ИПС "Әділет"

Электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасы заңнамасының сақталуына, ақпараттандыру, байланыс саласындағы тәуекелдер дәрежесін бағалау критерийлерін бекіту туралы

Қазақстан Республикасы Инвестициялар және даму министрінің 2015 жылғы 29 маусымдағы № 735 және Қазақстан Республикасы Ұлттық экономика министрінің м.а. 2015 жылғы 30 маусымдағы № 494 бірлескен бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2015 жылы 14 тамызда № 11891 болып тіркелді. Күші жойылды - Қазақстан Республикасы Инвестициялар және даму министрінің м.а. 2015 жылғы 30 желтоқсандағы № 1275 және Қазақстан Республикасы Ұлттық экономика министрінің м.а 2015 жылғы 31 желтоқсандағы № 841 бірлескен бұйрығымен

Ескерту. Күші жойылды - ҚР Инвестициялар және даму министрінің м.а. 30.12.2015 № 1275 және ҚР Ұлттық экономика министрінің м.а 31.12.2015 № 841 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бірлескен бұйрығымен.

      «Қазақстан Республикасындағы мемлекеттік бақылау және қадағалау туралы» Қазақстан Республикасының 2011 жылғы 6 қаңтардағы заңының 11-бабы 1-тармағының 2) тармақшасына және 13-бабының 3-тармағына сәйкес БҰЙЫРАМЫЗ:
      1. Мыналар:
      1) осы бірлескен бұйрыққа 1-қосымшаға сәйкес Ақпараттандыру саласындағы тәуекелдер дәрежесін бағалау критерийлері;
      2) осы бірлескен бұйрыққа 2-қосымшаға сәйкес Байланыс саласындағы тәуекелдер дәрежесін бағалау критерийлері;
      3) осы бірлескен бұйрыққа 3-қосымшаға сәйкес Электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасы заңнамасының сақталуына тәуекелдер дәрежесін бағалау критерийлері бекітілсін.
      2. «Ақпараттандыру, байланыс саласындағы, электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасы заңнамасының сақталуына жеке кәсіпкерлік саласындағы тәуекел дәрежесін бағалау өлшемдерін бекіту туралы» Қазақстан Республикасы Байланыс және ақпарат министрінің 2011 жылғы 31 тамыздағы № 263 және Қазақстан Республикасы Экономикалық даму және сауда министрі міндетін атқарушының 2011 жылғы 16 қыркүйектегі № 305 бірлескен бұйрығының (нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 7262 тіркелген, № 539-540 (26932) «Егемен Қазақстан» газетінде 2011 жылғы 12 қарашада жарияланған) күші жойылды деп танылсын.
      3. Қазақстан Республикасы Инвестициялар және даму министрлігінің Байланыс, ақпараттандыру және ақпарат комитеті (Т.Б. Қазанғап):
      1) осы бірлескен бұйрықтың Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелуін;
      2) осы бірлескен бұйрық Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмелерін мерзімді баспа басылымдарында және «Әділет» ақпараттық-құқықтық жүйесінде ресми жариялауға жіберуді;
      3) осы бірлескен бұйрықтың Қазақстан Республикасы Инвестициялар және даму министрлігінің интернет-ресурсында және мемлекеттік органдардың интранет-порталында орналастырылуын;
      4) осы бірлескен бұйрық Қазақстан Республикасы Әдiлет министрлiгiнде мемлекеттiк тiркелгеннен кейiн он жұмыс күнi iшiнде осы бірлескен бұйрықтың 3-тармағының 1), 2) және 3) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәлiметтердi Қазақстан Республикасы Инвестициялар және даму министрлігінің Заң департаментiне ұсынуды қамтамасыз етсiн.
      4. Осы бірлескен бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Инвестициялар және даму вице-министріне жүктелсін.
      5. Осы бірлескен бұйрық оның алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

     Қазақстан Республикасының          Қазақстан Республикасының
      Инвестициялар және даму министрі   Ұлттық экономика министрінің
      _______________ Ә. Исекешев        міндетін атқарушы
                                         _______________ М. Құсайынов

      «КЕЛІСІЛГЕН»
      Қазақстан Республикасы
      Бас прокуратурасының
      Құқықтық статистика және
      арнайы есепке алу жөнiндегi
      комитетiнің төрағасы
      _________________ С. Айтпаева
      2015 жылғы 13 шілде

Қазақстан Республикасының
Инвестициялар және даму
министрінің
2015 жылғы 29 маусымдағы
№ 735 және
Қазақстан Республикасының
Ұлттық экономика министрінің
міндетін атқарушының
2015 жылғы 30 маусымдағы
№ 494 бірлескен бұйрығына
1-қосымша

Ақпараттандыру саласындағы тәуекел дәрежесін бағалау критерийлері

1. Жалпы ережелер

      1. Осы Ақпараттандыру саласындағы тәуекел дәрежесін бағалау критерийлері (бұдан әрі - Критерийлер) «Қазақстан Республикасында мемлекеттік бақылау және қадағалау туралы» 2011 жылғы 6 қаңтардағы Қазақстан Республикасы Заңына сәйкес тексерілетін субъектілерді тәуекел дәрежесіне жатқызу және ішінара тексерулер жүргізу кезінде тексерілетін субъектілерді іріктеу үшін әзірленген.
      2. Осы критерийлерде мынадай ұғымдар пайдаланылады:
      1) ақпараттандыру саласындағы тексерілетін субъектілер (бұдан әрі – тексерілетін субъектілер) – электрондық ақпараттық ресурстарды, ақпараттық жүйелерді иемденушілер;
      2) тәуекел – тексерілетін субъектінің қызметі нәтижесінде салдарының ауырлық дәрежесі ескеріле отырып, адамның өміріне немесе денсаулығына, қоршаған ортаға, жеке және заңды тұлғалардың заңды мүдделеріне, мемлекеттің мүліктік мүдделеріне зиян келтіру ықтималдығы;
      3) тәуекел дәрежесін бағалаудың объективті критерийлері (бұдан әрі – объективті критерийлер) – белгілі бір қызмет саласында тәуекел дәрежесіне байланысты және жекелеген тексерілетін субъектіге (объектіге) тікелей байланыссыз тексерілетін субъектілерді (объектілерді) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау критерийлері;
      4) тәуекел дәрежесін бағалаудың субъективті критерийлері (бұдан әрі – субъективті критерийлер) – нақты тексерілетін субъектінің (объектінің) қызмет нәтижелеріне байланысты тексерілетін субъектілерді (объектілерді) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау критерийлері;
      5) тәуекелдерді бағалау жүйесі – тексерулерді тағайындау мақсатында бақылау және қадағалау органы жүргізетін іс-шаралар кешені.
      3. Ішінара тексерулер үшін тәуекел дәрежесін бағалау критерийлері объективті және субъективті критерийлер арқылы қалыптастырылады.

2. Объективті критерийлер

      4. Ақпараттандыру саласындағы тәуекелді айқындау тексерілетін субъектінің қызметі нәтижесінде салдарының ауырлық дәрежесі ескеріле отырып, адамның өміріне немесе денсаулығына, қоршаған ортаға, жеке және заңды тұлғалардың заңды мүдделеріне, мемлекеттің мүліктік мүдделеріне зиян келтіру ықтималдығы бақылау-кассалық машиналарын, мемлекеттік ақпараттық жүйелермен бірігетін ақпараттық жүйелерді бақылаусыз пайдалану ақпараттық жүйелерге рұқсат етілмеген қол жеткізу жолымен мемлекеттік органдардың ақпараттарының жойылуына және компьютерлік жүйе болып табылатын бақылау-кассалық машиналарына түсетін төлемдердің фискалдануының болмауына әкелетін ақпараттандыру саласындағы тәуекелдері анықталады.
      5. Ақпараттандыру саласында жоғарғы тәуекел дәрежелеріне ақпараттық қауіпсіздік талаптарына аттестатталған тексерілетін субъектілер мемлекеттік ақпараттық жүйелермен біріккен мемлекеттік емес ақпараттық жүйелері жатады.
      6. Жоғары дәрежеге жатпайтын тексерілетін субъектілерге бақылау-кассалық машиналардың мемлекеттік тізіліміне қосуға қорытынды алған, компьютерлік жүйе болып табылатын бақылау-кассалық тексеру субъектілері жатады.
      7. Жоғары тәуекел дәрежесіне жатқызылған тексерілетін субъектілерге қарасты ішінара тексеру жүргізіледі.

3. Субъективті критерийлер

      8. Субъективті критерийлерді айқындау мынадай:
      1) деректер базасын қалыптастыру және ақпарат жинау;
      2) ақпаратты талдау және тәуекелдерді бағалау кезеңдерін қолдана отырып жүзеге асырылады.
      9. Дерекқорды қалыптастыру және ақпарат жинау Қазақстан Республикасының ақпараттандыру саласындағы заңнаманы бұзатын тексерілетін субъектілерді анықтау үшін қажет.
      Субъективті критерийлерді талдау және бағалау тексерілетін субъектіге қатысты тексерулерді ең жоғары әлеуетті тәуекелмен шоғырландыруға мүмкіндік береді. Бұл ретте, талдау мен бағалау кезінде нақты тексерілетін субъектіге қатысты бұрын ескерілген және пайдаланылған субъективті критерийлердің деректері қолданылмайды.
      Субъективті критерийлер бойынша тәуекелдер дәрежесін бағалау үшін мынадай ақпарат көздері:
      1) бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары). Бұл ретте, бұзушылықтардың ауырлық дәрежесі (өрескел, елеулі, елеусіз) тексеру парақтарында көрсетілген Қазақстан Республикасының аққпараттандыру саласындағы заңнама талаптарын бұзған жағдайда қойылады.
      2) тексеру субъектілеріне жеке және заңды тұлғалардан, мемлекеттік органдардан түскен және расталған шағымдар мен өтініштердің болуы туралы мәліметтерді талдау нәтижелері пайдаланылады.
      10. Субъективті критерийлер бойынша тексерілетін субъектілердің тәуекел дәрежесін бағалау және оларды жоғары дәрежедегі тәуекел тобына және жоғары дәрежеге жатпайтын топқа жатқызу мына көрсеткіштер арқылы жүзеге асырылады:
      1) «бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары)» ақпараттық көздері бойынша субъективті критерийлер осы Критерийлерге 1-қосымшаға сәйкес анықталады;
      2) «тексеру субъектілеріне жеке және заңды тұлғалардан, мемлекеттік органдардан түскен және расталған шағымдар мен өтініштердің болуы» ақпараттық көздері бойынша субъективті критерийлер осы Критерийлерге 2-қосымшаға сәйкес анықталады.
      11. Әр ақпараттық дерек бойынша тәуекел дәрежесі төмендегі тәсіл бойынша анықталады.
      Өрескел дәрежедегі бір орындалмаған талап 100 көрсеткішке теңеседі және ол ішінара тексеріс жүргізуге негіз болып табылады.
      Егер өрескел дәрежедегі талаптардың бұзылуы анықталмаған кезде, онда тәуекел дәрежесінің көрсеткішін анықтау үшін елеулі және елеусіз дәрежелерінің жиынтық көрсеткіштері есептеледі.
      Елеулі дәрежедегі бұзушылықтың көрсеткішін анықтау кезінде 0,7 коэффициенті қолданылады және осы көрсеткіш мына формула бойынша есептеледі:

Р_з = (Р₂ х 100/Р₁) х 0,7

      мұндағы:
     Р_з – елеулі дәрежедегі бұзушылық көрсеткіші;
     Р₁ – елеулі дәрежедегі индикаторлардың жалпы саны, тексеруге (сараптауға) ұсынылатын тексеру субъектін (объектіне) қойылатын талаптар;
     Р₂ – елеулі дәрежедегі талаптардың бұзушылықтар саны.
      Елеусіз дәрежедегі бұзушылықтың көрсеткішін анықтау кезінде 0,3 коэффициенті қолданылады және осы көрсеткіш мына формула бойынша есептеледі:

Р_н = (Р₂ х 100/Р₁) х 0,3

      мұндағы:
     Р_н – елеусіз дәрежедегі бұзушылық көрсеткіші;
     Р₁ – елеусіз дәрежедегі индикаторлардың жалпы саны, тексеруге (сараптауға) ұсынылатын тексерілетін субъектіге (объектіге) қойылатын талаптар;
     Р₂ – елеусіз дәрежедегі талаптардың бұзушылықтар саны.
      Тәуекел дәрежедегі жалпы көрсеткіші (Р) 0 ден 100 дейінгі шәкіл бойынша есептеледі және көрсеткіштерді мына формула бойынша жиынтықтау арқылы анықталады:

Р = Р_з + Р_н

      мұндағы:
     Р – тәуекел дәрежесінің жалпы көрсеткіші;
     Р_з – елеулі дәрежедегі бұзушылық көрсеткіші;
     Р_н - елеусіз дәрежедегі бұзушылық көрсеткіші.
      Тәуекел дәрежесінің көрсеткіштері бойынша тексерілетін субъектілерге жатқызылуы:
      1) жоғарғы тәуекел дәрежесіне – тәуекел дәрежесі 60 тан 100 дейінгі көрсеткіш кезінде оған қатысты ішінара тексеру жүргізіледі;
      2) жоғарғы тәуекел дәрежесіне жатқызылмаған – тәуекел дәрежесі 0 дан 60 дейінгі көрсеткіш кезінде оған қатысты ішінара тексеру жүргізілмейді.

4. Қорытынды ережелер

      12. Ішінара тексеру жүргізу еселігі бір жылда бір ретті құрайды.
      13. Ішінара тексерулер тиісті есептік кезең басталғанға дейін күнтізбелік он бес күннен кешіктірмей құқықтық статистика және арнайы есептер бойынша уәкілетті органға жіберілетін жүргізілген талдау және бағалау нәтижелері бойынша тоқсанға (жартыжылдыққа, жылға) қалыптастыратын ішінара тексерулер тізімдері негізінде жүргізіледі.
      14. Ішінара тексерулердің тізімдері:
      1) субъективті критерийлер бойынша ең жоғары тәуекел дәрежесі көрсеткіші бар тексерілетін субъектілердің (объектілердің) басымдығын;
      2) мемлекеттік органның тексерулерді жүргізетін лауазымдық тұлғаларына түсетін жүктемелерін ескере отырып жасалады.

Ақпараттандыру саласындағы
тәуекел дәрежесін бағалау
критерийлеріне 1-қосымша

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс
және өзге де тексеру нысандары)» ақпараттық көздері бойынша
субъективті критерийлер

№	Критерийлер	Бұзушылық дәрежелері
Алдыңғы тексерістердің талдау нәтижелері (ішінара, жоспардан тыс және өзге нысандағы бақылаулар (қатаңдық дәрежесі төменде көрсетілген талаптарды орындамаған жағдайда орнатылады))
1.	функционалдық шарттар өзгерістерінің, аппараттық-бағдарламалық кешенді және ақпараттық технологияларды, ақпараттық жүйенің жоқтығы	өрескел
2.	жалпы құрылымның қауіпсіздік саясаты талаптарына және құрылымда компоненттерді орналастыру сәйкестігі	елеусіз
3.	ақпараттық жүйелерді құраушы болып табылатын компоненттер конфигурацияларының сәйкестігі	елеусіз
4.	ақпараттық жүйе компоненттерінің, сондай-ақ интеграцияланатын ақпараттық жүйе компоненттерінің (ақпараттық жүйенің физикалық және логикалық құрылымы, функционалдық схемаға түсіндірме жазба) өзара iс-қимылының бекiтілген функционалдық схемасының (жоспарының) болуы	елеулі
5.	пайдаланылатын ақпараттық жүйелер ақпараттық қауіпсіздігінің ұйымдастырушылық шараларының болуы	елеулі
6.	есептеу техникасы құралдарын паспорттандыру және ақпараттық ресурстарды пайдалану қағидаларының болуы	елеусіз
7.	штаттан тыс (дағдарыстық) жағдайларда пайдаланушылардың іс-қимыл тәртібі туралы нұсқаулықтың болуы	елеусіз
8.	пайдаланушының компьютерлік жабдықтар мен бағдарламалық қамтамасыз етуді пайдалану жөніндегі нұсқаулығының болуы	елеусіз
9.	вирусқа қарсы қорғауды ұйымдастыру жөніндегі нұсқаулықтың болуы	елеулі
10.	ақпаратты резервтік көшіру туралы нұсқаулықтың болуы	елеулі
11.	сервер әкімшісінің функциялары мен өкілеттіктерін бекіту жөніндегі нұсқаулықтың болуы	елеулі
12.	пайдаланушылар мен әкімшілердің серверлік үй-жайларға кіру қағидаларының болуы	елеулі
13.	корпоративтік ақпараттық желіде пайдаланушыларды тіркеу қағидаларының болуы	елеулі
14.	жүйелік әкімшілердің жұмысына арналған жадынаманың болуы	елеулі
15.	есептеу техникасы құралдарын пайдаланушы жадынамасының болуы	елеулі
16.	жұмыс станцияларында электрондық поштаны және Интернет қызметтерін пайдалану бойынша нұсқаулықтың болуы	елеулі
17.	бағдарламалық қамтамасыз етуді пайдалануға лицензияның және компьютерлік, телекоммуникациялық жабдықтарға, қызмет ақы төлеу терминалына, сауда автоматтарына, пос-терминалдар мен басқа да жабдықтарға компьютерлік жүйенің фискальдық режимде ақпараттық процесте пайдаланатын сәйкестік сертификаттарының болуы	өрескел
18.	компьютерлік жүйе құрамына кіретін және ақпараттық процеске (ҚР СТ МЕМСТ Р ИСО/МЭК 15408-2006 «Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялар қауіпсіздігін бағалау критерийлері») қатысатын фискалдық режимнің, фискалдық жадының техникалық және бағдарламалық құралдарының ақпараттық қауіпсіздік талаптарына сәйкестігі сертификатының болуы	өрескел
19.	компьютерлік жүйелердің қауіпсіздік жүйелерінің серверлік үй-жайларға және қол жеткізу шектелген үй-жайларға талаптарына сәйкестігі	елеусіз
20.	компьютрлік жүйені пайдаланушылар дербес компьютерде сигнатуралар базасы бар лицензиялық немесе өзекті еркін таралатын вирусқа қарсы бағдарламалық қамтамасыз етудің болуы	елеусіз
21.	аппараттық шекаралық машрутизаторлар көмегімен трафикті шифрлай отырып ұйымның аумақтық бөлінген бөлімшелері арасында қорғалған деректерді беру арнасының болуы	елеусіз
22.	желіаралық экран арқылы Интернет желісінен шабуылдарды анықтау (болдырмау) жүйесінің болуы	елеулі
23.	пайдаланушының сәйкестендіру және бірдейлестіру жүйелерінің болуы	елеулі
24.	фискалдық режимде пайдаланылатын, компьютерлік жүйенің негізгі және резервтік серверлік жабдығының желілік карталарын тасығышқа қол жеткізуді басқарудың сәйкестендірушісі бойынша трафикті аппараттық желілік талдағыштың болуы	елеулі
25.	компьютерлік жүйенің резервтік көшіру жүйесінің болуы	елеулі
26.	ақпараттық қауіпсіздік қызметінің болуы	елеулі
27.	компьютерлік жүйе бойынша жауапты тұлғалардың болуы	елеусіз
28.	ақпараттық қауіпсіздік саясатының болуы (қол жеткізілуі шектеулі ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар және практикалық тәсілдер)	өрескел
29.	парольдерді қалыптастыру және пайдалану саясатының болуы	өрескел
30.	резервтік көшіру (мұрағаттау) саясатының болуы	өрескел
31.	пайдаланушылардың, қауіпсіздік әкімшілерінің, жүйелік әкімшілердің қол жеткізу мен міндеттерін шектеу жөніндегі рәсімдерді сипаттайтын құжаттаманың болуы	елеулі
32.	ҚР СТ 1073-2007 «Ақпараттарды криптографиялық қорғау құралдары. Жалпы техникалық талаптар» ақпаратты криптографиялық қорғау құралдар сертификатының болуы және криптографиялық төзімділігіне байланысты сәйкес болатын ҚР СТ 1073-2007 сәйкес қауіпсіздік деңгейіне сәйкес болуы тиіс	өрескел
33.	асспаптық тексеру кезінде анықталған осалдықтардың болуы	елеулі
34.	қолма-қол ақша арқылы, сондай-ақ фискалдық есептерді қалыптастыру кезінде сауда операцияларына, қызметтерді көрсетуге байланысты, оларды одан әрі түзету мүмкіндігінсіз компьютерлік жүйенің барлық операцияларын бекітудің жоқтығы. Компьютерлік жүйенің фискалдық есептерінің шығыс нысандары тексеру объектінің электрондық цифрлық қолтаңбасымен куәландырады	елеулі
35.	электрондық цифрлық қолтаңбаны қалыптастыру және тексеру функциясы бөлігіндегі жұмыс атқарып тұрған компьютерлік жүйенің дұрыс жұмыс істемеу фактісінің жоқтығы	елеулі
36.	бақылау-кассалық машиналардың мемлекеттiк тiзiлiмiне енгізу үшін компьютерлік жүйенің техникалық талаптарына сәйкестігі актінің болуы	елеулі

Ақпараттандыру саласындағы
тәуекел дәрежесін бағалау
критерийлеріне 2-қосымша

«Тексеру субъектілеріне жеке және заңды тұлғалардан,
мемлекеттік органдардан түскен және расталған шағымдар мен
өтініштердің болуы» ақпараттық көздері бойынша субъективті
критерийлер

№	Критерийлер	Бұзушылық дәрежелері
1.	ақпараттандыру саласындағы бір расталған өтініш немесе шағымның болуы	елеусіз
2.	ақпараттандыру саласындағы екі немесе одан көп расталған өтініш немесе шағымның болуы	елеулі

Байланыс саласындағы тәуекел дәрежесін бағалау критерийлері

1. Жалпы ережелер

      1. Осы Байланыс саласындағы тәуекел дәрежелерін бағалау критерийлері (бұдан әрі – Критерийлер) «Қазақстан Республикасында мемлкеттік бақылау және қадағалау туралы» 2011 жылғы 6 қаңтардағы Қазақстан Республикасы Заңына сәйкес тексерілетін субъектілерді тәуекел дәрежесіне жатқызу және ішінара тексерулер жүргізу кезінде тексерілетін субъектілерді іріктеу үшін әзірленген.
      2. Осы критерийлерде мынадай ұғымдар пайдаланылады:
      1) байланыс операторы – байланыс қызметтерiн көрсететін жеке немесе заңды тұлға;
      2) байланыс саласындағы тексерілетін субъектілері (бұдан әрі – тексерілетін субъектілер) – байланыс операторлары, ведомстволық және корпоративтік телекоммуникация желілерінің, ортақ пайдаланылатын телекоммуникация желісіне қосылатын жеке коммутациялық жабдықтың иелері, радиожиілік спектрін пайдаланушылар болып табылатын радиоэлектрондық құралдардың иелері;
      3) тәуекел – тексерілетін субъектінің қызметі нәтижесінде салдарының ауырлық дәрежесі ескеріле отырып, адамның өміріне немесе денсаулығына, қоршаған ортаға, жеке және заңды тұлғалардың заңды мүдделеріне, мемлекеттің мүліктік мүдделеріне зиян келтіру ықтималдығы;
      4) тәуекел дәрежесін бағалаудың объективті критерийлері (бұдан әрі – объективті критерийлер) – белгілі бір қызмет саласында тәуекел дәрежесіне байланысты және жекелеген тексерілетін субъектіге (объектіге) тікелей байланыссыз тексерілетін субъектілерді (объектілерді) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау критерийлері;
      5) тәуекел дәрежесін бағалаудың субъективті критерийлері (бұдан әрі – субъективті критерийлер) – нақты тексерілетін субъектінің (объектінің) қызмет нәтижелеріне байланысты тексерілетін субъектілерді (объектілерді) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау критерийлері;
      6) тәуекелдерді бағалау жүйесі – тексерулерді тағайындау мақсатында бақылау және қадағалау органы жүргізетін іс-шаралар кешені.
      3. Ішінара тексерулер үшін тәуекел дәрежесін бағалау критерийлері объективті және субъективті критерийлер арқылы қалыптастырылады.

2. Объективті критерийлер

      4. Байланыс саласындағы тәуекелді айқындау тексерілетін субъектінің қызметі нәтижесінде салдарының ауырлық дәрежесі ескеріле отырып, адамның өміріне немесе денсаулығына, қоршаған ортаға, жеке және заңды тұлғалардың заңды мүдделеріне, мемлекеттің мүліктік мүдделеріне зиян келтіру ықтималдығына байланысты мыналармен байланысты жүзеге асырылады:
      радиожиілік спектрдің ақылы шектелген ресурстың бақылаусыз қолданылуы радиокедергілердің туындауына және оның заңды иелерімен пайдалану мүмкіндігінің болмауына, сондай-ақ зианды электромагниттік сәуле шығаруларға әкелуі мүмкін;
      арнаулы жедел-іздестіру іс-шарасы техникалық құралдарсыз телекоммуникация желілерінде жабдықтарды пайдалану жедел іздестіру әрекеті органдарымен қажетті іс-шараларды өткізу мүмкіндігінің болмауына әкелуі мүмкін;
      трафиктерді өткізу тәртібін бұзу әлеуметтік, табиғи және техногендік сипаттағы төтенше жағдай болған кезде кез келген желілер мен байланыс құралдарының (үкіметтік байланыстан басқа) қызметін тоқтата тұруға мүмкін еместігіне әкелуі мүмкін байланыс саласындағы тәуекелдері анықталады.
      5. Байланыс саласында жоғарғы дәрежедегі тәуекел дәрежелеріне лицензияланбайтын байланыс түрлерін көрсететін тексерілетін субъектілер, сонымен қатар арнаулы, ведомстволық және корпоративтік телекоммуникация желілерінің, ортақ пайдаланылатын телекоммуникация желісіне қосылатын жеке коммутациялық жабдықтың иелері, радиожиілік спектрін пайдаланушылар болып табылатын радиоэлектрондық құралдардың иелері жатады.
      6. Жоғары дәрежеге жатпайтын тексерілетін субъектілерге қалааралық телефон байланысы, халықаралық телефон байланысы, спутниктік жылжымалы байланыс және ұялы байланыс (стандарт атауын көрсете отырып) қызметтерін көрсетуге лицензия алған тексерілетін субъектілер жатады.
      7. Жоғары тәуекел дәрежесіне жатқызылған тексерілетін субъектілерге қарасты ішінара тексеру жүргізіледі.

3. Субъективті критерийлер

      8. Субъективті критерийлерді айқындайтын мынадай:
      1) деректер базасын қалыптастыру және ақпарат жинау;
      2) ақпаратты талдау және тәуекелдерді бағалау кезеңдерін қолдана отырып жүзеге асырылады.
      9. Дерекқорды қалыптастыру және ақпарат жинау Қазақстан Республикасының байланыс саласындағы заңнаманы бұзатын тексерілетін субъектілерді анықтау үшін қажет.
      Субъективті критерийлерді талдау және бағалау тексерілетін субъектіге қатысты тексерулерді ең жоғары әлеуетті тәуекелмен шоғырландыруға мүмкіндік береді. Бұл ретте, талдау мен бағалау кезінде нақты тексерілетін субъектіге қатысты бұрын ескерілген және пайдаланылған субъективті критерийлердің деректері қолданылмайды.
      Субъективті критерийлер бойынша тәуекелдер дәрежесін бағалау үшін мынадай ақпарат көздері:
      1) бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары). Бұл ретте, бұзушылықтардың ауырлық дәрежесі (өрескел, елеулі, елеусіз) тексеру парақтарында көрсетілген Қазақстан Республикасының байланыс саласындағы заңнама талаптарын бұзған жағдайда қойылады.
      2) радиожиiлiк спектрі, радиоэлектрондық құралдар және (немесе) жоғары жиілікті құрылғылар, көрсетілетін байланыс қызметтінің сапа мониторингі нәтижесі;
      3) тексерілетін субъектілерге жеке және заңды тұлғалардан, мемлекеттік органдардан түскен және расталған шағымдар мен өтініштердің болуы туралы мәліметтерді талдау нәтижелері пайдаланылады.
      10. Субъективті критерийлер бойынша тексерілетін субъектілердің тәуекел дәрежесін бағалау және оларды жоғарғы дәрежедегі тәуекел тобына және жоғары дәрежеге жатпайтын топқа жатқызу мына көрсеткіштер арқылы жүзеге асырылады:
      1) «бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары)» ақпараттық көздері бойынша субъективті критерийлер осы Критерийлерге - 1 қосымшаға сәйкес анықталады;
      2) «радиожиiлiк спектрі, радиоэлектрондық құралдар және (немесе) жоғары жиілікті құрылғылар, көрсетілетін байланыс қызметтінің сапа мониторингі нәтижесі» ақпараттық көздері бойынша субъективті критерийлер осы Критерийлерге - 2 қосымшаға сәйкес анықталады;
      3) «тексеру субъектілеріне жеке және заңды тұлғалардан, мемлекеттік органдардан түскен және расталған шағымдар мен өтініштердің болуы» ақпараттық көздері бойынша субъективті критерийлер осы Критерийлерге 3-қосымшаға сәйкес анықталады.
      11. Әр ақпараттық дерек бойынша тәуекел дәрежесі төмендегі тәсіл бойынша анықталады.
      Өрескел дәрежедегі бір орындалмаған талап 100 көрсеткішке теңеседі және ол ішінара тексеріс жүргізуге негіз болып табылады.
      Егер өрескел дәрежедегі талаптардың бұзылуы анықталмаған кезде, онда тәуекел дәрежесінің көрсеткішін анықтау үшін елеулі және елеусіз дәрежелерінің жиынтық көрсеткіштері есептеледі.
      Елеулі дәрежедегі бұзушылықтың көрсеткішін анықтау кезінде 0,7 коэффициенті қолданылады және осы көрсеткіш мына формула бойынша есептеледі:

Рз = (Р₂ х 100/Р₁) х 0,7

      мұндағы:
     Р_з – елеулі дәрежедегі бұзушылық көрсеткіші;
     Р₁ – елеулі дәрежедегі индикаторлардың жалпы саны, тексеруге (сараптауға) ұсынылатын тексерілетін субъектілерге (объектілерге) қойылатын талаптар;
     Р₂ – елеулі дәрежедегі талаптардың бұзушылықтар саны.
      Елеусіз дәрежедегі бұзушылықтың көрсеткішін анықтау кезінде 0,3 коэффициенті қолданылады және осы көрсеткіш мына формула бойынша есептеледі:

Р_н = (Р₂ х 100/Р₁) х 0,3

Р = Р_з + Р_н

4. Қорытынды ережелер

Байланыс саласындағы тәуекел
дәрежесін бағалау критерийлеріне
1-қосымша

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс
және өзге де тексеру нысандары)» ақпараттық көздері бойынша
субъективті критерийлер

№	Критерийлер	Бұзушылық дәрежелері
Алдыңғы тексерістердің талдау нәтижелері (ішінара, жоспардан тыс және өзге нысандағы бақылаулар (қатаңдық дәрежесі төменде көрсетілген талаптарды орындамаған жағдайда орнатылады)
1.	байланыс саласында лицензияланатын қызмет түрлерін көрсетуге лицензияның болуы	өрескел
2.	байланыс желілерінде жедел-іздестіру қызметін жүзеге асыратын органдарға барлық байланыс желілерінде жедел-іздестіру іс-шараларын жүргізудің ұйымдастырушылық және техникалық мүмкіндіктерін қамтамасыз етуі	өрескел
3.	абоненттер туралы қызметтік ақпаратты екі жыл шегінде жинау мен сақтауды жүзеге асыру	өрескел
4.	Қазақстан Республикасының бірыңғай телекоммуникация желісінде пайдаланылатын техникалық байланыс құралдарының пошта байланысының техникалық құралдарының электро магниттік сәулелеу көзі болып табылатын радиоэлектрондық құралдар мен жоғары жиілікті құрылғылардың, сәйкестiгiн растауы	өрескел
5.	адамдардың өмірі мен денсаулығына, қоршаған ортаға немесе тіршілікті қамтамасыз ету жүйелерінің қалыпты жұмыс істеуіне қауіп төндіретін, еңбекті қорғау және қауіпсіздік техникасының жекелеген байланыс құралдарының немесе желілерінің жұмысындағы бұзушылықтарды жою туралы ұйғарымдарды орындауы	елеулі
6.	Қазақстан Республикасының өлшем бірлігін қамтамасыз етудің мемлекеттік жүйесінің тізіліміне енгізілген, қолданыстағы тексеру сертификаты бар байланыс операторының деректер таратуды өлшеу жүйесі мен қосылу ұзақтығын өлшеу жүйесі бар міндетті трафикті есепке алу жүйелерінің болуы	елеулі
7.	ортақ пайдаланылатын телекоммуникация желілеріне жергілікті телефон байланысы желілерінің қосылу деңгейлерінің сәйкестігі	елеулі
8.	ортақ пайдаланылатын телекоммуникация желілеріне аймақішілік желілерінің қосылу деңгейлерінің сәйкестігі	елеулі
9.	ортақ пайдаланылатын телекоммуникация желілеріне қалааралық және (немесе) халықаралық байланыс желілерінің қосылу деңгейлерінің сәйкестігі	елеулі
10.	ортақ пайдаланылатын телекоммуникация желілеріне жылжымалы байланыс желілерінің қосылу деңгейлерінің сәйкестігі	елеулі
11.	ортақ пайдаланылатын телекоммуникация желілеріне деректерді тарату желілерінің қосылу деңгейлерінің сәйкестігі	елеулі
12.	ортақ пайдаланылатын телекоммуникация желілеріне IP–телефония (Интернет–телефония) операторларының қосылу деңгейлерінің сәйкестігі	елеулі
13.	байланыс операторының, қызмет провайдерінің, ведомстволық телекоммуникациялар желісі, арнайы тағайындалған телекоммуникациялар желісі, корпоративтік желі иелерінің бөлінген «АВС» кодымен нөмірлеудің географиялық анықталатын аймағындағы жергілікті телекоммуникациялар желілерінің нөмірлеу ресурсының 50 пайыздан астамын тағайындалған сәттен бастап екі жылдың ішінде пайдалануы (уәкілетті орган жүзеге асыратын тексеру нәтижелері бойынша барлық бөлінген нөмірлеу сыйымдылығынан пайдаланбайтын бөлігі алып тасталады)	елеусіз
14.	нөмірлеу ресурсын алушымен нөмірлеу ресурсын пайдалануы (нөмірлеу аймағын географиалық айқындамайтын «DEF» кодындағы «Х1», «Х1Х2» индекстері; қызметтердің қол жеткізу кодтарын пайдалануымен байланыс қызметтерін ұсынатын (Х1Х2Х3)/(Х1Х2Х3Х4) операторлар кодтары; «1UV (Х1(Х2))» шұғыл жедел, ақпараттық-анықтамалық және тапсырыс беру қызметтеріне қол жеткізу нөмірлері, қалааралық және (немесе) халықаралық байланыс операторларының таңдау префикстері) бөлінген сәттен бастап екі жыл ішінде 6 айдан астам пайдалану (уәкілетті орган жүзеге асыратын тексеру нәтижелері бойынша)	елеусіз
15.	қалааралық және халықаралық байланыс шетелдік операторлармен трафик алмасуды Қазақстан Республикасының қалааралық және халықаралық байланыс операторлары арқылы жүзеге асыруы	өрескел
16.	қалааралық және халықаралық байланыс операторлары шетелдік операторлармен трафик алмасуды Телекоммуникация желілерін орталықтан басқару жүйесі арқылы жүзеге асыруы	өрескел
17.	қалааралық және (немесе) халықаралық байланыс операторының телекоммуникация желiсiнің басқару орталығы Қазақстан Республикасының аумағында орналасқан жерүсті сегменттерi мен коммутациялық тораптарды қамтуы	елеулі
18.	көліктік желiлердi резервке қою тәуелсiз географиялық трассалар бойынша ұйымдастырылған тәуелсiз айналма жолдарды беру немесе сол тарату желiлерiнде ұйымдастырылатын трактiлерге (арналарға) ауыстыру жолымен жүзеге асыруы	елеулі
19.	ҚХБОТЖ құрамында жер үстiндегi байланыс жолдары бойынша көлiктiк желiнiң шетелдердiң байланыс операторларының телекоммуникация желiлерiмен кемiнде бiр тоғысу нүктесiнің болуы	елеулі
20.	ҚХБОТЖ құрамында көліктік телекоммуникация желiлерiнің (магистральдық және iшкi аймақтық байланыс желiлерінің) болуы	елеулі
21.	ҚХБОТЖ құрамында коммутациялық қалааралық және халықаралық станциялардың болуы	елеулі
22.	ҚХБОТЖ құрамында жұмыс iстеуін қамтамасыз ететiн жүйелерi - басқару жүйесi мен техникалық пайдалану жүйесінің болуы	елеулі
23.	ҚХБОТЖ құрамында тактілік желілік синхрондау жүйесiнің болуы	елеулі
24.	басқа елдердiң ОПТЖ-мен халықаралық қосылыстарды ұйымдастыру үшiн ҚХБОТЖ көлiктiк желiлерiнде (ШЖТ) кемінде үш таратудың (екеуi өз желiсiнiң бағытымен және бipeуi басқа елдiң желiсiнiң бағытында) шығуыдың (үш бағыт) болуы	елеулі
25.	қалааралық және (немесе) халықаралық байланыс операторының телекоммуникацияның әмбебап қызметтерiн қамтамасыз ететiн желiлерiн құруды (дамытуды) дербес жүзеге асыруы	елеулі
26.	ҚХБО жұмылдыру дайындығы жөніндегі iс-шараларды орындауы	елеулі
27.	ҚХБОТЖ кемiнде алты облыстың (географиялық нөмiрлеу аймағы), Астана және Алматы қалаларының аумағын қамтуы	елеулі
28.	ҚХБО-ның барлық XКO басқа ҚХБО-ның кемiнде екi ХКО-сымен байланысуы, ал барлық AXTC кемінде екi XКО-мен байланысуы тиiс	елеусіз
29.	техникалық басшылар мен мамандар білікті құрамының болуы	елеусіз
30.	ҚХБО-ның акционерлер (қатысушылар) арасында акциялар пакетін (жарғылық капиталға қатысу үлесімен) бөлу жөнінде ақпарат ұсынуы	елеусіз
31.	ОПТЖ-ның қалааралық және халықаралық байланыс операторының телекоммуникациялардың өзара үйлестiрiлген желiсi мүмкiндiктерiн ескере отырып, алынған өтiнiмдердiң негiзiнде соғыс уақытында берiлетiн Байланыс арналарының (трассаларының) тiзбелерiн әзiрлеуі	елеулі
32.	бақылау субъектісінің Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі төрағасының 2009 жылғы 2 ақпандағы № 43 бұйрығымен бекітілген тарификация бірліктерінің өлшемдерін сақтауы	елеулі
33.	абаненттерге шұғыл медициналық, құқық қорғау, өрт, апат, анықтамалық және өзге де қызметтермен тегін қосылысты ұсынуды қамтамасыз етуі	елеулі
34.	зияткерлік қызметтер (лотерея, дауыс беру, телевикторина, викторина, анықтамалық ақпараттық қызметтер, танысу қызметтері) ұсынылған жағдайда тарифтелетін қосылудың басталуына дейін байланыс операторымен абонентке осындай қосылыстың құны туралы хабарлауы	елеулі
35.	байланыс қызметтерін көрсетуге байланысты ақпаратты абоненттерге ұсыну мақсатында ақпараттық-анықтамалық қызмет көрсету жүйесін құруы	елеусіз
36.	байланыс операторының желісінде абонент алған байланыс қызметтерін, оларды пайдалану уақыты, ұқсас стандартты басқа желі абоненттерінің телефон нөмірлерімен қосылыстары туралы ақпараттарды автоматты түрдегі есепке алуды жүзеге асыруы	елеусіз
37.	абоненттерге қалааралық немесе халықаралық телефон байланысы операторын еркін таңдау техникалық мүмкіндігін қамтамасыз етуі	елеулі
38.	абоненттерге түнгі уақытта (сағат 22:00 ден 06:00 дейін) бұрын абонент сұратпаған, қысқа мәтіндік хабарламаларды және/немесе мультимедиялық хабарламалар арқылы ақпараттарды (жарнамалық сипаттағы таратуларды) жіберу бойынша шек қоюы (ұялы байланыс операторы үшін)	елеусіз
39.	байланыс операторының абонентке байланыс қызметін көрсеткенде оған өзге ақылы қызметтерді күштеп жүктеуге жол бермеуі	елеулі
40.	абонент телефон байланысы қызметінің сапасы нашарлағаны туралы өтінішті берген күнінен бастап күнтізбелік үш күн ішінде сапасын қалпына келтіру бойынша қажетті шараларды қабылдау және абоненттік төлемнің қайта есебін жүргізуі	елеусіз
41.	абоненттің кінәсінен емес терминалдың нақты әрекетсіздік кезеңінде абоненттік төлемдерге қайта есеп жүргізуі	елеусіз
42.	абонентті телефон желілеріндегі авариялар туралы және осы аварияларды жоюдың болжанатын мерзімі туралы хабардар етуі	елеусіз
43.	абонентті абоненттік нөмірді алмастыру туралы және (немесе) себептерді көрсетумен терминалды ажырату туралы 30 күннен кешіктірмей жазбаша хабардар етуі	елеусіз
44.	абоненттерді телефон байланысы қызметтеріне тарифтердің өзгеруі туралы, оларды қолданысқа енгізгенге дейін 30 күннен кешіктірмей хабарлауы	елеусіз
45.	уақтылы төлемегені үшін ажыратылған телефон байланысы қызметіне қолжетімділікті, берешекті өтеген кезден бастап жиырма төрт сағат ішінде тегін қайта іске қосуы	елеусіз
46.	абоненттің талабы бойынша оған телефон байланысы қызметін көрсетуге байланысты ақпаратты ұсынуы	елеусіз
47.	байланыс операторының абонентке телефон байланыс қызметін көрсету кезінде ол өзге қызметтерді алу шартын орындамаған жағдайда оның құқығын шектеуге жол берілмеуі	елеусіз
48.	байланыс операторы немесе оның өкілімен байланыс қызметін көрсетуге абоненттермен шарт жасасуы	елеулі
49.	байланыс операторларының олардың желісінде жұмыс істейтін абоненттік құрылғылардың сәйкестендіру кодының тізілімін жүргізуі (ұялы байланыс операторы үшін)	елеусіз
50.	өз желісінде абоненттік құрылғы иесінің өтінішімен сәйкестендіру коды бойынша абоненттік құрылғы жұмысын, тоқтата тұру немесе қалпына келтіруі (ұялы байланыс операторы үшін)	елеулі
51.	абоненттерді байланыс құралдарын жартылай немесе толық ағытуға байланысты алдын-алу қызметтері туралы және осы жұмыстарды аталған жұмыстар басталғанға дейін күнтізбелік он күн бұрын осы жұмыстарды өткізу мерзімдері туралы хабарлауы	елеусіз
52.	тәулік бойы режимінде ағымдағы есеп шотындағы ақшаның балансын тексеруді қамтамасыз етуі (ұялы байланыс операторлары үшін)	елеусіз
53.	абонентке көрсетілген ұялы байланыс қызметтеріне артық төленген ақша қаражатын қайтаруы немесе оларды ұялы байланыс қызметтеріне аванстау ретінде есептеуі	елеусіз
54.	ұялы байланыс операторының абонентке ұялы байланыс қызметтерін көрсетуде техникалық мүмкіндігі бар, ұялы байланыс қызметтерін көрсету туралы шарт жасасудан бас тартуға жол бермеуі	елеулі
55.	абоненттік нөмірлерді байланыс желісі нумерациясы жоспарының өзгеруіне байланысты абоненттерді осындай ауыстыру себебі туралы абоненттерге алдынала хабарлай отырып тегін ауыстыруы	елеусіз
56.	байланыс қызметтеріне төлеу кредиттік есеп айырысу тәсілінің шарттарын сақтауы	елеусіз
57.	байланыс қызметтеріне төлеу аванстық есеп айырысу тәсілінің шарттарын сақтау	елеусіз
58.	абоненттік нөмір абонентте абоненттің жеке шотында ақша аяқталғаннан бастап он екі айдың ішінде сақталуы	елеусіз
59.	абоненттің өтініші бойынша абоненттік нөмірді қосымша төлем алмай қайта тіркеуді жүзеге асыруы	елеусіз
60.	пошта жөнелтiмiн жiберудiң бақылау мерзiмiн сақтауы	елеусіз
61.	салымның жоғалуына, жетiспеуіне немесе тiркелетiн пошта жөнелтiмi зақымдалуына (бүлiнуіне) жол бермеуі	елеусіз
62.	жеделхат мәтiнiн оның мағынасы өзгеретiндей бұрмалауға жол бермеуі	елеусіз

      Ескертпе: Аббревиатуралардың шешілуі:
      1. ҚХБОТЖ - қалааралық және (немесе) халықаралық байланыс операторының телекоммуникация желiсi;
      2. ШЖТ – шетелдік желілік тораптар;
      3. ОПТЖ – ортақ пайдаланылатын телекоммуникация;
      4. ҚХБО – қалааралық және (немесе) халықаралық байланыс операторына;
      5. XКO – халықаралық коммутация орталығы;
      6. АҚТС – автоматты қалааралық телефон станциясы.

Байланыс саласындағы тәуекел
дәрежесін бағалау критерийлеріне
2-қосымша

«Радиожиiлiк спектрі, радиоэлектрондық құралдар және (немесе)
жоғары жиілікті құрылғылар, көрсетілетін байланыс қызметтінің
сапа мониторингі нәтижесі» ақпараттық көздері бойынша
субъективті критерийлер

№	Критерийлер	Бұзушылық дәрежелері
1.	радиожиілік спектірін пайдалануға рұқсатының бар болуы	өрескел
2.	радиоэлектрондық құралдарды және жоғары жиілікті құрылғыларды пайдалануға рұқсатының бар болуы	елеулі
3.	радиоэлектрондық құралдар мен жоғары жиiлiктi құрылғылардың техникалық сипаттамалары мен пайдалану жағдайларының рұқсатта жазылған талаптарға сай келуi	елеулі
4.	пайдаланушыларға сапасы жағынан байланыс қызметтерінің сапа көрсеткіштеріне сәйкес келетiн байланыс қызметтерiн көрсетуі	елеусіз

Байланыс саласындағы тәуекел
дәрежесін бағалау критерийлеріне
3-қосымша

«тексеру субъектілеріне жеке және заңды тұлғалардан,
мемлекеттік органдардан түскен және расталған шағымдар мен
өтініштердің болуы» ақпараттық көздері бойынша субъективті
критерийлер

№	Критерийлер	Бұзушылық дәрежелері
1.	байланыс саласындағы бір расталған өтініш немесе шағымның болуы	елеусіз
2.	байланыс саласындағы екі немесе одан көп расталған өтініш немесе шағымның болуы	елеулі

Электрондық құжат және электрондық цифрлық қолтаңба туралы
Қазақстан Республикасы заңнамасының сақталуына тәуекелдер
дәрежесін бағалау критерийлері

1. Жалпы ережелер

      1. Осы электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасының заңнамасын сақтаудың тәуекелдік дәрежесін бағалау критерийлері (бұдан әрі - Критерийлер) «Қазақстан Республикасында мемлекеттік бақылау және қадағалау туралы» 2011 жылғы 6 қаңтардағы Заңға сәйкес тексерілетін субъектілерді тәуекел дәрежесіне жатқызу және ішінара тексерулер жүргізу кезінде тексерілетін субъектілерді іріктеу үшін әзірленген.
      2. Осы критерийлерде мынадай ұғымдар пайдаланылады:
      1) тәуекел – тексерілетін субъектінің қызметі нәтижесінде салдарының ауырлық дәрежесі ескеріле отырып, адамның өміріне немесе денсаулығына, қоршаған ортаға, жеке және заңды тұлғалардың заңды мүдделеріне, мемлекеттің мүліктік мүдделеріне зиян келтіру ықтималдығы;
      2) тәуекел дәрежесін бағалаудың объективті критерийлері (бұдан әрі – объективті критерийлер) – белгілі бір қызмет саласында тәуекел дәрежесіне байланысты және жекелеген тексерілетін субъектіге (объектіге) тікелей байланыссыз тексерілетін субъектілерді (объектілерді) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау критерийлері;
      3) тәуекел дәрежесін бағалаудың субъективті критерийлері (бұдан әрі – субъективті критерийлер) – нақты тексерілетін субъектінің (объектінің) қызмет нәтижелеріне байланысты тексерілетін субъектілерді (объектілерді) іріктеу үшін пайдаланылатын тәуекел дәрежесін бағалау критерийлері;
      4) тәуекелдерді бағалау жүйесі – тексерулерді тағайындау мақсатында бақылау және қадағалау органы жүргізетін іс-шаралар кешені;
      5) электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасының заңнамасын сақталуына тексерілетін субъектілер (бұдан әрі – тексерілетін субъектілер) – электрондық цифрлық қолтаңбаның ашық кілтінің электрондық цифрлық қолтаңбаның жабық кілтіне сәйкестігін куәландыратын, сондай-ақ тіркеу куәлігінің дұрыстығын растайтын заңды тұлға.
      3. Ішінара тексерулер үшін тәуекел дәрежесін бағалау критерийлері объективті және субъективті критерийлер арқылы қалыптастырылады.

2. Объективті критерийлер

      4. Электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасының заңнамасының сақталуына тәуекелді айқындау тексерілетін субъектінің қызметі нәтижесінде салдарының ауырлық дәрежесі ескеріле отырып, адамның өміріне немесе денсаулығына, қоршаған ортаға, жеке және заңды тұлғалардың заңды мүдделеріне, мемлекеттің мүліктік мүдделеріне зиян келтіру ықтималдығы электрондық құжаттарды және электрондық цифрлық қолтаңбаларды бақылаусыз пайдалану және беру ашық кілттің беделіне дақ түсіру және электрондық цифрлық қолтаңбаны заңсыз пайдалану садарына әкеліп соғатын электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасының заңнамасын сақтаудағы тәуекелдері анықталады.
      5. Объективті критерийлер бойынша жоғары тәуекел дәрежесіне жататын тексеру субъектілеріне Қазақстан Республикасы аумағында аккредиттелген куәландырушы орталықтар жатады.
      6. Жоғары тәуекел дәрежесіне жатқызылған тексерілетін субъектілерге қарасты ішінара тексеру жүргізіледі.

3. Субъективті критерийлер

      7. Субъективті критерийлерді айқындау мынадай:
      1) деректер базасын қалыптастыру және ақпарат жинау;
      2) ақпаратты талдау және тәуекелдерді бағалау кезеңдерін қолдана отырып жүзеге асырылады.
      8. Дерекқорды қалыптастыру және ақпарат жинау Қазақстан Республикасының электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасының заңнамасын бұзатын тексерілетін субъектілерді анықтау үшін қажет.
      Субъективті критерийлерді талдау және бағалау тексерілетін субъектіге қатысты тексерулерді ең жоғары әлеуетті тәуекелмен шоғырландыруға мүмкіндік береді. Бұл ретте, талдау мен бағалау кезінде нақты тексерілетін субъектіге қатысты бұрын ескерілген және пайдаланылған субъективті критерийлердің деректері қолданылмайды.
      Субъективті критерийлер бойынша тәуекелдер дәрежесін бағалау үшін мынадай ақпарат көздері:
      1) бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары). Бұл ретте, бұзушылықтардың ауырлық деңгейі (өрескел, елеулі, елеусіз) тексеру парақтарында көрсетілген электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасының заңнама талаптарын бұзған жағдайда қойылады;
      2) тексеру субъектілеріне жеке және заңды тұлғалардан, мемлекеттік органдардан түскен және расталған шағымдар мен өтініштердің болуы туралы мәліметтерді талдау нәтижелері пайдаланылады.
      9. Субъективті критерийлер бойынша тексерілетін субъектілердің тәуекел дәрежесін бағалау және оларды жоғарғы дәрежедегі тәуекел тобына және жоғары дәрежеге жатпайтын топқа жатқызу мына көрсеткіштер арқылы жүзеге асырылады:
      1) «бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары)» ақпараттық көздері бойынша субъективті критерийлер осы Критерийлерге 1-қосымшаға сәйкес анықталады;
      2) «тексеру субъектілеріне жеке және заңды тұлғалардан, мемлекеттік органдардан түскен және расталған шағымдар мен өтініштердің болуы» ақпараттық көздері бойынша субъективті критерийлер осы Критерийлерге 2-қосымшаға сәйкес анықталады.
      10. Әр ақпараттық дерек бойынша тәуекел дәрежесі төмендегі тәсіл бойынша анықталады.
      Өрескел дәрежедегі бір орындалмаған талап 100 көрсеткішке теңеседі және ол ішінара тексеріс жүргізуге негіз болып табылады.
      Егер өрескел дәрежедегі талаптардың бұзылуы анықталмаған кезде, онда тәуекел дәрежесінің көрсеткішін анықтау үшін елеулі және елеусіз дәрежелерінің жиынтық көрсеткіштері есептеледі.
      Елеулі дәрежедегі бұзушылықтың көрсеткішін анықтау кезінде 0,7 коэффициенті қолданылады және осы көрсеткіш мына формула бойынша есептеледі:

Р_з = (Р₂ х 100/Р₁) х 0,7

Р_н = (Р₂ х 100/Р₁) х 0,3

Р = Р_з + Р_н

4. Қорытынды ережелер

      11. Ішінара тексеру жүргізу еселігі бір жылда бір ретті құрайды.
      12. Ішінара тексерулер тиісті есептік кезең басталғанға дейін күнтізбелік он бес күннен кешіктірмей құқықтық статистика және арнайы есептер бойынша уәкілетті органға жіберілетін жүргізілген талдау және бағалау нәтижелері бойынша тоқсанға (жартыжылдыққа, жылға) қалыптастыратын ішінара тексерулер тізімдері негізінде жүргізіледі.
      13. Ішінара тексерулердің тізімдері:
      1) субъективті критерийлер бойынша ең жоғары тәуекел дәрежесі көрсеткіші бар тексерілетін субъектілердің (объектілердің) басымдығын;
      2) мемлекеттік органның тексерулерді жүргізетін лауазымдық тұлғаларына түсетін жүктемелерін ескере отырып жасалады.

Электрондық құжат және электрондық
цифрлық қолтаңба туралы Қазақстан
Республикасының заңнамасын сақтаудың
тәуекел дәрежесін бағалау
критерийлеріне 1-қосымша

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және
өзге де тексеру нысандары)» ақпараттық көздері бойынша
субъективті критерийлер

№	Критерийлер	Бұзушылық дәрежелері
Алдыңғы тексерістердің талдау нәтижелері (ішінара, жоспардан тыс және өзге нысандағы бақылаулар (қатаңдық дәрежесі төменде көрсетілген талаптарды орындамаған жағдайда орнатылады)
1.	Қазақстан Республикасының уақыт бірлігі эталонынан, позициялаудың спутниктік жаһандық жүйелерінен, жалпыға бірдей танылған халықаралық көздерден уақыттың ағымдағы мәні туралы цифрлық ақпараттың мерзімді берілуін қамтамасыз ететін техникалық құралдар кешені бар аккредиттелетін куәландырушы орталықтың уақытын үйлестіру рәсімінің болуы	өрескел
2.	осы куәландырушы орталықта және оны пайдаланушылар қолданатын ҚР СТ 1073-2007 бойынша пайдаланылатын АКҚҚ-ға сәйкестік сертификатының болуы	өрескел
3.	акредиттелетін куәландырушы орталық мемлекеттік ақпараттық жүйелермен ықпалдастырылған жағдайда, куәландырушы орталықтың ақпараттық қауіпсіздік талаптарына және Қазақстан Республикасының аумағында қабылданған стандарттарға сәйкестігі аттестатының болуы	елеулі
4.	тiркеу куәлiгiн керi қайтарып алу бойынша тiркеу куәлiгi иесiнiң талабын сақтау	өрескел
5.	серверлік үй-жайларға қойылатын талаптарды сақтау	өрескел
6.	куәландырушы орталықтың ақпараттық қауіпсіздік саясатының болуы	елеусіз
7.	куәландырушы орталық қызметінің регламентін немесе қағидаларының болуы	елеулі
8.	тіркеу куәліктерін қолдану саясатының болуы	елеусіз
9.	куәландырушы орталық туралы ереженің болуы	елеулі
10.	штаттан тыс, дағдарысты жағдайларда өтініш берушінің атынан куәландырушы орталықтың тіркеу куәліктерін сүйемелдеу, әкімшілендіру, шығару жөніндегі жұмыстарға тікелей қатысып, жұмыстарды жүзеге асыратын жұмыскерлердің іс-қимылы жөніндегі нұсқаулықтың болуы	елеусіз
11.	куәландырушы орталықтың ақпараттық ресурстарын резервтік көшіру туралы нұсқаулығының бар болуы	өрескел
12.	куәландырушы орталықтың бағдарламалық қамтамасыз етілуін орнату және ретке келтіру жөніндегі нұсқаулықтың болуы	елеулі
13.	тіркеу куәлігінде тiркеу куәлiгiнiң нөмiрi мен оның қолданылу мерзiмiнің болуы	елеулі
14.	тіркеу куәлігінде электрондық цифрлық қолтаңбаның иесiн бiрдейлендiруге мүмкiндiк беретiн деректердің болуы	елеулі
15.	тіркеу куәлігінде электрондық цифрлық қолтаңбаның ашық кiлтiнің болуы	елеулі
16.	тіркеу куәлігінде электрондық цифрлық қолтаңбаның тиiстi жабық кiлтiн жасау үшiн пайдаланылатын электрондық цифрлық қолтаңба құралдары туралы деректердің болуы	елеулі
17.	тіркеу куәлігінде электрондық цифрлық қолтаңбаны қолдану салалары мен оны қолдануды шектеу туралы ақпараттың болуы	елеулі
18.	тіркеу куәлігінде тиiстi куәландырушы орталықтың реквизиттерiнің болуы	елеулі
19.	өтініш беруші бекіткен куәландырушы орталықтың модульдерінің (компонент бөліктерінің) өзара іс-қимылының схемасының және қолданылатын криптографиялық түрлендіру алгоритмдері туралы деректер және электрондық цифрлық қолтаңба процесін іске асыру жөніндегі басқа да бастапқы деректер (негізгі талаптар) мен жекелеген параметрлерге және куәландырушы орталыққа қойылатын талаптар бар электрондық цифрлық қолтаңба схемаларының болуы	елеулі
20.	электрондық цифрлық қолтаңбаны дұрыс пайдаланбау фактісінің балмауы	елеулі

Электрондық құжат және электрондық
цифрлық қолтаңба туралы Қазақстан
Республикасының заңнамасын сақтаудың
тәуекел дәрежесін бағалау
критерийлеріне 2-қосымша

«Тексеру субъектілеріне жеке және заңды тұлғалардан,
мемлекеттік органдардан түскен және расталған шағымдар мен
арзыдардың болуы» ақпараттық көздері бойынша субъективті
критерийлер

№	Критерийлер	Бұзушылық дәрежелері
1.	электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасы заңнамасының сақталуына бір расталған өтініш немесе шағымның болуы	елеусіз
2.	электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасы заңнамасының сақталуына екі немесе одан көп расталған өтініш немесе шағымның болуы	елеулі

Об утверждении критериев оценки степени рисков в области информатизации, связи, за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи

Совместный приказ Министра по инвестициям и развитию Республики Казахстан от 29 июня 2015 года № 735 и и.о. Министра национальной экономики Республики Казахстан от 30 июня 2015 года № 494. Зарегистрирован в Министерстве юстиции Республики Казахстан 14 августа 2015 года № 11891. Утратил силу совместным приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 30 декабря 2015 года № 1275 и и.о. Министра национальной экономики Республики Казахстан от 31 декабря 2015 года № 841

Сноска. Утратил силу совместным приказом и.о. Министра по инвестициям и развитию РК от 30.12.2015 № 1275 и и.о. Министра национальной экономики РК от 31.12.2015 № 841 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 2) пункта 1 статьи 11 и пунктом 3 статьи 13 Закона Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» ПРИКАЗЫВАЕМ:
      1. Утвердить:
      1) Критерии оценки степени рисков в области информатизации согласно приложению 1 к настоящему совместному приказу;
      2) Критерии оценки степени рисков в области связи согласно приложению 2 к настоящему совместному приказу;
      3) Критерии оценки степени рисков за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи согласно приложению 3 к настоящему совместному приказу.
      2. Признать утратившим силу совместный приказ Министра связи и информации Республики Казахстан от 31 августа 2011 года № 263 и Министра экономического развития и торговли Республики Казахстан от 16 сентября 2011 года № 305 «Об утверждении критериев оценки степени риска в сфере частного предпринимательства в области информатизации, связи, за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи» (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 7262, опубликованный в газете «Казахстанская правда» 12 ноября 2011 года № 361-362 (26752-26753).
      3. Комитету связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан (Казангап Т.Б) обеспечить:
      1) государственную регистрацию настоящего совместного приказа в Министерстве юстиции Республики Казахстан;
      2) в течение десяти календарных дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан направление его копии на официальное опубликование в периодических печатных изданиях и информационно-правовой системе «Әділет»;
      3) размещение настоящего совместного приказа на интернет-ресурсе Министерства по инвестициям и развитию Республики Казахстан и на интранет-портале государственных органов;
      4) в течение десяти рабочих дней после государственной регистрации настоящего совместного приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства по инвестициям и развитию Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1), 2) и 3) пункта 3 настоящего совместного приказа.
      4. Контроль за исполнением настоящего совместного приказа возложить на курирующего вице-министра по инвестициям и развитию Республики Казахстан.
      5. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр по инвестициям и
развитию Республики Казахстан

______________А. Исекешев

Исполняющий обязанности
Министра национальной экономики Республики Казахстан

______________ М. Кусаинов

            «СОГЛАСОВАН»
      Председатель Комитета по
      правовой статистике и
      специальным учетам
      Генеральной прокуратуры
      Республики Казахстан

__________ С. Айтпаева
13 июля 2015 год

Приложение 1
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494

Критерии оценки степени риска в области информатизации

1. Общие положения

      1. Настоящие Критерии оценки степени риска в области информатизации (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
      2. В настоящих Критериях используются следующие понятия:
      1) проверяемые субъекты в области информатизации (далее – проверяемые субъекты) – владельцы электронных информационных ресурсов, информационных систем;
      2) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
      3) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
      4) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
      5) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок.
      3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.

2. Объективные критерии

      4. Определение риска в области информатизации осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием контрольно-кассовых машин и информационных систем, интегрируемых с государственными информационными системами, которое может привести к утечке информации государственных органов путем несанкционированного доступа к информационным системам, а также к отсутствию фискализации поступающих платежей на контрольно-кассовые машины являющиеся компьютерной системой.
      5. В области информатизации к высокой степени риска относятся проверяемые субъекты аттестованные на соответствие требованиям информационной безопасности негосударственные информационные системы, интегрируемые с государственными информационными системами.
      6. К проверяемым субъектам, не отнесенным, к высокой степени риска относятся проверяемые субъекты, получившие заключения для включения в государственный реестр контрольно-кассовых машин контрольно-кассовые машины, являющиеся компьютерной системой.
      7. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.

3. Субъективные критерии

      8. Определение субъективных критериев осуществляется с применением следующих этапов:
      1) формирование базы данных и сбор информации;
      2) анализ информации и оценка рисков.
      9. Формирование базы данных и сбор информации необходимы для выявления проверяемых субъектов, нарушающих законодательство Республики Казахстан в области информатизации.
      Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении проверяемого субъекта с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
      Для оценки степени рисков по субъективным критериям используются следующие источники информации:
      1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) проверяемых субъектов. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства Республики Казахстан в области информатизации, отраженных в проверочных листах;
      2) наличие и количество подтвержденных жалоб и обращений на проверяемых субъектов, поступивших от физических или юридических лиц, государственных органов.
      10. Оценка степени риска проверяемых субъектов и отнесение их к высокой или проверяемых субъектов, не отнесенных к высокой степени риска по субъективным критериям осуществляется по следующим показателям:
      1) по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии определяются согласно приложению 1 к настоящим Критериям;
      2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии определяются согласно приложению 2 к настоящим Критериям.
      11. Определение степени риска по каждому информационному источнику определяется следующим образом.
      Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
      В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
      При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:

     Р_з = (Р₂ х 100/Р₁) х 0,7
      где:
     Р_з – показатель нарушений значительной степени;
     Р₁ – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
     Р₂ - количество нарушенных требований значительной степени.
      При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:

Р_н = (Р₂ х 100/Р₁) х 0,3

      где:
     Р_н – показатель нарушений незначительной степени;
     Р₁ – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
     Р₂ - количество нарушенных требований незначительной степени.
      Общий показатель степени риска (Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:

     Р = Р_з + Р_н
      где:
     Р - общий показатель степени риска;
     Р_з - показатель нарушений значительной степени;
     Р_н - показатель нарушений незначительной степени.
      По показателям степени риска проверяемый субъект (объект) относится:
      1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
      2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.

4. Заключительные положения

      12. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.
      13. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.
      14. Списки выборочных проверок составляются с учетом:
      1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;
      2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.

Приложение 1
к Критериям оценки степени
риска в области информатизации

Субъективные критерии по информационному источнику
«результаты анализа предыдущих проверок
(выборочных, внеплановых и иных форм контроля)»

№	Критерии	Степень нарушения
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)
1.	отсутствие изменений условий функциональности, аппаратно-программного комплекса и информационных технологии, информационных систем	грубая
2.	соответствие общей структуры требованиям политики безопасности и размещения компонентов в структуре	незначительная
3.	соответствие конфигурации компонентов, являющихся составляющими информационных систем	незначительная
4.	наличие утвержденной функциональной схемы (план) взаимодействия компонентов информационных систем, а также интегрируемых компонентов информационных систем (физическая и логическая структура информационных систем, пояснительная записка к функциональной схеме)	значительная
5.	наличие организационных мер информационной безопасности эксплуатируемой информационной системы	значительная
6.	наличие Правил паспортизации средств вычислительной техники и использования информационных ресурсов	незначительная
7.	наличие Инструкции о порядке действий пользователей во внештатных (кризисных) ситуациях.	незначительная
8.	наличие Инструкции пользователя по эксплуатации компьютерного оборудования и программного обеспечения	незначительная
9.	наличие Инструкции по организации антивирусной защиты.	значительная
10.	наличие Инструкции о резервном копировании информации.	значительная
11.	наличие Инструкции по закреплению функций и полномочий администратора сервера.	значительная
12.	наличие Правил доступа пользователей и администраторов в серверные помещения.	значительная
13.	наличие Правил регистрации пользователей в корпоративной информационной сети.	значительная
14.	наличие Памятки для работы системных администраторов.	значительная
15.	наличие Памятки пользователю средств вычислительной техники.	значительная
16.	наличие Инструкции по использованию электронной почты и служб Интернет на рабочих станциях.	значительная
17.	наличие лицензий на используемое программное обеспечение и сертификатов соответствия на компьютерное, телекоммуникационное оборудование, терминалы оплаты услуг, торговые автоматы, пос-терминалы и иное оборудование, применяемое в информационном процессе фискального режима компьютерной системы.	грубая
18.	наличие сертификатов соответствия требованиям информационной безопасности технических и программных средств фискального режима, фискальной памяти, входящих в состав компьютерной системы и участвующих в информационном процессе (СТ РК ГОСТ Р ИСО/МЭК 15408-2006 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»).	грубая
19.	соответствие системы безопасности компьютерной системы требованиям к серверному помещению и помещению ограниченного доступа	незначительная
20.	наличие лицензионного или свободно распространяемого антивирусного программного обеспечения с актуальной базой сигнатур на персональных компьютерах пользователей компьютерной системы	незначительная
21.	наличие защищенного канала передачи данных между территориально разделенными подразделениями организации с шифрованием трафика с помощью аппаратных граничных маршрутизаторов.	незначительная
22.	наличие системы обнаружения (предотвращения) атак из сети Интернет посредством межсетевого экрана	значительная
23.	наличие систем идентификации и аутентификации пользователя	значительная
24.	наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт основного и резервного серверного оборудования компьютерной системы, используемых в фискальном режиме	значительная
25.	наличие системы резервного копирования компьютерной системы	значительная
26.	наличие службы информационной безопасности	значительная
27.	наличие ответственных лиц по компьютерной системе	незначительная
28.	наличие политики информационной безопасности (нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного доступа)	грубая
29.	наличие политики формирования и использования паролей	грубая
30.	наличие политики резервного копирования (архивирования)	грубая
31.	наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов	значительная
32.	наличие сертификата средств криптографической защиты информации согласно СТ РК 1073-2007 «Средства криптографический защиты информации. Общие технические требования» и в зависимости от криптографической стойкости, должны соответствовать уровням безопасности согласно СТ РК 1073-2007	грубая
33.	отсутствие уязвимостей, выявленных при инструментальном обследовании	значительная
34.	наличие фиксирования всех операций компьютерной системы без возможности их дальнейшей корректировки, связанных с торговыми операциями, оказанием услуг посредством наличных денег, а также при формировании фискальных отчетов. Выходные формы фискальных отчетов компьютерной системы заверяются электронной цифровой подписью объекта проверки	значительная
35.	корректная работа функционирующей компьютерной системы, в части функции формирования и проверки электронной цифровой подписи	значительная
36.	наличие акта о соответствии компьютерной системы техническим требованиям для включения в Государственный реестр контрольно-кассовых машин	значительная

Приложение 2
к Критериям оценки степени
риска в области информатизации

Субъективные критерии по информационному источнику «наличие
и количество подтвержденных жалоб и обращений на проверяемые
субъекты, поступивших от физических или юридических лиц,
государственных органов»

№	Критерии	Степень нарушения
1.	наличие одной подтвержденной жалобы или обращения в области информатизации	незначительное
2.	наличие двух или более подтвержденных жалоб или обращений в области информатизации	значительное

Приложение 2
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494

Критерии оценки степени риска в области связи

1. Общие положения

      1. Настоящие Критерии оценки степени риска в области связи (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
      2. В настоящих Критериях используются следующие понятия:
      1) операторы связи - физическое или юридическое лицо, оказывающее услуги связи;
      2) проверяемые субъекты в области связи (далее – проверяемые субъекты) – операторы связи, владельцы ведомственных и корпоративных сетей телекоммуникаций, отдельного коммутационного оборудования, подключаемого к сети телекоммуникаций общего пользования, владельцы радиоэлектронных средств, являющиеся пользователями радиочастотным спектром;
      3) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
      4) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
      5) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
      6) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок.
      3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.

2. Объективные критерии

      4. Определение риска в области связи осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с:
      бесконтрольным использованием платного ограниченного ресурса радиочастотного спектра, которое может привести к возникновению радиопомех и невозможности использования его законными владельцами, а также вредным электромагнитным излучениям;
      эксплуатацией оборудования на сетях телекоммуникаций без технических средств проведения специальных оперативно-розыскных мероприятий, которая может привести к невозможности проведения органами оперативно-розыскной деятельности необходимых мероприятий;
      нарушением порядка пропуска трафика, которое может привести к невозможности приостановления деятельности любых сетей и средств связи (за исключением правительственной связи) в случае наступления чрезвычайной ситуации социального, природного и техногенного характера.
      5. В области связи к высокой степени риска относятся проверяемые субъекты, оказывающие не лицензируемые виды услуги связи, а также владельцы ведомственных и корпоративных сетей телекоммуникаций, отдельного коммутационного оборудования, подключаемого к сети телекоммуникаций общего пользования, владельцы радиоэлектронных средств, являющиеся пользователями радиочастотным спектром.
      6. К проверяемым субъектам, не отнесенным, к высокой степени риска относятся проверяемые субъекты, получившие лицензии на предоставление следующих услуг в области связи: междугородная телефонная связь, международная телефонная связь, сотовая связь (с указанием наименования стандарта), спутниковая подвижная связь.
      7. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.

3. Субъективные критерии

      8. Определение субъективных критериев осуществляется с применением следующих этапов:
      1) формирование базы данных и сбор информации;
      2) анализ информации и оценка рисков.
      9. Формирование базы данных и сбор информации необходимы для выявления проверяемых субъектов, нарушающих законодательство Республики Казахстан в области связи.
      Анализ информации и оценка субъективных критериев концентрирует проверки в отношении проверяемого субъекта с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
      Для оценки степени рисков по субъективным критериям используются следующие источники информации:
      1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) проверяемых субъектов. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства Республики Казахстан в области связи, отраженных в проверочных листах;
      2) результаты мониторинга радиочастотного спектра, радиоэлектронных средств и (или) высокочастотных устройств, качества предоставляемых услуг связи;
      3) наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов.
      10. Оценка степени риска проверяемых субъектов и отнесение их к высокой группе риска и группе риска не отнесенных к высокой степени по субъективным критериям осуществляется по следующим показателям:
      1) по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых)» субъективные критерии определяются согласно приложению 1 к настоящим Критериям;
      2) по информационному источнику «результаты мониторинга радиочастотного спектра, радиоэлектронных средств и (или) высокочастотных устройств, качества предоставляемых услуг связи» субъективные критерии определяются согласно приложению 2 к настоящим Критериям;
      3) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии определяются согласно приложению 3 к настоящим Критериям.
      11. Определение степени риска по каждому информационному источнику определяется следующим образом.
      Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
      В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
      При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:

Р_з = (Р₂ х 100/Р₁) х 0,7

      где:
     Р_з – показатель нарушений значительной степени;
     Р₁ – общее количество индикаторов значительной степени, предъявленных к проверке (анализу) проверяемому субъекту;
     Р₂ - количество нарушенных требований значительной степени.
      При определении показателя нарушений незначительной степени применяется коэффициент 0,3 и данный показатель рассчитывается по следующей формуле:

     Р_н = (Р₂ х 100/Р₁) х 0,3
      где:
     Р_н – показатель нарушений незначительной степени;
     Р₁ – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту;
     Р₂ - количество нарушенных требований незначительной степени.
      Общий показатель степени риска (Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:

     Р = Р_з + Р_н
      где:
     Р - общий показатель степени риска;
     Р_з - показатель нарушений значительной степени;
     Р_н - показатель нарушений незначительной степени.
      По показателям степени риска проверяемый субъект относится:
      1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
      2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.

4. Заключительные положения

Приложение 1
к Критериям оценки степени
риска в области связи

Субъективные критерии по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых)»

№	Критерии	Степень нарушения
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)
1.	наличие лицензии на предоставление лицензируемых видов услуг в области связи	грубая
2.	обеспечение органам, осуществляющим оперативно-розыскную деятельность на сетях связи, организационные и технические возможности проведения оперативно-розыскных мероприятий на всех сетях связи	грубая
3.	осуществление сбора и хранения в течение двух лет служебной информации об абонентах	грубая
4.	подтверждение соответствия технических средств связи, используемые на единой сети телекоммуникаций Республики Казахстан, радиоэлектронных средств и высокочастотных устройств, являющиеся источником электромагнитного излучения, технических средств почтовой связи	грубая
5.	исполнение предписаний об устранении нарушений в работе отдельных средств или сетей связи охраны труда и техники безопасности, которые создают угрозу жизни и здоровью людей, окружающей среде или нормальному функционированию систем жизнеобеспечения	значительная
6.	наличие системы учета трафика, которая должна иметь систему измерения длительности соединений и систему измерения передачи данных оператора связи, внесенную в реестр государственной системы обеспечения единства измерений Республики Казахстан, имеющую действующий сертификат поверки	значительная
7.	соответствие присоединения к сети телекоммуникаций общего пользования на местном уровне	значительная
8.	соответствие присоединения к сети телекоммуникаций общего пользования на внутризоновом уровне	значительная
9.	соответствие присоединения к сети телекоммуникаций общего пользования на междугородном и международном уровнях	значительная
10.	соответствие присоединения к сети телекоммуникаций общего пользования сетей подвижной связи	значительная
11.	соответствие доступа к узлам телематических служб, интеллектуальных сетей и операторов сетей передачи данных	значительная
12.	соответствие подключения к сети телекоммуникаций общего пользования оборудования (узлов доступа) операторов IP-телефонии (Интернет – телефонии)	значительная
13.	использование оператором связи, провайдером услуги, владельцем ведомственной сети телекоммуникаций, сети телекоммуникаций специального назначения, корпоративной сети выделенного ресурса нумерации местной сети телекоммуникаций в географически определяемой зоне нумерации с кодом «ABC» более чем на 50 процентов в течение двух лет с момента выделения (по результатам проверки, осуществляемой уполномоченным органом, изымается неиспользуемая часть от всей выделенной емкости нумерации)	незначительная
14.	использование получателем ресурса нумерации (коды «DEF» и индексы «X₁», «X₁X₂» в коде «DEF» не географически определяемых зон нумерации, коды операторов (Х₁Х₂Х₃/(X₁X₂X₃X₄), предоставляющих услуги связи с использованием кодов доступа к услуге; номера доступа «1UV (X₁(X₂))» к экстренным оперативным, информационно-справочным и заказным службам; префиксы выбора операторов междугородной и (или) международной связи более чем 6 месяцев в течение двух лет с момента выделения (по результатам проверки, осуществляемой уполномоченным органом)	незначительная
15.	осуществление операторами связи обмена трафиком с зарубежными операторами связи исключительно через операторов междугородной и международной связи Республики Казахстан	грубая
16.	осуществление операторами междугородной и международной связи обмена трафиком с зарубежными операторами связи через Систему Централизованного управления сетями телекоммуникаций	грубая
17.	содержание на сети телекоммуникаций оператора междугородной и (или) международной связи наземных сегментов и коммутационных узлов, центр управления которыми расположен на территории Республики Казахстан	значительная
18.	осуществление резервирования транспортных сетей путем предоставления независимых обходных путей, организуемых по независимым географическим трассам, или замены на тракты (каналы), организуемые в тех же линиях передачи	значительная
19.	наличие в составе СТОММС не менее одной точки стыковки транспортной сети с сетями телекоммуникаций операторов связи зарубежных стран по наземным линиям связи	значительная
20.	наличие в составе СТОММС транспортных сетей телекоммуникаций (магистральных и внутризоновых линии связи)	значительная
21.	наличие в составе СТОММС коммутационных междугородных и международных станций	значительная
22.	наличие в составе СТОММС систем обеспечения функционирования – систему управления и систему технической эксплуатации	значительная
23.	наличие в составе СТОММС системы тактовой сетевой синхронизации	значительная
24.	наличие на транспортных СТОММС сетевых узлов (ПСУ), которые имеют не менее трех выходов (трех направлений) передачи (два в направлении своей сети и один в направлении сети другой страны) для организации международных соединений со СТОП других стран	значительная
25.	самостоятельное создание (развитие) оператором междугородной и международной связи сетей обеспечивающих универсальные услуги телекоммуникаций	значительная
26.	выполнение ОММС мероприятий по мобилизационной готовности	значительная
27.	охват СТОММС территории не менее шести областей (географических зон нумерации), городов Астаны и Алматы	значительная
28.	все МЦК ОММС должны быть связаны не менее чем с двумя МЦК других ОММС, а все АМТС должны быть связаны не менее чем с двумя МЦК	незначительная
29.	наличие квалифицированного состава технических руководителей и специалистов	незначительная
30.	предоставление ОММС информации по распределению пакетов акций (долей участия в уставном капитале) между акционерами (участниками)	незначительная
31.	разработка оператором междугородной и международной связи СТОП на основании полученных заявок, Перечня (трассы) каналов связи, предоставляемых в военное время, с учетом возможности взаимоувязанной сети телекоммуникаций	значительная
32.	соблюдение проверяемым субъектом размеров единиц тарификации, утвержденных приказом Председателя Агентства Республики Казахстан по информатизации и связи от 2 февраля 2009 года № 43	значительная
33.	обеспечение предоставления абонентам бесплатных соединений с экстренной медицинской, правоохранительной, пожарной, аварийной, справочной и другими службами	значительная
34.	уведомление оператором связи абонента до начала тарифицируемого соединения о стоимости данного соединения при оказании интеллектуальных услуг (лотерея, голосование, телевикторина, викторина, справочно-информационные службы, службы знакомств)	значительная
35.	создание системы информационно-справочного обслуживания в целях предоставления абонентам информации, связанной с оказанием услуг связи	незначительная
36.	осуществление автоматического учета информации о полученных абонентом услугах связи в сети оператора связи, времени пользования ими, соединениях с номерами телефонов абонентов других сетей аналогичного стандарта	незначительная
37.	обеспечение технической возможности свободного выбора абонентом оператора междугородной или международной связи	значительная
38.	установка лимита по пересылке абонентам в ночное время (с 22:00 часов до 06:00) информации (рассылок рекламного характера) посредством коротких текстовых сообщений и/или мультимедийных сообщений, не запрошенной ранее абонентом (для сотовых операторов)	незначительная
39.	недопущение навязывания оператором связи абоненту иных платных услуг при оказании ему услуг связи	значительная
40.	принятие в течение трех календарных дней со дня подачи абонентом заявления об ухудшении качества услуг телефонной связи необходимых мер по восстановлению качества и производит перерасчет абонентской платы	незначительная
41.	произведение перерасчета абонентской платы за период фактического бездействия абонентского устройства не по вине абонента	незначительная
42.	информирование абонента об авариях на сетях связи и о предполагаемых сроках устранения этих аварий	незначительная
43.	извещение абонента за 30 календарных дней о замене абонентского номера и (или) об отключении терминала с указанием причин	незначительная
44.	изменение условий тарифа на услуги связи с согласия абонента, известив его об этом не позднее чем за 30 дней до введения их в действие	незначительная
45.	возобновление доступа к услугам связи, отключенным за несвоевременную оплату, в течение двадцати четырех часов с момента погашения задолженности	незначительная
46.	предоставление по требованию абонента информации, связанной с оказанием ему услуг связи	незначительная
47.	недопущение ограничения оператором связи прав абонента/пользователя при оказании ему услуг связи в случае неисполнения им условий получения иной услуги	незначительная
48.	заключение оператором связи либо его представителем договора с абонентами на оказание услуг связи	значительная
49.	ведение реестра операторами связи идентификационных кодов абонентских устройств, работающих в их сети (для сотовых операторов)	незначительная
50.	приостановление либо возобновление по идентификационному коду работу абонентского устройства в своей сети по заявлению собственника абонентского устройства (для сотовых операторов)	значительная
51.	информирование абонентов о профилактическом обслуживании оборудования связи, связанном с его частичным или полным отключением, и о сроках проведения таких работ за десять календарных дней до начала данных работ	незначительная
52.	обеспечение возможности в круглосуточном режиме проверки баланса денег на текущем счете (для сотовых операторов)	незначительная
53.	возвращение абоненту излишне уплаченных денежных средств за оказанные услуги связи или зачитыванию их при согласии абонента в качестве авансирования услуг связи	незначительная
54.	недопущение отказа оператора связи от заключения договора об оказании услуг связи при наличии технической возможности	значительная
55.	замена абонентских номеров в связи с изменением плана нумерации сетей связи без взимания дополнительной платы с предварительным уведомлением абонентов о причине такой замены	незначительная
56.	соблюдение условий кредитного способа оплаты услуг связи	незначительная
57.	соблюдение условий авансового способа оплаты услуг связи	незначительная
58.	сохранение абонентского номера за абонентом в течение двенадцати месяцев с момента окончания на лицевом счете денег абонента	незначительная
59.	осуществление по обращению абонентов перерегистрации абонента без взимания дополнительной оплаты	незначительная
60.	соблюдение сроков доставки почтовых отправлений, утвержденных приказом Председателя Агентства Республики Казахстан по информатизации и связи от 4 марта 2004 года № 48	незначительная
61.	недопущения утраты, недостачи, повреждения (порчи) регистрируемых почтовых отправлений	незначительная
62.	недопущения искажения текста телеграммы, изменившее ее смысл	незначительная

      Примечание: расшифровка аббревиатуры:
      1. СТОММС - сеть телекоммуникаций оператора междугородной и (или) международной связи;
      2. ПСУ – приграничный сетевой узел;
      3. СТОП - сети телекоммуникаций общего пользования;
      4. ОММС - оператор междугородной и (или) международной связи;
      5. МЦК - международный центр коммутации;
      6. АМТС - автоматическая междугородная телефонная станция.

Приложение 2
к Критериям оценки степени
риска в области связи

Субъективные критерии по информационному источнику «результаты
мониторинга радиочастотного спектра, радиоэлектронных средств и
(или) высокочастотных устройств, качества предоставляемых услуг связи»

№	Критерии	Степень нарушения
1.	наличие разрешений на использование радиочастотного спектра Республики Казахстан либо разрешения судовой станции на использование радиочастотного спектра	грубая
2.	наличие разрешений на эксплуатацию радиоэлектронных средств и высокочастотных устройств	значительная
3.	соответствие технических характеристик и условий эксплуатации радиоэлектронных средств и высокочастотных устройств требованиям, изложенным в разрешениях	значительная
4.	предоставление пользователям услуг связи соответствующих по качеству Показателям качества услуг связи	незначительная

Приложение 3
к Критериям оценки степени
риска в области связи

Субъективные критерии по информационному источнику «наличие и
количество подтвержденных жалоб и обращений на проверяемые
субъекты, поступивших от физических или юридических лиц,
государственных органов»

№	Критерии	Степень нарушения
1.	наличие одной подтвержденной жалобы или обращения в области связи	незначительное
2.	наличие двух или более подтвержденных жалоб или обращений в области связи	значительное

Приложение 3
к совместному приказу
Министра по инвестициям и развитию
Республики Казахстан
от 29 июня 2015 года № 735
и исполняющего обязанности
Министра национальной экономики
Республики Казахстан
от 30 июня 2015 года № 494

Критерии оценки степени риска за соблюдением законодательства
Республики Казахстан об электронном документе и
электронной цифровой подписи

1. Общие положения

      1. Настоящие Критерии оценки степени риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее - Критерии) разработаны в соответствии с Законом Республики Казахстан от 6 января 2011 года «О государственном контроле и надзоре в Республике Казахстан» для отнесения проверяемых субъектов к степеням риска и отбора проверяемых субъектов при проведении выборочных проверок.
      2. В настоящих Критериях используются следующие понятия:
      1) риск - вероятность причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства с учетом степени тяжести его последствий;
      2) объективные критерии оценки степени риска (далее – объективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от степени риска в определенной сфере деятельности и не зависящие непосредственно от отдельного субъекта (объекта);
      3) субъективные критерии оценки степени риска (далее – субъективные критерии) – критерии оценки степени риска, используемые для отбора проверяемых субъектов (объектов) в зависимости от результатов деятельности конкретного проверяемого субъекта (объекта);
      4) система оценки рисков – комплекс мероприятий, проводимый органом контроля и надзора, с целью назначения проверок;
      5) проверяемые субъекты за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи (далее – проверяемые субъекты) – юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства.
      3. Критерии оценки степени риска для выборочных проверок формируются посредством объективных и субъективных критериев.

2. Объективные критерии

      4. Определение риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи осуществляется в зависимости от вероятности причинения вреда в результате деятельности проверяемого субъекта жизни или здоровью человека, окружающей среде, законным интересам физических и юридических лиц, имущественным интересам государства деятельностью проверяемых субъектов, связанную с бесконтрольным использованием и выдачей электронных документов и электронной цифровой подписи могут привести к компрометации открытого ключа, и как следствие неправомерного использования электронной цифровой подписи.
      5. По объективным критериям к высокой степени риска относятся проверяемые субъекты аккредитованные на территории Республики Казахстан удостоверяющие центры.
      6. В отношении проверяемых субъектов, отнесенных к высокой степени риска проводятся выборочные проверки.

3. Субъективные критерии

      7. Определение субъективных критериев осуществляется с применением следующих этапов:
      1) формирование базы данных и сбор информации;
      2) анализ информации и оценка рисков.
      8. Формирование базы данных и сбор информации необходимы для выявления субъектов контроля, нарушающих законодательство Республики Казахстан об электронном документе и электронной цифровой подписи.
      Анализ информации и оценка субъективных критериев позволит сконцентрировать проверки в отношении субъекта контроля с наибольшим потенциальным риском. При этом, при анализе и оценке не применяются данные субъективных критериев, ранее учтенных и использованных в отношении конкретного проверяемого субъекта.
      Для оценки степени рисков по субъективным критериям используются следующие источники информации:
      1) результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) субъектов контроля. При этом, степень тяжести нарушений (грубое, значительное, незначительное) устанавливается в случае несоблюдения требований законодательства, отраженных в проверочных листах;
      2) наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов.
      9. Оценка степени риска проверяемых субъектов и отнесение их к высокой или не отнесенным к высокой степени риска по субъективным критериям осуществляется по следующим показателям:
      1) по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)» субъективные критерии согласно приложению 1 к настоящим Критериям;
      2) по информационному источнику «наличие и количество подтвержденных жалоб и обращений на проверяемые субъекты, поступивших от физических или юридических лиц, государственных органов» субъективные критерии согласно приложению 2 к настоящим Критериям.
      10. Определение степени риска по каждому информационному источнику определяется следующим образом.
      Одно невыполненное требование грубой степени приравнивается к показателю 100 и это является основанием для проведения проверки в выборочном порядке.
      В случае если нарушение требований грубой степени не выявлено, то для определения показателя степени риска рассчитывается суммарный показатель требований значительной и незначительной степени.
      При определении показателя нарушений значительной степени применяется коэффициент 0,7 и данный показатель рассчитывается по следующей формуле:

     Р_н = (Р₂ х 100/Р₁) х 0,3
      где:
     Р_н – показатель нарушений незначительной степени;
     Р₁ – общее количество индикаторов незначительной степени, предъявленных к проверке (анализу) проверяемому субъекту (объекту);
     Р₂ - количество нарушенных требований незначительной степени.
      Общий показатель степени риска (Р) рассчитывается по шкале от 0 до 100 и определяется путем суммирования показателей по следующей формуле:

     Р = Р_з + Р_н
где:
     Р - общий показатель степени риска;
     Р_з - показатель нарушений значительной степени;
     Р_н - показатель нарушений незначительной степени.
      По показателям степени риска проверяемый субъект (объект) относится:
      1) к высокой степени риска – при показателе степени риска от 60 до 100 и в отношении него проводится выборочная проверка;
      2) не отнесенной к высокой степени риска – при показателе степени риска от 0 до 60 и в отношении него не проводится выборочная проверка.

4. Заключительные положения

      11. Кратность проведения выборочной проверки составляет 1 раз в год и определяется по результатам проводимого анализа и оценки получаемых сведений по субъективным критериям.
      12. Выборочные проверки проводятся на основании списков выборочных проверок, формируемых на полугодие по результатам проводимого анализа и оценки, которые направляются в уполномоченный орган по правовой статистике и специальным учетам в срок не позднее, чем за пятнадцать календарных дней до начала соответствующего отчетного периода.
      13. Списки выборочных проверок составляются с учетом:
      1) приоритетности проверяемых субъектов (объектов) с наибольшим показателем степени риска по субъективным критериям;
      2) нагрузки на должностных лиц, осуществляющих проверки, государственного органа.

Приложение 1
к Критериям оценки степени риска
за соблюдением законодательства
Республики Казахстан об электронном
документе и электронной цифровой подписи

Субъективные критерии по информационному источнику
«результаты анализа предыдущих проверок
(выборочных, внеплановых и иных форм контроля)»

№	Критерии	Степень нарушения
Результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля) (степень тяжести устанавливается при несоблюдении нижеперечисленных требований)
1.	наличие процедуры синхронизации времени аккредитуемого удостоверяющего центра с комплексом технических средств, обеспечивающих периодическую передачу цифровой информации о значении текущего времени от эталона единицы времени Республики Казахстан, спутниковых глобальных систем позиционирования, общепризнанных международных источников	грубая
2.	наличие сертификата соответствия на используемые СКЗИ по СТ РК 1073-2007, которые применяется в данном удостоверяющем центре и его пользователями	грубая
3.	наличие аттестата соответствия удостоверяющего центра требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам, в случае интеграции аккредитуемого удостоверяющего центра с государственными информационными системами	значительная
4.	соблюдение требований владельца по отзыву регистрационного свидетельства	грубая
5.	соблюдение требований к серверному помещению	грубая
6.	наличие политики информационной безопасности удостоверяющего центра	незначительная
7.	наличие регламента или правил деятельности удостоверяющего центра	значительная
8.	наличие политики применения регистрационных свидетельств	незначительная
9.	наличие положения об удостоверяющем центре	значительная
10.	наличие инструкции по действиям работников, осуществляющих работы от лица заявителя непосредственно участвующих в работах по сопровождению, администрированию, выпуску регистрационных свидетельств удостоверяющего центра во внештатных, кризисных ситуациях	незначительная
11.	наличие инструкции о резервном копировании информационных ресурсов удостоверяющего центра	грубая
12.	наличие инструкции по установке и настройке программного обеспечения удостоверяющего центра	значительная
13.	наличие в регистрационном свидетельстве номера регистрационного свидетельства и срок его действия	значительная
14.	наличие в регистрационном свидетельстве данных, позволяющих идентифицировать владельца электронной цифровой подписи	значительная
15.	наличие в регистрационном свидетельстве открытого ключа электронной цифровой подписи	значительная
16.	наличие в регистрационном свидетельстве данных о средствах электронной цифровой подписи, используемых для создания соответствующего закрытого ключа электронной цифровой подписи	значительная
17.	наличие в регистрационном свидетельстве информации о сферах применения и ограничениях применения электронной цифровой подписи	значительная
18.	наличие в регистрационном свидетельстве реквизитов соответствующего удостоверяющего центра	значительная
19.	наличие схемы взаимодействия модулей (компонент) удостоверяющего центра и схемы электронной цифровой подписи с данными о применяемых алгоритмах криптографических преобразований и другими исходными данными (основными требованиями) по реализации процесса формирования электронной цифровой подписи и требованиями к отдельным параметрам и удостоверяющему центру, утвержденные заявителем	значительная
20.	отсутствие фактов некорректного использования электронной цифровой подписи	значительная

Приложение 2
к Критериям оценки степени риска
за соблюдением законодательства
Республики Казахстан об электронном
документе и электронной цифровой подписи

Субъективные критерии по информационному источнику
«наличие и количество подтвержденных жалоб и обращений на
проверяемые субъекты, поступивших от физических или
юридических лиц, государственных органов»

№	Критерии	Степень нарушения
1.	наличие одной подтвержденной жалобы или обращения за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи	незначительное
2.	наличие двух или более подтвержденных жалоб или обращений за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи	значительное

Ақпараттандыру саласындағы тәуекел дәрежесін бағалау критерийлері

1. Жалпы ережелер

2. Объективті критерийлер

3. Субъективті критерийлер

4. Қорытынды ережелер

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары)» ақпараттық көздері бойынша субъективті критерийлер

Байланыс саласындағы тәуекел дәрежесін бағалау критерийлері

1. Жалпы ережелер

2. Объективті критерийлер

3. Субъективті критерийлер

4. Қорытынды ережелер

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары)» ақпараттық көздері бойынша субъективті критерийлер

Электрондық құжат және электрондық цифрлық қолтаңба туралы Қазақстан Республикасы заңнамасының сақталуына тәуекелдер дәрежесін бағалау критерийлері

1. Жалпы ережелер

2. Объективті критерийлер

3. Субъективті критерийлер

4. Қорытынды ережелер

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және өзге де тексеру нысандары)» ақпараттық көздері бойынша субъективті критерийлер

Критерии оценки степени риска в области информатизации

1. Общие положения

2. Объективные критерии

3. Субъективные критерии

4. Заключительные положения

Субъективные критерии по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)»

Критерии оценки степени риска в области связи

1. Общие положения

2. Объективные критерии

3. Субъективные критерии

4. Заключительные положения

Субъективные критерии по информационному источнику «результаты предыдущих проверок (выборочных, внеплановых)»

Критерии оценки степени риска за соблюдением законодательства Республики Казахстан об электронном документе и электронной цифровой подписи

1. Общие положения

2. Объективные критерии

3. Субъективные критерии

4. Заключительные положения

Субъективные критерии по информационному источнику «результаты анализа предыдущих проверок (выборочных, внеплановых и иных форм контроля)»

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс
және өзге де тексеру нысандары)» ақпараттық көздері бойынша
субъективті критерийлер

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс
және өзге де тексеру нысандары)» ақпараттық көздері бойынша
субъективті критерийлер

Электрондық құжат және электрондық цифрлық қолтаңба туралы
Қазақстан Республикасы заңнамасының сақталуына тәуекелдер
дәрежесін бағалау критерийлері

«Бұрынғы тексерулер нәтижелері (ішінара, жоспардан тыс және
өзге де тексеру нысандары)» ақпараттық көздері бойынша
субъективті критерийлер

Субъективные критерии по информационному источнику
«результаты анализа предыдущих проверок
(выборочных, внеплановых и иных форм контроля)»

Критерии оценки степени риска за соблюдением законодательства
Республики Казахстан об электронном документе и
электронной цифровой подписи

Субъективные критерии по информационному источнику
«результаты анализа предыдущих проверок
(выборочных, внеплановых и иных форм контроля)»