Утверждены правила аттестации государственных ИС на соответствие требованиям безопасности

Правительство РК приняло постановление от 30 декабря 2009 года №2280 «Об утверждении правил проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам», передает агентство Kazakhstan Today со ссылкой на официальные СМИ.

«В соответствии со статьей 5 закона Республики Казахстан от 11 января 2007 года «Об информатизации» правительство Республики Казахстан постановляет: утвердить прилагаемые правила проведения аттестации государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам», — отмечается в тексте постановления.

Также правительство постановило «признать утратившим силу постановление правительства Республики Казахстан от 17 января 2008 года №24 «Об утверждении правил проведения аттестации государственных информационных систем на соответствие требованиям информационной безопасности».

Согласно утвержденным правилам, аттестационное обследование информационных систем на соответствие требованиям информационной безопасности и принятым на территории Казахстана стандартам проводятся уполномоченной организацией. Для рассмотрения акта аттестационного обследования создается комиссия, в состав которой входят представители органов национальной безопасности РК, уполномоченного государственного органа по защите государственных секретов и обеспечения информационной безопасности, а также уполномоченного органа.

«Срок аттестационного обследования не должен превышать одного месяца с момента поступления заявки с приложенными документами. В случае, если аттестационное обследование не может быть проведено в установленный срок, уполномоченная организация обращается в уполномоченный орган с ходатайством о продлении срока аттестационного обследования с изложением причин невозможности соблюдения установленного срока. Уполномоченным органом может быть принято решение о продлении срока аттестационного обследования сроком до двух месяцев», — отмечается в правилах.

Согласно документу, по результатам аттестационного обследования уполномоченной организацией составляется акт, который передается уполномоченному органу. На основании акта комиссией вырабатываются соответствующие рекомендации, которые оформляется в виде протокола. На основании протокола комиссии и с учетом акта уполномоченный орган в течение пяти рабочих дней принимает решение о выдаче или об отказе в выдаче аттестата.

Аттестат выдается заявителю сроком на 3 года, с учетом неизменности условий функциональности системы, аппаратно-программного комплекса и информационных технологий, обеспечивающих обработку защищаемой информации, определяющих безопасность информации: состава и структуры технических средств, условий размещения, используемого программного обеспечения, режимов обработки информации, средств и мер защиты.

В случае изменения условий и технологии обработки информации владельцы аттестованных информационных систем в течение пяти рабочих дней с момента таких изменений направляют в уполномоченный орган извещение с приложением описания произведенных изменений. В течение трех рабочих дней с момента получения извещения уполномоченный орган направляет в уполномоченную организацию извещение с приложением описания произведенных изменений.

«Настоящее постановление вводится в действие со дня первого официального опубликования», — отмечается в тексте документа, опубликованном 27 января.