Про Реестр доверенного ПО Казахстана
Мы задались вопросом, как работает данный Реестр и как он может помочь отечественным ИТ продуктам?
3 минуты
08.07.2020
70
21 мая 2020 года Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК № 206/НҚ «Информационная система электронного документооборота и автоматизации бизнес-процессов «Documentolog» была включена в Реестр доверенного ПО.
Мы задались вопросом, как работает данный Реестр и как он может помочь отечественным ИТ продуктам? Рассказывает Генеральный директор Documentolog Байжан Канафин:
1. Что такое Реестр доверенного ПО и для каких целей он создан?
Согласно Закону Республики Казахстан «Об информатизации» от 24 ноября 2015 года № 418-V ЗРК. Статья 1. Подпункт 52-1) реестр доверенного программного обеспечения и продукции электронной промышленности – перечень программного обеспечения и продукции электронной промышленности, соответствующих требованиям информационной безопасности, созданный для целей обеспечения обороны страны и безопасности государства.
2. Как попасть в Реестр доверенного ПО?
Для включения ПО в Реестр Компания-разработчик должна иметь:
• Индустриальный сертификат (документ, подтверждающий наличие заявителя в реестре отечественных производителей товаров, работ и услуг). Выдается НПП «Атамекен».
• Сертификат соответствия требованиям информационной безопасности не ниже 4 уровня доверия для программного обеспечения в соответствии с СТ РК ISO/IEC 15408-3 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ. Часть 3. Требования к обеспечению защиты» (далее - СТ РК ISO/IEC 15408-3) или акт по результатам испытаний на соответствие требованиям информационной безопасности, выданного уполномоченным органом в сфере обеспечения информационной безопасности.
3. Для кого предназначается Программное обеспечение, включенное в Реестр?
В пункте 2 статьи 54 ЗРК указано, что Собственники или владельцы объектов информатизации «электронного правительства» и критически важных объектов информационно-коммуникационной инфраструктуры (далее - КВОИКИ) обязаны принимать меры, обеспечивающие информационную безопасность инфраструктуры. В пункте 3-1 статьи 54 ЗРК «Об информатизации» установлено, что приобретение товаров в целях реализации требований обеспечения информационной безопасности для обороны страны и безопасности государства осуществляется из Реестра.
4. Что такое КВОИКИ и кто к ним относится?
Статья 1. Подпункт 24) критически важные объекты информационно-коммуникационной инфраструктуры – объекты информационно-коммуникационной инфраструктуры, в том числе информационно-коммуникационной инфраструктуры "электронного правительства", нарушение или прекращение функционирования которых приводит к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства, инфраструктуры Республики Казахстан или для жизнедеятельности населения, проживающего на соответствующей территории; (далее – КВОИКИ). Согласно ст. 6 и 7-1 ЗРК «Об информатизации», утверждение перечня КВОИКИ относится к компетенции Правительства Республики Казахстан в сфере информатизации, разработка перечня КВОИКИ относится к компетенции уполномоченного органа в сфере обеспечения информационной безопасности.
Одним словом, государство выделило из всех информационных систем страны объекты «КВОИКИ», имеющие ценность и важность для национальной безопасности и в отношении которых безопасности, уделяется особое внимание. При этом к КВОИКИ могут относиться не вся инфраструктура компании-владельца, а лишь отдельные объекты. Сами компании являются владельцами объектов КВОИКИ. Документ, содержащий перечень объектов КВОИКИ относится к документам ДСП и не может быть публично доступен. Но тем не менее, открыта доступна информация по названиям компаний - владельцев объектов КВОИКИ.
Documentolog официально направил запрос в Комитет информационной безопасности МЦРИАП и получил список компаний-владельцев объектов КВОИКИ: это практически все крупные государственные и частные промышленные и финансовые компании Казахстана. Например, компании, входящий в группу АО «ФНБ «Самрук-Казына», АО «НУХ «Байтерек», все наши Банки и другие крупные компании. Список можно запросить у КИБ.
5. Ответственность владельцев КВОИКИ
В статье 54 ЗРК «Об информатизации» определены меры, которые должны обеспечивать собственники или владельцы КВОИКИ. Также для них установлено обязательство по применению и соблюдению положений Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности (далее – ЕТ). В п.29-1 ЕТ, утвержденных Постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832. Также установлено, что приобретение товаров в целях реализации требований обеспечения ИБ для обороны страны и безопасности государства осуществляется из реестра доверенного программного обеспечения и продукции электронной промышленности в соответствии с законодательством Республики Казахстан о государственных закупках.
Ответственность владельца или собственника КВОИКИ в случае несоблюдения ими требований, установленных законодательством:
Согласно пп.2) п.1 ст.641 КоАП за нарушение законодательства Республики Казахстан об информатизации, совершенное в виде нарушения единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности влечет штраф на физических лиц в размере десяти, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере пятнадцати, на субъектов среднего предпринимательства – в размере тридцати, на субъектов крупного предпринимательства – в размере ста месячных расчетных показателей.
Если деяния содержат признаки уголовного характера, и они совершены в отношении критически важных объектов информационно-коммуникационной инфраструктуры, то согласно п.1 статьи 187 УПК РК предварительное следствие может осуществляться органом национальной безопасности.
Выводы.
Поскольку перечень компаний, владельцев объектов КВОИКИ очень большой, соответственно для отечественной компании-разработчика ПО имеет смысл пройти процедуры для того, что попасть в Реестр.
Должностные лица, работающие в компаниях, являющимся собственниками объектов КВОИКИ, обязаны соблюдать требования ЗРК «Об информатизации». В противном случае за нарушение предусмотрена административная и уголовная ответственность.
Поделитесь ссылкой в социальных сетях:
Читайте еще
Заключайте договоры с Астана-ЕРЦ онлайн в Documentolog
Поставщики коммунальных услуг теперь могут подать заявку на включение услуги в Единый платежный документ (ЕПД) г. Астана и заключить договор с ТОО «Астана-ЕРЦ» онлайн! Сделать это можно прямо в сервисе Documentolog всего за 5 минут.
Подписать договор быстро: ТОП-3 удобных способа обмена документами
Мы знаем, как решить боль каждого предпринимателя и ускорить подписание документов.
Как получить ЭЦП онлайн в Казахстане: просто и надежно
Электронная цифровая подпись (ЭЦП) уже давно стала необходимым и важным инструментом для упрощения взаимодействия между государственными органами, бизнесом и гражданами. Благодаря ЭЦП мы можем получать гос.услуги, оформлять документы онлайн, не выходя из дома. В статье подробнее рассказываем, почему ЭЦП легитимна для подписания документов, как получить ЭЦП удаленно, и как она используется в сервисах ЭДО Documentolog