
Испытания объектов информатизации и ИС по приказу № 111/НҚ
Испытания объектов информатизации и информационных систем на соответствие требованиям информационной безопасности по приказу № 111/НҚ дает возможность получить акт испытаний на соответствие требованиям информационной безопасности. Проводится по 5 видам:
- выявление недостатков ПО (Программное обеспечение);
- фиксацию результатов анализа исходного кода.
Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры и включает:
- оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;
- обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств;
- сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков;
- фиксацию полученных результатов испытания в отчете с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий.
Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний. Испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.
Обследование процессов обеспечения информационной безопасности осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности и включает:
-
оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;
-
фиксацию результатов оценки испытания с указанием результатов наблюдения, оценки соответствия или несоответствия и рекомендации по исправлению выявленных несоответствий (при необходимости);
-
сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей;
-
анализ выявленных уязвимостей на наличие ложного срабатывания и формирование рекомендаций по их устранению (при необходимости).
Часто задаваемые вопросы
Согласно Закону Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V ЗРК. Статья 1. Подпункт 52-1) реестр доверенного программного обеспечения и продукции электронной промышленности – перечень программного обеспечения и продукции электронной промышленности, соответствующих требованиям информационной безопасности, созданный для целей обеспечения обороны страны и безопасности государства.
Согласно Приказу Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 сентября 2022 года № 354/НҚ «О внесении изменения в приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 53/НҚ «Об утверждении Правил формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериев по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности»». Глава 2. П.10)
1) исключительное право на программное обеспечение на территории Республики Казахстан или право использования исключительных имущественных прав программного обеспечения на территории Республики Казахстан на весь срок действия исключительного права, принадлежащего одному либо нескольким из следующих лиц: физическому/им лицу/ам или юридическому лицу Республики Казахстан;
2) выполнение требований информационной безопасности в соответствии с СТ РК ISO/IEC 15408-3-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты" (далее - СТ РК ISO/IEC 15408-3) не ниже 4 уровня доверия для программного обеспечения или наличие акта по результатам испытаний на соответствие требованиям информационной безопасности (далее – акт испытаний), выданного уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с Правилами проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденными приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ ;
3) доля внутристрановой ценности в программном обеспечении составляет не менее 70%.
Для включения ПО в Реестр Компания-заявитель должна иметь:
- Индустриальный сертификат (документ, подтверждающий наличие заявителя в реестре отечественных производителей товаров, работ и услуг). Выдается НПП «Атамекен».
- Сертификат соответствия требованиям информационной безопасности не ниже 4 уровня доверия для программного обеспечения в соответствии с СТ РК ISO/IEC 15408-3 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты» (далее - СТ РК ISO/IEC 15408-3) или акт по результатам испытаний на соответствие требованиям информационной безопасности, выданного уполномоченным органом в сфере обеспечения информационной безопасности
Испытательный центр ТОО «SertSoft» проводит «Испытания на соответствие требованиям информационной безопасности». Подробнее переходите в раздел Главная страница или Услуги- Испытательный центр Испытания объектов информатизации и информационных систем на соответствие требованиям информационной безопасности по приказу № 111/НҚ или https://sertsoft.kz/services/ispytaniia-obieektov-informatizacii-i-is-po-prikazu-111nq
Для получения акта испытаний на соответствие требованиям информационной безопасности
включает в себя проведение статического и динамического анализа программного обеспечения на наличие «недостатков» с применением программных средств, предназначенных для анализа исходного кода
включает в себя оценку соблюдения доступности, целостности и конфиденциальности объекта испытаний, выявляет параметры фактической нагрузочной способности объекта испытаний, проводится с использованием специализированных программных средств на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.
Включает в себя проверку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, сканирование на наличие уязвимостей программного обеспечения, обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств при необходимости, (состав и содержание функций представлены в приложение 2 к Методике).
Включает в себя проверку соответствия функций безопасности серверов и виртуальных ресурсов (состав и содержание функций представлены в приложение 1 к Методике) технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости).
Включает в себя проверку соответствия процессов обеспечения информационной безопасности (состав и содержание функций представлены в приложение 3 к Методике) требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности, сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей и формирование рекомендаций по их устранению (при необходимости).
Для проведения испытаний заявителем подается заявка (ссылка к форме заявки):
1) анкета-вопросник о характеристиках объекта испытаний (ссылка к форме анкета-вопросник);
2) электронная копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);
3) электронная копия утвержденного собственником или владельцем технического задания, технической спецификации на объект информатизации;
4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, (при необходимости);
5) электронные копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к Правилам в электронном виде (при необходимости);
6) электронная копия документа, уполномочивающего заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).
В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний по запросу заявителя устанавливается КИБ МЦРИАП РК.
Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 приказа №111 Н/Қ (далее-Правило) выдается Комитетом по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – услугодатель).
Для получения акта испытаний заявитель (далее - услугополучатель) направляет услугодателю через портал заявление по форме согласно приложению 7 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденной собственником или владельцем объекта испытаний.
При этом срок действия протокола по отдельному виду испытания для включения в акт испытаний не превышает одного года с даты выдачи протокола.
При положительных результатах протоколов испытаний заявление рассматривается в течение десяти рабочих дней со дня его регистрации. На основании полного комплекта протоколов испытаний, определенных пунктами с 7-11 настоящих Правил услугодатель в течение семи рабочих дней изучает протокола испытаний и устанавливает расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний. Услугодатель приглашает для обсуждения представителей услугополучателя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:
1) о выдаче акта испытаний;
2) об отказе в выдаче акта испытаний.
При принятии положительного решения о выдаче акта испытаний услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний в «личный кабинет» в форме электронного документа, подписанного ЭЦП уполномоченного лица услугодателя.
При принятии решения об отказе в выдаче акта испытаний услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в «личный кабинет» в форме электронного документа, подписанного ЭЦП уполномоченного лица услугодателя.
Общий порядок работ и услуг
*ИЛ - Испытательная Лаборатория
Порядок проведения испытаний включает следующие этапы:
• отбор образцов и идентификацию образцов;
• составление программы сертификационных испытаний;
• проведение испытаний;
• оценку производства (если это предусмотрено схемой сертификации);
• анализ протоколов испытаний, экспертное заключение;