аутен­ти­фи­ка­ции поль­зо­ва­те­лей.

7. Управ­ле­ние из­ме­не­ни­я­ми пра­ва­ми до­сту­па.

8. Управ­ле­ние па­ро­ля­ми.

9. Ис­поль­зо­ва­ние при­ви­ле­ги­ро­ван­ных ути­лит.

10. Управ­ле­ние до­сту­пом к ис­ход­но­му ко­ду объ­ек­та ис­пы­та­ний.

10

Фи­зи­че­ская без­опас­ность и за­щи­та от при­род­ных угроз

1. Раз­ме­ще­ние сер­вер­но­го, те­ле­ком­му­ни­ка­ци­он­но­го обо­ру­до­ва­ния, си­стем хра­не­ния дан­ных с уче­том тре­бо­ва­ния за­ко­но­да­тель­ства.

2. Фи­зи­че­ская за­щи­та пе­ри­мет­ра без­опас­но­сти по­ме­ще­ний, в ко­то­рых раз­ме­ще­ны ак­ти­вы, свя­зан­ные с ин­фор­ма­ци­он­но-ком­му­ни­ка­ци­он­ны­ми тех­но­ло­ги­я­ми.

3. Ор­га­ни­за­ция ос­нов­но­го и ре­зерв­но­го сер­вер­ных по­ме­ще­ний, учи­ты­ва­ю­щая тре­бо­ва­ния за­ко­но­да­тель­ства.

4. Осна­ще­ние ос­нов­но­го и ре­зерв­ных сер­вер­ных по­ме­ще­ний си­сте­ма­ми обес­пе­че­ния, учи­ты­ва­ю­щее тре­бо­ва­ния за­ко­но­да­тель­ства.

5. Ор­га­ни­за­ция кон­тро­ли­ру­е­мо­го до­сту­па в сер­вер­ные по­ме­ще­ния.

6. Ор­га­ни­за­ция ра­бот в сер­вер­ном по­ме­ще­нии.

7. Ор­га­ни­за­ция ра­бот по тех­ни­че­ско­му со­про­вож­де­нию и об­слу­жи­ва­нию сер­вер­но­го и те­ле­ком­му­ни­ка­ци­он­но­го обо­ру­до­ва­ния, си­стем хра­не­ния дан­ных и си­стем обес­пе­че­ния.

8. Спо­со­бы за­щи­ты обо­ру­до­ва­ния от от­ка­зов в си­сте­ме элек­тро­снаб­же­ния и дру­гих на­ру­ше­ний, вы­зы­ва­е­мых сбо­я­ми в ра­бо­те ком­му­наль­ных служб.

9. Обес­пе­че­ние без­опас­но­сти ка­бель­ной си­сте­мы.

10. Обес­пе­че­ние без­опас­но­сти крос­со­вых по­ме­ще­ний.

11

Экс­плу­а­та­ци­он­ные про­це­ду­ры обес­пе­че­ния ИБ

1. Раз­ра­бот­ка (ак­ту­а­ли­за­ция), до­ку­мен­ти­ро­ва­ние, озна­ком­ле­ние поль­зо­ва­те­лей с ин­струк­ци­я­ми, ре­гла­мен­ти­ру­ю­щи­ми экс­плу­а­та­ци­он­ные про­це­ду­ры обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти.

2. При­ме­не­ние средств и си­стем обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти.

3. Про­це­ду­ры ре­зерв­но­го ко­пи­ро­ва­ния ин­фор­ма­ции и те­сти­ро­ва­ние ре­зуль­та­тов ко­пи­ро­ва­ния. Без­опас­ность мест хра­не­ния ре­зерв­ных ко­пий.

4. Син­хро­ни­за­ция вре­ме­ни жур­на­лов ре­ги­стра­ции со­бы­тий с еди­ным ис­точ­ни­ком вре­ме­ни.

5. Про­це­ду­ры управ­ле­ния из­ме­не­ни­я­ми при уста­нов­ке но­вых вер­сий при­клад­но­го и си­стем­но­го ПО в экс­плу­а­ти­ру­е­мых си­сте­мах.

6. Кон­троль и управ­ле­ние уяз­ви­мо­стя­ми ПО.

7. Озна­ком­ле­ние со­труд­ни­ков и ре­а­ли­за­ция по­ло­же­ний Пра­вил ис­поль­зо­ва­ния мо­биль­ных устройств и но­си­те­лей ин­фор­ма­ции.

8. Раз­ра­бот­ка (ак­ту­а­ли­за­ция), озна­ком­ле­ние со­труд­ни­ков, ре­а­ли­за­ция по­ло­же­ний ин­струк­ции по ор­га­ни­за­ции уда­лен­ной ра­бо­ты.

9. Мо­ни­то­ринг ра­бо­то­спо­соб­но­сти объ­ек­та ис­пы­та­ний.

10. Раз­де­ле­ние сред раз­ра­бот­ки, те­сти­ро­ва­ния и экс­плу­а­та­ции.

11. Обес­пе­че­ние кон­фи­ден­ци­аль­но­сти при пе­ре­да­че со­об­ще­ний элек­трон­ной по­чты и ин­фор­ма­ции по­сред­ством Ин­тер­нет.

12. Спо­со­ба предо­став­ле­ния Ин­тер­не­та и вза­и­мо­дей­ствия с внеш­ни­ми элек­трон­ны­ми поч­то­вы­ми си­сте­ма­ми в со­от­вет­ствии с тре­бо­ва­ни­я­ми за­ко­но­да­тель­ства.

13. Огра­ни­че­ния и по­ря­док филь­тра­ции при до­сту­пе к ре­сур­сам Ин­тер­не­та.

12

Со­от­вет­ствие за­ко­но­да­тель­ным и до­го­вор­ным тре­бо­ва­ни­ям

1. Опре­де­ле­ние (ак­ту­а­ли­за­ция), до­ку­мен­ти­ро­ва­ние за­ко­но­да­тель­ных, нор­ма­тив­ных, иных обя­за­тель­ных, до­го­вор­ных тре­бо­ва­ний для объ­ек­та ис­пы­та­ний.

2. Внед­ре­ние про­це­дур, ре­а­ли­зу­ю­щих со­от­вет­ствие за­ко­но­да­тель­ным, нор­ма­тив­ным и до­го­вор­ным тре­бо­ва­ни­ям, свя­зан­ным с пра­ва­ми на ин­тел­лек­ту­аль­ную соб­ствен­ность.

3. Раз­ра­бот­ка и ре­а­ли­за­ция по­ли­тик за­щи­ты кон­фи­ден­ци­аль­ных и пер­со­наль­ных дан­ных, со­от­вет­ству­ю­щих нор­мам за­ко­но­да­тель­ства.

4. Со­от­вет­ствие при­ме­ня­е­мых крип­то­гра­фи­че­ских ме­то­дов и средств тре­бо­ва­ни­ям за­ко­но­да­тель­ства и со­гла­ше­ни­ям (до­го­во­рам).

5. Про­ве­де­ние ауди­та ин­фор­ма­ци­он­ной без­опас­но­сти.

6. Про­ве­де­ние ана­ли­за объ­ек­та ис­пы­та­ний на пред­мет со­от­вет­ствия тре­бо­ва­ни­ям за­ко­но­да­тель­ства, стан­дар­тов и тех­ни­че­ской до­ку­мен­та­ции по ин­фор­ма­ци­он­ной без­опас­но­сти.

7. За­щи­та за­пи­сей от по­те­ри, по­вре­жде­ния, фаль­си­фи­ка­ции, несанк­ци­о­ни­ро­ван­но­го до­сту­па и несанк­ци­о­ни­ро­ван­но­го вы­пус­ка в со­от­вет­ствии с за­ко­но­да­тель­ны­ми, нор­ма­тив­ны­ми, до­го­вор­ны­ми тре­бо­ва­ни­я­ми.

13

При­об­ре­те­ние, раз­ра­бот­ка и об­слу­жи­ва­ние си­стем

1. Вклю­че­ние (ак­ту­а­ли­за­ция) тре­бо­ва­ний, свя­зан­ных с ин­фор­ма­ци­он­ной без­опас­но­стью и со­от­вет­ству­ю­щих дей­ству­ю­ще­му за­ко­но­да­тель­ству и стан­дар­там в со­став тех­ни­че­ской до­ку­мен­та­ции на объ­ект ис­пы­та­ний.

2. Опре­де­ле­ние и при­ме­не­ние без­опас­ных про­це­дур управ­ле­ния из­ме­не­ни­я­ми ПО (си­стем­но­го и при­клад­но­го) для экс­плу­а­ти­ру­е­мых си­стем.

3. Кон­троль про­цес­са раз­ра­бот­ки ПО объ­ек­та ис­пы­та­ний, в том чис­ле, осу­ществ­ля­е­мой сто­рон­ней ор­га­ни­за­ци­ей.

4. Кон­троль про­цес­са тех­ни­че­ско­го со­про­вож­де­ния си­сте­мы, осу­ществ­ля­е­мо­го сто­рон­ней ор­га­ни­за­ци­ей.

5. Те­сти­ро­ва­ние функ­ций без­опас­но­сти си­сте­мы.

Приложение 2

к приказу Министра

цифрового развития,

оборонной и аэрокосмической

промышленности

Республики Казахстан

от 3 июня 2019 года №111/НҚ

Правила проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности

Глава 1. Общие положения

1. Настоящие Правила проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности (далее – Правила) разработаны в соответствии с подпунктом 5) статьи 7-1 Закона Республики Казахстан «Об информатизации» (далее – Закон), подпунктом 52) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846 и определяют порядок проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности.

2. В настоящих Правилах используются следующие основные понятия и сокращения:

1) информационная система – организационно упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

2) подсистема информационной системы – совокупная часть (компонент) информационной системы, реализующая ее определенные функции, необходимые для достижения назначения информационной системы;

3) информационная безопасность в сфере информатизации (далее – ИБ) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

4) техническая документация по информационной безопасности (далее – ТД по ИБ) – совокупность документов, разработанных в соответствии с едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 и регламентирующих общие требования, принципы и правила по обеспечению информационной безопасности объекта испытаний;

5) интернет-портал уполномоченного органа в сфере обеспечения информационной безопасности – интернет-портал уполномоченного органа в сфере обеспечения информационной безопасности, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности;

6) программное обеспечение – совокупность программ, программных кодов, а также программных продуктов с технической документацией, необходимой для их эксплуатации;

7) программный продукт информационно-коммуникационной платформы «электронного правительства» (далее – платформенный программный продукт) – программное обеспечение, разработанное и размещенное на информационно-коммуникационной платформе «электронного правительства»;

8) исходные коды – исходные тексты компьютерных программ компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний;

9) распределенный объект испытаний – объект испытаний, состоящий из множества, в том числе и неопределенного, множества узлов, построенных по одинаковой архитектуре, предназначенных для одинаковых целей, выполняющих одинаковые функции и использующие одинаковое прикладное программное обеспечение;

10) интернет-ресурс – информация (в текстовом, графическом, аудиовизуальном или ином виде), размещенная на аппаратно-программном комплексе, имеющем уникальный сетевой адрес и (или) доменное имя и функционирующем в Интернете;

11) поставщик – государственная техническая служба или аккредитованная испытательная лаборатория;

12) государственная техническая служба – акционерное общество, созданное по решению Правительства Республики Казахстан;

13) заявитель – собственник или владелец объекта испытаний, а также физическое или юридическое лицо, уполномоченное собственником или владельцем объекта испытаний, подавший(ее) заявку на проведение испытаний объекта информатизации на соответствие требованиям информационной безопасности;

14) испытательная лаборатория – юридическое лицо или структурное подразделение юридического лица, действующее от его имени, осуществляющее испытания, аккредитованное в соответствии с законодательством о техническом регулировании;

15) объект испытаний – объект информатизации в отношении которого проводятся работы по испытанию на соответствие требованиям информационной безопасности;

16) среда штатной эксплуатации – целевой набор серверного оборудования, сетевой инфраструктуры, системного программного обеспечения, используемый на этапе опытной эксплуатации (пилотного проекта) и предназначенный для применения на этапе промышленной эксплуатации объекта информатизации;

17) информационно-коммуникационная платформа «электронного правительства» – технологическая платформа, предназначенная для автоматизации деятельности государственного органа, в том числе автоматизации государственных функций и оказания вытекающих из них государственных услуг, а также централизованного сбора, обработки, хранения государственных электронных информационных ресурсов;

18) интернет-портал SYNAQ – интернет-портал государственной технической службы, предназначенный для автоматизации процесса оказания услуги по испытаниям объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган на соответствие требованиям информационной безопасности.

3. Испытания объектов на соответствие требованиям ИБ (далее – испытания) включают в себя работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний.

4. В состав испытаний объекта испытаний, за исключением программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе «электронного правительства» и информационно-коммуникационной платформы «электронного правительства» входят следующие виды работ:

1) анализ исходных кодов;

2) испытание функций информационной безопасности;

3) нагрузочное испытание;

4) обследование сетевой инфраструктуры;

5) обследование процессов обеспечения ИБ.

5. При отсутствии исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний (за исключением объектов информатизации, собственником (владельцем) и (или) заказчиком которых является государственный орган), решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний устанавливается решением уполномоченного органа в сфере обеспечения информационной безопасности по запросу заявителя.

Уполномоченный орган в сфере обеспечения информационной безопасности направляет запрос поставщику о проверке обоснованности запроса заявителя об исключении анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний в период проведения испытаний по другим видам согласно пункту 4 настоящих Правил.

6. В испытания программного обеспечения (платформенного программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе «электронного правительства» входит:

1) анализ исходных кодов;

2) испытание функций информационной безопасности;

3) нагрузочное испытание;

4) обследование процессов обеспечения ИБ.

7. В испытания информационно-коммуникационной платформы «электронного правительства» входит:

1) анализ исходных кодов;

2) испытание функций информационной безопасности;

3) нагрузочное испытание;

4) обследование сетевой инфраструктуры;

5) обследование процессов обеспечения ИБ.

8. Исключен приказом Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития РК от 27.11.2025 № 602/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

9. В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое).

Глава 2. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в государственной технической службе

10. Для проведения испытаний заявителем на интернет-портале SYNAQ заполняется, подписывается электронной цифровой подписью (далее - ЭЦП) и подается заявка на проведение испытаний (далее – заявка) в государственную техническую службу по форме, согласно приложению 1 к настоящим Правилам, с приложением следующих документов:

1) анкета-вопросник о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, удостоверенная ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ;

2) электронная копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

3) электронная копия согласованного с уполномоченным органом в сфере информатизации и уполномоченным органом в сфере обеспечения информационной безопасности технического задания на объект информатизации;

4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, (при необходимости);

5) электронные копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде (при необходимости);

6) электронная копия документа, уполномочивающего заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости):

7) документ подтверждающий, что собственником (владельцем) и (или) заказчиком объекта испытания является государственный орган.

11. В случае, если заявитель осуществляет закупки посредством веб-портала государственных закупок, заявка на проведение испытаний принимается не позднее 1 ноября текущего года.

12. Государственная техническая служба в течение трех рабочих дней со дня получения заявки осуществляет проверку полноты документов, указанных в пункте 10 настоящих Правил.

13. В случае несоответствия заявки и приложенных документов в соответствии с требованиями, указанными в пункте 10 настоящих Правил, в течение десяти рабочих дней заявка возвращается заявителю с указанием причин возврата.

14. Государственная техническая служба после проверки заявки на наличие полного пакета документов согласно пункту 10 настоящих Правил в течение трех рабочих дней направляет заявителю:

1) проект технической спецификации к договору на проведение испытаний при осуществлении закупки посредством веб-портала государственных закупок. Заявитель в течение трех рабочих дней со дня получения проекта технической спецификации размещает на веб-портале государственных закупок проект договора о государственных закупках способом из одного источника путем прямого заключения договора о государственных закупках;

2) два экземпляра договора на проведение испытаний при осуществлении закупки без применения веб-портала государственных закупок.

Заявитель в течение пяти рабочих дней со дня получения двух экземпляров вышеуказанного договора подписывает их и возвращает один экземпляр договора в государственную техническую службу.

15. В случае, если заявитель осуществляет закупку посредством веб-портала государственных закупок, и в срок до 15 ноября не направил в адрес государственной технической службы договор о государственных закупках посредством веб-портала государственных закупок, заявка аннулируется и возвращается заявителю.

16. Срок испытаний согласовывается с заявителем и зависит от объема работ по испытаниям и классификационных характеристик объекта испытаний.

В случае невозможности согласования сроков проведения испытания, заявка возвращается заявителю без удовлетворения с указанием возможности обратиться в уполномоченный орган в сфере обеспечения информационной безопасности для определения сроков испытаний.

17. Для проведения испытаний заявитель обеспечивает для государственной технической службы:

1) рабочее место, физический доступ к рабочему месту пользователя, серверному и сетевому оборудованию, сети телекоммуникаций объекта испытаний с проведением фото и видео фиксации и к документации на объект испытания и сопутствующей документации, в том числе к договорам на сопровождение и техническую поддержку объекта испытаний и компонентов, входящих в состав объекта испытаний;

2) демонстрацию функций объекта испытаний, согласно требованиям технической документации.

18. В случае невозможности обеспечения заявителем требований пункта 17 настоящих Правил, испытания приостанавливаются на время, необходимое Заявителю для их обеспечения с учетом подписания дополнительного соглашения к договору на продление его срока исполнения.

19. Испытания проводятся согласно Методике проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности.

20. При проведении испытаний выявилось расхождение между данными анкеты-вопросника о характеристиках объекта испытаний, поданной в соответствии с подпунктом 1) пункта 10 настоящих Правил и фактическим состоянием объекта испытаний, заявитель направляет в государственную техническую службу обновленную анкету-вопросник о характеристиках объекта испытаний, удостоверенную ЭЦП собственника (владельца) объекта испытаний на интернет-портале SYNAQ. Обновленная анкета-вопросник о характеристиках объекта испытаний (при необходимости) будет основанием для заключения дополнительного соглашения на продление срока испытаний и изменение стоимости проведения испытаний.

21. При необходимости, если при проведении испытаний выявится необходимость проведения повторного испытания по одному или по нескольким видам испытаний до окончания срока испытания, заявитель обращается с запросом в государственную техническую службу и заключается дополнительное соглашение о проведении повторного испытания на безвозмездной основе по этим видам работ.

22. Результаты работ, входящих в испытания, и рекомендации по устранению выявленных несоответствий вносятся в отдельные протоколы, размещаемые на интернет-портале SYNAQ в личном кабинете заявителя по завершению всех видов работ.

23. Цены на проведение государственной технической службой каждого вида работ, входящих в испытания, устанавливаются согласно пункту 2 статьи 14 Закона.

24. Для расчета стоимости проведения испытаний заявитель направляет в государственную техническую службу анкету-вопросник о характеристиках объекта испытаний, удостоверенную ЭЦП собственника (владельца) объекта испытаний и техническое задание на создание (техническое задание на развитие, дополнение к техническому заданию при наличии) объекта информатизации на интернет-портале SYNAQ.

25. При устранении заявителем выявленные при испытаниях несоответствия в течение шестидесяти рабочих дней со дня размещения на интернет-портале SYNAQ протоколов испытаний по проведенным работам и направления в государственную техническую службу запроса на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий посредством интернет-портала SYNAQ, государственная техническая служба на безвозмездной основе в течение двадцати рабочих дней со дня получения от заявителя запроса проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

Заявитель может подать заявку на повторные испытания не более двух раз, в установленный срок.

При необходимости, заявитель может единожды увеличить срок проведения повторных испытаний путем подачи дополнительной заявки на увеличение срока проведения повторных испытаний, но не более 20 рабочих дней.

Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

26. При проведении повторных испытаний после исправления несоответствий, связанных с внесением изменений в программное обеспечение объекта, проводится анализ исходного кода.

При этом заявитель к запросу на проведение повторных испытаний прикладывает исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции объекта испытаний.

27. В случае выявления несоответствий при проведении повторных испытаний государственная техническая служба оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 2 настоящих Правил.

28. Исключен приказом Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития РК от 27.11.2025 № 602/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 3. Порядок проведения испытаний объектов информатизации на соответствие требованиям информационной безопасности в испытательных лабораториях

29. Порядок заключения договоров на проведение испытаний в испытательных лабораториях определяется в соответствии с Гражданским кодексом Республики Казахстан.

30. Для проведения испытаний заявителем направляется заявка на бумажном носителе поставщику согласно приложению 1 к настоящим Правилам, с предоставлением следующих документов:

1) копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);

2) анкета-вопросник о характеристиках объекта испытаний о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденный собственником или владельцем объекта испытаний на бумажном носителе;

3) утвержденные собственником или владельцем техническое задание или техническая спецификация на объект информатизации, за исключением информационной системы государственного юридического лица и негосударственной информационной системы, предназначенные для формирования государственных электронных информационных ресурсов, на компакт-диске (при необходимости);

4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, на компакт-диске (при необходимости);

5) копии утвержденного перечня технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к настоящим Правилам в электронном виде на компакт-диске (при необходимости);

6) документ, уполномочивающий заявителя собственником или владельцем подать заявку на проведение испытаний (при необходимости).

31. Испытания проводятся согласно Методике проведения испытаний объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры на соответствие требованиям информационной безопасности.

32. В случае, если заявитель устранил выявленные при испытаниях несоответствия в течение двадцати рабочих дней со дня получения протоколов испытаний по проведенным работам и направил поставщику запрос на проведение повторных испытаний с приложением сравнительной таблицы с результатами исправления выявленных несоответствий, поставщик на безвозмездной основе в течение двадцати рабочих дней со дня получения от заявителя уведомления проводит повторные испытания по данным видам работ с оформлением соответствующих документов.

Заявитель может подать заявку на повторные испытания не более двух раз, в установленный срок.

При необходимости, заявитель может единожды увеличить срок проведения повторных испытаний путем подачи дополнительной заявки на увеличение срока проведения повторных испытаний, но не более 20 рабочих дней.

Пропуск установленного срока является основанием для проведения испытаний в общем порядке, установленном настоящими Правилами.

33. В случае выявления несоответствий при проведении повторных испытаний поставщик оформляет протокол с отрицательным заключением, после чего испытания проводятся в порядке, установленном в главе 3 настоящих Правил.

34. При утере, порче или повреждении протоколов испытаний собственник или владелец объекта испытаний направляет поставщику уведомление с указанием причин.

Поставщик в течение пяти рабочих дней со дня получения уведомления выдает дубликат протоколов испытаний.

Глава 4. Порядок выдачи и отзыва протоколов испытаний на соответствие требованиям информационной безопасности

35. Протоколы испытаний на соответствие требованиям информационной безопасности выдаются поставщиком.

36. Срок действия протоколов испытаний выдается сроком на 3 (три) года для всех объектов испытаний, за исключением информационно-коммуникационной платформы «электронного правительства», или после изменения условий функционирования и (или) функциональности, и (или) изменения прав собственности и (или) владения объекта испытаний.

При этом, срок действия протокола по отдельному виду испытания для ввода в промышленную эксплуатацию объекта информатизации не превышает одного года с даты выдачи протокола.

Собственник или владелец объекта информатизации за 3 (три) месяца до окончания срока действия протоколов испытаний подает заявку поставщику о прохождении испытаний в порядке, установленном главами 2 или 3 настоящих Правил.

Протоколы испытаний информационно-коммуникационной платформы «электронного правительства» выдаются со сроком действия 1 (один) год.

37. Поставщик на постоянной основе предоставляет в уполномоченный орган в сфере обеспечения информационной безопасности следующие данные:

1) заявка на проведение испытаний;

2) информацию о договоре на проведение испытаний в испытательных лабораториях (дата, номер);

3) наименование объекта испытаний;

4) наименование собственника и (или) владельца объекта испытаний;

5) реестровый номер, дата выдачи и протокол испытаний на соответствие требованиям информационной безопасности по каждому виду работ с указанием результата;

6) фактическое местоположение сетевого и серверного оборудования объекта испытаний;

7) анкета-вопросник о характеристиках объекта испытаний, утвержденная собственником или владельцем объекта испытаний.

Аккредитованная испытательная лаборатория обеспечивает внесение вышеуказанных данных в интернет-портал уполномоченного органа в сфере обеспечения информационной безопасности или при наличии собственного интернет-портала предоставляет доступ в личный кабинет уполномоченному органу в сфере обеспечения информационной безопасности.

Информация в виде отчета формируется с использованием ЭЦП аккредитованной испытательной лаборатории.

Государственная техническая служба для передачи вышеуказанных данных, обеспечивает интеграцию интернет-портала SYNAQ с интернет-порталом уполномоченного органа в сфере обеспечения информационной безопасности или предоставляет доступ в личный кабинет на интернет-портале SYNAQ уполномоченному органу в сфере обеспечения информационной безопасности.

Поставщик предоставляет ежеквартальный отчет о проведенных и планируемых испытаниях в уполномоченный орган в сфере обеспечения информационной безопасности с предоставлением данных указанных в подпунктах 3), 4) и 5) пункта 37 настоящих Правил по системе электронного документооборота.

38. При изменении условий функционирования и (или) функциональности, и (или) изменении прав собственности объекта информатизации, собственник или владелец объекта информатизации после завершения работ, приведших к изменениям, направляет поставщику уведомление с приложением описания всех произведенных изменений, прежней и обновленной анкеты-вопросника о характеристиках объекта испытаний, утвержденной собственником или владельцем объекта испытаний.

При принятии решений о проведении по одному (нескольким) виду испытаний, ранее выданный соответствующий протокол (протоколы) испытаний или акт испытаний прекращают свое действие.

39. Уполномоченный орган в сфере обеспечения информационной безопасности при выявлении несоответствий требованиям настоящих Правил, направляет поставщику информацию с приложением выявленных несоответствий.

40. Поставщик в срок не более десяти рабочих дней рассматривает внесенные изменения в объект информатизации и (или) информацию о выявленных несоответствиях, и (или) информацию об изменениях исходного кода по результатам анализа неизменности и принимает решение об отзыве протоколов испытаний и необходимости проведения того вида испытаний функции которого были нарушены при изменении условий функционирования и (или) функциональности объекта информатизации.

Решение принимается с учетом Перечня изменений функционирования и (или) функциональности объекта информатизации согласно приложению 4 к настоящим Правилам.

41. При отзыве протоколов испытаний, собственник или владелец в трехмесячный срок подает заявку поставщикам о прохождении испытаний в порядке, установленном главами 2 или 3 настоящих Правил.

42. Рассмотрение жалобы осуществляется в случае несогласия заявителя с результатами протоколов испытаний на соответствие требованиям информационной безопасности и производится уполномоченным органом в сфере обеспечения информационной безопасности в соответствии со статьей 91 Административного процедурно-процессуального кодекса Республики Казахстан.

Приложение 1

к Правилам проведения испытаний

объектов информатизации

«электронного правительства»

и критически важных объектов

информационно- коммуникационной

инфраструктуры на

соответствие требованиям

информационной безопасности

Форма

_______________________________________________________________

(наименование поставщика)

Заявка на проведение испытаний ____________________________________________________________________

(наименование объекта испытаний)

на соответствие требованиям информационной безопасности (далее – испытания)

1._______________________________________________________________________

(наименование организации-заявителя, фамилия, имя, отчество.

(при наличии),

бизнес-идентификационный номер, банковские реквизиты заявителя)

___________________________________________________________________________________

___________________________________________________________________________________

(почтовый адрес, e-mail и телефон заявителя, область, город, район)

просит провести испытания

___________________________________________________________________________________

(наименование объекта испытаний, номер версии, дата разработки)

в составе следующих видов работ:

1) __________________________________________________________________

2) __________________________________________________________________

3) __________________________________________________________________

4) __________________________________________________________________

5) __________________________________________________________________

(перечень видов работ согласно пунктов 4,6,7 настоящих Правил

(указать нужный пункт)

      2. Сведения о владельце (собственнике) испытываемого объекта испытаний

__________________________________________________________________

(наименование или фамилия, имя, отчество (при наличии)

____________________________________________________________________

____________________________________________________________________

(область, город, район, почтовый адрес, телефон)

3. Сведения о разработчике испытываемого объекта испытаний

____________________________________________________________________

(информация о разработчике, наименование или фамилия, имя, отчество (при наличии) авторов)

____________________________________________________________________

(область, город, район, почтовый адрес, телефон)

4. Данные лица, ответственного за связь с поставщиком:

1) фамилия, имя, отчество: _____________________________________________;

2) должность: ________________________________________________________;

3) телефон рабочий: ___________, телефон сотовый: _______________________;

4) адрес электронной почты: Е-mail: __________________________@_________.

Руководитель организации – заявителя ( фамилия, имя, отчество (при наличии),

      заявителя ______ (подпись, дата)

(место печати) при наличии

Приложение 2

к Правилам проведения

испытаний объектов

информатизации

«электронного правительства»

и критически важных объектов

информационно- коммуникационной

инфраструктуры на соответствие

требованиям информационной

безопасности

Форма

Анкета-вопросник о характеристиках объекта испытаний

1. Наименование объекта испытаний: ____________________________________

____________________________________________________________________

2. Краткая аннотация на объект испытаний _______________________________

____________________________________________________________________

(назначение и область применения)

3. Классификация объекта испытаний:

1) класс прикладного программного обеспечения __________________________.

2) схема классификации по форме приложения 2 к Правилам классификации

объектов информатизации, утвержденным приказом исполняющего обязанности

Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 13349).

4. Архитектура объекта испытаний:

1) функциональная схема объекта испытаний (при необходимости) с указанием:

компонентов, модулей объекта испытаний и их IP-адресов;

связей между компонентами или модулями и направления информационных потоков;

точки подключения интеграционного взаимодействия с другими объектами информатизации;

точки подключения пользователей;

мест и технологий хранения данных;

применяемого резервного оборудования;

разъяснения применяемых терминов и аббревиатур;

2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:

архитектуры и характеристик сети;

серверного сетевого и коммуникационного оборудования;

адресации и применяемых сетевых технологий;

используемых локальных, ведомственных (корпоративных) и глобальных сетей;

решения(й) по обеспечению отказоустойчивости и резервированию;

разъяснения применяемых терминов и аббревиатур;

5. Информация об объекте испытаний:

1) информация о серверном оборудовании:

№ п/п

На­име­но­ва­ние сер­ве­ра или вир­ту­аль­но­го ре­сур­са (до­мен­ное имя, се­те­вое имя или ло­ги­че­ское имя сер­ве­ра)

На­зна­че­ние (вы­пол­ня­е­мые функ­ци­о­наль­ные за­да­чи)

Ко­ли­че­ство

Ха­рак­те­ри­сти­ки сер­ве­ра или ис­поль­зу­е­мых за­яв­лен­ных вир­ту­аль­ных ре­сур­сов

Опе­ра­ци­он­ная си­сте­ма (да­лее - ОС), си­сте­ма управ­ле­ния ба­за­ми дан­ных (да­лее – СУБД), про­грамм­ное обес­пе­че­ние (да­лее – ПО), при­ло­же­ния, биб­лио­те­ки и сред­ства за­щи­ты, уста­нов­лен­ные на сер­ве­рах или ис­поль­зу­е­мые вир­ту­аль­ные сер­ви­сы (со­став про­грамм­ной сре­ды с ука­за­ние но­ме­ров вер­сий)

При­ме­ня­е­мые IP-ад­ре­са

1

2

3

4

5

6

7

2) информация о сетевом оборудовании:

№ п/п

На­име­но­ва­ние се­те­во­го обо­ру­до­ва­ния (мар­ка/мо­дель)

На­зна­че­ние (вы­пол­ня­е­мые функ­ци­о­наль­ные за­да­чи)

Ко­ли­че­ство

При­ме­ня­е­мые се­те­вые тех­но­ло­гии

При­ме­ня­е­мые тех­но­ло­гии за­щи­ты се­ти

Ис­поль­зу­е­мые IP-ад­ре­са, в том чис­ле, порт управ­ле­ния

1

2

3

4

5

6

7

3) местонахождение серверного и сетевого оборудования:

№ п/п

Вла­де­лец сер­вер­но­го по­ме­ще­ния

Юри­ди­че­ский ад­рес вла­дель­ца сер­вер­но­го по­ме­ще­ния

Фак­ти­че­ское ме­сто­по­ло­же­ние – ад­рес сер­вер­но­го по­ме­ще­ния

От­вет­ствен­ные ли­ца за ор­га­ни­за­цию до­сту­па (фа­ми­лия, имя, от­че­ство (при на­ли­чии)

Те­ле­фо­ны от­вет­ствен­ных лиц (ра­бо­чие, со­то­вые)

1

2

3

4

5

6

4) характеристики резервного серверного оборудования:

№ п/п

На­име­но­ва­ние сер­ве­ра или вир­ту­аль­но­го ре­сур­са (до­мен­ное имя, се­те­вое имя или ло­ги­че­ское имя сер­ве­ра)

На­зна­че­ние (вы­пол­ня­е­мые функ­ци­о­наль­ные за­да­чи)

Ко­ли­че­ство

Ха­рак­те­ри­сти­ки сер­ве­ра или ис­поль­зу­е­мых за­яв­лен­ных вир­ту­аль­ных ре­сур­сов

ОС, СУБД, ПО, при­ло­же­ния, биб­лио­те­ки и сред­ства за­щи­ты, уста­нов­лен­ные на сер­ве­рах или ис­поль­зу­е­мые вир­ту­аль­ные сер­ви­сы (со­став про­грамм­ной сре­ды с ука­за­ние но­ме­ров вер­сий)

При­ме­ня­е­мые IP-ад­ре­са

Ме­тод ре­зер­ви­ро­ва­ния

1

2

3

4

5

6

7

8

5) характеристики резервного сетевого оборудования:

№ п/п

На­име­но­ва­ние се­те­во­го обо­ру­до­ва­ния (мар­ка/мо­дель)

На­зна­че­ние (вы­пол­ня­е­мые функ­ци­о­наль­ные за­да­чи)

Ко­ли­че­ство

При­ме­ня­е­мые се­те­вые тех­но­ло­гии

При­ме­ня­е­мые тех­но­ло­гии за­щи­ты се­ти

Ис­поль­зу­е­мые IP-ад­ре­са, в том чис­ле порт управ­ле­ния

Ме­тод ре­зер­ви­ро­ва­ния

1

2

3

4

5

6

7

8

6) местонахождение резервного серверного и сетевого оборудования:

№ п/п

Вла­де­лец сер­вер­но­го по­ме­ще­ния

Юри­ди­че­ский ад­рес вла­дель­ца сер­вер­но­го по­ме­ще­ния

Фак­ти­че­ское ме­сто­по­ло­же­ние – ад­рес сер­вер­но­го по­ме­ще­ния

От­вет­ствен­ные ли­ца за ор­га­ни­за­цию до­сту­па (фа­ми­лия, имя, от­че­ство (при на­ли­чии)

Те­ле­фо­ны от­вет­ствен­ных лиц (ра­бо­чие, со­то­вые)

1

2

3

4

5

6

7) структура сети объекта испытаний (при необходимости):

№ п/п

На­име­но­ва­ние сег­мен­та се­ти

IP-ад­рес се­ти/мас­ка се­ти

1

2

3

8) информация по рабочим станциям администраторов:

№ п/п

Роль ад­ми­ни­стра­то­ра

Ко­ли­че­ство учет­ных за­пи­сей ад­ми­ни­стра­то­ров

На­ли­чие до­сту­па к Ин­тер­нет

На­ли­чие уда­лен­но­го до­сту­па к обо­ру­до­ва­нию

IP-ад­рес ра­бо­чей стан­ции ад­ми­ни­стра­то­ра

Фак­ти­че­ское ме­сто­по­ло­же­ние – ад­рес ра­бо­че­го ме­ста

1

2

3

4

5

6

7

9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений:

№ п/п

Роль поль­зо­ва­те­ля

Пе­ре­чень ти­по­вых дей­ствий поль­зо­ва­те­ля

Ад­рес и порт точ­ки под­клю­че­ния поль­зо­ва­те­лей к объ­ек­ту ис­пы­та­ний

Про­то­кол под­клю­че­ния поль­зо­ва­те­лей к объ­ек­ту ис­пы­та­ний

Ко­ли­че­ство поль­зо­ва­те­лей со­глас­но тех­ни­че­ской до­ку­мен­та­ции на со­зда­ние или раз­ви­тие объ­ек­та ис­пы­та­ний

Мак­си­маль­ное ко­ли­че­ство, об­ра­ба­ты­ва­е­мых за­про­сов (па­ке­тов) в се­кун­ду

Мак­си­маль­ное вре­мя ожи­да­ния меж­ду за­про­са­ми

1

2

3

4

5

6

7

8

10) Информация об интеграционном взаимодействии объекта испытаний, в том числе, планируемые:

№ п/п

На­име­но­ва­ние ин­те­гра­ци­он­ной свя­зи (объ­ек­та ин­фор­ма­ти­за­ции)

Соб­ствен­ник или вла­де­лец ин­те­гри­ру­е­мо­го объ­ек­та

Дей­ству­ю­щая/пла­ни­ру­е­мая

На­ли­чие мо­ду­ля ин­те­гра­ции

Ад­рес точ­ки под­клю­че­ния

Про­то­кол под­клю­че­ния

Мак­си­маль­ное ко­ли­че­ство за­про­сов (па­ке­тов) в се­кун­ду

Мак­си­маль­ное вре­мя ожи­да­ния меж­ду за­про­са­ми

1

2

3

4

5

6

7

8

9

11) Исходные коды прикладного ПО (при необходимости):

№ п/п

Мар­ки­ров­ка дис­ка (при необ­хо­ди­мо­сти)

На­име­но­ва­ние ка­та­ло­га/На­име­но­ва­ние ка­та­ло­га на дис­ке

На­име­но­ва­ние фай­ла

Раз­мер фай­ла, Мбайт

При­ме­ня­е­мый язык про­грам­ми­ро­ва­ния (при необ­хо­ди­мо­сти)

Вер­сия язы­ка про­грам­ми­ро­ва­ния

При­ме­ня­е­мый фрейм­ворк, вер­сия фрейм­вор­ка

Вер­сия сре­ды раз­ра­бот­ки

Да­та мо­ди­фи­ка­ции фай­ла

1

2

3

4

5

6

7

8

9

10

12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):

№ п/п

Мар­ки­ров­ка дис­ка (при необ­хо­ди­мо­сти)

На­име­но­ва­ние ка­та­ло­га/На­име­но­ва­ние ка­та­ло­га на дис­ке

На­име­но­ва­ние биб­лио­те­ки/про­грамм­ной плат­фор­мы/фай­ла

Раз­мер, Мбайт

Язык про­грам­ми­ро­ва­ния (при необ­хо­ди­мо­сти)

Вер­сия биб­лио­те­ки

1

2

3

4

5

6

7

6. Документирование испытываемого объекта (при необходимости):

№ п/п

На­име­но­ва­ние до­ку­мен­та

На­ли­чие

Ко­ли­че­ство стра­ниц

Да­та утвер­жде­ния

Стан­дарт или нор­ма­тив­ный до­ку­мент, в со­от­вет­ствии с ко­то­рым был раз­ра­бо­тан до­ку­мент

1

2

3

4

5

6

1.

По­ли­ти­ка ин­фор­ма­ци­он­ной без­опас­но­сти

2.

Ме­то­ди­ка оцен­ки рис­ков ин­фор­ма­ци­он­ной без­опас­но­сти

3.

Пра­ви­ла иден­ти­фи­ка­ции, клас­си­фи­ка­ции, мар­ки­ров­ки, пас­пор­ти­за­ции ак­ти­вов, свя­зан­ных со сред­ства­ми об­ра­бот­ки ин­фор­ма­ции и их ин­вен­та­ри­за­ции

4.

Пра­ви­ла про­ве­де­ния внут­рен­не­го ауди­та ин­фор­ма­ци­он­ной без­опас­но­сти

5.

Пра­ви­ла ис­поль­зо­ва­ния средств крип­то­гра­фи­че­ской за­щи­ты ин­фор­ма­ции

6.

Пра­ви­ла ор­га­ни­за­ции про­це­ду­ры аутен­ти­фи­ка­ции и раз­гра­ни­че­ния прав до­сту­па к элек­трон­ным ин­фор­ма­ци­он­ным ре­сур­сам

7.

Пра­ви­ла ор­га­ни­за­ции ан­ти­ви­рус­но­го кон­тро­ля, ис­поль­зо­ва­ния мо­биль­ных устройств, но­си­те­лей ин­фор­ма­ции, Ин­тер­не­та и элек­трон­ной по­чты

8.

Пра­ви­ла ор­га­ни­за­ции фи­зи­че­ской за­щи­ты, без­опас­ной сре­ды функ­ци­о­ни­ро­ва­ния и обес­пе­че­ния непре­рыв­ной ра­бо­ты ак­ти­вов, свя­зан­ных со сред­ства­ми об­ра­бот­ки ин­фор­ма­ции

9.

Ру­ко­вод­ство ад­ми­ни­стра­то­ра по со­про­вож­де­нию объ­ек­та ин­фор­ма­ти­за­ции, ре­зерв­но­му ко­пи­ро­ва­нию и вос­ста­нов­ле­нию ин­фор­ма­ции

10.

Ин­струк­цию о по­ряд­ке дей­ствий поль­зо­ва­те­лей по ре­а­ги­ро­ва­нию на ин­ци­ден­ты ин­фор­ма­ци­он­ной без­опас­но­сти и во вне­штат­ных (кри­зис­ных) си­ту­а­ци­ях

Приложение 3

к Правилам проведения

испытаний объектов

информатизации

«электронного правительства»

и критически важных объектов

информационно-коммуникационной

инфраструктуры на соответствие

требованиям информационной

безопасности

Форма

Перечень технической документации по информационной безопасности объекта испытаний

1. Политика информационной безопасности;

2. Методика оценки рисков информационной безопасности;

3. Правила идентификации, классификации, маркировки, паспортизации активов, связанных со средствами обработки информации и их инвентаризации;

4. Правила проведения внутреннего аудита информационной безопасности;

5. Правила использования средств криптографической защиты информации;

6. Правила организации процедуры аутентификации и разграничения прав доступа к электронным информационным ресурсам;

7. Правила организации антивирусного контроля, использования мобильных устройств, носителей информации, Интернета и электронной почты;

8. Правила организации физической защиты, безопасной среды функционирования и обеспечения непрерывной работы активов, связанных со средствами обработки информации;

9. Руководство администратора по сопровождению объекта информатизации, резервному копированию и восстановлению информации;

10. Инструкция о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

Приложение 4

к Правилам проведения испытаний

объектов информатизации

«электронного правительства»

и критически важных объектов

информационно- коммуникационной

инфраструктуры на

соответствие требованиям

информационной безопасности

Перечень изменений функционирования и (или) функциональности объекта информатизации

№ п/п

Про­из­ве­ден­ные из­ме­не­ния

Ана­лиз ис­ход­ных ко­дов

Функ­ции ин­фор­ма­ци­он­ной без­опас­но­сти

На­гру­зоч­ное ис­пы­та­ние

Об­сле­до­ва­ние се­те­вой ин­фра­струк­ту­ры

Об­сле­до­ва­ние про­цес­сов обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти

1

2

3

4

5

6

7

1.

Из­ме­не­ние сре­ды раз­ра­бот­ки (язык про­грам­ми­ро­ва­ния)

+

-

-

-

-

2.

Из­ме­не­ние функ­ции при­клад­но­го про­грамм­но­го обес­пе­че­ния

+

+

+

-

-

3.

За­ме­на сер­вер­но­го обо­ру­до­ва­ния

-

+

+

+

+

4.

За­ме­на се­те­во­го обо­ру­до­ва­ния

-

-

+

+

-

5.

Из­ме­не­ние ти­па опе­ра­ци­он­ной си­сте­мы, си­сте­мы управ­ле­ния ба­за­ми дан­ных

-

+

+

-

-

6.

Из­ме­не­ние ме­сто рас­по­ло­же­ния объ­ек­та ис­пы­та­ний

-

+

-

+

+

7.

Ми­гра­ция объ­ек­та ис­пы­та­ний из внут­рен­не­го кон­ту­ра на внеш­ний кон­тур или на обо­рот

-

+

+

+

+

8.

До­бав­ле­ние но­во­го ком­по­нен­та (сер­ве­ра)

-

+

-

+

+

9.

Но­вая ин­те­гра­ция с дру­ги­ми ин­фор­ма­ци­он­ны­ми си­сте­ма­ми

+

+

+

+

+

10.

Из­ме­не­ние клас­са объ­ек­та ин­фор­ма­ти­за­ции

-

+

-

+

+

11.

Из­ме­не­ние прав соб­ствен­но­сти и (или) вла­де­ния объ­ек­та ин­фор­ма­ти­за­ции (из­ме­не­ние соб­ствен­ни­ка и/или вла­дель­ца)

-

-

-

-

+

Примечание:

«+» – необходимо проведения испытаний;

«-» – нет необходимости в проведении испытаний.