Постановление Правительства Республики Казахстан от 30 декабря 2009 года № 2280 Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (с изменениями на 25.09.12г.)


Постановление Правительства Республики Казахстан от 30 декабря 2009 года № 2280 Об утверждении Правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (с изменениями на 25.09.12г.)

 

В соответствии со статьей 5 Закона Республики Казахстан от 11 января 2007 года «Об информатизации» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.

2. Признать утратившим силу постановление Правительства Республики Казахстан от 17 января 2008 года № 24 «Об утверждении Правил проведения аттестации государственных информационных систем на соответствие требованиям информационной безопасности» (САПП Республики Казахстан, 2008 г., № 1, ст. 13).




 

 


 

Утверждены

постановлением Правительства

Республики Казахстан

от 30 декабря 2009 года № 2280

 

 

Правила проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам

 

1. Общие положения и основные понятия

 



1. Настоящие Правила проведения аттестации государственных информационных систем, в том числе в соответствии с перечнем национальных электронных информационных ресурсов и национальных информационных систем, утвержденных постановлением Правительства Республики Казахстан от 1 октября 2007 года № 863, и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее - Правила) разработаны в соответствии с Законом Республики Казахстан от 11 января 2007 года «Об информатизации» и определяют порядок проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.

Настоящие Правила не распространяются на проведение аттестации государственных информационных систем, осуществляющих обработку, хранение, передачу сведений, составляющих государственные секреты, а также в защищенном исполнении (созданных и принятых в эксплуатацию в соответствии с требованиями государственного стандарта Республики Казахстан СТ РК 34.025-2006 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения).

2. Основные понятия, используемые в Правилах:

1) аттестационная комиссия (далее - Комиссия) - консультативно-совещательный орган при уполномоченном органе, который рассматривает результаты аттестационного обследования и вырабатывает соответствующие рекомендации;

2) аттестат соответствия информационной системы требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам (далее - аттестат) - документ, подтверждающий факт соответствия информационной системы (далее - ИС) требованиям информационной безопасности (далее - ИБ) и принятым на территории Республики Казахстан стандартам;


4) уполномоченная организация - уполномоченная организация в области информатизации;

5) заявитель - владелец ИС, физическое или юридическое лицо уполномоченное владельцем ИС, подавший заявку на проведение аттестации ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам.

3. Под аттестацией ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам понимается комплекс организационно-технических мероприятий по определению фактического состояния защищенности ИС и ее соответствия требованиям ИБ и принятым на территории Республики Казахстан стандартам.

4. Эксплуатация и внедрение государственных ИС, а также всех интегрируемых с ними негосударственных ИС допускается после их аттестации на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам.

5. Аттестация ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам осуществляется уполномоченным органом на основании аттестационного обследования ИС.

6. Аттестационное обследование ИС на соответствие требованиям ИБ и принятым на территории Республики Казахстан стандартам проводятся уполномоченной организацией.


6-1. Аттестационное обследование включает:

1) проверку общей структуры на соответствие политике безопасности и размещения компонентов в структуре;

2) проверку конфигурации компонентов, являющихся составляющими ИС;

3) экспертизу организационных мер информационной безопасности эксплуатируемой ИС;

4) инструментальное обследование компонентов ИС, позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты.

7. Для рассмотрения акта аттестационного обследования (далее - акт) создается Комиссия, положение и состав которой утверждаются приказом уполномоченного органа.

8. В состав комиссии входят представители:

1) органов национальной безопасности Республики Казахстан;

2) уполномоченного государственного органа по защите государственных секретов и обеспечения информационной безопасности;

3) уполномоченного органа.

9. Сведения о выданных аттестатах вносятся уполномоченным органом в реестр аттестатов, содержащий информацию о владельце ИС и разработчике ИС, наименовании ИС, реквизитах акта аттестационного обследования и аттестата, дате и основании переоформления аттестата, датах проведения и результатах дополнительных обследований, датах и основаниях отзыва/возврата аттестата, дате и основаниях прекращения действия аттестата.

 

 

2. Порядок проведения аттестации

 



10. Аттестация осуществляется в





(c) 2020 - All-Docs.ru :: Законодательство, нормативные акты, образцы документов