Предоставленная ниже информация представляет собой предложение ТОО «ПАЦИФИКА» для объектов испытания на оказание консультационных услуг по подготовке к испытаниям информационной системы, информационно-коммуникационной платформы «электронного правительства» и интернет-ресурса государственного органа на их соответствие требованиям информационной безопасности, проводимому Акционерным обществом «Государственной технической службой» (АО «ГТС»).
Оказание услуг состоит из следующих независимых этапов, разработанных Исполнителем на основе приказа «Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности» (http://adilet.zan.kz/rus/docs/V1900018795):
Этап 1. Анализ исходных кодов; Этап 2. Испытание функций информационной безопасности; Этап 3. Нагрузочное испытание; Этап 4. Обследование сетевой инфраструктуры; Этап 5. Обследование процессов обеспечения информационной безопасности.
Нормативные акты и стандарты:
1. Закон Республики Казахстан от 24 ноября 2015 года «Об информатизации» (http://adilet.zan.kz/rus/docs/Z1500000418);
2. Об утверждении методики и правил проведения испытаний объектов информатизации «электронного правительства» и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности (http://adilet.zan.kz/rus/docs/V1900018795);
3. Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утверждаемые в соответствии с подпунктом 3) статьи 6 Закона (далее – ЕТ) (https://adilet.zan.kz/rus/docs/P1600000832#z262);
4. СТ РК ИСО/МЭК 27002-2015 Методы обеспечения защиты. Свод правил по средствам управления защитой информации (далее – СТ РК ИСО/МЭК 27002-2015);
Этап 1. Анализ исходных кодов
Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков программного обеспечения (далее – ПО).
Этап 2. Испытание функций информационной безопасности
Испытание функций информационной безопасности осуществляется с целью оценки их соответствия требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности.
Этап 3. Нагрузочное испытание
Нагрузочное испытание проводится с целью оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний.
Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев.
Этап 4. Обследование сетевой инфраструктуры
Обследование сетевой инфраструктуры проводится с целью оценки безопасности сетевой инфраструктуры Заказчика, и включает в себя:
1) оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности;
2) обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств (при необходимости);
3) сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков.
Этап 5. Обследование процессов обеспечения информационной безопасности
Обследование процессов обеспечения информационной безопасности включает:
1) оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности;
2) сканирование программным средством серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей.
Сроки выполнения работ: Начало проекта: по согласованию сторон. Окончание проекта: через 90 рабочих дней с даты начала проекта при условии своевременного предоставления Заказчиком запрашиваемой информации.
Заказчик может по своему усмотрению поручить выполнение всех этапов Исполнителю, либо выполнить часть этапов самостоятельно.
Все положения, изложенные выше, являются предварительными. Мы готовы обсуждать их в соответствии с Вашими требованиями и пожеланиями.
Порядок проведения испытаний объекта информатизации на соответствие требованиям ИБ в АО «ГТС»:
Если у Вас возникнут дополнительные вопросы относительно содержания данной услуги, пожалуйста, обращайтесь к нам в любое удобное для Вас время, используя контактную информацию на нашем сайте.
Услуги предоставляются по договору, который подписывается между Заказчиком и Исполнителем. Дополнительно к договору подписываются «Соглашение о неразглашении конфиденциальной информации».