Ақпараттандыру және байланыс саласындағы тәуекелдік дәрежесін бағалау критерийлерін бекіту туралы

Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі Төрағасының 2010 жылғы 17 ақпандағы N 65 және Қазақстан Республикасы Экономика және бюджеттік жоспарлау министрінің 2010 жылғы 19 ақпандағы N 88 Бірлескен бұйрықтары. Қазақстан Республикасы Әділет министрлігінде 2010 жылғы 24 ақпанда Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне N 6091 болып енгізілді

Қолданыстағы

      «Жеке кәсiпкерлiк туралы» Қазақстан Республикасы Заңының 38-бабы 2-тармақшасын жүзеге асыру мақсатында БҰЙЫРАМЫЗ:
      1. Бекітілсін:
      1) осы бұйрықтың 1-қосымшасына сәйкес ақпараттандыру саласындағы тәуекелдік дәрежесін бағалау критерийлері;
      2) осы бұйрықтың 2-қосымшасына сәйкес байланыс саласындағы тәуекелдік дәрежесін бағалау критерийлері.
      2. Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің Байланыс, Ақпараттық технологиялар департаменттеріне (Ә.Е. Баймұратов, Қ.Б. Елеусізова) заңнамалық белгіленген тәртіпте:
      1) осы бұйрықтың Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелуін қамтамасыз етсін;
      2) осы бұйрықтың мемлекеттік тіркеуден кейін оның бұқаралық ақпарат құралдарында ресми жариялауын және Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің интернет-ресурсында орналасқанын қамтамасыз етсiн.
      3. Осы бұйрықтың орындалуын бақылау Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің жауапты хатшысы Б.Ә. Маханбетәжиевке жүктелсін.
      4. Осы бұйрық мемлекеттік тіркеу күнінен бастап күшіне енеді және оны алғаш ресми жариялаған күннен бастап қолданысқа енгiзiледi.

      Қазақстан Республикасы            Қазақстан Республикасы
      Ақпараттандыру және байланыс      Экономика және бюджеттік
      агенттігінің Төрағасы             жоспарлау Министрі
      ______________ Қ. Есекеев         _____________ Б. Сұлтанов

Қазақстан Республикасы 
Ақпараттандыру және байланыс
агенттігі төрағасының  
2010 жылғы 17 ақпандағы № 65
және Қазақстан Республикасы
Экономика және бюджеттік 
жоспарлау министрінің   
2010 жылғы 19 ақпандағы № 88
бірлескен бұйрығына 1-қосымшасы

Ақпараттандыру саласындағы тәуекелдер дәрежесін бағалау критерийлері

1. Жалпы ережелер

      1. Осы Ақпараттандыру саласындағы тәукелдер дәрежесін бағалау критерийлері (бұдан әрі - Критерийлер) «Жеке кәсiпкерлiк туралы», «Ақпараттандыру туралы», «Электрондық құжат және электрондық цифрлық қолтаңба туралы» Қазақстан Республикасы Заңдарына сәйкес әзірленді.
      2. Осы Критерийлер олар негізінде бағалауды және ақпараттандыру субъектілерін әр түрлі тәукелдер дәрежесіне жатқызуды жүзеге асыратын тәуекелдердің сандық және сапалық көрсеткіштердің жиынтығын анықтайды.
      3. Осы Критерийлерде мынадай түсініктер пайдаланылды:
      1) тәуекел – ақпараттандыру субъектілерінің қызметі нәтижесінде жеке адамның, қоғам мен мемлекеттің заңдық ықыласына зиян келтіру, олардың салмақты дәреже салдары есебімен, атап айтқанда:
      электрондық ақпараттық ресурстарды және ақпараттық технологияларды пайдалану кезінде;
      Қазақстан Республикасы аймағында пайдалануға рұқсат етілмеген компьютерлiк жүйе болып табылатын бақылау-касса машиналарын пайдалану есебінен жеке тұлғаларға немесе мемлекетке қаржылық зиян келтіру;
      2) ақпараттандыру субъектілері (бұдан әрі - Субъектілер) – мемлекеттік ақпараттық жүйелермен ықпалдастырылған мемлекеттік емес ақпараттық жүйелердің иеленушілері, банктiк компьютерлiк жүйелердің иеленушi, ақпарат берушілердiң, кредиттiк бюролардың және кредиттiк есептердi алушылар, мемлекеттік ақпараттық ресурстар және ақпараттық жүйелердің иеленушілерi, Куәландырушы орталықтар, орталық және жергілікті атқарушы органдар.
      4. Субъектілер бастапқы жоғары тәуекел дәрежесіне жатады.
      5. Тексерістен кейін Субъектілер тәуекелдер дәрежесі бойынша Тәуекелдер дәрежесін бағалауды сапалық көрсеткіштеріне (бұдан әрі – Сапалық көрсеткіштер) сәйкес бөлінеді және олар бар болғанда тиісті балл беріледі, осы Критерийлер қосымшасына сәйкес.
      6. Егер Субъекттің іс-әрекеті немесе іс-әрекетсіздігі бірнеше Сапалық көрсеткіштер қимылына ұшыраса баллдар қосылады.
      7. Сапалық көрсеткіштер бойынша баллдар жалпы қорытындыны анықтау үшін қосылады.
      8. Жалпы қорытынды нәтижесі Субъектілерді тәуекелдер дәрежесі бойынша дифференциациялау үшін пайдаланылады.
      9. Субъектілерді тәуекелдер дәрежесі бойынша дифференциациялау келесі бейнеде жүзеге асырылады:
      жоғары тәуекел тобына 20 және одан көбірек балл алған Субъектілер жатады;
      орташа тәуекел тобына – 11-ден 20 баллға дейін;
      төмен тәуекел тобына – 0-ден 10 баллға дейін
      10. Тәуекелдің бір тобы ішінде Субъектілерді таңдап алу ақпараттандыру саласындағы уәкілетті органмен келесі принциптер бойынша жүзеге асырылады:
      1) ең үлкен тексерілмеген мерзімі (тексерілмеген мерзімді анықтауда жоспардан тыс тақырыптық тексірістер есепке алынбайды);
      2) ең үлкен баллдар сомасы;
      3) ақпараттық жүйелер және ақпараттық ресурстар саны.

Ақпараттандыру саласындағы
тәуекелдер дәрежесін бағалау
критерийлерге қосымша   

Тәуекелдер дәрежесін бағалаудың сапалық көрсеткіштері

Қазақстан Республикасының Заңдары және Қазақстан Республикасы Үкіметінің қаулыларымен белгіленген талаптардың бұзылуы

Балдарды беру шарттары

Баллдар

ақпараттық қауіпсіздікті қамтамасыз ету саласындағы көрсеткіштер

1

Жабық және қызметтік ақпараттарға рұқсатсыз қол жеткізу

ия

20

жоқ

0

2

Ақпаратты криптографиялық қорғау құралдарын заңсыз қолдануы

ия

20

жоқ

0

3

Куәландыру орталығының жабық кiлтiнiң компрометациясы

ия

20

жоқ

0

4

Мемлекеттік органдардың ақпараттық ресурстарында ақпараттық қауіпсіздік бойынша күдіктілік бар болуы

ия

20

жоқ

0

5

Мемлекеттік емес ақпараттық жүйелерді мемлекеттік ақпараттық жүйелермен ықпалдастыру бойынша талаптарды бұзу

ия

20

жоқ

0

6

Куәландыру орталығының қызметіне қойылатын біліктілік талаптарына сәйкес келмеу

ия

20

жоқ

0

7

Электрондық ақпараттық ресурстар мен ақпараттық жүйелерді пайдалану тәртібін бұзу

ия

10

жоқ

0

8

Ақпараттық қауіпсіздікті қамтамасыз ету бойынша ұйымдық және нормативтік-техникалық құжаттамалар жоқтығы

ия

10

жоқ

0

9

Сертификатталмаған техникалық құралдар және бағдарламалық өнімдерді қолдау

ия

10

жоқ

0

10

Нақты, шақырып алынған және күші жойылған сертификаттар бойынша деректер қорларына өзгерістер мен толықтыруларды дер кезiнде енгізілмеген

ия

10

жоқ

0

11

Бағдарламалық қамтамасыз ету және техникамен толтырылмағандықтан ақпараттық қауіпсіздік талаптарының бұзылуына жол берілгені

ия

10

жоқ

0

12

Вирус және зиян келтіретін бағдарламалардың бар болуы

ия

5

жоқ

0

13

Пайдаланушылардың жұмыс станциялары және серверлерде, деректер беру корпоративтік желісі жұмысында тоқтап қалуы және істен шығуы

ия

5

жоқ

0

бағдарламалық өнімдерді пайдалану саласындағы көрсеткіштер

14

Мемлекеттік ақпараттық ресурстар мен ақпараттық жүйелерді және оларға енгізілген өзгерістерді міндетті тіркелімі бойынша талаптарды бұзбауы

ия

20

жоқ

0

15

Бюджеттік қаражаттар есебіне әзірленген немесе сатып алынған бағдарламалық өнімдер мен техникалық құралдарды депозитарийға кіргізу бойынша талаптарды бұзуы

ия

20

жоқ

0

16

Бағдарламалық қамтамасыз ету жұмысы істен шығуына деректерді беруде ақпараттың жоғалуы

ия

20

жоқ

0

17

Бағдарламалық қамтамасыз етудің тығындары және ресми мәлімделмеген мүмкіндіктері

ия

20

жоқ

0

18

Ақпараттық жүйелер, бағдарламалық өнімдер, бағдарламалық кодтар және нормативтік-техникалық құжаттамалардағы өзгерістер мен толықтыруларды депозитарийде енгізілгендігі

ия

10

жоқ

0

19

Бағдарламалық өнімдер, ақпараттық ресурстар мен ақпараттық жүйелердің нормативтік-техникалық құжаттамасын ресімдеу, мазмұндау және жинақтығы бойынша стандарттық талаптарға сәйкес келмеуі

ия

10

жоқ

0

20

Бағдарламалық қамтамасыз ету мәлімделген талаптарға функциональдық сәйкес келмеуі

ия

10

жоқ

0

21

Бағдарламалық қамтамасыз ету сапасы Қазақстан Республикасы стандарттары талаптарына сәйкестігі

ия

10

жоқ

0

22

Бюджеттік қаражаттар есебіне әзірленген немесе сатып алынған электрондық ақпараттық ресурстар, ақпараттық жүйелер және бағдарламалық қамтамасыз етудің нормативтік-техникалық құжаттамаларының жоғалтуы

ия

5

жоқ

0

23

Бағдарламалық қамтамасыз етуді сүйемелдеу үшін нормативтік-техникалық құжаттаманы және қызметкерлер жоқтығы

ия

5

жоқ

0

24

Бағдарламалық өнімдердің нұсқаушы пакетін жоғалту

ия

5

жоқ

0

компьютерлiк жүйе болып табылатын бақылау-касса машиналар иелері, ақпарат берушілердiң, кредиттiк бюролардың және кредиттiк есептердi алушылар көрсеткіштері

25

Сертификатталған ақпаратты криптографиялық қорғау құралдардың жоқтығы

ия

20

жоқ

0

26

Қолжетімділігі шектелген бөлімше және серверлік бөлімшеге талаптарын бұзуы

ия

20

жоқ

0

27

Рұқсат етілмеген қолжетімділігінен қорғау жүйесінің жоқтығы

ия

20

жоқ

0

28

Ақпараттық қауіпсіздік талаптарына сәйкестігіне сертификатталмаған техникалық және бағдарламалық құралдарды қолдауы

ия

20

жоқ

0

29

Техникалық каналдар бойынша ақпараттың жойылуынан объектті қорғау жүйесінің жоқтығы

ия

20

жоқ


30

Пайдаланушының жұмыс орны талаптарын бұзылуы

ия

10

жоқ

0

31

«Салық инспекторының жұмыс орны» модулінің жоқтығы

ия

10

жоқ

0

32

Пайдаланушыны аудентификациялау және идентификациялау құралдарының жоқтығы

ия

10

жоқ

0

33

Жүйенiң тұтастығының тексеру құралдарының жоқтығы

ия

10

жоқ

0

34

Аппараттық және бағдарламалық қамтамасыз етуге лицензия жоқтығы

ия

10

жоқ

0

35

Декертерді мұрағаттау және резервті көшiрме жүйелерінің жоқтығы

ия

10

жоқ

0

36

Ресурстарға қол жеткізуді шектеу бойынша шаралар қабылдамауы

ия

5

жоқ

0

37

Жұмыс орнына паспорт жоқтығы

ия

5

жоқ

0

38

Ақпараттық үдерiстi ұйымдастыру регламентін белгiлейтiн техникалық құжаттаманың жоқтығы

ия

5

жоқ

0

39

Қолданушының жұмыс орнына ақпараттық қауiпсiздiгiн қамтамасыз ету бойынша нұсқауының жоқтығы

ия

5

жоқ

0

Қазақстан Республикасы 
Ақпараттандыру және байланыс
агенттігі төрағасының  
2010 жылғы 17 ақпандағы № 65
және Қазақстан Республикасы
Экономика және бюджеттік 
жоспарлау министрінің   
2010 жылғы 19 ақпандағы № 88
бірлескен бұйрығына 2-қосымшасы

Байланыс саласындағы тәуекелдік дәрежесінің баға критерийлері

      1. Осы байланыс саласындағы тәуекелдік дәрежесінің баға критерийлері (бұдан әрі – Критерийлер) «Жеке кәсіпкерлік туралы»,   «Байланыс туралы» Қазақстан Республикасының Заңдарына сәйкес әзірленген.
      2. Осы Критерийлер байланыс саласындағы әр түрлі тәуекелдік дәрежелеріне субъектілердің қатысуы жүзеге асырылатын негізінде тәуекелдіктердің есептік және сапалық көрсеткіштерінің жиынтығын анықтайды.
      3. Осы Критерийлерде мынадай ұғымдар қолданылады:
      1) тәуекелдік – жеке және заңды тұлғалардың және мемлекеттің, қоғамның заңды мүдделіктеріне, оның салдар ауырлық дәрежесін ескере отырып, байланыс саласындағы субъектілер қызметінің нәтижесінде зиян келтірудің ықтималдығы, атап айтқанда:
      радиожиілік спектрдің ақылы шектелген ресурстың бақылаусыз қолданылуы мемлекеттік бюджетке міндетті төлемдердің түспеуіне әкелуі мүмкін;
      радиожиілік спектрді рұқсат ететін құжаттарсыз қолданылуы радиокедергілердің туындауына және оның заңды иелерімен пайдалану мүмкіндігінің болмауына әкелуі мүмкін;
      АЖІІ техникалық құралдарсыз телекоммуникация желілерінде жабдықтарды пайдалану ЖІӘ органдарымен қажетті іс-шараларды өткізілу мүмкіндігі болмауына әкелуі мүмкін.
      2) бақылау субъектісі -байланыс операторы (байланыс қызметiн көрсетуге лицензия алған жеке немесе заңды тұлға); байланыс саласындағы қызметтi жүзеге асыратын шаруашылық жүргiзушi субъектiлер (байланыс операторлары, арнаулы, ведомстволық және корпоративті телекоммуникация желiлерiнiң, ортақ пайдаланылатын телекоммуникация желiсiне қосылатын жеке коммутациялық жабдықтың иелерi, радиожиiлiк спектрiн пайдаланушылары болып табылатын радиоэлектрондық құралдар иелерi); өндіріс мақсаттарында радиожиілік спектрін қолданылатын мемлекеттік мекемелер.
      4. Тәуекелдік дәрежесіне бақылау субъектілерін жатқызу 2 кезеңде жүзеге асырылады:
      бірінші кезең – тәуекелдік дәрежесінің объективті критерийлер негізінде;
      екінші кезең – тәуекелдік дәрежесінің объективті критерийлер негізінде.
      5. Тәуекелдік дәрежесінің объективті критерийлері:
      1) тәуекелдік дәрежесінің жоғарғы тобына жатқызылды – мынадай байланыс қызметтерін беруге лицензиялар алған субъектілер: қалааралық, халықаралық, ұялы; сондай-ақ, жергілікті және байланыс қызметтерін беру үшін РЖС бар деректерін беру;
      2) тәуекелдік дәрежесінің орта тобына жатқызылды – мынадай байланыс қызметтерін беруге лицензиялар алған субъектілер: деректер беру, ІР-телефония, жергілікті сымды байланыс арқылы, бөлінген байланыс желісі бойынша телекоммуникациялар, жерсеріктік жылжымалы байланыс, мобилдік телекоммуникациялық байланыс, байланыс арналарын беру, пошталық байланыс;
      3) тәуекелдік дәрежесінің елеусіз тобына жатқызылды – өндірістік мақсаттарда радиожиілік спектрді қолданылатын шаруашылық етуші субъектілер, мемлекеттік мекемелер.
      6. Тәуекелдік дәрежесінің субъективті баға критерийлері бөлінеді:
      өрескел бұзушылыққа;
      едәуір бұзушылыққа;
      елеусіз бұзушылыққа.
      7. Өрескел бұзушылыққа жатады:
      1) тиісті лицензиясыз қосымша байланыс қызметтерін беру;
      2) рұқсат ететін құжаттарсыз нөмірлеу ресурсы мен радиожиілік спектрін қолдану не болмаса нөмірлеу қағидасын бұзу;
      3) телекоммуникациялық жабдықта арнайы жедел-іздестіру шаралар өткізудің техникалық құралдардың болмауы.
      8. Едәуір бұзушылықтарға жатады:
      1) сертификатталмаған жабдықтарды қолдану;
      2) пайдалануға рұқсатсыз радиоэлектрондық құралдар мен жоғары жиілікті құрылғыларды пайдалану;
      3) жалпы пайдаланылатын телекоммуникация желісіне қосылу тәртібін бұзу;
      4) Қазақстан Республикасының аумағына РЭҚ мен ЖЖҚ кіргізу  рұқсатыныңболмауы;
      5) радиожиілік спектрді қолдануға рұқсаттың жарамдылық мерзімдерін ұзартпау;
      6) РЭҚ тіркеуінің болмауы.
      9. Елеусіз бұзушылыққа радиоэлектрондық құрал мен жоғары жиілікті құрылғыны пайдалануға рұқсаттың жарамдылық мерзімдерін ұзартпауы жатады.
      10. Жоспарлы тексерістерді жүзеге асыру үшін байланыс саласындағы субъектілердің тәуекелдік дәреже топтары бойынша бөлу және дәрежесін анықтау.
      11. Байланыс саласындағы субъектілерді тәуекелдік дәрежесі бойынша бөлу алдыңғы (өткен жылғы) тексерістердің нәтижелері бойынша талдау негізінде жүзеге асырылатын болады.
      12. Тәуекелдік дәрежесінің елеусіз тобына кіретін реттеу субъектілері, тексеру кезеңі ішінде бір өрескел немесе екі едәуір бұзушылықтарды жасаған кезде орта тәуекелдік дәрежесіне ауысады, ал үш өрескел бұзушылық жасалған кезде – жоғары тәуекелдік дәрежесіне ауысады.
      13. Тәуекелдік дәрежесінің орта тобына кіретін реттеу субъектілері, тексеру кезеңі ішінде бір өрескел немесе екі едәуір бұзушылықтарды жасаған кезде жоғары тәуекелдік дәрежесіне ауысады.
      14. Соңғы жоспарлы тексеріспен бұзушылықтар айқындалмаған кезде, реттеу субъектілері тәуекелдік дәрежесінің елеусіз тобына ауысады.
      15. Тәуекелдіктің жоғары немесе орта тобы субъектілері байланыс саласындағы заңнама нормаларының талаптарын сақтауына байланысты бір топтан басқа топқа ауысатын болады және, олардың тексеріс кезеңдігі өзгеретін болады.
      16. Тәуекелдік дәрежесінің бірінің ішінде субъектілердің іріктелуі байланыс саласындағы уәкілеттік органмен келесі ретте жүзеге асырылады:
      1) аса көп тексерілмеген кезең (тексерілмеген кезеңді анықтаған кезде жоспардан тыс тақырыптық тексерістер есепке алынбайды);
      2) өткен жылдың анықталған бұзушылықтардың ауыртпалық дәрежесі;
      3) радиоэлектрондық құралдар мөлшерлерінің аса көп болуы.