Что такое испытания на соответствие требованиям ИБ, кто их проводит и кому нужно проходить?

При проведении испытаний на соответствие требованиям ИБ аккредитованные лаборатории руководствуются Приказом Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ “Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности”.

Кто в РК проводит испытания?

Частная испытательная лаборатория, аккредитованная на данный вид работы.
АО “Государственная техническая служба”.

В чем между ними разница?

Если информационная система принадлежит госоргану или создана для госоргана, то необходимо проходить испытания в АО «Государственная техническая служба» (ГТС). В иных случаях испытания допускается проводить в частных испытательных лабораториях.

Какие объекты информатизации должны проходить испытания?

Программное обеспечение (программный продукт), созданное и (или) размещённое на информационно-коммуникационной платформе «электронного правительства».
Информационно-коммуникационная платформа «электронного правительства».
Интернет-ресурс госоргана, государственного юридического лица, субъекта квазигосударственного сектора.
Информационная система госоргана, государственного юридического лица, субъекта квазигосударственного сектора.
Критически важные объекты информационно-коммуникационной инфраструктуры (КВОИКИ).
Негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.

Проведение испытания включает следующие виды работ:

Анализ исходных кодов

Проводится с целью выявления недостатков программного обеспечения (ПО).

Испытание функций ИБ

Осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов РК и действующих стандартов по ИБ.

Нагрузочное испытание

Проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.

Обследование сетевой инфраструктуры

Проводится с целью оценки уровня защищенности и безопасности сетевой инфраструктуры.

Обследование процессов обеспечения ИБ

Осуществляется с целью определения их соответствия требованиям нормативных правовых актов и стандартов в сфере ИБ.

Испытания проводятся с использованием специализированных программных средств.

Краткое описание проводимых работ в рамках испытаний, к которым следует основательно подготовиться, можно найти здесь. Результаты испытаний оформляются соответствующими протоколами (отрицательными/положительными) по каждому виду работ.

Важная информация

Ввод в промышленную эксплуатацию объекта информатизации возможен только при наличии протоколов испытаний с положительными результатами на соответствие требованиям информационной безопасности.

Где пройти испытания:
в частной лаборатории или в ГТС?

Ответьте на следующие вопросы:

Владелец объекта информатизации - государственный орган* ?
Да
Нет
Собственник объекта информатизации - государственный орган* ?
Да
Нет
Заказчиком** объекта информатизации (через услугу или товар) - государственный орган* ?
Да
Нет

* государственный орган - министерство, акимат или их территориальные подразделения (департаменты)

** заказчик - представляет собой лицо или организацию, которая заказывает определенные услуги или товары у другой стороны, известной как исполнитель или поставщик.

Вы должны пройти испытание в:

ВЫВОД № 13: