Проведение испытаний объектов информатизации "электронного правительства" и информационных систем, относящихся к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности, включает:
Данный вид испытаний направлен на проведение статического и динамического анализа программного обеспечения на наличие «недостатков» с применением программных средств, предназначенных для анализа исходного кода. Данный вид анализа направлен на выявление недостатков программного обеспечения. По окончанию анализа исходных кодов, при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив поставщика. Государственная техническая служба или аккредитованная испытательная лаборатория обеспечивают сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний.
Этот вид испытаний направлен на оценку соответствия информационных систем требованиям технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности. Протокол испытаний функций информационной безопасности с приложениями и отчетом прошивается со сквозной нумерацией страниц и опечатывается печатью Государственной технической службы или аккредитованной испытательной лаборатории.
Данный вид испытаний проводится для оценки соблюдения доступности, целостности и конфиденциальности объекта испытаний. Нагрузочное испытание проводится с использованием специализированного программного средства на основании автоматических сценариев, в среде штатной эксплуатации объекта испытаний, в которой персональные данные заменены на фиктивные.
Это обследование проводится, чтобы оценить безопасность сетевой инфраструктуры. Данный вид работ включает себя оценку соответствия функций защиты сетевой инфраструктуры требованиям технической документации, нормативных правовых актов РК и действующих стандартов в сфере информационной безопасности, обследование с помощью программных средств сетевой инфраструктуры, сканирование программным средством на наличие известных уязвимостей программного обеспечения из базы общих уязвимостей и рисков и т.д.
Этот вид исследования направлен на определение соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности. Обследование включает оценку соответствия процессов обеспечения информационной безопасности требованиям нормативных правовых актов и стандартов в сфере обеспечения информационной безопасности, сканирование серверов, виртуальных ресурсов и сетевого оборудования программными средствами на наличие известных уязвимостей, а также анализ выявленных уязвимостей на наличие ложного срабатывания и формирование рекомендаций по их устранению (при необходимости. Результаты анализа выявленных уязвимостей не включаются в Протокол обследования процессов обеспечения информационной безопасности и передаются Заявителю в форме рекомендаций.
Более подробную информацию вы можете найти в Приказе Министра цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан от 3 июня 2019 года № 111/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 июня 2019 года № 18795 «Об утверждении методики и правил проведения испытаний объектов информатизации "электронного правительства" и информационных систем, отнесенных к критически важным объектам информационно-коммуникационной инфраструктуры, на соответствие требованиям информационной безопасности»