Испытания объектов информатизации на соответствие требованиям информационной безопасности

Услуга «Испытания сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса и информационной системы государственного органа, информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры, негосударственной информационной системы, интегрируемой с информационной системой государственного органа или предназначенной для формирования государственных электронных информационных ресурсов, на соответствие требованиям информационной безопасности» (далее – Испытания по ИБ) оказывается Государственной технической службой на основании подпункта 7) пункта 1 Статьи 14 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года (далее - Закон).

 

Применяемые нормативные правовые акты и стандарты

1. Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V;

2. Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности;

3. Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 14 марта 2018 г. № 40/НҚ «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности.

Методика проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - Методика)  устанавливает состав и содержание работ Испытаний по ИБ.

Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее - Правила)  устанавливают порядок проведения Испытаний по ИБ.

4. СТ РК ИСО/МЭК 15408-2-2006. «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;

5. СТ РК ИСО/МЭК 13335-5-2008. «Методы и средства обеспечения безопасности. Управление защитой информационных и коммуникационных технологий. Часть 5. Руководство по управлению защитой сети».

 

Стоимость услуги

Цена на услугу «Испытания по ИБ» (в том числе на работы, входящие в услугу), установлены приказом Министра информации и коммуникаций РК от 19 октября 2016 года № 211 «О внесении изменения и дополнений в приказ Министра по инвестициям и развитию Республики Казахстан от 30 января 2015 года № 88 «Об утверждении цен на услуги, реализуемые субъектом государственной монополии в сферах электронного документа и электронной цифровой подписи, информатизации и в области связи и телерадиовещания» и составляют:

1) Анализ исходных кодов – 2 934 тенге за 1 Мб;
2) Испытание функций информационной безопасности – 423 524 тенге для одного объекта испытаний;
3) Нагрузочное испытание  – 328 371 тенге на один вариант использования;
4) Обследование сетевой инфраструктуры  – 748 164 тенге для одной подсети телекоммуникаций

Согласно пункту 14 Правил расчет стоимости проведения испытаний осуществляется на основании данных анкеты-вопросника о характеристиках объекта испытаний, исходных кодов компонентов и модулей объекта испытаний с библиотеками на компакт-диске.

С учетом этого для расчета стоимости испытаний необходимо предоставить заполненную Анкету-вопросник (приложение 2 к Правилам) и исходный код компонентов и модулей объекта испытаний на компакт-диске.

 

Порядок проведения испытаний объекта информатизации на соответствие требованиям информационной безопасности

Состав работ

Испытания по ИБ состоят из следующих работ:
1) Анализ исходных кодов - включает в себя проведение статического и динамического анализа программного обеспечения на наличие «недостатков» (ошибок программирования, уязвимостей, недокументированных возможностей, программных закладок) с применением программных средств и ручного анализа исходного кода;

2) Испытание функций информационной безопасности - включает в себя проверку соответствия функций безопасности (состав и содержание функций представлены в приложение 1 к Методике) и настроек системного и прикладного ПО требованиям стандартов, а также  выявление технических рисков ИБ;

3) Нагрузочное испытание - включает в себя оценку соблюдения доступности, целостности и конфиденциальности испытываемого объекта под нагрузкой, соответствующей работе реальных пользователей, создаваемой с помощью программных средств;

4) Обследование сетевой инфраструктуры - включает в себя проверку соответствия функций защиты сетевой инфраструктуры (состав и содержание функций представлены в приложение 2 к Методике) требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов.

5) Формирование протоколов (по итогам каждого вида работ);

6) Формирование акта испытаний (по итогам всех видов работ).

 

Перечень объектов испытаний по ИБ

В соответствие с пунктом 2 статьи 49 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года Испытания по ИБ являются обязательными и проводятся для следующих объектов информатизации:
1) сервисный программный продукт;
2) информационно-коммуникационная платформа «электронного правительства»;
3) интернет-ресурс государственного органа (далее – ГО);
4) информационная система ГО;
5) информационная система, отнесенная к критически важным объектам информационно-коммуникационной инфраструктуры;
6) негосударственная информационная система, интегрируемая с информационной системой ГО;
7) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов.

Информационной системе государственного органа и негосударственной информационной системе для использования сервисов Национального удостоверяющего центра Республики Казахстан по проверке подлинности электронной цифровой подписи прохождение испытаний на соответствие требованиям информационной безопасности не требуется (п.3 статья 49 Закона).

В случае отсутствия исходного кода объекта испытания, решение о необязательности проведения анализа исходного кода объекта испытаний устанавливается решением уполномоченного органа в сфере обеспечения информационной безопасности (п.8 Правил).

В испытания сервисного программного продукта входит:
1) анализ исходных кодов;
2) испытание функций информационной безопасности (п.9 Правил).

В испытания информационно - коммуникационной платформы «электронного правительства» входят (п.10 Правил):
1) испытание функций информационной безопасности;
2) нагрузочное испытание;
3) обследование сетевой инфраструктуры.

В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шин или другое) (п.11 Правил).

 

Перечень  документов, прилагаемых к заявке

Для проведения испытаний заявителем в Государственную техническую службу в письменном виде подается заявка на проведение испытаний (далее – заявка) согласно Приложению 1 Правил, с предоставлением следующих документов (п.15 Правил):
1) копия документа, удостоверяющего личность (для физических лиц);
2) заверенные подписью и печатью заявителя копии учредительных документов и справки или свидетельства о государственной регистрации юридического лица (для юридических лиц);
3) анкета-вопросник о характеристиках объекта испытаний согласно Приложению 2 настоящих Правил;
4) перечень технической документации, необходимой для проведения испытаний, согласно Приложению 3  настоящих Правил;
5) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, а также схемы баз данных (на языке описания данных) объекта испытаний, на компакт-диске;
6) документ, уполномочивающий заявителя собственником (владельцем) подать заявку на проведение испытаний (при необходимости).

 

 

ОБРАЗЦЫ:

Образец_Анкета-опросник_Учетной_системы_ГО.docx

Образец_Заявка_на_испытания.docx

 

Контакты
По вопросам Испытаний по ИБ обращаться к контактным лицам Лаборатории безопасности инфокоммуникационных технологий Государственной технической службы (далее – ЛБ ИКТ) по телефону +7 7172 559999 с донабором внутреннего телефонного номера (далее – вн.).

Контактные лица ЛБ ИКТ по:
1) организационным вопросам к подготовке и проведению испытаний - Есипова Татьяна Петровна (вн.351);
2) техническим вопросам заполнения Анкеты – вопросника - Радько Татьяна Ивановна (вн.308);
3) проведению анализа исходного кода - Тыныкулов Ерден (вн.356);
4) испытаниям функций ИБ - Абылкасымов Диас (вн.338);
5) нагрузочному испытанию - Сыздыкбеков Данияр (вн. 271);
6) обследованию сетевой инфраструктуры - Закария Дильшат (вн.273).