Об утверждении критериев оценки степени риска в области информатизации и связи

Об утверждении критериев оценки степени риска в области информатизации и связи

      В целях реализации пункта 2 статьи 38 Закона Республики Казахстан "О частном предпринимательстве" ПРИКАЗЫВАЕМ:

      1. Утвердить:

      1) Критерии оценки степени риска в области информатизации согласно приложению 1 к настоящему приказу;

      2) Критерии оценки степени риска в области связи согласно приложению 2 к настоящему приказу.

      2. Департаментам связи, информационных технологий Агентства Республики Казахстан по информатизации и связи (Баймуратов А.Е., Елеусизова К.Б.) в установленном законодательном порядке:

      1) обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) после государственной регистрации настоящего приказа обеспечить его официальное опубликование и размещение на интернет-ресурсе Агентства Республики Казахстан по информатизации и связи.

      3. Контроль за исполнением настоящего приказа возложить на ответственного секретаря Агентства Республики Казахстан по информатизации и связи Маханбетажиева Б.А.

      4. Настоящий приказ вступает в силу со дня государственной регистрации и вводится в действие со дня его первого официального опубликования.

Председатель Агентства Республики Казахстан по планирования Республики Казахстан информатизации и связи

К. Есекеев

Министр экономики и бюджетного планирования Республики Казахстан

Б. Султанов

Приложение № 1

к совместному приказу

Председателя Агентства

Республики Казахстан

по информатизации и связи

от 17 февраля 2010 года № 65

и Министра экономики и

бюджетного планирования

Республики Казахстан

от 19 февраля 2010 года № 88

Критерии оценки степени риска в области информатизации

1. Настоящие Критерии оценки степени риска в сфере информатизации (далее - Критерии) разработаны в соответствии с Законами Республики Казахстан "О частном предпринимательстве", "Об информатизации", "Об электронном документе и электронной цифровой подписи".

2. Настоящие Критерии определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов информатизации к различным степеням риска.

3. В настоящих Критериях используются следующие понятия:

1) риск - вероятность причинения вреда в результате деятельности субъектов информатизации законным интересам личности, общества, государства, с учетом степени тяжести его последствий, а именно:

при использовании электронных информационных ресурсов и информационных технологий;

финансовый ущерб государству либо физическому лицу за счет использования контрольно-кассовых машин, являющихся компьютерной системой, неразрешенных к использованию на территории Республики Казахстан;

2) субъекты информатизации (Субъекты)- центральные и местные исполнительные органы, удостоверяющие центры, владельцы государственных информационных ресурсов и информационных систем, поставщики информации, кредитных бюро и получателей кредитных историй, владельцы контрольно-кассовых машин, являющихся компьютерной системой, владельцы негосударственных информационных систем, интегрируемых с государственными информационными системами.

4. Первично Субъекты относятся к высокой степени риска.

5. После проверки Субъекты распределяются по степени риска в соответствии с Качественными показателями оценки степени риска (далее - Качественные показатели) и при их наличии присваивается соответствующий балл, согласно приложению к настоящим Критериям.

6. В случае, если действие или бездействие Субъекта подпадает под действие нескольких Качественных показателей, то баллы суммируются.

7. Баллы по Качественным показателям суммируются для определения общего суммарного итога.

8. Результаты суммарного итога используются для дифференциации Субъектов по степеням риска.

9. Дифференциация Субъектов по степеням риска осуществляется следующим образом:

к группе высокого риска относятся Субъекты, набравшие от 20 и более баллов;

к группе среднего риска - от 11 до 20 баллов;

к группе незначительного риска - от 0 до 10 баллов.

10. Отбор Субъектов внутри одной группы риска осуществляется уполномоченным органом в сфере информатизации следующим образом:

1) наибольший непроверенный период (при определении непроверенного периода не учитываются внеплановые тематические проверки);

2) наибольшая сумма баллов;

3) количество информационных ресурсов и информационных систем.

Приложение к Критериям

оценки степени риска

в сфере информатизации

Качественные показатели оценки степени риска

№

На­ру­ше­ния тре­бо­ва­ний, уста­нов­лен­ных За­ко­на­ми

Рес­пуб­ли­ки Ка­зах­стан и по­ста­нов­ле­ни­я­ми

Пра­ви­тель­ства Рес­пуб­ли­ки Ка­зах­стан

Усло­вия

при­сво­е­ния

бал­лов

Бал-

лы

по­ка­за­те­ли в сфе­ре обес­пе­че­ния ин­фор­ма­ци­он­ной без­опас­но­сти

1

Несанк­ци­о­ни­ро­ван­ный до­ступ к кон­фи­ден­ци­аль­ной и

слу­жеб­ной ин­фор­ма­ции

да

20

нет

0

2

Неле­ги­тим­ное ис­поль­зо­ва­ние

средств крип­то­гра­фи­че­ской за­щи­ты ин­фор­ма­ции

да

20

нет

0

3

Ком­про­ме­та­ция за­кры­то­го клю­ча удо­сто­ве­ря­ю­ще­го

цен­тра

да

20

нет

0

4

На­ли­чие уяз­ви­мо­стей по ин­фор­ма­ци­он­ной без­опас-

но­сти в ин­фор­ма­ци­он­ных ре­сур­сах го­су­дар­ствен­ных

ор­га­нов

да

20

нет

0

5

На­ру­ше­ние тре­бо­ва­ний по ин­те­гра­ции го­су­дар­ствен-

ных ин­фор­ма­ци­он­ных си­стем с него­су­дар­ствен­ны­ми

ин­фор­ма­ци­он­ны­ми си­сте­ма­ми

да

20

нет

0

6

Не со­от­вет­ствие ква­ли­фи­ка­ци­он­ным тре­бо­ва­ни­ям,

предъ­яв­ля­е­мым к де­я­тель­но­сти

удо­сто­ве­ря­ю­щих цен­тров

да

20

нет

0

7

На­ру­ше­ние по­ряд­ка экс­плу­а­та­ции элек­трон­ных

ин­фор­ма­ци­он­ных ре­сур­сов и ин­фор­ма­ци­он­ных си­стем

да

10

нет

0

8

От­сут­ствие ор­га­ни­за­ци­он­ной и нор­ма­тив­но-

тех­ни­че­ской до­ку­мен­та­ции по обес­пе­че­нию

ин­фор­ма­ци­он­ной без­опас­но­сти

да

10

нет

0

9

Ис­поль­зо­ва­ние несер­ти­фи­ци­ро­ван­ных тех­ни­че­ских

средств и про­грамм­ных про­дук­тов

да

10

нет

0

10

Несвое­вре­мен­ное вне­се­ние из­ме­не­ний и до­пол­не­ний

в ба­зу дан­ных по дей­стви­тель­ным, ото­зван­ным и

ан­ну­ли­ро­ван­ным сер­ти­фи­ка­там

да

10

нет

0

11

Не уком­плек­то­ван­ность тех­ни­кой и про­грамм­ным

обес­пе­че­ни­ем, вслед­ствие че­го до­пу­ще­ны на­ру­ше­ния

тре­бо­ва­ний ин­фор­ма­ци­он­ной без­опас­но­сти

да

10

нет

0

12

На­ли­чие ви­ру­сов и вре­до­нос­ных про­грамм

да

5

нет

0

13

Сбои и от­ка­зы в ра­бо­те кор­по­ра­тив­ной се­ти

пе­ре­да­чи дан­ных, ра­бо­чих стан­ций поль­зо­ва­те­лей

и сер­ве­ров

да

5

нет

0

по­ка­за­те­ли в сфе­ре экс­плу­а­та­ции про­грамм­ных про­дук­тов

14

Несо­блю­де­ние тре­бо­ва­ний по обя­за­тель­ной

ре­ги­стра­ции го­су­дар­ствен­ных ин­фор­ма­ци­он­ных

ре­сур­сов и ин­фор­ма­ци­он­ных си­стем и вно­си­мых

в них из­ме­не­ний

да

20

нет

0

15

На­ру­ше­ние тре­бо­ва­ний по вклю­че­нию раз­ра­бо­тан­ных

и при­об­ре­тен­ных на счет бюд­жет­ных средств

про­грамм­ных про­дук­тов и тех­ни­че­ских средств в

де­по­зи­та­рий ин­фор­ма­ци­он­ных си­стем, про­грамм­ных

про­дук­тов, про­грамм­ных ко­дов и нор­ма­тив­но-

тех­ни­че­ской до­ку­мен­та­ции (да­лее - Де­по­зи­та­рий)

да

20

нет

0

16

По­те­ря ин­фор­ма­ции при пе­ре­да­че дан­ных из-за

сбо­ев в ра­бо­те про­грамм­но­го обес­пе­че­ния

да

20

нет

0

17

За­клад­ки и неде­кла­ри­ро­ван­ные воз­мож­но­сти

про­грамм­но­го обес­пе­че­ния

да

20

нет

0

18

Не вне­се­ние из­ме­не­ний и до­пол­не­ний

ин­фор­ма­ци­он­ных си­стем, про­грамм­ных про­дук­тов,

про­грамм­ных ко­дов и нор­ма­тив­но-тех­ни­че­ской

до­ку­мен­та­ции в Де­по­зи­та­рий

да

10

нет

0

19

Несо­от­вет­ствие нор­ма­тив­но-тех­ни­че­ской до­ку­мен-

та­ции ин­фор­ма­ци­он­ных ре­сур­сов, ин­фор­ма­ци­он­ных

си­стем и про­грамм­ных про­дук­тов стан­дарт­ным

тре­бо­ва­ни­ям по ком­плект­но­сти, со­дер­жа­нию и

оформ­ле­нию

да

10

нет

0

20

Функ­ци­о­наль­ное несо­от­вет­ствие про­грамм­но­го

обес­пе­че­ния за­яв­лен­ным тре­бо­ва­ни­ям

да

10

нет

0

21

Со­от­вет­ствие ка­че­ства про­грамм­но­го обес­пе­че­ния

тре­бо­ва­ни­ям стан­дар­тов Рес­пуб­ли­ки Ка­зах­стан

да

0

нет

10

22

Утра­та нор­ма­тив­но-тех­ни­че­ской до­ку­мен­та­ции на

раз­ра­бо­тан­ные или при­об­ре­тен­ные за счет го­су-

дар­ствен­ных средств элек­трон­ных ин­фор­ма­ци­он­ных

ре­сур­сов, ин­фор­ма­ци­он­ных си­стем и про­грамм­но­го

обес­пе­че­ния

да

5

нет

0

23

От­сут­ствие пер­со­на­ла и нор­ма­тив­но-тех­ни­че­ской

до­ку­мен­та­ции для со­про­вож­де­ния про­грамм­но­го

обес­пе­че­ния

да

5

нет

0

24

Утра­та уста­но­воч­ных па­ке­тов про­грамм­ных

про­дук­тов

да

5

нет

0

по­ка­за­те­ли вла­дель­цев кон­троль­но-кас­со­вых ма­шин яв­ля­ю­щих­ся

ком­пью­тер­ной си­сте­мой и по­став­щи­ков ин­фор­ма­ции, кре­дит­ных бю­ро

и по­лу­ча­те­лей кре­дит­ных от­че­тов

25

От­сут­ствие сер­ти­фи­ци­ро­ван­ных средств крип­то­гра-

фи­че­ской за­щи­ты ин­фор­ма­ции

да

20

нет

0

26

Несо­блю­де­ние тре­бо­ва­ний к сер­вер­но­му по­ме­ще­нию и

по­ме­ще­нию огра­ни­чен­но­го до­сту­па

да

20

нет

0

27

От­сут­ствие си­сте­мы за­щи­ты от несанк­ци­о­ни­ро­ван-

но­го до­сту­па

да

20

нет

0

28

Ис­поль­зо­ва­ние не сер­ти­фи­ци­ро­ван­ных на со­от­ветст-

вие тре­бо­ва­ни­ям ин­фор­ма­ци­он­ной без­опас­но­сти

тех­ни­че­ских и про­грамм­ных средств

да

20

нет

0

29

От­сут­ствие си­сте­мы за­щи­ты объ­ек­та от утеч­ки

ин­фор­ма­ции по тех­ни­че­ским ка­на­лам

да

20

нет

0

30

Несо­блю­де­ние тре­бо­ва­ний к ра­бо­че­му ме­сту

поль­зо­ва­те­ля

да

10

нет

0

31

От­сут­ствие мо­ду­ля «ра­бо­чее ме­сто на­ло­го­во­го

ин­спек­то­ра»

да

10

нет

0

32

От­сут­ствие средств иден­ти­фи­ка­ции и аутен­ти­фи-

ка­ции поль­зо­ва­те­лей

да

10

нет

0

33

От­сут­ствие средств про­вер­ки це­лост­но­сти си­сте­мы

да

10

нет

0

34

От­сут­ствие ли­цен­зий на про­грамм­ное и ап­па­рат­ное

обес­пе­че­ние

да

10

нет

0

35

От­сут­ствие си­сте­мы ре­зерв­но­го ко­пи­ро­ва­ния и

ар­хи­ви­ро­ва­ния дан­ных

да

10

нет

0

36

Непри­ня­тие мер по раз­гра­ни­че­нию до­сту­па к

ре­сур­сам

да

5

нет

0

37

От­сут­ствие пас­пор­та ра­бо­че­го ме­ста

да

5

нет

0

38

От­сут­ствие тех­ни­че­ской до­ку­мен­та­ции, ре­гла­мен­ти-

ру­ю­щей ор­га­ни­за­цию ин­фор­ма­ци­он­но­го про­цес­са

да

5

нет

0

39

От­сут­ствие ин­струк­ции по обес­пе­че­нию ин­фор­ма-

ци­он­ной без­опас­но­сти ра­бо­че­го ме­ста поль­зо­ва­те­ля

да

5

нет

0

Приложение № 2

к совместному приказу

Председателя Агентства

Республики Казахстан

по информатизации и связи

от 17 февраля 2010 года № 65

и Министра экономики и

бюджетного планирования

Республики Казахстан

от 19 февраля 2010 года № 88

Критерии оценки степени риска в области связи

1. Настоящие Критерии оценки степени риска в области связи (далее - Критерии) разработаны в соответствии с Законами Республики Казахстан "О частном предпринимательстве", "О связи".

2. Настоящие Критерии определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов в области связи к различным степеням риска.

3. В настоящих Критериях используются следующие понятия:

1) риск - вероятность причинения вреда в результате деятельности Субъектов в области связи законным интересам физических и юридических лиц и государства, общества с учетом степени тяжести его последствий, а именно:

бесконтрольное использование платного ограниченного ресурса радиочастотного спектра, которое может привести к недопоступлению обязательных платежей в государственный бюджет;

использование радиочастотного спектра без разрешительных документов, которое может привести к возникновению радиопомех и невозможности использования его законными владельцами;

эксплуатация оборудования на сетях телекоммуникаций без технических средств проведения специальных оперативно-розыскных мероприятий, которая может привести к невозможности проведения органами оперативно-розыскной деятельности необходимых мероприятий;

2) субъект контроля - оператор связи (физическое или юридическое лицо, получившее лицензию на предоставление услуг связи); хозяйствующие субъекты, осуществляющие деятельность в области связи (операторы связи, владельцы специальных, ведомственных и корпоративных сетей телекоммуникаций, отдельного коммутационного оборудования, подключаемого к сети телекоммуникаций общего пользования, владельцы радиоэлектронных средств, являющиеся пользователями радиочастотным спектром); государственные учреждения, использующие радиочастотный спектр в производственных целях.

4. Отнесение субъектов контроля к степени рисков осуществляется в два этапа:

первый этап - на основании объективных критериев степени риска;

второй этап - на основании субъективных критериев степени риска.

5. Объективные критерии степени риска:

1) к высокой степени группы риска отнесены - субъекты, получившие лицензии на предоставление следующих услуг связи: междугородная, международная, сотовая; а также местная и передача данных имеющих радиочастотный спектр для предоставления услуг связи;

2) к средней степени группы риска отнесены - субъекты, получившие лицензии на предоставление следующих услуг связи: передача данных, IP-телефония, местная посредством проводной связи, телекоммуникации по выделенной сети связи, спутниковая подвижная связь, мобильная телекоммуникационная связь, предоставление каналов связи, почтовая связь;

3) к незначительной степени группы риска отнесены - государственные учреждения, хозяйствующие субъекты, использующие радиочастотный спектр в производственных целях.

6. Субъективные критерии оценки степени риска подразделяются на:

грубые нарушения;

значительные нарушения;

незначительные нарушения.

7. К грубым нарушениям относятся:

1) предоставление дополнительных услуг связи без соответствующей лицензии;

2) использование радиочастотного спектра и ресурса нумерации без разрешительных документов либо нарушение принципа нумерации;

3) отсутствие технических средств проведения специальных оперативно-розыскных мероприятий на телекоммуникационном оборудовании.

8. К значительным нарушениям относятся:

1) использование не сертифицированного оборудования;

2) эксплуатация радиоэлектронных средств и высокочастотных устройств без разрешения на эксплуатацию;

3) нарушения порядка присоединения к сети телекоммуникаций общего пользования;

4) отсутствие разрешения на ввоз радиоэлектронных средств и высокочастотных устройств на территорию Республики Казахстан;

5) непродление сроков действия разрешения на использование радиочастотного спектра;

6) отсутствие регистрации радиоэлектронных средств.

9. К незначительным нарушениям относится непродление сроков действия разрешения на эксплуатацию на радиоэлектронное средство и высокочастотное устройство.

10. Определение степени риска и распределение по группам степени риска субъектов в области связи для осуществления плановых проверок будет осуществляться ежегодно.

11. Распределение субъектов в области связи по степени риска будет осуществляться на основе анализа по результатам предыдущих проверок (за предшествующий год).

12. Субъекты регулирования, входящие в незначительную степень риска, при совершении в течение проверяемого периода до двух грубых или более двух значительных нарушений переводятся в среднюю степень риска, а при совершении трех грубых нарушений - в высокую степень риска.

13. Субъекты регулирования, входящие в среднюю степень риска, при совершении в течение проверяемого периода одного и более грубых или двух и более значительных нарушений переводятся в высокую степень риска.

14. При невыявлении последней плановой проверкой нарушений, субъекты регулирования переводятся в группу незначительной степени риска.

15. Субъекты высокой или средней группы риска в зависимости от соблюдения требований норм законодательства в области связи будет переводиться из одной группы в другую и, соответственно, будет меняться периодичность их проверки.

16. Отбор субъектов внутри одной степени риска осуществляется уполномоченным органом в области связи следующим образом:

1) наибольший непроверенный период (при определении непроверенного периода не берутся в расчет внеплановые тематические проверки);

2) степень тяжести выявленных нарушений за прошедший период;

3) наличие наибольшего количества радиоэлектронных средств.