Сноска. Утратил силу совместным приказом Министра связи и информации РК от 31.08.2011 № 263 и и.о. Министра экономического развития и торговли РК от 16.09.2011 № 305 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Примечание РЦПИ!
Порядок введения в действие совместного приказа см. п. 4.
В целях реализации пункта 2 статьи 38 Закона Республики Казахстан "О частном предпринимательстве" ПРИКАЗЫВАЕМ:
1. Утвердить:
1) Критерии оценки степени риска в области информатизации согласно приложению 1 к настоящему приказу;
2) Критерии оценки степени риска в области связи согласно приложению 2 к настоящему приказу.
2. Департаментам связи, информационных технологий Агентства Республики Казахстан по информатизации и связи (Баймуратов А.Е., Елеусизова К.Б.) в установленном законодательном порядке:
1) обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) после государственной регистрации настоящего приказа обеспечить его официальное опубликование и размещение на интернет-ресурсе Агентства Республики Казахстан по информатизации и связи.
3. Контроль за исполнением настоящего приказа возложить на ответственного секретаря Агентства Республики Казахстан по информатизации и связи Маханбетажиева Б.А.
4. Настоящий приказ вступает в силу со дня государственной регистрации и вводится в действие со дня его первого официального опубликования.
Председатель Агентства Министр экономики и бюджетного
Республики Казахстан по планирования Республики Казахстан
информатизации и связи
_______________ К. Есекеев _______________ Б. Султанов
Приложение № 1
к совместному приказу
Председателя Агентства
Республики Казахстан
по информатизации и связи
от 17 февраля 2010 года № 65
и Министра экономики и
бюджетного планирования
Республики Казахстан
от 19 февраля 2010 года № 88
Критерии
оценки степени риска в области информатизации
1. Настоящие Критерии оценки степени риска в сфере информатизации (далее - Критерии) разработаны в соответствии с Законами Республики Казахстан "О частном предпринимательстве", "Об информатизации", "Об электронном документе и электронной цифровой подписи".
2. Настоящие Критерии определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов информатизации к различным степеням риска.
3. В настоящих Критериях используются следующие понятия:
1) риск - вероятность причинения вреда в результате деятельности субъектов информатизации законным интересам личности, общества, государства, с учетом степени тяжести его последствий, а именно:
при использовании электронных информационных ресурсов и информационных технологий;
финансовый ущерб государству либо физическому лицу за счет использования контрольно-кассовых машин, являющихся компьютерной системой, неразрешенных к использованию на территории Республики Казахстан;
2) субъекты информатизации (Субъекты)- центральные и местные исполнительные органы, удостоверяющие центры, владельцы государственных информационных ресурсов и информационных систем, поставщики информации, кредитных бюро и получателей кредитных историй, владельцы контрольно-кассовых машин, являющихся компьютерной системой, владельцы негосударственных информационных систем, интегрируемых с государственными информационными системами.
4. Первично Субъекты относятся к высокой степени риска.
5. После проверки Субъекты распределяются по степени риска в соответствии с Качественными показателями оценки степени риска (далее - Качественные показатели) и при их наличии присваивается соответствующий балл, согласно приложению к настоящим Критериям.
6. В случае, если действие или бездействие Субъекта подпадает под действие нескольких Качественных показателей, то баллы суммируются.
7. Баллы по Качественным показателям суммируются для определения общего суммарного итога.
8. Результаты суммарного итога используются для дифференциации Субъектов по степеням риска.
9. Дифференциация Субъектов по степеням риска осуществляется следующим образом:
к группе высокого риска относятся Субъекты, набравшие от 20 и более баллов;
к группе среднего риска - от 11 до 20 баллов;
к группе незначительного риска - от 0 до 10 баллов.
10. Отбор Субъектов внутри одной группы риска осуществляется уполномоченным органом в сфере информатизации следующим образом:
1) наибольший непроверенный период (при определении непроверенного периода не учитываются внеплановые тематические проверки);
2) наибольшая сумма баллов;
3) количество информационных ресурсов и информационных систем.
Приложение к Критериям
оценки степени риска
в сфере информатизации
Качественные показатели оценки степени риска
№ |
Нарушения требований, установленных Законами |
Условия |
Бал- |
показатели в сфере обеспечения информационной безопасности |
|||
1 |
Несанкционированный доступ к конфиденциальной и |
да |
20 |
нет |
0 |
||
2 |
Нелегитимное использование |
да |
20 |
нет |
0 |
||
3 |
Компрометация закрытого ключа удостоверяющего |
да |
20 |
нет |
0 |
||
4 |
Наличие уязвимостей по информационной безопас- |
да |
20 |
нет |
0 |
||
5 |
Нарушение требований по интеграции государствен- |
да |
20 |
нет |
0 |
||
6 |
Не соответствие квалификационным требованиям, |
да |
20 |
нет |
0 |
||
7 |
Нарушение порядка эксплуатации электронных |
да |
10 |
нет |
0 |
||
8 |
Отсутствие организационной и нормативно- |
да |
10 |
нет |
0 |
||
9 |
Использование несертифицированных технических |
да |
10 |
нет |
0 |
||
10 |
Несвоевременное внесение изменений и дополнений |
да |
10 |
нет |
0 |
||
11 |
Не укомплектованность техникой и программным |
да |
10 |
нет |
0 |
||
12 |
Наличие вирусов и вредоносных программ |
да |
5 |
нет |
0 |
||
13 |
Сбои и отказы в работе корпоративной сети |
да |
5 |
нет |
0 |
||
показатели в сфере эксплуатации программных продуктов |
|||
14 |
Несоблюдение требований по обязательной |
да |
20 |
нет |
0 |
||
15 |
Нарушение требований по включению разработанных |
да |
20 |
нет |
0 |
||
16 |
Потеря информации при передаче данных из-за |
да |
20 |
нет |
0 |
||
17 |
Закладки и недекларированные возможности |
да |
20 |
нет |
0 |
||
18 |
Не внесение изменений и дополнений |
да |
10 |
нет |
0 |
||
19 |
Несоответствие нормативно-технической докумен- |
да |
10 |
нет |
0 |
||
20 |
Функциональное несоответствие программного |
да |
10 |
нет |
0 |
||
21 |
Соответствие качества программного обеспечения |
да |
0 |
нет |
10 |
||
22 |
Утрата нормативно-технической документации на |
да |
5 |
нет |
0 |
||
23 |
Отсутствие персонала и нормативно-технической |
да |
5 |
нет |
0 |
||
24 |
Утрата установочных пакетов программных |
да |
5 |
нет |
0 |
||
показатели владельцев контрольно-кассовых машин являющихся |
|||
25 |
Отсутствие сертифицированных средств криптогра- |
да |
20 |
нет |
0 |
||
26 |
Несоблюдение требований к серверному помещению и |
да |
20 |
нет |
0 |
||
27 |
Отсутствие системы защиты от несанкционирован- |
да |
20 |
нет |
0 |
||
28 |
Использование не сертифицированных на соответст- |
да |
20 |
нет |
0 |
||
29 |
Отсутствие системы защиты объекта от утечки |
да |
20 |
нет |
0 |
||
30 |
Несоблюдение требований к рабочему месту |
да |
10 |
нет |
0 |
||
31 |
Отсутствие модуля «рабочее место налогового |
да |
10 |
нет |
0 |
||
32 |
Отсутствие средств идентификации и аутентифи- |
да |
10 |
нет |
0 |
||
33 |
Отсутствие средств проверки целостности системы |
да |
10 |
нет |
0 |
||
34 |
Отсутствие лицензий на программное и аппаратное |
да |
10 |
нет |
0 |
||
35 |
Отсутствие системы резервного копирования и |
да |
10 |
нет |
0 |
||
36 |
Непринятие мер по разграничению доступа к |
да |
5 |
нет |
0 |
||
37 |
Отсутствие паспорта рабочего места |
да |
5 |
нет |
0 |
||
38 |
Отсутствие технической документации, регламенти- |
да |
5 |
нет |
0 |
||
39 |
Отсутствие инструкции по обеспечению информа- |
да |
5 |
нет |
0 |
Приложение № 2
к совместному приказу
Председателя Агентства
Республики Казахстан
по информатизации и связи
от 17 февраля 2010 года № 65
и Министра экономики и
бюджетного планирования
Республики Казахстан
от 19 февраля 2010 года № 88
Критерии оценки степени риска в области связи
1. Настоящие Критерии оценки степени риска в области связи (далее - Критерии) разработаны в соответствии с Законами Республики Казахстан "О частном предпринимательстве", "О связи".
2. Настоящие Критерии определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов в области связи к различным степеням риска.
3. В настоящих Критериях используются следующие понятия:
1) риск - вероятность причинения вреда в результате деятельности Субъектов в области связи законным интересам физических и юридических лиц и государства, общества с учетом степени тяжести его последствий, а именно:
бесконтрольное использование платного ограниченного ресурса радиочастотного спектра, которое может привести к недопоступлению обязательных платежей в государственный бюджет;
использование радиочастотного спектра без разрешительных документов, которое может привести к возникновению радиопомех и невозможности использования его законными владельцами;
эксплуатация оборудования на сетях телекоммуникаций без технических средств проведения специальных оперативно-розыскных мероприятий, которая может привести к невозможности проведения органами оперативно-розыскной деятельности необходимых мероприятий;
2) субъект контроля - оператор связи (физическое или юридическое лицо, получившее лицензию на предоставление услуг связи); хозяйствующие субъекты, осуществляющие деятельность в области связи (операторы связи, владельцы специальных, ведомственных и корпоративных сетей телекоммуникаций, отдельного коммутационного оборудования, подключаемого к сети телекоммуникаций общего пользования, владельцы радиоэлектронных средств, являющиеся пользователями радиочастотным спектром); государственные учреждения, использующие радиочастотный спектр в производственных целях.
4. Отнесение субъектов контроля к степени рисков осуществляется в два этапа:
первый этап - на основании объективных критериев степени риска;
второй этап - на основании субъективных критериев степени риска.
5. Объективные критерии степени риска:
1) к высокой степени группы риска отнесены - субъекты, получившие лицензии на предоставление следующих услуг связи: междугородная, международная, сотовая; а также местная и передача данных имеющих радиочастотный спектр для предоставления услуг связи;
2) к средней степени группы риска отнесены - субъекты, получившие лицензии на предоставление следующих услуг связи: передача данных, IP-телефония, местная посредством проводной связи, телекоммуникации по выделенной сети связи, спутниковая подвижная связь, мобильная телекоммуникационная связь, предоставление каналов связи, почтовая связь;
3) к незначительной степени группы риска отнесены - государственные учреждения, хозяйствующие субъекты, использующие радиочастотный спектр в производственных целях.
6. Субъективные критерии оценки степени риска подразделяются на:
грубые нарушения;
значительные нарушения;
незначительные нарушения.
7. К грубым нарушениям относятся:
1) предоставление дополнительных услуг связи без соответствующей лицензии;
2) использование радиочастотного спектра и ресурса нумерации без разрешительных документов либо нарушение принципа нумерации;
3) отсутствие технических средств проведения специальных оперативно-розыскных мероприятий на телекоммуникационном оборудовании.
8. К значительным нарушениям относятся:
1) использование не сертифицированного оборудования;
2) эксплуатация радиоэлектронных средств и высокочастотных устройств без разрешения на эксплуатацию;
3) нарушения порядка присоединения к сети телекоммуникаций общего пользования;
4) отсутствие разрешения на ввоз радиоэлектронных средств и высокочастотных устройств на территорию Республики Казахстан;
5) непродление сроков действия разрешения на использование радиочастотного спектра;
6) отсутствие регистрации радиоэлектронных средств.
9. К незначительным нарушениям относится непродление сроков действия разрешения на эксплуатацию на радиоэлектронное средство и высокочастотное устройство.
10. Определение степени риска и распределение по группам степени риска субъектов в области связи для осуществления плановых проверок будет осуществляться ежегодно.
11. Распределение субъектов в области связи по степени риска будет осуществляться на основе анализа по результатам предыдущих проверок (за предшествующий год).
12. Субъекты регулирования, входящие в незначительную степень риска, при совершении в течение проверяемого периода до двух грубых или более двух значительных нарушений переводятся в среднюю степень риска, а при совершении трех грубых нарушений - в высокую степень риска.
13. Субъекты регулирования, входящие в среднюю степень риска, при совершении в течение проверяемого периода одного и более грубых или двух и более значительных нарушений переводятся в высокую степень риска.
14. При невыявлении последней плановой проверкой нарушений, субъекты регулирования переводятся в группу незначительной степени риска.
15. Субъекты высокой или средней группы риска в зависимости от соблюдения требований норм законодательства в области связи будет переводиться из одной группы в другую и, соответственно, будет меняться периодичность их проверки.
16. Отбор субъектов внутри одной степени риска осуществляется уполномоченным органом в области связи следующим образом:
1) наибольший непроверенный период (при определении непроверенного периода не берутся в расчет внеплановые тематические проверки);
2) степень тяжести выявленных нарушений за прошедший период;
3) наличие наибольшего количества радиоэлектронных средств.