Об утверждении стандарта государственной услуги «Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности»

В соответствии с подпунктом 1) статьи 10 Закона Республики Казахстан от 15 апреля 2013 года «О государственных услугах» ПРИКАЗЫВАЮ:

1. Утвердить прилагаемый стандарт государственной услуги «Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности».

2. Признать утратившим силу приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан                                  от 22 декабря 2017 года № 229/НҚ «Об утверждении стандарта государственной услуги «Аттестация информационной системы, информационно-коммуникационной платформы «электронного правительства» и интернет-ресурса государственного органа на соответствие требованиям информационной безопасности» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за №16363, опубликован                  27 февраля 2018 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

3. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

4. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

 

 

Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

А. Жумагалиев

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

«СОГЛАСОВАН» Комитет национальной безопасности Республики Казахстан    «___» ____________2019 года

 

 

 

 

 

 

Утвержден приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от «__» ___________ 2019 года № _____

 

Стандарт государственной услуги «Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности»

 

 

Глава 1. Общие положения

 

         1. Государственная услуга «Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности» (далее – государственная услуга).

         2. Стандарт государственной услуги разработан Министерством Цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – Министерство).

         3. Государственная услуга оказывается Комитетом по информационной безопасности Министерства (далее – услугодатель).

Прием заявления и выдача результата оказания государственной услуги осуществляются через:

1) канцелярию услугодателя;

2) Веб-портал «Электронного правительства» www.egov.kz                (далее – портал).

 

Глава 2. Порядок оказания государственной услуги

 

4. Срок оказания государственной услуги с момента сдачи пакета документов услугодателю и (или) через портал:  

1) при положительных результатах протоколов испытаний – 10 (десять) рабочих дней.

2) при отрицательных результатах одного или нескольких протоколов испытаний – 15 (пятнадцать) рабочих дней.

3) максимально допустимое время ожидания в очереди при подаче заявки с прилагаемыми документами услугодателю – 15 минут;

         4) максимально допустимое время обслуживания при подаче заявки –     15 минут.

         5. Форма оказания государственной услуги: электронная (частично автоматизированная) и (или) бумажная.

         6. Результат оказания государственной услуги является акт испытаний по форме согласно приложению 2 к стандарту с приложением копии анкеты-вопросника о характеристиках объекта испытаний по форме согласно приложению 3 к стандарту либо мотивированный ответ об отказе в оказании государственной услуги в случаях и по основаниям, предусмотренным в пункте 10 настоящего стандарта государственной услуги;

на портале результат оказания государственной услуги направляется и хранится в «личном кабинете» услугополучателя в форме электронного документа, подписанного электронной цифровой подписью уполномоченного лица услугодателя.

Форма предоставления государственной услуги электронная и (или) бумажная.

         7. Государственная услуга оказывается на бесплатной основе физическим и юридическим лицам (далее – услугополучатель).

8. График работы:

1) услугодателя – с понедельника по пятницу с 9.00 до 18.30 часов, с перерывом на обед с 13.00 до 14.30 часов, кроме выходных и праздничных дней, согласно трудовому законодательству Республики Казахстан.

Прием заявлений и выдача результатов оказания государственной услуги осуществляется через услугодателя с 9.00 часов до 17.30 часов с перерывом на обед с 13.00 до 14.30 часов.

Государственная услуга оказывается в порядке очереди, без предварительной записи и ускоренного обслуживания.

2) портала – круглосуточно, за исключением технических перерывов в связи с проведением ремонтных работ (при обращении услугополучателя после окончания рабочего времени, в выходные и праздничные дни согласно трудовому законодательству Республики Казахстан, прием заявления и выдача результата оказания государственной услуги осуществляется следующим рабочим днем).

9. Перечень документов, необходимых для оказания государственной услуги при обращении услугополучателя:

1) Услугодателю (в случае обращения представителя по доверенности):

заявление  по форме согласно приложению 1 к настоящему стандарту;

протоколы по 5 видам работ:

анализ исходных кодов;

испытание функций информационной безопасности;

нагрузочное испытание;

обследование сетевой инфраструктуры;

обследование процессов обеспечения информационной безопасности;

приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 3 к настоящему стандарту.

2) На портал:

заявление по форме согласно приложению 1 к настоящему стандарту;

протоколы по 5 видам работ:

анализ исходных кодов;

испытание функций информационной безопасности;

нагрузочное испытание;

обследование сетевой инфраструктуры;

обследование процессов обеспечения информационной безопасности.

приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 3 к настоящему стандарту.

Сведения о документах, удостоверяющих личность, свидетельство о государственной регистрации (перерегистрация) юридического лица, услугодатель получает из соответствующих государственных информационных систем через шлюз «электронного правительства».

При сдаче услугополучателем всех необходимых документов услугодателю подтверждением принятия заявления на бумажном носителе является отметка на его копии с указанием даты его получения, фамилии, имени, отчества и времени приема пакета документов.

В случае обращения через портал – в «личном кабинете» услугополучателя отображается статус о принятии запроса для оказания государственной услуги с указанием даты получения результата государственной услуги.

10. Услугодатель отказывает в оказании государственных услуг по следующим основаниям:

         1) установление недостоверности документов, представленных услугополучателем для получения государственной услуги, и (или) данных (сведений), содержащихся в них;

         2) несоответствие услугополучателя и (или) представленных материалов, объектов, данных и сведений, необходимых для оказания государственной услуги, требованиям, установленным нормативными правовыми актами Республики Казахстан;

 

Глава 3. Порядок обжалования решений, действий (бездействия)
Услугодателей и (или) его должностных лиц по вопросам
оказания государственных услуг

 

11. При обжаловании решений, действий (бездействий), услугодателей и (или) его должностных лиц по вопросам оказания государственных услуг: жалоба подается на имя руководителей услугодателей по адресам, указанным в пункте 13 настоящего стандарта государственной услуги либо на имя руководителя Министерства.

Жалоба подается в письменной форме по почте или в электронном виде либо нарочно через канцелярию услугодателя.

Подтверждением принятия жалобы является ее регистрация (штамп, входящий номер и дата) в канцелярии услугодателя, с указанием фамилии и инициалов лица, принявшего жалобу, срока и места получения ответа на поданную жалобу.

Жалоба услугополучателя, поступившая в адрес услугодателя, подлежит рассмотрению в течение 5 (пяти) рабочих дней со дня ее регистрации.

В случае несогласия с результатами оказанной государственной услуги услугополучатель может обратиться с жалобой в уполномоченный орган по оценке и контролю за качеством оказания государственных услуг.

Жалоба услугополучателя, поступившая в адрес уполномоченного органа по оценке и контролю за качеством оказания государственных услуг, рассматривается в течение 15 (пятнадцати) рабочих дней со дня ее регистрации.

12. В случаях несогласия с результатами оказанной государственной услуги, услугополучатель имеет право обратится в суд в установленном законодательством Республики Казахстан порядке.

 

 

Глава 4. Иные требования с учетом особенностей
оказания государственной услуги

 

         13. Адреса мест оказания государственной услуги размещены на интернет-ресурсе Министерства: www.mdai.gov.kz

14. Услугополучатель имеет возможность получения государственной услуги в электронной форме через портал при условии наличия ЭЦП.

15. Услугополучатель имеет возможность получения информации о порядке оказания государственной услуги в режиме удаленного доступа посредством «личного кабинета» портала, а также  Единого контакт-центра.

16.. Контактные телефоны справочных служб по вопросам оказания государственной услуги указаны на портале. Единый контакт-центр: 1414,        8-800-080-7777.

 

 

 

 

 

 

 

 

 

 

 

 

 

	Приложение 1 к стандарту государственной услуги «Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности»
	Форма

 

Кому ____________________________ (наименование уполномоченного органа)

 

ЗАЯВЛЕНИЕ
на получение акта испытаний

 _________________________________________________________________________
            (наименование, БИН/ИИН*, Ф.И.О. (при его наличии) заявителя)

________________________________________________________________________________

(почтовый адрес, e-mail и телефон заявителя, область, город, район)

просит выдать акт  по результатам испытаний

____________________________________________________________________
                                               (наименование объекта испытаний)
 

на соответствие требованиям информационной безопасности.

 

Прилагаемые документы:

 

1. Анкета-вопросник о характеристиках обьекта, утвержденный владельцем (собственником) обьекта испытаний;

2. Протокол анализа исходных кодов (номер, дата, наименование поставщика);

3. Протокол испытаний функций информационной безопасности (номер, дата, наименование поставщика);

4. Протокол нагрузочного испытания (номер, дата, наименование поставщика);

5. Протокол обследования сетевой инфраструктуры(номер, дата, наименование поставщика);

6. Протокол обследования процессов обеспечения информационной безопасности (номер, дата, наименование поставщика);

 

Согласен на использование персональных данных ограниченного доступа, составляющих охраняемую законом тайну, содержащихся в информационных системах.

 

 

      _________________ (подпись) М.П.(при наличии) "_____" _________________ 20___ года

     

 

*бизнес-идентификационный номер/индивидуальный идентификационный номер

 

 

 

	Приложение 2 к стандарту государственной услуги «Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности»
	Форма

 

 

Акт испытаний №___
    «_____» ___________ 20__ г.
 

В соответствии с Заявкой от «___»___________20__г. на основании подпункта 11-1) статьи 7-1 Закона Республики Казахстан «Об информатизации» Комитет по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан выдал настоящий Акт по результатам проведения испытаний на соответствие требованиям информационной безопасности о том, что были проведено испытание _________________________________________________________________________
   (наименование ОИ)
_________________________________________________________________________
(наименование владельца объекта испытаний)
_________________________________________________________________________
(наименование организации-заявителя / Ф.И.О. (при наличии) заявителя)
в составе следующих работ:

1) Протокол анализа исходных кодов №___ от «___»_________ ___ г., наименование поставщика;
2) Протокол испытания функций информационной безопасности №___ от «___»_________ ___ г., наименование поставщика;
3) Протокол нагрузочного испытания №___ от «___»_________ ___ г., наименование поставщика;
4) Протокол обследования сетевой инфраструктуры №___ от «___»_________ ___ г., наименование поставщика;

5) Протокол обследование процессов обеспечения информационной безопасности №___ от «___»_________ ___ г., наименование поставщика.
 

Заключение

На основании проведенных испытаний ______________________________________________
                                                                                   (наименование объекта испытаний)
соответствует требованиям информационной безопасности.

 

Приложение: Анкета-вопросник о характеристиках объекта испытаний
 

Председатель Комитета по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан «_____» ___________ 20__ г.

_____________ ____________  (подпись) Ф.И.О. (при наличии)

 

Приложение 3 к стандарту государственной услуги «Выдача акта по результатам испытаний на соответствие требованиям информационной безопасности» Форма

 

Анкета-вопросник
    о характеристиках объекта испытаний
 

1. Наименование объекта испытаний:
________________________________________________________________________
________________________________________________________________________
2. Краткая аннотация на объект испытаний
________________________________________________________________________
 (назначение и область применения)
3. Классификация объекта испытаний:
1) класс прикладного программного обеспечения _________.
2) схема классификации по форме приложения 2 к Правилам классификации объектов информатизации, утвержденным Приказом исполняющего обязанности Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 135 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за  № 13349).
4. Архитектура объекта испытаний:
1) функциональная схему объекта испытаний (при необходимости) с указанием:
компонентов, модулей объекта испытаний и их IP-адресов;
связей между компонентами или модулями и направления информационных потоков;
точки подключения интеграционного взаимодействия с другими объектами информатизации;
точки подключения пользователей;
мест и технологий хранения данных;
применяемого резервного оборудования;

разъяснения применяемых терминов и аббревиатур;
2) схема сети передачи данных объекта испытаний (при необходимости) с указанием:
архитектуры и характеристик сети;
серверного сетевого и коммуникационного оборудования;
адресации и применяемых сетевых технологий;
используемых локальных, ведомственных (корпоративных) и глобальных сетей;
решения(й) по обеспечению отказоустойчивости и резервированию.

разъяснения применяемых терминов и аббревиатур;
5. Информация об объекте испытаний:
1) информация о серверном оборудовании (заполнить таблицу):

№ п/п	Наименование сервера или виртуального ресурса (доменное имя, сетевое имя или логическое имя сервера)	Назначение (выполняемые функциональные задачи)	Кол-во	Характеристики сервера или используемых заявленных виртуальных ресурсов	ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы (состав программной среды с указание номеров версий)	Применяемые IP-адреса
1	2	3	4	5	6	7

 

2) информация о сетевом оборудовании (заполнить таблицу):

№ п/п	Наименование сетевого оборудования (марка / модель)	Назначение (выполняемые функциональные задачи)	Кол-во	Применяемые сетевые технологии	Применяемые технологии защиты сети	Используемые IP-адреса, в том числе, порт управления
1	2	3	4	5	6	7

 

  3) местонахождение серверного и сетевого оборудования (заполнить таблицу):

№ п/п	Владелец серверного помещения	Юридический адрес владельца серверного помещения	Фактическое местоположение – адрес серверного помещения	Ответственные лица за организацию доступа (Ф.И.О. (при наличии)	Телефоны ответственных лиц (рабочие, сотовые)
1	2	3	4	5	6

    

  4) характеристики резервного серверного оборудования (заполнить таблицу):

№ п/п	Наименование сервера или виртуально го ресурса (доменное имя, сетевое имя или логическое имя сервера)	Назначение (выполняемые функциональные задачи)	Кол-во	Характеристики сервера или используемых заявленных виртуальных ресурсов	ОС, СУБД, ПО, приложения, библиотеки и средства защиты, установленные на серверах или используемые виртуальные сервисы (состав программной среды с указание номеров версий)	Применяемые IP-адреса	Метод резервирования
1	2	3	4	5	6	7	8

 

   5) характеристики резервного сетевого оборудования (заполнить таблицу):

№ п/п	Наименование сетевого оборудования (марка / модель)	Назначение (выполняемые функциональные задачи)	Кол-во	Применяемые сетевые технологии	Применяемые технологии защиты сети	Используемые IP-адреса, в том числе порт управления	Метод резервирования
1	2	3	4	5	6	7	8

 

     6) местонахождение резервного серверного и сетевого оборудования (заполнить таблицу):

№ п/п	Владелец серверного помещения	Юридический адрес владельца серверного помещения	Фактическое местоположение – адрес серверного помещения	Ответственные лица за организацию доступа (Ф.И.О. (при наличии)	Телефоны ответственных лиц (рабочие, сотовые)
1	2	3	4	5	6

   

 7) структура корпоративной сети (заполнить таблицу) (при необходимости):

№ п/п	Наименование сегмента сети	IP-адрес сети / маска сети
1	2	3

 

 8) информация по рабочим станциям администраторов (заполнить таблицу):

№ п/п	Роль администратора	Количество учетных записей администраторов	Наличие доступа к Интернет	Наличие удаленного доступа к оборудованию	IP-адрес рабочей станции администратора	Фактическое местоположение – адрес рабочего места
1	2	3	4	5	6	7

 

9) информация о пользователях прикладного программного обеспечения, в том числе с применением мобильных и интернет приложений (заполнить таблицу):

№ п/п	Роль пользователя	Перечень типовых действий пользователя	Адрес точки подключения и протокол подключения пользователей	Максимальное количество пользователей	Максимальное количество, обрабатываемых запросов (пакетов) в секунду	Максимальное время ожидания между запросами
1	2	3	4	5	6	7

 

10) Информация об интеграционном взаимодействии объекта испытаний, в
том числе, планируемые (заполнить таблицу):

№ п/п	Наименование интеграционной связи (объекта информатизации)	Собственник или владелец интегрируемого объекта	Действующая / планируемая	Наличие модуля интеграции	Адрес точки подключения и протокол подключения	Максимальное количество запросов (пакетов) в секунду	Максимальное время ожидания между запросами
1	2	3	4	5	6	7	8

 

11) Исходные коды прикладного ПО (заполнить таблицу) (при необходимости):

№ п/п	Маркировка диска	Наименование каталога на диске	Наименование файла	Размер файла, Мбайт	Применяемый язык программирования (при необходимости)	Дата модификации файла
1	2	3	4	5	6	7

 

12) Исходные коды и исполняемые файлы используемых библиотек и программных(ой) платформ(ы) (при необходимости):

№ п/п	Маркировка   диска	Наименование каталога на диске	Наименование библиотеки/ программной платформы /файла	Размер, Мбайт	Язык программирования	Версия библиотеки
1	2	3	4	5	6	7

 

6. Документирование испытываемого объекта (заполнить таблицу) (при необходимости):
 

№ п/п	Наименование документа	Наличие	Количество страниц	Дата утверждения	Стандарт или нормативный документ, в соответствии с которым был разработан документ
1	2	3	4	5	6
1	Политика информационной безопасности;
2	Правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
3	Методика оценки рисков информационной безопасности;
4	Правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
5	Правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
6	Правила проведения внутреннего аудита информационной безопасности;
7	Правила использования средств криптографической защиты информации;
8	Правила разграничения прав доступа к электронным информационным ресурсам;
9	Правила использования Интернет и электронной почты;
10	Правила организации процедуры аутентификации;
11	Правила организации антивирусного контроля;
12	Правила использования мобильных устройств и носителей информации;
13	Правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;
14	Регламент резервного копирования и восстановления информации;
15	Руководство администратора по сопровождению объекта информатизации;
16	Инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

 

7. Сведения о ранее пройденных видах работ или испытаниях (номер
протокола, дата):
________________________________________________________________________________
8. Наличие лицензии на испытываемый объект (наличие авторских
прав, наличие соглашения с организацией-разработчиком на предоставление
исходного кода) _________________________________________________________________
________________________________________________________________________________
9. Дополнительная информация: ___________________________________________________
________________________________________________________________________________
________________________________________________________________________________