Об утверждении критериев оценки степени риска для субъектов, не относящихся к сфере частного предпринимательства в сфере информатизации

Приказ Министра транспорта и коммуникаций Республики Казахстан от 17 сентября 2012 года № 608. Зарегистрирован в Министерстве юстиции Республики Казахстан 15 октября 2012 года № 8014. Утратил силу приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 27 июля 2015 года № 805

Утратил силу

      Сноска. Утратил силу приказом и.о. Министра по инвестициям и развитию РК от 27.07.2015 № 805.

      В соответствии с подпунктом 18) статьи 6 Закона Республики Казахстан от 11 января 2007 «Об информатизации», пунктом 3 статьи 13 Закона Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан», ПРИКАЗЫВАЮ:
      1. Утвердить прилагаемые критерии оценки степени риска для субъектов, не относящихся к сфере частного предпринимательства в сфере информатизации.
      2. Комитету связи и информатизации Министерства транспорта и коммуникаций Республики Казахстан (Нуршабеков P.P.) в установленном законодательством порядке обеспечить:
      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
      2) после государственной регистрации настоящего приказа его официальное опубликование в средствах массовой информации и размещение на официальном интернет-ресурсе Министерства транспорта и коммуникаций Республики Казахстан.
      3. Контроль за исполнением настоящего приказа возложить на вице-министра транспорта и коммуникаций Республики Казахстан Сарсенова С. С.
      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после первого официального опубликования.

      Министр                                          А. Жумагалиев

Утверждены       
приказом Министра   
транспорта и коммуникаций
Республики Казахстан  
от 17 сентября 2012 года 608

Критерии оценки степени риска для субъектов,
не относящихся к сфере частного предпринимательства
в сфере информатизации

      1. Настоящие Критерии оценки степени риска для субъектов, не относящихся к сфере частного предпринимательства в сфере информатизации (далее - Критерии) разработаны в соответствии с Законами Республики Казахстан от 7 января 2003 года «Об электронном документе и электронной цифровой подписи», от 11 января 2007 года «Об информатизации» и от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан».
      2. Настоящие Критерии определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов информатизации к различным степеням риска.
      3. В настоящих Критериях используются следующие понятия:
      1) риск - вероятность причинения вреда в результате деятельности проверочных субъектов информатизации законным интересам личности, общества, государства, с учетом степени тяжести его последствий, а именно:
      при использовании электронных информационных ресурсов и информационных технологий;
      финансовый ущерб государству либо физическому лицу за счет использования информационных систем и информационных ресурсов, разрешенных к использованию на территории Республики Казахстан;
      2) проверяемые субъекты информатизации (далее - проверяемые субъекты) - владельцы и собственники государственных информационных ресурсов и информационных систем;
      3) субъективные критерии - определяются в зависимости от допущенных проверяемыми субъектами нарушений установленных требований.
      4. Первично проверяемые субъекты относятся к средней степени риска.
      5. Последующее отнесение проверяемых субъектов к группам риска осуществляется с учетом субъективных критериев, к которым относятся грубые, значительные и незначительные нарушения.
      6. К грубым нарушениям относятся:
      1) отсутствие нормативно-технической документации на программные продукты, информационные системы, информационные ресурсы и базы данных;
      2) несоответствие информационных систем, программных продуктов, баз данных требованиям нормативно-технической документации;
      3) отсутствие аттестата информационных систем, информационных ресурсов и баз данных на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам;
      4) отсутствие системы резервного копирования и архивирования данных;
      5) отсутствие специального (технического) помещения для серверов;
      6) несоблюдение требований по интеграции государственных информационных систем с негосударственными информационными системами;
      7) наличие уязвимостей в электронных информационных ресурсах и информационных системах;
      8) отсутствие лицензионного программного обеспечения на серверах и рабочих станциях;
      9) отсутствие на официальном интернет-ресурсе (далее - интернет-ресурс) государственных символов Республики Казахстан (Государственный Флаг, Государственный Герб, Государственный Гимн);
      10) отсутствие информации на интернет-ресурсе о реализации Посланий Главы государства Республики Казахстан (Послание Главы государства Республики Казахстан, План мероприятий по исполнению Плана действий Правительства Республики по реализации ежегодного Послания Главы государства народу Казахстана);
      11) отсутствие на интернет-ресурсе персонального блога (Персональный блог (веб-дневник) руководителей государственных органов);
      12) отсутствие информации об имидже государственной службы: ежегодные Послания Главы государства;
      планы мероприятий по реализации ежегодных посланий Главы государства;
      результаты реализации Плана мероприятий по реализации ежегодного послания Главы государства (в пределах компетенции);
      персональный блог (веб-дневник) руководителей местных исполнительных органов;
      раздел «Имидж государственной службы» (Информация о формировании и укреплении позитивного имиджа государственной службы, о кодексе чести государственных служащих Республики Казахстан, о правилах служебной этики государственных служащих);
      информация о принимаемых мерах по противодействию коррупции;
      13) отсутствие на интернет-ресурсе информации о проведении конкурсов и тендеров:
      сведения об открытых конкурсах, аукционах, тендерах, экспертизах и других мероприятиях и условия их проведения;
      порядок участия в них юридических и физических лиц;
      14) отсутствие на интернет-ресурсе информации о:
      порядке приема граждан и рассмотрения их обращений государственным органом;
      фамилии, имени и отчества (далее - Ф.И.О.) руководителя подразделения или иного должностного лица, в компетенцию которого входит организация приема граждан и обеспечение рассмотрения обращений граждан и организаций;
      наименовании структурных подразделений, фамилии, имена и отчества должностных лиц, предоставляющих информацию о деятельности органа в устной форме;
      контактных телефонах, посредством которых гражданам предоставляется возможность получить информацию по вопросам приема граждан и рассмотрения их обращений, адрес, по которому ведется прием граждан, время приема, а также порядок записи на прием;
      обзорах обращений граждан и организаций в государственный орган, обобщенная информация о результатах рассмотрения таких обращений и о принятых мерах;
      15) отсутствие информации на государственном языке в полном объеме;
      16) отсутствие депонирования нормативно-технической документации, информационных систем, программных продуктов, программных кодов;
      17) отсутствие сертификатов соответствия на программные продукты и технические средства о соответствии требованиям информационной безопасности;
      18) отсутствие регистрации в государственном регистре электронных информационных ресурсов и информационных систем;
      19) отсутствие доступности информации для людей с ограниченными возможностями:
      наличия альтернативного текста для нетекстового и медиа веб-контента, несущего смысловую нагрузку;
      наличия механизма остановки, паузы, или выключения звука для веб-контента, проигрывающегося автоматически более трех секунд;
      наличия механизма по остановке автоматически движущегося, мигающего, прокручивающегося веб-контента, содержащего вспышки более чем три раза в секунду;
      наличия возможности управления всей функциональностью веб-контента с помощью клавиатуры с одновременным выделением активного компонента интерфейса;
      наличия навигационных цепочек, содержащих путь следования по разделам от главной страницы интернет-ресурса до текущей открытой страницы;
      наличия на каждой веб-странице ссылки перехода к основному содержанию веб-страницы; при размещении на веб-странице интернет-ресурса большого объема текстовой информации наличие ссылки «Наверх», позволяющая пользователю вернуться к началу веб-страницы;
      наличия текстового сообщения об ошибке, выявленной при вводе информации пользователем (при заполнении форм);
      соблюдения уровня контрастности текста по отношению к фону не менее 4,5:1;
      возможности изменения размера шрифта до 200 % без потери веб-контента или функциональности интернет-ресурса (исключая титры и изображения текста), не прибегая к горизонтальной прокрутке;
      наличия расширенной карты сайта;
      наличия поискового механизма.
      7. К значительным нарушениям относятся:
      1) отсутствие паспортов на сервера, персональные компьютеры и системы защиты информации;
      2) отсутствие квалифицированных специалистов по администрированию серверов, телекоммуникационного оборудования и систем защиты информации;
      3) отсутствие интерфейса информационных систем на государственном языке;
      4) отсутствие на интернет-ресурсе информации о:
      5) порядке осуществления государственным органом разрешительных действий (лицензирование, аккредитация, регистрация и другие);
      формах документов, принимаемых органом к рассмотрению в соответствии с нормативными правовыми актами Республики Казахстан;
      5) отсутствие на интернет-ресурсе информации о кадровом обеспечении государственного органа:
      порядок поступления граждан на государственную и службу (описание процедур, нормативная правовая база);
      сведения о вакантных должностях государственной службы;
      квалификационные требования к кандидатам на замещение вакантных должностей государственной службы;
      номера телефонов, адреса электронной почты и Ф.И.О. лиц, уполномоченных консультировать по вопросам замещения вакантных должностей;
      6) отсутствие информации на интернет-ресурсе о нормотворческой деятельности государственного органа:
      нормативные правовые акты, принятые государственным органом; тексты проектов нормативных правовых актов;
      7) отсутствие информации на интернет-ресурсе о деятельности государственного органа по борьбе с коррупцией (с соблюдением требований режима секретности), мероприятия по взаимодействию государственного органа с гражданским обществом по борьбе с коррупцией (совместные семинары, опросы граждан, разработка специальных пособий и т.д.);
      8) отсутствие информации на интернет-ресурсе о бюджетных средствах, выделенных на социально значимые проекты (школы, больницы, детские сады и т.д.), и их освоение;
      9) несоответствие нормативно-технической документации требованиям стандартов - СТ РК 34.015-2002 «Техническое задание на создание автоматизированной системы»; СТ РК 34.010-2002 «Информационная технология. Сертификация программных средств. Порядок проведения экспертизы программной документации», СТ РК 34.012-2002 «Информационная технология. Сертификация программных средств. Типовая методика оценки качества программной документации», ГОСТ 2.105-95 «Общие требования к текстовым документам»;
      10) отсутствие исходных кодов, загрузочных файлов (оригиналов и копий);
      11) несоответствие процесса создание информационных систем, информационных ресурсов, баз данных требованиям СТ РК 34.019 - 2005 «Информационная технология. Процессы жизненного цикла программных средств», ГОСТ 34.601-90 «Автоматизированные системы. Стадии создания»;
      12) отсутствие ежегодной актуализации сведений о базах данных, программных продуктах, сетей передачи данных и Интернет-ресурсах, зарегистрированных в Государственном регистре;
      13) несвоевременное снятие с учета из Государственного регистра информационных ресурсов и информационных систем, снятых с эксплуатации по тем или иным причинам или переданных в другое ведомство;
      14) отсутствие ежегодной актуализации сведений о программных продуктах находящиеся в депозитарии программных кодов, и нормативно-технической документации;
      15) несвоевременное снятие с учета из Депозитария нормативно-технической документации, программных кодов и программных продуктов по информационным системами и информационным ресурсам, снятых с эксплуатации по тем или иным причинам или переданных в другое ведомство;
      16) отсутствие документов регламентирующих обеспечение информационной безопасности;
      17) отсутствие информации о текущей деятельности государственного органа:
      планы и показатели деятельности государственного органа (Программа развития территории);
      отчеты об исполнении Программы развития территории;
      государственные программы (отраслевые программы);
      отчеты об исполнении государственных программ, отраслевых программ (в пределах компетенции);
      итоги социально-экономического развития региона по отраслям (статистические данные и показатели, характеризующие состояние и динамику развития региона по отраслям);
      отчеты Акима о деятельности местных исполнительных органов;
      18) отсутствие на интернет-ресурсе информации об оказании государственных услуг, в том числе в электронном формате:
      информации о государственных услугах (перечень государственных услуг для бизнеса; перечень государственных услуг для граждан; перечень государственных услуг, оказываемых через центры обслуживания населения (при наличии);
      наличия стандартов и регламентов оказания государственных услуг;
      наличия интерактивных электронных услуг, осуществляемых посредством интеграции с «электронным правительством» Республики Казахстан, с размещением инструкции для пользователей электронных государственных услуг;
      19) отсутствие на интернет-ресурсе информации о работе с населением:
      порядок приема граждан и рассмотрения их обращений в государственный орган (нормативная правовая база);
      график приема граждан;
      контактные телефоны, посредством которых гражданам предоставляется возможность получить устную информацию от уполномоченных лиц по вопросам приема граждан и рассмотрения их обращений;
      обзор обращений граждан и организаций и результаты их рассмотрения;
      наличия функции обратной связи («Вопрос-ответ», онлайн консультации, архив вопросов и ответов, интерактивные опросы).
      8. К незначительным нарушениям относится:
      1) отсутствие на интернет-ресурсе общей информации о государственном органе:
      почтовый адрес;
      адрес электронной почты;
      телефоны справочных служб;
      положение госоргана (Описание полномочий);
      перечень законов, нормативных правовых актов, определяющих полномочия, задачи и функции государственного органа;
      структура местных исполнительных органов с указанием Ф.И.О. руководителей, номеров телефонов и адресов электронной почты;
      перечень подведомственных и территориальных подразделений с указанием Ф.И.О. руководителей, номеров телефонов и адресов электронной почты;
      2) отсутствие информации о нормотворческой деятельности: нормативные правовые акты, изданные государственным органом;
      тексты проектов нормативных правовых актов;
      3) отсутствие информации о государственной поддержке предпринимательской деятельности:
      справочные материалы по вопросам организации и развития собственного дела, кредитования, субсидирования, налогообложения, с указанием адресов и контактных телефонов компетентных государственных органов;
      защита предпринимательства;
      информация о субсидировании предприятий агропромышленного комплекса; кредитовании бизнеса и сельского населения; лизинг сельскохозяйственной техники и оборудования, с указанием контактных данных уполномоченных государственных органов;
      информация о порядке закупа, производства, переработки и реализации сельскохозяйственной продукции с указанием контактных данных специализированных организаций;
      порядок осуществления государственным органом разрешительных действий (лицензирование, аккредитация, регистрация и другие) с размещением форм заявительных документов, принимаемых органом к рассмотрению в соответствии с законами и иными нормативными правовыми актами;
      4) отсутствие информационной поддержки:
      актуальная лента новостей (с созданием архива новостей);
      перечни информационных систем общего пользования, банков данных, реестров, регистров;
      перечень информационных ресурсов структурных подразделений, подведомственных организаций;
      полезные ссылки (правительственные интернет-ресурсы, веб-портал «электронного правительства, база данных законодательства и пр.);
      наличие RSS-канала для передачи анонсов и новостей;
      5) отсутствие справочной информации о регионе:
      общие сведения: карта региона, история, географическое положение, природно-климатические условия, экологическое состояние, чрезвычайные ситуации, природные ресурсы, специализация экономики региона;
      промышленность, с указанием перечня и контактных данных промышленных предприятий региона;
      сельское хозяйство и ветеринария, с указанием перечня и контактных данных специализированных предприятий региона;
      инфраструктура (транспорт, связь, жилищное строительство и жилищно-коммунальное хозяйство);
      здравоохранение (сеть учреждений, медицинское обслуживание, санитарно-эпидемиологический надзор);
      образование (сеть учреждений, льготы для сельского населения);
      малый и средний бизнес;
      культура, религия, спорт и туризм;
      миграция населения, с указанием мер государственной поддержки и контактной информации уполномоченных органов; инвестиционные возможности региона.
      9. Определение степени риска и распределение по группам степени риска проверяемых субъектов для осуществления плановых проверок осуществляется ежегодно.
      10. Последующее отнесение проверяемых субъектов по группам риска осуществляется на основе анализа результатов предыдущих проверок (за предшествующий год).
      11. Проверяемые субъекты, входящие в незначительную группу риска, при совершении в течение проверяемого периода двух и более грубых нарушений или более двух значительных нарушений или более трех незначительных нарушений переводятся в среднюю группу риска.
      12. Проверяемые субъекты, входящие в среднюю группу риска, при совершении в течение проверяемого периода одного и более грубых или двух и более значительных нарушений или более двух незначительных нарушений переводятся в высокую степень риска.
      13. При не выявлении последней плановой проверкой нарушений, проверяемые субъекты переводятся в группу меньшей степени риска.
      14. Основаниями для приоритетного планирования проверок проверяемых субъектов одной группы риска являются:
      1) наибольший непроверенный период (при определении непроверенного периода не берутся в расчет внеплановые проверки);
      2) наибольшее количество выявленных грубых и значительных нарушений за прошедший период;
      3) наличие наибольшего количества информационных систем и электронных информационных ресурсов.