Про Реестр доверенного ПО Казахстана

21 мая 2020 года Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК № 206/НҚ «Информационная система электронного документооборота и автоматизации бизнес-процессов «Documentolog» была включена в Реестр доверенного ПО.

Мы задались вопросом, как работает данный Реестр и как он может помочь отечественным ИТ продуктам? Рассказывает Генеральный директор Documentolog Байжан Канафин: 

1. Что такое Реестр доверенного ПО и для каких целей он создан?

Согласно Закону Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V ЗРК. Статья 1. Подпункт 52-1) реестр доверенного программного обеспечения и продукции электронной промышленности – перечень программного обеспечения и продукции электронной промышленности, соответствующих требованиям информационной безопасности, созданный для целей обеспечения обороны страны и безопасности государства. 

2. Как попасть в Реестр доверенного ПО? 

Для включения ПО в Реестр Компания-разработчик должна иметь: 

• Индустриальный сертификат (документ, подтверждающий наличие заявителя в реестре отечественных производителей товаров, работ и услуг). Выдается НПП «Атамекен». 

• Сертификат соответствия требованиям информационной безопасности не ниже 4 уровня доверия для программного обеспечения в соответствии с СТ РК ISO/IEC 15408-3 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты» (далее - СТ РК ISO/IEC 15408-3) или акт по результатам испытаний на соответствие требованиям информационной безопасности, выданного уполномоченным органом в сфере обеспечения информационной безопасности. 

3. Для кого предназначается Программное обеспечение, включенное в Реестр?

В пункте 2 статьи 54 ЗРК указано, что Собственники или владельцы объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры (далее - КВОИКИ) обязаны принимать меры, обеспечивающие  информационную безопасность инфраструктуры. В пункте 3-1 статьи 54 ЗРК «Об информатизации» установлено, что приобретение товаров в целях реализации требований обеспечения информационной безопасности для обороны страны и безопасности государства осуществляется из Реестра.

4. Что такое КВОИКИ и кто к ним относится?

Статья 1. Подпункт 24) критически важные объекты информационно-коммуникационной инфраструктуры – объекты информационно-коммуникационной инфраструктуры, в том числе информационно-коммуникационной инфраструктуры "электронного правительства", нарушение или прекращение функционирования которых приводит к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства, инфраструктуры Республики Казахстан или для жизнедеятельности населения, проживающего на соответствующей территории; (далее – КВОИКИ). Согласно ст. 6 и 7-1 ЗРК «Об информатизации», утверждение перечня КВОИКИ относится к компетенции Правительства Республики Казахстан в сфере информатизации, разработка перечня КВОИКИ относится к компетенции уполномоченного органа в сфере обеспечения информационной безопасности.

Одним словом, государство выделило из всех информационных систем страны объекты «КВОИКИ», имеющие ценность и важность для национальной безопасности и в отношении которых безопасности, уделяется особое внимание. При этом к КВОИКИ могут относиться не вся инфраструктура компании-владельца, а лишь отдельные объекты. Сами компании являются владельцами объектов КВОИКИ. Документ, содержащий перечень объектов КВОИКИ относится к документам ДСП и не может быть публично доступен. Но тем не менее, открыта доступна информация по названиям компаний - владельцев объектов КВОИКИ.

Documentolog официально направил запрос в Комитет информационной безопасности МЦРИАП и получил список компаний-владельцев объектов КВОИКИ: это практически все крупные государственные и частные промышленные и финансовые компании Казахстана. Например, компании, входящий в группу АО «ФНБ «Самрук-Казына», АО «НУХ «Байтерек», все наши Банки и другие крупные компании. Список можно запросить у КИБ.

5. Ответственность владельцев КВОИКИ

В статье 54 ЗРК «Об информатизации» определены меры, которые должны обеспечивать собственники или владельцы КВОИКИ. Также для них установлено обязательство по применению и соблюдению положений Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ). В п.29-1 ЕТ, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832. Также установлено, что приобретение товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства осуществляется из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с законодательством Республики Казахстан о государственных закупках.

Ответственность владельца или собственника КВОИКИ в случае несоблюдения ими требований, установленных законодательством:

Согласно пп.2) п.1 ст.641 КоАП за нарушение законодательства Республики Казахстан об информатизации, совершенное в виде нарушения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности влечет штраф на физических лиц в размере десяти, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере пятнадцати, на субъектов среднего предпринимательства – в размере тридцати, на субъектов крупного предпринимательства – в размере ста месячных расчетных показателей.

Если деяния содержат признаки уголовного характера, и они совершены в отношении критически важных объектов информационно-коммуникационной инфраструктуры, то согласно п.1 статьи 187 УПК РК предварительное следствие может осуществляться органом национальной безопасности.

Выводы.

Поскольку перечень компаний, владельцев объектов КВОИКИ очень большой, соответственно для отечественной компании-разработчика ПО имеет смысл пройти процедуры для того, что попасть в Реестр. 

Должностные лица, работающие в компаниях, являющимся собственниками объектов КВОИКИ, обязаны соблюдать требования ЗРК «Об информатизации». В противном случае за нарушение предусмотрена административная и уголовная ответственность.