Услуги по предаттестационному обследованию информационно-аналитической системы

Услуги по предаттестационному обследованию информационно-аналитической системы

Услуги по предаттестационному обследованию информационно-аналитической системы (ИАС) к  аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства» и интернет-ресурса государственного органа на соответствие требованиям информационной безопасности


В современных условиях аттестация объектов аттестации на соответствие требованиям информационной безопасности является одним из важных аспектов в вопросах обеспечения их информационной безопасности, наиболее перспективным способом проверки достигнутого качества функционирования и уровня защищенности объекта аттестации, и способствует выявлению широкого диапазона уязвимостей и угроз, минимизации ущерба, обеспечению непрерывного и безопасного функционирования объекта аттестации.

Государственная услуга «Аттестация информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие их требованиям информационной безопасности» оказывается в соответствии с пунктом 1 статьи 51 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418- V (далее - Закон).

Согласно подпункту 1) пункта 1 Статьи 14 Закона Государственная техническая служба  проводит аттестационное обследование информационной системы, информационно-коммуникационной платформы «электронного правительства» и интернет-ресурса государственного органа на их соответствие требованиям информационной безопасности.

Более подробную информацию об аттестации Государственной технической службы можно получить здесь.

Состав работ

1.      Обследование информационных систем

2.      Анализ нормативно-технической документации по обеспечению информационной безопасности;

3.      Разработка нормативно-технической документации

4.      Рекомендации по укреплению безопасности информационных систем

Перечень объектов аттестации

(пункт 2 Статьи 51 Закона)

Объектами обязательной аттестации являются:

1.      Информационная система государственного органа.

2.      Негосударственная информационная система, интегрируемая с информационной системой государственного органа или предназначенная для         формирования государственных электронных информационных  ресурсов.

3.      Информационная система, отнесённая к критически важным объектам информационно-коммуникационной инфраструктуры.

4.      Информационно-коммуникационная платформа «электронного правительства».

5.      Интернет-ресурс государственного органа.

Негосударственные информационные системы и интернет-ресурсы могут быть аттестованы на соответствие требованиям информационной безопасности по инициативе собственника (владельца) либо уполномоченного им лица

Перечень  документов, прилагаемых к заявлению

 (пункт 13 Правил)

1.      Копия документа, удостоверяющего личность (для физических лиц).

2.      Копия технического задания, в случае отсутствия технического задания на интернет-ресурс направляется техническая спецификация. 

3.      Общая функциональная схема объекта аттестации с указанием используемых уникальных сетевых адресов серверов и рабочей станции администратора, а также локальной схемы сети, утвержденных собственником (владельцем), пояснительной записки к общей функциональной схеме, заверенной подписью и печатью заявителя.

4.      Копии утвержденных собственником (владельцем) ТД по ИБ объекта аттестации, заверенных подписью и печатью заявителя, согласно приложению 3 к Правилам:  

1) политика информационной безопасности;

2) правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации; 

3) методика оценки рисков информационной безопасности;

4) правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;

5) правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;

6) правила проведения внутреннего аудита информационной безопасности;

7) правила использования криптографических средств защиты информации;

8) правила разграничения прав доступа к электронным ресурсам;

9) правил использования Интернет и электронной почты;

10) правила организации процедуры аутентификации;

11) правила организации антивирусного контроля;

12) правила использования мобильных устройств и носителей информации;

13) правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;

14) руководство администратора по сопровождению объекта аттестации;

15) регламент резервного копирования и восстановления информации;

16) инструкция о порядке действий пользователей по реагированию на инциденты ИБ и во внештатных (кризисных) ситуациях.

5. Перечень объектов информатизации, интегрированных с объектом аттестации, по форме согласно приложению 4 к Правилам, утверждённый собственником объекта аттестации и заверенный подписью и печатью заявителя (при наличии объектов информатизации, интегрированных с объектом аттестации).

6.Копии утвержденных собственником (владельцем) перечней технических и программных средств, входящих в состав объекта аттестации, по  форме согласно приложениям 5 и 6 к Правилам, заверенные подписью и печатью заявителя (в случае, если объект аттестации не использует информационно-коммуникационные услуги).   

7.Копия договора на использование информационно-коммуникационных услуг с приложением технической характеристики и договора об оказании  информационно-коммуникационных услуг (в случае, если объект аттестации использует информационно-коммуникационные услуги).


Изменения, касающиеся аттестации, предусмотренные

Законом «Об информатизации», постановлением Правительства Республики Казахстан от 23 мая 2016 № 298 

 

1.      Введены новые объекты информатизации, подлежащие обязательной аттестации, а именно: информационно - коммуникационная платформа «электронного правительства», информационная система, отнесенная к критически важным объектам в сфере информатизации, Интернет – ресурсы.

2.      Закон дополнен требованиями по обязательности аттестации информационных систем, введенных в промышленную эксплуатацию до принятия норм по аттестации

3.      Изменен срок выдачи аттестата соответствия требованиям информационной безопасности с 3-х лет на срок промышленной эксплуатации объектов аттестации за исключением информационно-коммуникационной платформы «электронного правительства».

4.      Увеличены сроки проведения аттестации на соответствие требованиям информационной безопасности. Срок аттестационного обследования составляет тридцать рабочих дней с даты вступления в силу договора на оказание услуг по аттестационному обследованию.

5.      Введена норма, регулирующая подачу госорганами сведений об объектах, планируемых к аттестации, в срок не позднее 1 марта т.г.

6.      Внесены дополнения в КоАП РК. В соответствии со Статьей 65 Закона, нарушение законодательства Республики Казахстан об информатизации влечет ответственность, которая предусмотрена Статьей  641 КоАП РК.


Результаты работ

Результаты работ по обследованию состояния защищенности информационной системы должны быть оформлены в виде следующих отчетов (в бумажном виде и копий на электронном носителе): 

5.1.   Отчет о проведения работ по обследованию информационной безопасности информационной системы, связанной с подготовкой к аттестации государственных информационных на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам;

5.1.Рекомендации по подготовке пакета документов для прохождения «Аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие их требованиям информационной безопасности» в соответствии Постановлением Правительства Республики Казахстан от 23 мая 2016 №298


Сроки исполнения

Срок исполнения работ, указанных в настоящем Техническом Задании – не более 60 календарных дней.

 


Получите техническую консультацию