
Сертификация информационной безопасности (ОУД1-ОУД7) СТ РК ISO/IEC 15408-2017
Сертификат информационной безопасности не ниже 4 уровня доверия (ОУД4) обеспечивает вхождение в реестр доверенного программного обеспечения. В 2019 году приняты поправки в законодательство «О государственных закупках», согласно которым продукция электронной промышленности и программного обеспечения, включенная в реестр, закупается с 1 января 2020 года в приоритетном порядке. Реестр создан для обеспечения информационной безопасности в государственных органах и бюджетных организациях.
Таким образом, присутствие в реестре дает производителям приоритетное право участие в государственных закупках способом предварительного квалификационного отбора, поставщиками которых являются отечественные производители из реестра. Реестр позволит снизить долю зависимости представленных иностранных решений на рынке Казахстана доверенными отечественными ИКТ-продуктами в работе государственных органов, тем самым увеличив долю местного содержания.
Подтверждение соответствия с требованиями стандарта СТ РК ISO/IEC 15408-2017 оценочные уровни доверия, определяющие шкалу требований, которые позволяют оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
Часто задаваемые вопросы
Согласно Приказу Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 сентября 2022 года № 354/НҚ «О внесении изменения в приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 53/НҚ «Об утверждении Правил формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериев по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности»». Глава 2. П.10)
1) исключительное право на программное обеспечение на территории Республики Казахстан или право использования исключительных имущественных прав программного обеспечения на территории Республики Казахстан на весь срок действия исключительного права, принадлежащего одному либо нескольким из следующих лиц: физическому/им лицу/ам или юридическому лицу Республики Казахстан;
2) выполнение требований информационной безопасности в соответствии с СТ РК ISO/IEC 15408-3-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты" (далее - СТ РК ISO/IEC 15408-3) не ниже 4 уровня доверия для программного обеспечения или наличие акта по результатам испытаний на соответствие требованиям информационной безопасности (далее – акт испытаний), выданного уполномоченным органом в сфере обеспечения информационной безопасности в соответствии с Правилами проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, утвержденными приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ ;
3) доля внутристрановой ценности в программном обеспечении составляет не менее 70%.Для включения ПО в Реестр Компания-заявитель должна иметь:
- Индустриальный сертификат (документ, подтверждающий наличие заявителя в реестре отечественных производителей товаров, работ и услуг). Выдается НПП «Атамекен».
- Сертификат соответствия требованиям информационной безопасности не ниже 4 уровня доверия для программного обеспечения в соответствии с СТ РК ISO/IEC 15408-3 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты» (далее - СТ РК ISO/IEC 15408-3) или акт по результатам испытаний на соответствие требованиям информационной безопасности, выданного уполномоченным органом в сфере обеспечения информационной безопасности
В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний по запросу заявителя устанавливается КИБ МЦРИАП РК.
Общий порядок работ и услуг
Номер схемы | Способы подтверждения соответствия | Проверка производства | Периодическая оценка*** | Срок действия сертификата соответствия | Примечание |
---|---|---|---|---|---|
1 | Испытания типа | 6 месяцев | Маркировка не производится | ||
2 | Испытания типа | Анализ состояния производства | Испытания образцов,взятых у продавца. Анализ состояния производства | 12 месяцев | Маркируется вся выпускаемая продукция данного типа |
3 | Испытания типа | Анализ состояния производства | Испытания образцов,взятых у изготовителя. Анализ состояния производства | 12 месяцев | Маркируется вся выпускаемая продукция данного типа |
4 | Испытания типа | Анализ состояния производства | Испытания образцов,взятых у продавца. Испытания образцов,взятых у изготовителя. Анализ состояния производства | 18 месяцев | Маркируется вся выпускаемая продукция данного типа |
5 | Испытания типа | Испытания образцов,*взятых у продавца. Испытания образцов,взятых у изготовителя. Контроль производства (системы менеджмента качества)** | 36 месяцев | Маркируется вся выпускаемая продукция данного типа | |
6 | Испытания типа | Контроль системы менеджмента качества** | 36 месяцев | Маркировка не производится | |
7 | Испытания типа | Устанавливается, но не более срока годности продукции | Маркировка не производится | ||
8 | Испытания типа | Устанавливается, но не более срока годности продукции | Маркируется каждое изделие | ||
9 | Рассмотрение заявки с прилагаемыми документами | Устанавливается, но не более срока годности продукции | Маркировка не производится | ||
10 | Рассмотрение заявки с прилагаемыми документами | Анализ состояния производства | 12 месяцев | Маркировка не производится |
Примечания:
* – необходимость и объем испытаний определяет ОПС продукции по результатам контроля за сертифицированной системой менеджмента качества (производством);
** – осуществляет ОПС, выдавший сертификат соответствия на систему менеджмента качества;
*** – при наличии сертификата соответствия на систему менеджмента качества конкретной продукции и положительных результатов периодической оценки, анализ условий для выпуска продукции стабильного качества не проводится;
критериями для определения периодичности и объема периодической оценки являются информация о результатах испытаний и проверок продукции и ее производства, проведенных изготовителем, органами государственного контроля и надзора, включая информацию об аналогичной продукции, выпускаемой тем же изготовителем, результаты работ, предшествовавшие выдаче сертификата соответствия, а также требования, установленные Приказом.Рассмотрение апелляций, жалоб и претензий осуществляется в соответствии с требованиями Процедуры СМК.ТОО-ДП-07.
При возникновении спорных вопросов по деятельности, осуществляемой ТОО, потребитель (заявитель, клиент и другие заинтересованные стороны) имеет право подать апелляцию. В этом случае приказом Генерального директора ТОО создается апелляционная Комиссия.
Решения, принимаемые апелляционной Комиссией, должны осуществляться в строгом соответствии с требованиями НД государственной системы технического регулирования и обеспечения единства измерений.
Не подлежат рассмотрению апелляции, жалобы, претензии заявителей, поданные анонимно, в которых не указаны фамилия, имя, отчество, нет подписи, а также не изложена суть вопроса. Если условия, послужившие основанием для оставления обращения без рассмотрения, в последующем были устранены, субъект или должностное лицо обязаны рассматривать указанное обращение.
Срок рассмотрения апелляций, жалоб и претензий не позднее 15 календарных дней, требующие дополнительного изучения, рассматриваются в срок до одного месяца. При необходимости дополнительной проверки, сроки могут быть продлены Генеральным директором, но не более чем на один месяц. Продление срока исполнения оформляется в виде служебной записки ответственного исполнителя. Сроки исполнения исчисляются со дня их поступления и регистрации.
Апелляции, жалобы и претензии, поступившие от заинтересованных сторон на бумажных, электронных носителях или в устной форме (в том числе внутренние жалобы), а также опубликованные в средствах массовой информации, регистрируются в день их поступления в журналерегистрации апелляций, жалоб и претензий потребителей. Апелляции, жалобы и претензии, поступающие в электронном виде, распечатываются делопроизводителем на бумажный носитель и регистрируются в журналерегистрации апелляций, жалоб и претензий потребителей.
Генеральный директор принимает решение в отношении поступившей жалобы, либо претензии, либо апелляции. В зависимости от принятого решения, Генеральный директор направляет жалобы и претензии руководителям подразделений, апелляции – в апелляционную Комиссию.
Рассмотрение жалоб и претензий
Получив жалобу или претензию, руководитель подразделения определяет, касается ли данная жалоба или претензия деятельности ОПС/ИЦ/ТОО, и если да, то начинает работу с ней.
Зарегистрированная жалоба или претензия анализируется руководителем подразделения. Анализ производится на основании нормативных документов, определяющих требования к соответствующей работе или услуге.Результаты анализа претензии или жалобы являются основанием для принятия решения. Решение, сообщаемое подателю жалобы или претензии, принимается лицом (-ами), не задействованным (-ими) в предмете жалобы или претензии. Результаты анализа и обработки жалобы или претензии в письменном виде доводятся до сведения подателя жалобы или претензии, от которого данная жалоба или претензия поступила.
Рассмотрение апелляций
Действия по управлению поступившей апелляцией поручаются апелляционной Комиссии, состоящей из лиц, не задействованных в проведении данных работ или оказанных услуг, и действующей в соответствии с положением СМК.ТОО-ПЛ-01. Апелляционная Комиссия несет ответственность за сбор и подготовку документов по предмету апелляции и их предварительный анализ.
Предварительный анализ апелляции проводится совместно с руководителем подразделения, к компетенции которого относится данная апелляция, с целью определения обоснованности апелляции, установления причины появления апелляции и определения необходимых действий в отношении полученной апелляции. При этом определяется, может ли апелляция быть удовлетворена с учетом мер, предложенных подавшим апелляцию.
Анализ апелляции производится на базе нормативных документов, определяющих требования к соответствующей работе, услуге или документу.
Апелляция может носить необоснованный характер, т.к. может быть подана на заведомо правильные действия и результаты деятельности ОПС/ИЦ/ТОО.
В случае обоснованности апелляции разрабатывается план необходимых действий, определяются конкретные сроки.
Разработанные действия и сроки их выполнения фиксируются в протоколе несоответствий и Журнале регистрации несоответствий, руководитель подразделения несет ответственность за выполнение всех разработанных действий в установленные сроки и подготовку отчета о выполненных действиях.
По результатам анализа и разработанных действий по апелляциям апелляционной Комиссией принимается окончательное решение.
Принятое апелляционной Комиссией решение, а также результаты анализа и обработки апелляции со стороны подразделения в письменном виде доводятся до заявителя апелляции.
В случае несогласия с решением апелляционной Комиссии заявитель имеет право обратиться в уполномоченные органы в области технического регулирования или аккредитации.
В случае необоснованности апелляции ответственное лицо подготавливает официальный ответ в адрес заявителя с доказательствами правильности действий ТОО применительно к случаю, на который была подана апелляция. В ответе должны быть приведены ссылки на нормативные документы, в соответствии с требованиями которых принималось решение о подтверждении соответствия.
Информация о полученных апелляциях на действия ТОО в целом и результатах управления этими апелляциями рассматривается при проведении анализа систем менеджмента ТОО и включается в отчет об анализе систем менеджмента качества ТОО.
*ИЛ - Испытательная Лаборатория
*ОПС - Орган по сертификации
• отбор образцов и идентификацию образцов;
• анализ протоколов испытаний, экспертное заключение;