Испытания объектов на соответствие требованиям ИБ это работы по оценке соответствия объектов испытаний требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности и проводятся в среде штатной эксплуатации объекта испытаний. Услуга «Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности» оказывается АО «Государственная техническая служба» на основании подпункта 7) пункта 1 статьи 14 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года, выполняемой как вид деятельности в сфере информатизации, отнесенный к государственной монополии.

В соответствие с пунктом 2 статьи 49 Закона Республики Казахстан «Об информатизации» от 24 ноября 2015 года Испытания являются обязательными для следующих объектов информатизации:
1) программное обеспечение (программный продукт) созданное и (или) размещенное на информационно-коммуникационной платформе «электронного правительства»;
2) информационно-коммуникационная платформа «электронного правительства»;
3) интернет-ресурс государственного органа, государственного юридического лица, субъекта квазигосударственного сектора;
4) информационная система государственного органа, государственного юридического лица, субъекта квазигосударственного сектора;
5) критически важные объекты информационно-коммуникационной инфраструктуры;
6) негосударственная информационная система, предназначенная для формирования государственных электронных информационных ресурсов, осуществления государственных функций и оказания государственных услуг.
Примечание: Испытания на соответствие требованиям информационной безопасности негосударственной информационной системы, отнесенной к критически важным объектам информационно-коммуникационной инфраструктуры (за исключением являющихся объектами информатизации «электронного правительства»), и других объектов информатизации, не относящихся к объектам информатизации «электронного правительства» проводятся аккредитованными испытательными лабораториями в соответствии с Законом и законодательством Республики Казахстан в области технического регулирования.

1) Анализ исходных кодов — включает в себя проведение статического и динамического анализа программного обеспечения на наличие «недостатков» с применением программных средств, предназначенных для анализа исходного кода;
2) Испытание функций информационной безопасности — включает в себя проверку соответствия функций безопасности серверов и виртуальных ресурсов (состав и содержание функций представлены в приложение 1 к Методике) технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, в том числе с применением программных средств (при необходимости);
3) Нагрузочное испытание — включает в себя оценку соблюдения доступности, целостности и конфиденциальности объекта испытаний, выявляет параметры фактической нагрузочной способности объекта испытаний, проводится с использованием специализированных программных средств на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные;
4) Обследование сетевой инфраструктуры — включает в себя проверку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности, сканирование на наличие уязвимостей программного обеспечения, обследование сетевой инфраструктуры заявителя, в том числе с применением программных средств при необходимости, (состав и содержание функций представлены в приложение 2 к Методике);
5) Обследование процессов обеспечения информационной безопасности — включает в себя проверку соответствия процессов обеспечения информационной безопасности (состав и содержание функций представлены в приложение 3 к Методике) требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности, сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей и формирование рекомендаций по их устранению (при необходимости).
По результатам испытаний по каждому виду работ формируется протокол.

В испытания программного обеспечения (программного продукта) созданного и (или) размещенного на информационно-коммуникационной платформе «электронного правительства» входит:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) нагрузочное испытание.

В испытания информационно-коммуникационной платформы «электронного правительства входит:
1) анализ исходных кодов;
2) испытание функций информационной безопасности;
3) обследование сетевой инфраструктуры;
4) обследование процессов обеспечения информационной безопасности.

Цена на услугу «Испытания объектов информатизации «электронного правительства» на соответствие требованиям информационной безопасности», устанавливаются приказом Председателя Комитета национальной безопасности Республики Казахстан от 23 октября 2018 года № 86/қе «Об утверждении цен на услуги, реализуемые субъектом государственной монополии в сферах информатизации, обеспечения информационной безопасности» и составляют:

Вид испытания	Расчет	Стоимость
Анализ исходного кода	За 1 Мб	6 510 тенге
Испытание функций информационной безопасности	За 1 объект испытаний (системы/подсистемы)	857 051 тенге
Нагрузочное испытание	За 1 вариант способа (протокола) подключения пользователей и способа (протокола) подключения интеграционного взаимодействия	460 219 тенге
Обследование сетевой инфраструктуры	За 1 сеть (подсеть) телекоммуникаций	834 489 тенге
Обследование процессов обеспечения информационной безопасности	За 1 объект испытаний (системы/подсистемы)	829 186 тенге

Перечень документов, прилагаемых к заявке
Для проведения испытаний заявителем на интернет-портале SYNAQ заполняется, подписывается электронной цифровой подписью (далее - ЭЦП) и подается заявка (Образец заявки на испытание):
1) анкета-вопросник о характеристиках объекта испытаний (Образец анкета-вопросник);
2) электронная копия доверенности на лицо, уполномоченное на подписание договоров или документа о назначении руководителя юридического лица (для юридических лиц);
3) электронная копия утвержденного собственником или владельцем технического задания, технической спецификации на объект информатизации;
4) исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции, (при необходимости);
5) электронные копии утвержденной технической документации по информационной безопасности объекта испытаний, согласно приложению 3 к Правилам в электронном виде (при необходимости);
6) электронная копия документа, уполномочивающего заявителя владельцем (собственником) подать заявку на проведение испытаний (при необходимости).

В случае отсутствия исходного кода объекта испытания или невозможности проведения другого(их) вида(ов) испытаний, решение о необязательности проведения анализа исходного кода или другого(их) вида(ов) испытаний объекта испытаний по запросу заявителя устанавливается КИБ МЦРИАП РК.

В случае интеграции (действующей или планируемой) объекта испытаний с другим объектом информатизации, испытания проводятся с включением в состав объекта испытаний компонентов, обеспечивающих интеграции (модуль интеграции, подсистема интеграции, интеграционная шина или другое) (п.14 Правил).

Порядок получения акта по результатам испытаний на соответствие требованиям информационной безопасности
Акт по результатам испытаний на соответствие требованиям информационной безопасности по форме согласно приложению 4 к настоящим Правилам (далее – акт испытаний) выдается Комитетом по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – услугодатель).
Для получения акта испытаний заявитель (далее - услугополучатель) направляет услугодателю через портал заявление по форме согласно приложению 7 к настоящим Правилам с полным комплектом протоколов, определенных пунктами 7-11 настоящих Правил с приложением анкеты-вопросника о характеристиках объекта испытаний согласно приложению 2 к настоящим Правилам, утвержденной собственником или владельцем объекта испытаний.
При этом срок действия протокола по отдельному виду испытания для включения в акт испытаний не превышает одного года с даты выдачи протокола.
При положительных результатах протоколов испытаний заявление рассматривается в течение десяти рабочих дней со дня его регистрации. На основании полного комплекта протоколов испытаний, определенных пунктами с 7-11 настоящих Правил услугодатель в течение семи рабочих дней изучает протокола испытаний и устанавливает расхождения в данных анкеты-вопросника о характеристиках объекта испытаний, представленного услугодателю с данными анкет-вопросников о характеристиках объекта испытаний, приложенных к протоколам испытаний. Услугодатель приглашает для обсуждения представителей услугополучателя и поставщика (поставщиков) и в их присутствии принимает одно из следующих решений:

1) о выдаче акта испытаний;
2) об отказе в выдаче акта испытаний.

При принятии положительного решения о выдаче акта испытаний услугодатель направляет услугополучателю акт испытаний с приложением копии анкеты-вопросника о характеристиках объекта испытаний, являющимся неотъемлемой частью акта испытаний в «личный кабинет» в форме электронного документа, подписанного ЭЦП уполномоченного лица услугодателя.

При принятии решения об отказе в выдаче акта испытаний услугодатель направляет услугополучателю мотивированный ответ об отказе в выдаче акта испытаний в «личный кабинет» в форме электронного документа, подписанного ЭЦП уполномоченного лица услугодателя.

Приложение 1 (Функции информационной безопасности)

Приложение 2 (Функции защиты сетевой инфраструктуры)

Приложение 3 (Процессы обеспечения информационной безопасности и их содержание)

Образец анкета-вопросник

Образец заявки на испытание

Перечень ТД по ИБ