В соответствии с подпунктом 2) пункта 1 статьи 11 и пунктом 3 статьи 13 Закона Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» ПРИКАЗЫВАЕМ:
1. Утвердить:
1) Критерии оценки степени рисков в области информатизации согласно приложению 1 к настоящему совместному приказу;
2) Критерии оценки степени рисков в области связи согласно приложению 2 к настоящему совместному приказу;
3) Критерии оценки степени рисков за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи согласно приложению 3 к настоящему совместному приказу.
2. Признать утратившим силу совместный приказ Министра связи и информации Республики Казахстан от 31 августа 2011 года № 263 и Министра экономического развития и торговли Республики Казахстан от 16 сентября 2011 года № 305 «Об утверждении критериев оценки степени риска в сфере частного предпринимательства в области информатизации, связи, за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи» (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 7262, опубликованный в газете «Казахстанская правда» 12 ноября 2011 года № 361-362 (26752-26753).
3. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Казангап Т.Б) обеспечить:
1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан направление его копии на официальное опубликование в периодических печатных изданиях и информационно-правовой системе «Әділет»;
3) размещение настоящего совместного приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;
4) в течение десяти рабочих дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 3 настоящего совместного приказа.
4. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.
5. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Министр по инвестициям и ______________А. Исекешев |
Исполняющий обязанности ______________ М. Кусаинов |
«СОГЛАСОВАН»
Председатель Комитета по
правовой статистике и
специальным учетам
Генеральной прокуратуры
Республики Казахстан
__________ С. Айтпаева
13 июля 2015 год
Приложение 1
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494
Критерии оценки степени риска в области информатизации
1. Общие положения
1. Настоящие Критерии оценки степени риска в области информатизации (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
2. В настоящих Критериях используются следующие понятия:
1) проверяемые субъекты в области информатизации (далее – проверяемые субъекты) – владельцы электронных информационных ресурсов, информационных систем;
2) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
3) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
4) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
5) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок.
3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.
2. Объективные критерии
4. Определение риска в области информатизации осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием контрольно-кассовых машин и информационных систем, интегрируемых с государственными информационными системами, которое может привести к утечке информации государственных органов путем несанкционированного доступа к информационным системам, а также к отсутствию фискализации поступающих платежей на контрольно-кассовые машины являющиеся компьютерной системой.
5. В области информатизации к высокой степени риска относятся проверяемые субъекты аттестованные на соответствие требованиям информационной безопасности негосударственные информационные системы, интегрируемые с государственными информационными системами.
6. К проверяемым субъектам, не отнесенным, к высокой степени риска относятся проверяемые субъекты, получившие заключения для включения в государственный реестр контрольно-кассовых машин контрольно-кассовые машины, являющиеся компьютерной системой.
7. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.
3. Субъективные критерии
8. Определение субъективных критериев осуществляется с применением следующих этапов:
1) формирование базы данных и сбор информации;
2) анализ информации и оценка рисков.
9. Формирование базы данных и сбор информации необходимы для выявления проверяемых субъектов, нарушающих законодательство Республики Казахстан в области информатизации.
Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении проверяемого субъекта с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
Для оценки степени рисков по субъективным критериям используются следующие источники информации:
1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) проверяемых субъектов. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства Республики Казахстан в области информатизации, отраженных в проверочных листах;
2) наличие и количество подтвержденных жалоб и обращений на проверяемых субъектов, поступивших от физических или юридических лиц, государственных органов.
10. Оценка степени риска проверяемых субъектов и отнесение их к высокой или проверяемых субъектов, не отнесенных к высокой степени риска по субъективным критериям осуществляется по следующим показателям:
1) по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии определяются согласно приложению 1 к настоящим Критериям;
2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии определяются согласно приложению 2 к настоящим Критериям.
11. Определение степени риска по каждому информационному источнику определяется следующим образом.
Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:
Рз = (Р2 х 100/Р1) х 0,7
где:
Рз – показатель нарушений значительной степени;
Р1 – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований значительной степени.
При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:
Рн = (Р2 х 100/Р1) х 0,3
где:
Рн – показатель нарушений незначительной степени;
Р1 – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований незначительной степени.
Общий показатель степени риска (Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:
Р = Рз + Рн
где:
Р - общий показатель степени риска;
Рз - показатель нарушений значительной степени;
Рн - показатель нарушений незначительной степени.
По показателям степени риска проверяемый субъект (объект) относится:
1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.
4. Заключительные положения
12. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.
13. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.
14. Списки выборочных проверок составляются с учетом:
1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;
2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.
Приложение 1
к Критериям оценки степени
риска в области информатизации
Субъективные критерии по информационному источнику
«результаты анализа предыдущих проверок
(выборочных, внеплановых и иных форм контроля)»
№ |
Критерии |
Степень нарушения |
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований) |
||
1. |
отсутствие изменений условий функциональности, аппаратно-программного комплекса и информационных технологии, информационных систем |
грубая |
2. |
соответствие общей структуры требованиям политики безопасности и размещения компонентов в структуре |
незначительная |
3. |
соответствие конфигурации компонентов, являющихся составляющими информационных систем |
незначительная |
4. |
наличие утвержденной функциональной схемы (план) взаимодействия компонентов информационных систем, а также интегрируемых компонентов информационных систем (физическая и логическая структура информационных систем, пояснительная записка к функциональной схеме) |
значительная |
5. |
наличие организационных мер информационной безопасности эксплуатируемой информационной системы |
значительная |
6. |
наличие Правил паспортизации средств вычислительной техники и использования информационных ресурсов |
незначительная |
7. |
наличие Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях. |
незначительная |
8. |
наличие Инструкции пользователя по эксплуатации компьютерного оборудования и программного обеспечения |
незначительная |
9. |
наличие Инструкции по организации антивирусной защиты. |
значительная |
10. |
наличие Инструкции о резервном копировании информации. |
значительная |
11. |
наличие Инструкции по закреплению функций и полномочий администратора сервера. |
значительная |
12. |
наличие Правил доступа пользователей и администраторов в серверные помещения. |
значительная |
13. |
наличие Правил регистрации пользователей в корпоративной информационной сети. |
значительная |
14. |
наличие Памятки для работы системных администраторов. |
значительная |
15. |
наличие Памятки пользователю средств вычислительной техники. |
значительная |
16. |
наличие Инструкции по использованию электронной почты и служб Интернет на рабочих станциях. |
значительная |
17. |
наличие лицензий на используемое программное обеспечение и сертификатов соответствия на компьютерное, телекоммуникационное оборудование, терминалы оплаты услуг, торговые автоматы, пос-терминалы и иное оборудование, применяемое в информационном процессе фискального режима компьютерной системы. |
грубая |
18. |
наличие сертификатов соответствия требованиям информационной безопасности технических и программных средств фискального режима, фискальной памяти, входящих в состав компьютерной системы и участвующих в информационном процессе (СТ РК ГОСТ Р ИСО/МЭК 15408-2006 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»). |
грубая |
19. |
соответствие системы безопасности компьютерной системы требованиям к серверному помещению и помещению ограниченного доступа |
незначительная |
20. |
наличие лицензионного или свободно распространяемого антивирусного программного обеспечения с актуальной базой сигнатур на персональных компьютерах пользователей компьютерной системы |
незначительная |
21. |
наличие защищенного канала передачи данных между территориально разделенными подразделениями организации с шифрованием трафика с помощью аппаратных граничных маршрутизаторов. |
незначительная |
22. |
наличие системы обнаружения (предотвращения) атак из сети Интернет посредством межсетевого экрана |
значительная |
23. |
наличие систем идентификации и аутентификации пользователя |
значительная |
24. |
наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт основного и резервного серверного оборудования компьютерной системы, используемых в фискальном режиме |
значительная |
25. |
наличие системы резервного копирования компьютерной системы |
значительная |
26. |
наличие службы информационной безопасности |
значительная |
27. |
наличие ответственных лиц по компьютерной системе |
незначительная |
28. |
наличие политики информационной безопасности (нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного доступа) |
грубая |
29. |
наличие политики формирования и использования паролей |
грубая |
30. |
наличие политики резервного копирования (архивирования) |
грубая |
31. |
наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов |
значительная |
32. |
наличие сертификата средств криптографической защиты информации согласно СТ РК 1073-2007 «Средства криптографический защиты информации. Общие технические требования» и в зависимости от криптографической стойкости, должны соответствовать уровням безопасности согласно СТ РК 1073-2007 |
грубая |
33. |
отсутствие уязвимостей, выявленных при инструментальном обследовании |
значительная |
34. |
наличие фиксирования всех операций компьютерной системы без возможности их дальнейшей корректировки, связанных с торговыми операциями, оказанием услуг посредством наличных денег, а также при формировании фискальных отчетов. Выходные формы фискальных отчетов компьютерной системы заверяются электронной цифровой подписью объекта проверки |
значительная |
35. |
корректная работа функционирующей компьютерной системы, в части функции формирования и проверки электронной цифровой подписи |
значительная |
36. |
наличие акта о соответствии компьютерной системы техническим требованиям для включения в Государственный реестр контрольно-кассовых машин |
значительная |
Приложение 2
к Критериям оценки степени
риска в области информатизации
Субъективные критерии по информационному источнику «наличие
и количество подтвержденных жалоб и обращений на проверяемые
субъекты, поступивших от физических или юридических лиц,
государственных органов»
№ |
Критерии |
Степень нарушения |
1. |
наличие одной подтвержденной жалобы или обращения в области информатизации |
незначительное |
2. |
наличие двух или более подтвержденных жалоб или обращений в области информатизации |
значительное |
Приложение 2
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494
Критерии оценки степени риска в области связи
1. Общие положения
1. Настоящие Критерии оценки степени риска в области связи (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
2. В настоящих Критериях используются следующие понятия:
1) операторы связи - физическое или юридическое лицо, оказывающее услуги связи;
2) проверяемые субъекты в области связи (далее – проверяемые субъекты) – операторы связи, владельцы ведомственных и корпоративных сетей телекоммуникаций, отдельного коммутационного оборудования, подключаемого к сети телекоммуникаций общего пользования, владельцы радиоэлектронных средств, являющиеся пользователями радиочастотным спектром;
3) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
4) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
5) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
6) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок.
3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.
2. Объективные критерии
4. Определение риска в области связи осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с:
бесконтрольным использованием платного ограниченного ресурса радиочастотного спектра, которое может привести к возникновению радиопомех и невозможности использования его законными владельцами, а также вредным электромагнитным излучениям;
эксплуатацией оборудования на сетях телекоммуникаций без технических средств проведения специальных оперативно-розыскных мероприятий, которая может привести к невозможности проведения органами оперативно-розыскной деятельности необходимых мероприятий;
нарушением порядка пропуска трафика, которое может привести к невозможности приостановления деятельности любых сетей и средств связи (за исключением правительственной связи) в случае наступления чрезвычайной ситуации социального, природного и техногенного характера.
5. В области связи к высокой степени риска относятся проверяемые субъекты, оказывающие не лицензируемые виды услуги связи, а также владельцы ведомственных и корпоративных сетей телекоммуникаций, отдельного коммутационного оборудования, подключаемого к сети телекоммуникаций общего пользования, владельцы радиоэлектронных средств, являющиеся пользователями радиочастотным спектром.
6. К проверяемым субъектам, не отнесенным, к высокой степени риска относятся проверяемые субъекты, получившие лицензии на предоставление следующих услуг в области связи: междугородная телефонная связь, международная телефонная связь, сотовая связь (с указанием наименования стандарта), спутниковая подвижная связь.
7. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.
3. Субъективные критерии
8. Определение субъективных критериев осуществляется с применением следующих этапов:
1) формирование базы данных и сбор информации;
2) анализ информации и оценка рисков.
9. Формирование базы данных и сбор информации необходимы для выявления проверяемых субъектов, нарушающих законодательство Республики Казахстан в области связи.
Анализ информации и оценка субъективных критериев концентрирует проверки в отношении проверяемого субъекта с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
Для оценки степени рисков по субъективным критериям используются следующие источники информации:
1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) проверяемых субъектов. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства Республики Казахстан в области связи, отраженных в проверочных листах;
2) результаты мониторинга радиочастотного спектра, радиоэлектронных средств и (или) высокочастотных устройств, качества предоставляемых услуг связи;
3) наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов.
10. Оценка степени риска проверяемых субъектов и отнесение их к высокой группе риска и группе риска не отнесенных к высокой степени по субъективным критериям осуществляется по следующим показателям:
1) по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых)» субъективные критерии определяются согласно приложению 1 к настоящим Критериям;
2) по информационному источнику «результаты мониторинга радиочастотного спектра, радиоэлектронных средств и (или) высокочастотных устройств, качества предоставляемых услуг связи» субъективные критерии определяются согласно приложению 2 к настоящим Критериям;
3) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии определяются согласно приложению 3 к настоящим Критериям.
11. Определение степени риска по каждому информационному источнику определяется следующим образом.
Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:
Рз = (Р2 х 100/Р1) х 0,7
где:
Рз – показатель нарушений значительной степени;
Р1 – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту;
Р2 - количество нарушенных требований значительной степени.
При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:
Рн = (Р2 х 100/Р1) х 0,3
где:
Рн – показатель нарушений незначительной степени;
Р1 – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту;
Р2 - количество нарушенных требований незначительной степени.
Общий показатель степени риска (Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:
Р = Рз + Рн
где:
Р - общий показатель степени риска;
Рз - показатель нарушений значительной степени;
Рн - показатель нарушений незначительной степени.
По показателям степени риска проверяемый субъект относится:
1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.
4. Заключительные положения
12. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.
13. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.
14. Списки выборочных проверок составляются с учетом:
1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;
2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.
Приложение 1
к Критериям оценки степени
риска в области связи
Субъективные критерии по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых)»
№ |
Критерии |
Степень нарушения |
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований) |
||
1. |
наличие лицензии на предоставление лицензируемых видов услуг в области связи |
грубая |
2. |
обеспечение органам, осуществляющим оперативно-розыскную деятельность на сетях связи, организационные и технические возможности проведения оперативно-розыскных мероприятий на всех сетях связи |
грубая |
3. |
осуществление сбора и хранения в течение двух лет служебной информации об абонентах |
грубая |
4. |
подтверждение соответствия технических средств связи, используемые на единой сети телекоммуникаций Республики Казахстан, радиоэлектронных средств и высокочастотных устройств, являющиеся источником электромагнитного излучения, технических средств почтовой связи |
грубая |
5. |
исполнение предписаний об устранении нарушений в работе отдельных средств или сетей связи охраны труда и техники безопасности, которые создают угрозу жизни и здоровью людей, окружающей среде или нормальному функционированию систем жизнеобеспечения |
значительная |
6. |
наличие системы учета трафика, которая должна иметь систему измерения длительности соединений и систему измерения передачи данных оператора связи, внесенную в реестр государственной системы обеспечения единства измерений Республики Казахстан, имеющую действующий сертификат поверки |
значительная |
7. |
соответствие присоединения к сети телекоммуникаций общего пользования на местном уровне |
значительная |
8. |
соответствие присоединения к сети телекоммуникаций общего пользования на внутризоновом уровне |
значительная |
9. |
соответствие присоединения к сети телекоммуникаций общего пользования на междугородном и международном уровнях |
значительная |
10. |
соответствие присоединения к сети телекоммуникаций общего пользования сетей подвижной связи |
значительная |
11. |
соответствие доступа к узлам телематических служб, интеллектуальных сетей и операторов сетей передачи данных |
значительная |
12. |
соответствие подключения к сети телекоммуникаций общего пользования оборудования (узлов доступа) операторов IP-телефонии (Интернет – телефонии) |
значительная |
13. |
использование оператором связи, провайдером услуги, владельцем ведомственной сети телекоммуникаций, сети телекоммуникаций специального назначения, корпоративной сети выделенного ресурса нумерации местной сети телекоммуникаций в географически определяемой зоне нумерации с кодом «ABC» более чем на 50 процентов в течение двух лет с момента выделения (по результатам проверки, осуществляемой уполномоченным органом, изымается неиспользуемая часть от всей выделенной емкости нумерации) |
незначительная |
14. |
использование получателем ресурса нумерации (коды «DEF» и индексы «X1», «X1X2» в коде «DEF» не географически определяемых зон нумерации, коды операторов (Х1Х2Х3/(X1X2X3X4), предоставляющих услуги связи с использованием кодов доступа к услуге; номера доступа «1UV (X1(X2))» к экстренным оперативным, информационно-справочным и заказным службам; префиксы выбора операторов междугородной и (или) международной связи более чем 6 месяцев в течение двух лет с момента выделения (по результатам проверки, осуществляемой уполномоченным органом) |
незначительная |
15. |
осуществление операторами связи обмена трафиком с зарубежными операторами связи исключительно через операторов междугородной и международной связи Республики Казахстан |
грубая |
16. |
осуществление операторами междугородной и международной связи обмена трафиком с зарубежными операторами связи через Систему Централизованного управления сетями телекоммуникаций |
грубая |
17. |
содержание на сети телекоммуникаций оператора междугородной и (или) международной связи наземных сегментов и коммутационных узлов, центр управления которыми расположен на территории Республики Казахстан |
значительная |
18. |
осуществление резервирования транспортных сетей путем предоставления независимых обходных путей, организуемых по независимым географическим трассам, или замены на тракты (каналы), организуемые в тех же линиях передачи |
значительная |
19. |
наличие в составе СТОММС не менее одной точки стыковки транспортной сети с сетями телекоммуникаций операторов связи зарубежных стран по наземным линиям связи |
значительная |
20. |
наличие в составе СТОММС транспортных сетей телекоммуникаций (магистральных и внутризоновых линии связи) |
значительная |
21. |
наличие в составе СТОММС коммутационных междугородных и международных станций |
значительная |
22. |
наличие в составе СТОММС систем обеспечения функционирования – систему управления и систему технической эксплуатации |
значительная |
23. |
наличие в составе СТОММС системы тактовой сетевой синхронизации |
значительная |
24. |
наличие на транспортных СТОММС сетевых узлов (ПСУ), которые имеют не менее трех выходов (трех направлений) передачи (два в направлении своей сети и один в направлении сети другой страны) для организации международных соединений со СТОП других стран |
значительная |
25. |
самостоятельное создание (развитие) оператором междугородной и международной связи сетей обеспечивающих универсальные услуги телекоммуникаций |
значительная |
26. |
выполнение ОММС мероприятий по мобилизационной готовности |
значительная |
27. |
охват СТОММС территории не менее шести областей (географических зон нумерации), городов Астаны и Алматы |
значительная |
28. |
все МЦК ОММС должны быть связаны не менее чем с двумя МЦК других ОММС, а все АМТС должны быть связаны не менее чем с двумя МЦК |
незначительная |
29. |
наличие квалифицированного состава технических руководителей и специалистов |
незначительная |
30. |
предоставление ОММС информации по распределению пакетов акций (долей участия в уставном капитале) между акционерами (участниками) |
незначительная |
31. |
разработка оператором междугородной и международной связи СТОП на основании полученных заявок, Перечня (трассы) каналов связи, предоставляемых в военное время, с учетом возможности взаимоувязанной сети телекоммуникаций |
значительная |
32. |
соблюдение проверяемым субъектом размеров единиц тарификации, утвержденных приказом Председателя Агентства Республики Казахстан по информатизации и связи от 2 февраля 2009 года № 43 |
значительная |
33. |
обеспечение предоставления абонентам бесплатных соединений с экстренной медицинской, правоохранительной, пожарной, аварийной, справочной и другими службами |
значительная |
34. |
уведомление оператором связи абонента до начала тарифицируемого соединения о стоимости данного соединения при оказании интеллектуальных услуг (лотерея, голосование, телевикторина, викторина, справочно-информационные службы, службы знакомств) |
значительная |
35. |
создание системы информационно-справочного обслуживания в целях предоставления абонентам информации, связанной с оказанием услуг связи |
незначительная |
36. |
осуществление автоматического учета информации о полученных абонентом услугах связи в сети оператора связи, времени пользования ими, соединениях с номерами телефонов абонентов других сетей аналогичного стандарта |
незначительная |
37. |
обеспечение технической возможности свободного выбора абонентом оператора междугородной или международной связи |
значительная |
38. |
установка лимита по пересылке абонентам в ночное время (с 22:00 часов до 06:00) информации (рассылок рекламного характера) посредством коротких текстовых сообщений и/или мультимедийных сообщений, не запрошенной ранее абонентом (для сотовых операторов) |
незначительная |
39. |
недопущение навязывания оператором связи абоненту иных платных услуг при оказании ему услуг связи |
значительная |
40. |
принятие в течение трех календарных дней со дня подачи абонентом заявления об ухудшении качества услуг телефонной связи необходимых мер по восстановлению качества и производит перерасчет абонентской платы |
незначительная |
41. |
произведение перерасчета абонентской платы за период фактического бездействия абонентского устройства не по вине абонента |
незначительная |
42. |
информирование абонента об авариях на сетях связи и о предполагаемых сроках устранения этих аварий |
незначительная |
43. |
извещение абонента за 30 календарных дней о замене абонентского номера и (или) об отключении терминала с указанием причин |
незначительная |
44. |
изменение условий тарифа на услуги связи с согласия абонента, известив его об этом не позднее чем за 30 дней до введения их в действие |
незначительная |
45. |
возобновление доступа к услугам связи, отключенным за несвоевременную оплату, в течение двадцати четырех часов с момента погашения задолженности |
незначительная |
46. |
предоставление по требованию абонента информации, связанной с оказанием ему услуг связи |
незначительная |
47. |
недопущение ограничения оператором связи прав абонента/пользователя при оказании ему услуг связи в случае неисполнения им условий получения иной услуги |
незначительная |
48. |
заключение оператором связи либо его представителем договора с абонентами на оказание услуг связи |
значительная |
49. |
ведение реестра операторами связи идентификационных кодов абонентских устройств, работающих в их сети (для сотовых операторов) |
незначительная |
50. |
приостановление либо возобновление по идентификационному коду работу абонентского устройства в своей сети по заявлению собственника абонентского устройства (для сотовых операторов) |
значительная |
51. |
информирование абонентов о профилактическом обслуживании оборудования связи, связанном с его частичным или полным отключением, и о сроках проведения таких работ за десять календарных дней до начала данных работ |
незначительная |
52. |
обеспечение возможности в круглосуточном режиме проверки баланса денег на текущем счете (для сотовых операторов) |
незначительная |
53. |
возвращение абоненту излишне уплаченных денежных средств за оказанные услуги связи или зачитыванию их при согласии абонента в качестве авансирования услуг связи |
незначительная |
54. |
недопущение отказа оператора связи от заключения договора об оказании услуг связи при наличии технической возможности |
значительная |
55. |
замена абонентских номеров в связи с изменением плана нумерации сетей связи без взимания дополнительной платы с предварительным уведомлением абонентов о причине такой замены |
незначительная |
56. |
соблюдение условий кредитного способа оплаты услуг связи |
незначительная |
57. |
соблюдение условий авансового способа оплаты услуг связи |
незначительная |
58. |
сохранение абонентского номера за абонентом в течение двенадцати месяцев с момента окончания на лицевом счете денег абонента |
незначительная |
59. |
осуществление по обращению абонентов перерегистрации абонента без взимания дополнительной оплаты |
незначительная |
60. |
соблюдение сроков доставки почтовых отправлений, утвержденных приказом Председателя Агентства Республики Казахстан по информатизации и связи от 4 марта 2004 года № 48 |
незначительная |
61. |
недопущения утраты, недостачи, повреждения (порчи) регистрируемых почтовых отправлений |
незначительная |
62. |
недопущения искажения текста телеграммы, изменившее ее смысл |
незначительная |
Примечание: расшифровка аббревиатуры:
1. СТОММС - сеть телекоммуникаций оператора междугородной и (или) международной связи;
2. ПСУ – приграничный сетевой узел;
3. СТОП - сети телекоммуникаций общего пользования;
4. ОММС - оператор междугородной и (или) международной связи;
5. МЦК - международный центр коммутации;
6. АМТС - автоматическая междугородная телефонная станция.
Приложение 2
к Критериям оценки степени
риска в области связи
Субъективные критерии по информационному источнику «результаты
мониторинга радиочастотного спектра, радиоэлектронных средств и
(или) высокочастотных устройств, качества предоставляемых услуг связи»
№ |
Критерии |
Степень нарушения |
1. |
наличие разрешений на использование радиочастотного спектра Республики Казахстан либо разрешения судовой станции на использование радиочастотного спектра |
грубая |
2. |
наличие разрешений на эксплуатацию радиоэлектронных средств и высокочастотных устройств |
значительная |
3. |
соответствие технических характеристик и условий эксплуатации радиоэлектронных средств и высокочастотных устройств требованиям, изложенным в разрешениях |
значительная |
4. |
предоставление пользователям услуг связи соответствующих по качеству Показателям качества услуг связи |
незначительная |
Приложение 3
к Критериям оценки степени
риска в области связи
Субъективные критерии по информационному источнику «наличие и
количество подтвержденных жалоб и обращений на проверяемые
субъекты, поступивших от физических или юридических лиц,
государственных органов»
№ |
Критерии |
Степень нарушения |
1. |
наличие одной подтвержденной жалобы или обращения в области связи |
незначительное |
2. |
наличие двух или более подтвержденных жалоб или обращений в области связи |
значительное |
Приложение 3
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494
Критерии оценки степени риска за соблюдением законодательства
Республики Казахстан об электронном документе и
электронной цифровой подписи
1. Общие положения
1. Настоящие Критерии оценки степени риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
2. В настоящих Критериях используются следующие понятия:
1) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
2) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
3) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
4) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок;
5) проверяемые субъекты за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее – проверяемые субъекты) – юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства.
3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.
2. Объективные критерии
4. Определение риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием и выдачей электронных документов и электронной цифровой подписи могут привести к компрометации открытого ключа, и как следствие неправомерного использования электронной цифровой подписи.
5. По объективным критериям к высокой степени риска относятся проверяемые субъекты аккредитованные на территории Республики Казахстан удостоверяющие центры.
6. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.
3. Субъективные критерии
7. Определение субъективных критериев осуществляется с применением следующих этапов:
1) формирование базы данных и сбор информации;
2) анализ информации и оценка рисков.
8. Формирование базы данных и сбор информации необходимы для выявления субъектов контроля, нарушающих законодательство Республики Казахстан об электронном документе и электронной цифровой подписи.
Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении субъекта контроля с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
Для оценки степени рисков по субъективным критериям используются следующие источники информации:
1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) субъектов контроля. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства, отраженных в проверочных листах;
2) наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов.
9. Оценка степени риска проверяемых субъектов и отнесение их к высокой или не отнесенным к высокой степени риска по субъективным критериям осуществляется по следующим показателям:
1) по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии согласно приложению 1 к настоящим Критериям;
2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии согласно приложению 2 к настоящим Критериям.
10. Определение степени риска по каждому информационному источнику определяется следующим образом.
Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:
Рз = (Р2 х 100/Р1) х 0,7
где:
Рз – показатель нарушений значительной степени;
Р1 – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований значительной степени.
При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:
Рн = (Р2 х 100/Р1) х 0,3
где:
Рн – показатель нарушений незначительной степени;
Р1 – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
Р2 - количество нарушенных требований незначительной степени.
Общий показатель степени риска (Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:
Р = Рз + Рн
где:
Р - общий показатель степени риска;
Рз - показатель нарушений значительной степени;
Рн - показатель нарушений незначительной степени.
По показателям степени риска проверяемый субъект (объект) относится:
1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.
4. Заключительные положения
11. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.
12. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.
13. Списки выборочных проверок составляются с учетом:
1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;
2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.
Приложение 1
к Критериям оценки степени риска
за соблюдением законодательства
Республики Казахстан об электронном
документе и электронной цифровой подписи
Субъективные критерии по информационному источнику
«результаты анализа предыдущих проверок
(выборочных, внеплановых и иных форм контроля)»
№ |
Критерии |
Степень нарушения |
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований) |
||
1. |
наличие процедуры синхронизации времени аккредитуемого удостоверяющего центра с комплексом технических средств, обеспечивающих периодическую передачу цифровой информации о значении текущего времени от эталона единицы времени Республики Казахстан, спутниковых глобальных систем позиционирования, общепризнанных международных источников |
грубая |
2. |
наличие сертификата соответствия на используемые СКЗИ по СТ РК 1073-2007, которые применяется в данном удостоверяющем центре и его пользователями |
грубая |
3. |
наличие аттестата соответствия удостоверяющего центра требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, в случае интеграции аккредитуемого удостоверяющего центра с государственными информационными системами |
значительная |
4. |
соблюдение требований владельца по отзыву регистрационного свидетельства |
грубая |
5. |
соблюдение требований к серверному помещению |
грубая |
6. |
наличие политики информационной безопасности удостоверяющего центра |
незначительная |
7. |
наличие регламента или правил деятельности удостоверяющего центра |
значительная |
8. |
наличие политики применения регистрационных свидетельств |
незначительная |
9. |
наличие положения об удостоверяющем центре |
значительная |
10. |
наличие инструкции по действиям работников, осуществляющих работы от лица заявителя непосредственно участвующих в работах по сопровождению, администрированию, выпуску регистрационных свидетельств удостоверяющего центра во внештатных, кризисных ситуациях |
незначительная |
11. |
наличие инструкции о резервном копировании информационных ресурсов удостоверяющего центра |
грубая |
12. |
наличие инструкции по установке и настройке программного обеспечения удостоверяющего центра |
значительная |
13. |
наличие в регистрационном свидетельстве номера регистрационного свидетельства и срок его действия |
значительная |
14. |
наличие в регистрационном свидетельстве данных, позволяющих идентифицировать владельца электронной цифровой подписи |
значительная |
15. |
наличие в регистрационном свидетельстве открытого ключа электронной цифровой подписи |
значительная |
16. |
наличие в регистрационном свидетельстве данных о средствах электронной цифровой подписи, используемых для создания соответствующего закрытого ключа электронной цифровой подписи |
значительная |
17. |
наличие в регистрационном свидетельстве информации о сферах применения и ограничениях применения электронной цифровой подписи |
значительная |
18. |
наличие в регистрационном свидетельстве реквизитов соответствующего удостоверяющего центра |
значительная |
19. |
наличие схемы взаимодействия модулей (компонент) удостоверяющего центра и схемы электронной цифровой подписи с данными о применяемых алгоритмах криптографических преобразований и другими исходными данными (основными требованиями) по реализации процесса формирования электронной цифровой подписи и требованиями к отдельным параметрам и удостоверяющему центру, утвержденные заявителем |
значительная |
20. |
отсутствие фактов некорректного использования электронной цифровой подписи |
значительная |
Приложение 2
к Критериям оценки степени риска
за соблюдением законодательства
Республики Казахстан об электронном
документе и электронной цифровой подписи
Субъективные критерии по информационному источнику
«наличие и количество подтвержденных жалоб и обращений на
проверяемые субъекты, поступивших от физических или
юридических лиц, государственных органов»
№ |
Критерии |
Степень нарушения |
1. |
наличие одной подтвержденной жалобы или обращения за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи |
незначительное |
2. |
наличие двух или более подтвержденных жалоб или обращений за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи |
значительное |