Утверждена методика и правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства» |
В соответствие с подпунктом 5) статьи 7-1 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» утверждена Методика проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 1 к настоящему приказу; Правила проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности согласно приложению 2 к настоящему приказу. В частности, проведение испытания включает: 1) анализ исходных кодов; 2) испытание функций информационной безопасности; 3) нагрузочное испытание; 4) обследование сетевой инфраструктуры. Анализ исходных кодов объектов испытаний проводится с целью выявления недостатков (программных закладок и уязвимостей) программного обеспечения (далее - ПО). Анализ исходных кодов проводится для ПО, перечисленного в акте приема-передачи исходных кодов объектов испытаний, согласно Правилам проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности (далее- Правила). Если при проведении испытания выявится необходимость проведения повторного анализ исходных кодов до окончания срока испытания, заявитель обращается с запросом в ГТС и заключается дополнительное соглашение о проведении повторного анализа исходных кодов в соответствии с пунктом 25 Правил. Выявление недостатков ПО проводится с использованием предназначенного для анализа исходного кода программного средства на основании исходных кодов, предоставленных заказчиком. Анализ исходных кодов включает: 1) выявление недостатков ПО; 2) фиксацию результатов анализа исходного кода. Выявление недостатков ПО осуществляется в следующем порядке: 1) проводится подготовка исходных данных (загрузка исходных кодов сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа, информационная система (далее-ОИ), выбор режима сканирования (динамический и/или статический), настройка характеристик режимов сканирования); 2) запускается программное средство, предназначенное для выявления недостатков ПО; 3) проводится анализ программных отчетов на наличие ложных срабатываний; 4) формируется отчет, включающий в себя перечень выявленных недостатков ПО с указанием их описания, маршрута (пути к файлу) и степени риска (высокая, средняя, низкая). Объём работ по анализу исходного кода определяется размером исходного кода. Результаты анализа исходных кодов фиксируются ответственным исполнителем данного вида работ, в Протоколе анализа исходных кодов (Произвольная форма). По окончанию проведенного анализа исходных кодов при условии его положительного результата, исходные коды объекта испытаний маркируются и сдаются в опечатанном виде на ответственное хранение в архив ГТС. ГТС обеспечивает сохранение полученных исходных кодов с соблюдением их конфиденциальности сроком не менее трех лет после завершения испытаний. Приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования. |
Если вы обнаружили ошибку или опечатку – выделите фрагмент текста с ошибкой и нажмите на ссылку сообщить об ошибке.