ИПС "Әділет"

Ақпараттандыру және байланыс саласындағы тәуекелдік дәрежесін бағалау критерийлерін бекіту туралы

Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі Төрағасының 2010 жылғы 17 ақпандағы N 65 және Қазақстан Республикасы Экономика және бюджеттік жоспарлау министрінің 2010 жылғы 19 ақпандағы N 88 Бірлескен бұйрықтары. Қазақстан Республикасы Әділет министрлігінде 2010 жылғы 24 ақпанда Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне N 6091 болып енгізілді. Күші жойылды - Қазақстан Республикасы Байланыс және ақпарат министрінің 2011 жылғы 31 тамыздағы № 263 және Қазақстан Республикасы Экономикалық даму және сауда министрінің м.а. 2011 жылғы 16 қыркүйектегі № 305 Бірлескен бұйрығымен.

Күші жойылды - ҚР Байланыс және ақпарат министрінің 2011.08.31 № 263 және ҚР Экономикалық даму және сауда министрінің м.а. 2011.09.16 № 305 Бірлескен бұйрығымен.

      «Жеке кәсiпкерлiк туралы» Қазақстан Республикасы Заңының 38-бабы 2-тармақшасын жүзеге асыру мақсатында БҰЙЫРАМЫЗ:
      1. Бекітілсін:
      1) осы бұйрықтың 1-қосымшасына сәйкес ақпараттандыру саласындағы тәуекелдік дәрежесін бағалау критерийлері;
      2) осы бұйрықтың 2-қосымшасына сәйкес байланыс саласындағы тәуекелдік дәрежесін бағалау критерийлері.
      2. Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің Байланыс, Ақпараттық технологиялар департаменттеріне (Ә.Е. Баймұратов, Қ.Б. Елеусізова) заңнамалық белгіленген тәртіпте:
      1) осы бұйрықтың Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелуін қамтамасыз етсін;
      2) осы бұйрықтың мемлекеттік тіркеуден кейін оның бұқаралық ақпарат құралдарында ресми жариялауын және Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің интернет-ресурсында орналасқанын қамтамасыз етсiн.
      3. Осы бұйрықтың орындалуын бақылау Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің жауапты хатшысы Б.Ә. Маханбетәжиевке жүктелсін.
      4. Осы бұйрық мемлекеттік тіркеу күнінен бастап күшіне енеді және оны алғаш ресми жариялаған күннен бастап қолданысқа енгiзiледi.

      Қазақстан Республикасы            Қазақстан Республикасы
     Ақпараттандыру және байланыс      Экономика және бюджеттік
     агенттігінің Төрағасы             жоспарлау Министрі
     ______________ Қ. Есекеев         _____________ Б. Сұлтанов

Қазақстан Республикасы
Ақпараттандыру және байланыс
агенттігі төрағасының
2010 жылғы 17 ақпандағы № 65
және Қазақстан Республикасы
Экономика және бюджеттік
жоспарлау министрінің
2010 жылғы 19 ақпандағы № 88
бірлескен бұйрығына 1-қосымшасы

Ақпараттандыру саласындағы тәуекелдер дәрежесін бағалау критерийлері

1. Жалпы ережелер

      1. Осы Ақпараттандыру саласындағы тәукелдер дәрежесін бағалау критерийлері (бұдан әрі - Критерийлер) «Жеке кәсiпкерлiк туралы», «Ақпараттандыру туралы», «Электрондық құжат және электрондық цифрлық қолтаңба туралы» Қазақстан Республикасы Заңдарына сәйкес әзірленді.
      2. Осы Критерийлер олар негізінде бағалауды және ақпараттандыру субъектілерін әр түрлі тәукелдер дәрежесіне жатқызуды жүзеге асыратын тәуекелдердің сандық және сапалық көрсеткіштердің жиынтығын анықтайды.
      3. Осы Критерийлерде мынадай түсініктер пайдаланылды:
      1) тәуекел – ақпараттандыру субъектілерінің қызметі нәтижесінде жеке адамның, қоғам мен мемлекеттің заңдық ықыласына зиян келтіру, олардың салмақты дәреже салдары есебімен, атап айтқанда:
      электрондық ақпараттық ресурстарды және ақпараттық технологияларды пайдалану кезінде;
      Қазақстан Республикасы аймағында пайдалануға рұқсат етілмеген компьютерлiк жүйе болып табылатын бақылау-касса машиналарын пайдалану есебінен жеке тұлғаларға немесе мемлекетке қаржылық зиян келтіру;
      2) ақпараттандыру субъектілері (бұдан әрі - Субъектілер) – мемлекеттік ақпараттық жүйелермен ықпалдастырылған мемлекеттік емес ақпараттық жүйелердің иеленушілері, банктiк компьютерлiк жүйелердің иеленушi, ақпарат берушілердiң, кредиттiк бюролардың және кредиттiк есептердi алушылар, мемлекеттік ақпараттық ресурстар және ақпараттық жүйелердің иеленушілерi, Куәландырушы орталықтар, орталық және жергілікті атқарушы органдар.
      4. Субъектілер бастапқы жоғары тәуекел дәрежесіне жатады.
      5. Тексерістен кейін Субъектілер тәуекелдер дәрежесі бойынша Тәуекелдер дәрежесін бағалауды сапалық көрсеткіштеріне (бұдан әрі – Сапалық көрсеткіштер) сәйкес бөлінеді және олар бар болғанда тиісті балл беріледі, осы Критерийлер қосымшасына сәйкес.
      6. Егер Субъекттің іс-әрекеті немесе іс-әрекетсіздігі бірнеше Сапалық көрсеткіштер қимылына ұшыраса баллдар қосылады.
      7. Сапалық көрсеткіштер бойынша баллдар жалпы қорытындыны анықтау үшін қосылады.
      8. Жалпы қорытынды нәтижесі Субъектілерді тәуекелдер дәрежесі бойынша дифференциациялау үшін пайдаланылады.
      9. Субъектілерді тәуекелдер дәрежесі бойынша дифференциациялау келесі бейнеде жүзеге асырылады:
      жоғары тәуекел тобына 20 және одан көбірек балл алған Субъектілер жатады;
      орташа тәуекел тобына – 11-ден 20 баллға дейін;
      төмен тәуекел тобына – 0-ден 10 баллға дейін
      10. Тәуекелдің бір тобы ішінде Субъектілерді таңдап алу ақпараттандыру саласындағы уәкілетті органмен келесі принциптер бойынша жүзеге асырылады:
      1) ең үлкен тексерілмеген мерзімі (тексерілмеген мерзімді анықтауда жоспардан тыс тақырыптық тексірістер есепке алынбайды);
      2) ең үлкен баллдар сомасы;
      3) ақпараттық жүйелер және ақпараттық ресурстар саны.

Ақпараттандыру саласындағы
тәуекелдер дәрежесін бағалау
критерийлерге қосымша

Тәуекелдер дәрежесін бағалаудың сапалық көрсеткіштері

№	Қазақстан Республикасының Заңдары және Қазақстан Республикасы Үкіметінің қаулыларымен белгіленген талаптардың бұзылуы	Балдарды беру шарттары	Баллдар
ақпараттық қауіпсіздікті қамтамасыз ету саласындағы көрсеткіштер
1	Жабық және қызметтік ақпараттарға рұқсатсыз қол жеткізу	ия	20
		жоқ	0
2	Ақпаратты криптографиялық қорғау құралдарын заңсыз қолдануы	ия	20
		жоқ	0
3	Куәландыру орталығының жабық кiлтiнiң компрометациясы	ия	20
		жоқ	0
4	Мемлекеттік органдардың ақпараттық ресурстарында ақпараттық қауіпсіздік бойынша күдіктілік бар болуы	ия	20
		жоқ	0
5	Мемлекеттік емес ақпараттық жүйелерді мемлекеттік ақпараттық жүйелермен ықпалдастыру бойынша талаптарды бұзу	ия	20
		жоқ	0
6	Куәландыру орталығының қызметіне қойылатын біліктілік талаптарына сәйкес келмеу	ия	20
		жоқ	0
7	Электрондық ақпараттық ресурстар мен ақпараттық жүйелерді пайдалану тәртібін бұзу	ия	10
		жоқ	0
8	Ақпараттық қауіпсіздікті қамтамасыз ету бойынша ұйымдық және нормативтік-техникалық құжаттамалар жоқтығы	ия	10
		жоқ	0
9	Сертификатталмаған техникалық құралдар және бағдарламалық өнімдерді қолдау	ия	10
		жоқ	0
10	Нақты, шақырып алынған және күші жойылған сертификаттар бойынша деректер қорларына өзгерістер мен толықтыруларды дер кезiнде енгізілмеген	ия	10
		жоқ	0
11	Бағдарламалық қамтамасыз ету және техникамен толтырылмағандықтан ақпараттық қауіпсіздік талаптарының бұзылуына жол берілгені	ия	10
		жоқ	0
12	Вирус және зиян келтіретін бағдарламалардың бар болуы	ия	5
		жоқ	0
13	Пайдаланушылардың жұмыс станциялары және серверлерде, деректер беру корпоративтік желісі жұмысында тоқтап қалуы және істен шығуы	ия	5
		жоқ	0
бағдарламалық өнімдерді пайдалану саласындағы көрсеткіштер
14	Мемлекеттік ақпараттық ресурстар мен ақпараттық жүйелерді және оларға енгізілген өзгерістерді міндетті тіркелімі бойынша талаптарды бұзбауы	ия	20
		жоқ	0
15	Бюджеттік қаражаттар есебіне әзірленген немесе сатып алынған бағдарламалық өнімдер мен техникалық құралдарды депозитарийға кіргізу бойынша талаптарды бұзуы	ия	20
		жоқ	0
16	Бағдарламалық қамтамасыз ету жұмысы істен шығуына деректерді беруде ақпараттың жоғалуы	ия	20
		жоқ	0
17	Бағдарламалық қамтамасыз етудің тығындары және ресми мәлімделмеген мүмкіндіктері	ия	20
		жоқ	0
18	Ақпараттық жүйелер, бағдарламалық өнімдер, бағдарламалық кодтар және нормативтік-техникалық құжаттамалардағы өзгерістер мен толықтыруларды депозитарийде енгізілгендігі	ия	10
		жоқ	0
19	Бағдарламалық өнімдер, ақпараттық ресурстар мен ақпараттық жүйелердің нормативтік-техникалық құжаттамасын ресімдеу, мазмұндау және жинақтығы бойынша стандарттық талаптарға сәйкес келмеуі	ия	10
		жоқ	0
20	Бағдарламалық қамтамасыз ету мәлімделген талаптарға функциональдық сәйкес келмеуі	ия	10
		жоқ	0
21	Бағдарламалық қамтамасыз ету сапасы Қазақстан Республикасы стандарттары талаптарына сәйкестігі	ия	10
		жоқ	0
22	Бюджеттік қаражаттар есебіне әзірленген немесе сатып алынған электрондық ақпараттық ресурстар, ақпараттық жүйелер және бағдарламалық қамтамасыз етудің нормативтік-техникалық құжаттамаларының жоғалтуы	ия	5
		жоқ	0
23	Бағдарламалық қамтамасыз етуді сүйемелдеу үшін нормативтік-техникалық құжаттаманы және қызметкерлер жоқтығы	ия	5
		жоқ	0
24	Бағдарламалық өнімдердің нұсқаушы пакетін жоғалту	ия	5
		жоқ	0
компьютерлiк жүйе болып табылатын бақылау-касса машиналар иелері, ақпарат берушілердiң, кредиттiк бюролардың және кредиттiк есептердi алушылар көрсеткіштері
25	Сертификатталған ақпаратты криптографиялық қорғау құралдардың жоқтығы	ия	20
		жоқ	0
26	Қолжетімділігі шектелген бөлімше және серверлік бөлімшеге талаптарын бұзуы	ия	20
		жоқ	0
27	Рұқсат етілмеген қолжетімділігінен қорғау жүйесінің жоқтығы	ия	20
		жоқ	0
28	Ақпараттық қауіпсіздік талаптарына сәйкестігіне сертификатталмаған техникалық және бағдарламалық құралдарды қолдауы	ия	20
		жоқ	0
29	Техникалық каналдар бойынша ақпараттың жойылуынан объектті қорғау жүйесінің жоқтығы	ия	20
		жоқ
30	Пайдаланушының жұмыс орны талаптарын бұзылуы	ия	10
		жоқ	0
31	«Салық инспекторының жұмыс орны» модулінің жоқтығы	ия	10
		жоқ	0
32	Пайдаланушыны аудентификациялау және идентификациялау құралдарының жоқтығы	ия	10
		жоқ	0
33	Жүйенiң тұтастығының тексеру құралдарының жоқтығы	ия	10
		жоқ	0
34	Аппараттық және бағдарламалық қамтамасыз етуге лицензия жоқтығы	ия	10
		жоқ	0
35	Декертерді мұрағаттау және резервті көшiрме жүйелерінің жоқтығы	ия	10
		жоқ	0
36	Ресурстарға қол жеткізуді шектеу бойынша шаралар қабылдамауы	ия	5
		жоқ	0
37	Жұмыс орнына паспорт жоқтығы	ия	5
		жоқ	0
38	Ақпараттық үдерiстi ұйымдастыру регламентін белгiлейтiн техникалық құжаттаманың жоқтығы	ия	5
		жоқ	0
39	Қолданушының жұмыс орнына ақпараттық қауiпсiздiгiн қамтамасыз ету бойынша нұсқауының жоқтығы	ия	5
		жоқ	0

Байланыс саласындағы тәуекелдік дәрежесінің баға критерийлері

      1. Осы байланыс саласындағы тәуекелдік дәрежесінің баға критерийлері (бұдан әрі – Критерийлер) «Жеке кәсіпкерлік туралы»,   «Байланыс туралы» Қазақстан Республикасының Заңдарына сәйкес әзірленген.
      2. Осы Критерийлер байланыс саласындағы әр түрлі тәуекелдік дәрежелеріне субъектілердің қатысуы жүзеге асырылатын негізінде тәуекелдіктердің есептік және сапалық көрсеткіштерінің жиынтығын анықтайды.
      3. Осы Критерийлерде мынадай ұғымдар қолданылады:
      1) тәуекелдік – жеке және заңды тұлғалардың және мемлекеттің, қоғамның заңды мүдделіктеріне, оның салдар ауырлық дәрежесін ескере отырып, байланыс саласындағы субъектілер қызметінің нәтижесінде зиян келтірудің ықтималдығы, атап айтқанда:
      радиожиілік спектрдің ақылы шектелген ресурстың бақылаусыз қолданылуы мемлекеттік бюджетке міндетті төлемдердің түспеуіне әкелуі мүмкін;
      радиожиілік спектрді рұқсат ететін құжаттарсыз қолданылуы радиокедергілердің туындауына және оның заңды иелерімен пайдалану мүмкіндігінің болмауына әкелуі мүмкін;
      АЖІІ техникалық құралдарсыз телекоммуникация желілерінде жабдықтарды пайдалану ЖІӘ органдарымен қажетті іс-шараларды өткізілу мүмкіндігі болмауына әкелуі мүмкін.
      2) бақылау субъектісі -байланыс операторы (байланыс қызметiн көрсетуге лицензия алған жеке немесе заңды тұлға); байланыс саласындағы қызметтi жүзеге асыратын шаруашылық жүргiзушi субъектiлер (байланыс операторлары, арнаулы, ведомстволық және корпоративті телекоммуникация желiлерiнiң, ортақ пайдаланылатын телекоммуникация желiсiне қосылатын жеке коммутациялық жабдықтың иелерi, радиожиiлiк спектрiн пайдаланушылары болып табылатын радиоэлектрондық құралдар иелерi); өндіріс мақсаттарында радиожиілік спектрін қолданылатын мемлекеттік мекемелер.
      4. Тәуекелдік дәрежесіне бақылау субъектілерін жатқызу 2 кезеңде жүзеге асырылады:
      бірінші кезең – тәуекелдік дәрежесінің объективті критерийлер негізінде;
      екінші кезең – тәуекелдік дәрежесінің объективті критерийлер негізінде.
      5. Тәуекелдік дәрежесінің объективті критерийлері:
      1) тәуекелдік дәрежесінің жоғарғы тобына жатқызылды – мынадай байланыс қызметтерін беруге лицензиялар алған субъектілер: қалааралық, халықаралық, ұялы; сондай-ақ, жергілікті және байланыс қызметтерін беру үшін РЖС бар деректерін беру;
      2) тәуекелдік дәрежесінің орта тобына жатқызылды – мынадай байланыс қызметтерін беруге лицензиялар алған субъектілер: деректер беру, ІР-телефония, жергілікті сымды байланыс арқылы, бөлінген байланыс желісі бойынша телекоммуникациялар, жерсеріктік жылжымалы байланыс, мобилдік телекоммуникациялық байланыс, байланыс арналарын беру, пошталық байланыс;
      3) тәуекелдік дәрежесінің елеусіз тобына жатқызылды – өндірістік мақсаттарда радиожиілік спектрді қолданылатын шаруашылық етуші субъектілер, мемлекеттік мекемелер.
      6. Тәуекелдік дәрежесінің субъективті баға критерийлері бөлінеді:
      өрескел бұзушылыққа;
      едәуір бұзушылыққа;
      елеусіз бұзушылыққа.
      7. Өрескел бұзушылыққа жатады:
      1) тиісті лицензиясыз қосымша байланыс қызметтерін беру;
      2) рұқсат ететін құжаттарсыз нөмірлеу ресурсы мен радиожиілік спектрін қолдану не болмаса нөмірлеу қағидасын бұзу;
      3) телекоммуникациялық жабдықта арнайы жедел-іздестіру шаралар өткізудің техникалық құралдардың болмауы.
      8. Едәуір бұзушылықтарға жатады:
      1) сертификатталмаған жабдықтарды қолдану;
      2) пайдалануға рұқсатсыз радиоэлектрондық құралдар мен жоғары жиілікті құрылғыларды пайдалану;
      3) жалпы пайдаланылатын телекоммуникация желісіне қосылу тәртібін бұзу;
      4) Қазақстан Республикасының аумағына РЭҚ мен ЖЖҚ кіргізу  рұқсатыныңболмауы;
      5) радиожиілік спектрді қолдануға рұқсаттың жарамдылық мерзімдерін ұзартпау;
      6) РЭҚ тіркеуінің болмауы.
      9. Елеусіз бұзушылыққа радиоэлектрондық құрал мен жоғары жиілікті құрылғыны пайдалануға рұқсаттың жарамдылық мерзімдерін ұзартпауы жатады.
      10. Жоспарлы тексерістерді жүзеге асыру үшін байланыс саласындағы субъектілердің тәуекелдік дәреже топтары бойынша бөлу және дәрежесін анықтау.
      11. Байланыс саласындағы субъектілерді тәуекелдік дәрежесі бойынша бөлу алдыңғы (өткен жылғы) тексерістердің нәтижелері бойынша талдау негізінде жүзеге асырылатын болады.
      12. Тәуекелдік дәрежесінің елеусіз тобына кіретін реттеу субъектілері, тексеру кезеңі ішінде бір өрескел немесе екі едәуір бұзушылықтарды жасаған кезде орта тәуекелдік дәрежесіне ауысады, ал үш өрескел бұзушылық жасалған кезде – жоғары тәуекелдік дәрежесіне ауысады.
      13. Тәуекелдік дәрежесінің орта тобына кіретін реттеу субъектілері, тексеру кезеңі ішінде бір өрескел немесе екі едәуір бұзушылықтарды жасаған кезде жоғары тәуекелдік дәрежесіне ауысады.
      14. Соңғы жоспарлы тексеріспен бұзушылықтар айқындалмаған кезде, реттеу субъектілері тәуекелдік дәрежесінің елеусіз тобына ауысады.
      15. Тәуекелдіктің жоғары немесе орта тобы субъектілері байланыс саласындағы заңнама нормаларының талаптарын сақтауына байланысты бір топтан басқа топқа ауысатын болады және, олардың тексеріс кезеңдігі өзгеретін болады.
      16. Тәуекелдік дәрежесінің бірінің ішінде субъектілердің іріктелуі байланыс саласындағы уәкілеттік органмен келесі ретте жүзеге асырылады:
      1) аса көп тексерілмеген кезең (тексерілмеген кезеңді анықтаған кезде жоспардан тыс тақырыптық тексерістер есепке алынбайды);
      2) өткен жылдың анықталған бұзушылықтардың ауыртпалық дәрежесі;
      3) радиоэлектрондық құралдар мөлшерлерінің аса көп болуы.

Об утверждении критериев оценки степени риска в области информатизации и связи

Совместный приказ Председателя Агентства Республики Казахстан по информатизации и связи от 17 февраля 2010 года № 65 и Министра экономики и бюджетного планирования Республики Казахстан от 19 февраля 2010 года № 88. Зарегистрирован в Министерстве юстиции Республики Казахстан 24 февраля 2010 года № 6091. Утратил силу совместным приказом Министра связи и информации Республики Казахстан от 31 августа 2011 года № 263 и и.о. Министра экономического развития и торговли Республики Казахстан от 16 сентября 2011 года № 305

Сноска. Утратил силу совместным приказом Министра связи и информации РК от 31.08.2011 № 263 и и.о. Министра экономического развития и торговли РК от 16.09.2011 № 305 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Примечание РЦПИ!
Порядок введения в действие совместного приказа см. п. 4.

      В целях реализации пункта 2 статьи 38 Закона Республики Казахстан "О частном предпринимательстве" ПРИКАЗЫВАЕМ:
      1. Утвердить:
      1) Критерии оценки степени риска в области информатизации согласно приложению 1 к настоящему приказу;
      2) Критерии оценки степени риска в области связи согласно приложению 2 к настоящему приказу.
      2. Департаментам связи, информационных технологий Агентства Республики Казахстан по информатизации и связи (Баймуратов А.Е., Елеусизова К.Б.) в установленном законодательном порядке:
      1) обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
      2) после государственной регистрации настоящего приказа обеспечить его официальное опубликование и размещение на интернет-ресурсе Агентства Республики Казахстан по информатизации и связи.
      3. Контроль за исполнением настоящего приказа возложить на ответственного секретаря Агентства Республики Казахстан по информатизации и связи Маханбетажиева Б.А.
      4. Настоящий приказ вступает в силу со дня государственной регистрации и вводится в действие со дня его первого официального опубликования.

      Председатель Агентства       Министр экономики и бюджетного
      Республики Казахстан по      планирования Республики Казахстан
      информатизации и связи
      _______________ К. Есекеев   _______________ Б. Султанов

Приложение № 1
к совместному приказу
Председателя Агентства
Республики Казахстан
по информатизации и связи
от 17 февраля 2010 года № 65
и Министра экономики и
бюджетного планирования
Республики Казахстан
от 19 февраля 2010 года № 88

Критерии
оценки степени риска в области информатизации

      1. Настоящие Критерии оценки степени риска в сфере информатизации (далее - Критерии) разработаны в соответствии с Законами Республики Казахстан "О частном предпринимательстве", "Об информатизации", "Об электронном документе и электронной цифровой подписи".
      2. Настоящие Критерии определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов информатизации к различным степеням риска.
      3. В настоящих Критериях используются следующие понятия:
      1) риск - вероятность причинения вреда в результате деятельности субъектов информатизации законным интересам личности, общества, государства, с учетом степени тяжести его последствий, а именно:
      при использовании электронных информационных ресурсов и информационных технологий;
      финансовый ущерб государству либо физическому лицу за счет использования контрольно-кассовых машин, являющихся компьютерной системой, неразрешенных к использованию на территории Республики Казахстан;
      2) субъекты информатизации (Субъекты)- центральные и местные исполнительные органы, удостоверяющие центры, владельцы государственных информационных ресурсов и информационных систем, поставщики информации, кредитных бюро и получателей кредитных историй, владельцы контрольно-кассовых машин, являющихся компьютерной системой, владельцы негосударственных информационных систем, интегрируемых с государственными информационными системами.
      4. Первично Субъекты относятся к высокой степени риска.
      5. После проверки Субъекты распределяются по степени риска в соответствии с Качественными показателями оценки степени риска (далее - Качественные показатели) и при их наличии присваивается соответствующий балл, согласно приложению к настоящим Критериям.
      6. В случае, если действие или бездействие Субъекта подпадает под действие нескольких Качественных показателей, то баллы суммируются.
      7. Баллы по Качественным показателям суммируются для определения общего суммарного итога.
      8. Результаты суммарного итога используются для дифференциации Субъектов по степеням риска.
      9. Дифференциация Субъектов по степеням риска осуществляется следующим образом:
      к группе высокого риска относятся Субъекты, набравшие от 20 и более баллов;
      к группе среднего риска - от 11 до 20 баллов;
      к группе незначительного риска - от 0 до 10 баллов.
      10. Отбор Субъектов внутри одной группы риска осуществляется уполномоченным органом в сфере информатизации следующим образом:
      1) наибольший непроверенный период (при определении непроверенного периода не учитываются внеплановые тематические проверки);
      2) наибольшая сумма баллов;
      3) количество информационных ресурсов и информационных систем.

Приложение к Критериям
оценки степени риска
в сфере информатизации

Качественные показатели оценки степени риска

№	Нарушения требований, установленных Законами Республики Казахстан и постановлениями Правительства Республики Казахстан	Условия присвоения баллов	Бал- лы
	показатели в сфере обеспечения информационной безопасности
1	Несанкционированный доступ к конфиденциальной и служебной информации	да	20
		нет	0
2	Нелегитимное использование средств криптографической защиты информации	да	20
		нет	0
3	Компрометация закрытого ключа удостоверяющего центра	да	20
		нет	0
4	Наличие уязвимостей по информационной безопас- ности в информационных ресурсах государственных органов	да	20
		нет	0
5	Нарушение требований по интеграции государствен- ных информационных систем с негосударственными информационными системами	да	20
		нет	0
6	Не соответствие квалификационным требованиям, предъявляемым к деятельности удостоверяющих центров	да	20
		нет	0
7	Нарушение порядка эксплуатации электронных информационных ресурсов и информационных систем	да	10
		нет	0
8	Отсутствие организационной и нормативно- технической документации по обеспечению информационной безопасности	да	10
		нет	0
9	Использование несертифицированных технических средств и программных продуктов	да	10
		нет	0
10	Несвоевременное внесение изменений и дополнений в базу данных по действительным, отозванным и аннулированным сертификатам	да	10
		нет	0
11	Не укомплектованность техникой и программным обеспечением, вследствие чего допущены нарушения требований информационной безопасности	да	10
		нет	0
12	Наличие вирусов и вредоносных программ	да	5
		нет	0
13	Сбои и отказы в работе корпоративной сети передачи данных, рабочих станций пользователей и серверов	да	5
		нет	0
	показатели в сфере эксплуатации программных продуктов
14	Несоблюдение требований по обязательной регистрации государственных информационных ресурсов и информационных систем и вносимых в них изменений	да	20
		нет	0
15	Нарушение требований по включению разработанных и приобретенных на счет бюджетных средств программных продуктов и технических средств в депозитарий информационных систем, программных продуктов, программных кодов и нормативно- технической документации (далее - Депозитарий)	да	20
		нет	0
16	Потеря информации при передаче данных из-за сбоев в работе программного обеспечения	да	20
		нет	0
17	Закладки и недекларированные возможности программного обеспечения	да	20
		нет	0
18	Не внесение изменений и дополнений информационных систем, программных продуктов, программных кодов и нормативно-технической документации в Депозитарий	да	10
		нет	0
19	Несоответствие нормативно-технической докумен- тации информационных ресурсов, информационных систем и программных продуктов стандартным требованиям по комплектности, содержанию и оформлению	да	10
		нет	0
20	Функциональное несоответствие программного обеспечения заявленным требованиям	да	10
		нет	0
21	Соответствие качества программного обеспечения требованиям стандартов Республики Казахстан	да	0
		нет	10
22	Утрата нормативно-технической документации на разработанные или приобретенные за счет госу- дарственных средств электронных информационных ресурсов, информационных систем и программного обеспечения	да	5
		нет	0
23	Отсутствие персонала и нормативно-технической документации для сопровождения программного обеспечения	да	5
		нет	0
24	Утрата установочных пакетов программных продуктов	да	5
		нет	0
	показатели владельцев контрольно-кассовых машин являющихся компьютерной системой и поставщиков информации, кредитных бюро и получателей кредитных отчетов
25	Отсутствие сертифицированных средств криптогра- фической защиты информации	да	20
		нет	0
26	Несоблюдение требований к серверному помещению и помещению ограниченного доступа	да	20
		нет	0
27	Отсутствие системы защиты от несанкционирован- ного доступа	да	20
		нет	0
28	Использование не сертифицированных на соответст- вие требованиям информационной безопасности технических и программных средств	да	20
		нет	0
29	Отсутствие системы защиты объекта от утечки информации по техническим каналам	да	20
		нет	0
30	Несоблюдение требований к рабочему месту пользователя	да	10
		нет	0
31	Отсутствие модуля «рабочее место налогового инспектора»	да	10
		нет	0
32	Отсутствие средств идентификации и аутентифи- кации пользователей	да	10
		нет	0
33	Отсутствие средств проверки целостности системы	да	10
		нет	0
34	Отсутствие лицензий на программное и аппаратное обеспечение	да	10
		нет	0
35	Отсутствие системы резервного копирования и архивирования данных	да	10
		нет	0
36	Непринятие мер по разграничению доступа к ресурсам	да	5
		нет	0
37	Отсутствие паспорта рабочего места	да	5
		нет	0
38	Отсутствие технической документации, регламенти- рующей организацию информационного процесса	да	5
		нет	0
39	Отсутствие инструкции по обеспечению информа- ционной безопасности рабочего места пользователя	да	5
		нет	0

Приложение № 2
к совместному приказу
Председателя Агентства
Республики Казахстан
по информатизации и связи
от 17 февраля 2010 года № 65
и Министра экономики и
бюджетного планирования
Республики Казахстан
от 19 февраля 2010 года № 88

Критерии оценки степени риска в области связи

      1. Настоящие Критерии оценки степени риска в области связи (далее - Критерии) разработаны в соответствии с Законами Республики Казахстан "О частном предпринимательстве", "О связи".
      2. Настоящие Критерии определяют совокупность количественных и качественных показателей риска, на основании которых осуществляется отнесение субъектов в области связи к различным степеням риска.
      3. В настоящих Критериях используются следующие понятия:
      1) риск - вероятность причинения вреда в результате деятельности Субъектов в области связи законным интересам физических и юридических лиц и государства, общества с учетом степени тяжести его последствий, а именно:
      бесконтрольное использование платного ограниченного ресурса радиочастотного спектра, которое может привести к недопоступлению обязательных платежей в государственный бюджет;
      использование радиочастотного спектра без разрешительных документов, которое может привести к возникновению радиопомех и невозможности использования его законными владельцами;
      эксплуатация оборудования на сетях телекоммуникаций без технических средств проведения специальных оперативно-розыскных мероприятий, которая может привести к невозможности проведения органами оперативно-розыскной деятельности необходимых мероприятий;
      2) субъект контроля - оператор связи (физическое или юридическое лицо, получившее лицензию на предоставление услуг связи); хозяйствующие субъекты, осуществляющие деятельность в области связи (операторы связи, владельцы специальных, ведомственных и корпоративных сетей телекоммуникаций, отдельного коммутационного оборудования, подключаемого к сети телекоммуникаций общего пользования, владельцы радиоэлектронных средств, являющиеся пользователями радиочастотным спектром); государственные учреждения, использующие радиочастотный спектр в производственных целях.
      4. Отнесение субъектов контроля к степени рисков осуществляется в два этапа:
      первый этап - на основании объективных критериев степени риска;
      второй этап - на основании субъективных критериев степени риска.
      5. Объективные критерии степени риска:
      1) к высокой степени группы риска отнесены - субъекты, получившие лицензии на предоставление следующих услуг связи: междугородная, международная, сотовая; а также местная и передача данных имеющих радиочастотный спектр для предоставления услуг связи;
      2) к средней степени группы риска отнесены - субъекты, получившие лицензии на предоставление следующих услуг связи: передача данных, IP-телефония, местная посредством проводной связи, телекоммуникации по выделенной сети связи, спутниковая подвижная связь, мобильная телекоммуникационная связь, предоставление каналов связи, почтовая связь;
      3) к незначительной степени группы риска отнесены - государственные учреждения, хозяйствующие субъекты, использующие радиочастотный спектр в производственных целях.
      6. Субъективные критерии оценки степени риска подразделяются на:
      грубые нарушения;
      значительные нарушения;
      незначительные нарушения.
      7. К грубым нарушениям относятся:
      1) предоставление дополнительных услуг связи без соответствующей лицензии;
      2) использование радиочастотного спектра и ресурса нумерации без разрешительных документов либо нарушение принципа нумерации;
      3) отсутствие технических средств проведения специальных оперативно-розыскных мероприятий на телекоммуникационном оборудовании.
      8. К значительным нарушениям относятся:
      1) использование не сертифицированного оборудования;
      2) эксплуатация радиоэлектронных средств и высокочастотных устройств без разрешения на эксплуатацию;
      3) нарушения порядка присоединения к сети телекоммуникаций общего пользования;
      4) отсутствие разрешения на ввоз радиоэлектронных средств и высокочастотных устройств на территорию Республики Казахстан;
      5) непродление сроков действия разрешения на использование радиочастотного спектра;
      6) отсутствие регистрации радиоэлектронных средств.
      9. К незначительным нарушениям относится непродление сроков действия разрешения на эксплуатацию на радиоэлектронное средство и высокочастотное устройство.
      10. Определение степени риска и распределение по группам степени риска субъектов в области связи для осуществления плановых проверок будет осуществляться ежегодно.
      11. Распределение субъектов в области связи по степени риска будет осуществляться на основе анализа по результатам предыдущих проверок (за предшествующий год).
      12. Субъекты регулирования, входящие в незначительную степень риска, при совершении в течение проверяемого периода до двух грубых или более двух значительных нарушений переводятся в среднюю степень риска, а при совершении трех грубых нарушений - в высокую степень риска.
      13. Субъекты регулирования, входящие в среднюю степень риска, при совершении в течение проверяемого периода одного и более грубых или двух и более значительных нарушений переводятся в высокую степень риска.
      14. При невыявлении последней плановой проверкой нарушений, субъекты регулирования переводятся в группу незначительной степени риска.
      15. Субъекты высокой или средней группы риска в зависимости от соблюдения требований норм законодательства в области связи будет переводиться из одной группы в другую и, соответственно, будет меняться периодичность их проверки.
      16. Отбор субъектов внутри одной степени риска осуществляется уполномоченным органом в области связи следующим образом:
      1) наибольший непроверенный период (при определении непроверенного периода не берутся в расчет внеплановые тематические проверки);
      2) степень тяжести выявленных нарушений за прошедший период;
      3) наличие наибольшего количества радиоэлектронных средств.